WSTĘP
Niniejsza Polityka prywatności dotyczy kwestii związanych z zabezpieczeniem danych osobowych zarówno przetwarzanych w sposób tradycyjny (wersja papierowa) jak i w systemach informatycznych, których administratorem jest STNUX Chiliński i Wspólnicy Spółka Jawna z siedzibą w Warszawie, ul. Puławska 111A/6, 02-707 Warszawa.
Polityka prywatności przeznaczona jest dla wszystkich osób zajmujących się przetwarzaniem danych osobowych we wszystkich lokalizacjach – budynkach i pomieszczeniach, w których są lub będą przetwarzane dane osobowe podlegające ochronie.
Procedury i zasady wskazane w niniejszej Polityce prywatności stosuje się do wszystkich osób upoważnionych do przetwarzania danych osobowych, zarówno zatrudnionych jak i innych (np. świadczących czynności na podstawie umów cywilnoprawnych, etc.).
1. Definicje
a) Administrator – STNUX Chiliński i Wspólnicy Spółka Jawna z siedzibą w Warszawie, ul. Puławska 111A/6, 02-707 Warszawa.
b) Dane osobowe – wszystkie informacje o osobie fizycznej zidentyfikowanej lub możliwej do zidentyfikowania poprzez jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość, w tym IP urządzenia, dane o lokalizacji, identyfikator internetowy oraz informacje gromadzone za pośrednictwem plików cookie oraz innej podobnej technologii.
c) Polityka – niniejsza Polityka prywatności.
d) RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
e) Serwisy – serwisy internetowe prowadzone przez Administratora pod adresem sklep.toysinn.pl oraz pod adresem www.stnux.pl
f) Użytkownik– każda osoba fizyczna przekazująca swoje dane osobowe Administratorowi, w tym odwiedzająca Serwisy lub korzystająca z jednej albo kilku usług czy funkcjonalności opisanych w Polityce.
2. Przetwarzanie danych
2.1. Administrator zbiera dane w zakresie niezbędnym do świadczenia poszczególnych oferowanych usług, a także informacje o aktywności Użytkownika w Serwisach.
2.2. Dane osobowe przetwarzane w Spółce podlegają ochronie zgodnie z przepisami Rozporządzenia RODO.
2.3. Przetwarzanie danych osobowych przez Administratora odbywa się wyłącznie w zakresie niezbędnym do realizacji celu ich przetwarzania.
3. Cele oraz podstawy prawne przetwarzania danych
3.1. Dane osobowe Użytkowników (w tym imię i nazwisko, adres mailowy, adres korespondencyjny, adres IP lub inne identyfikatory oraz informacje gromadzone za pośrednictwem plików cookies lub innych podobnych technologii) są przetwarzane przez Administratora:
a) w celu świadczenia usług marketingowych, w tym drogą elektroniczną w zakresie udostępniana Użytkownikom treści gromadzonych w Serwisach, udostępniania ofert innych sprzedawców w ramach usługi Marketplace, udostępniania formularzy kontaktowych, identyfikacji nadawcy oraz obsługi jego zapytania przesłanego przez udostępniony formularz – wówczas podstawą prawną przetwarzania jest niezbędność przetwarzania do wykonania umowy (art. 6 ust. 1 lit. b RODO);
b) w celu wypełnienia obowiązku prawnego ciążącego na Administratorze (art. 6 ust. 1 lit. c RODO)
c) w celach analitycznych i statystycznych polegających na prowadzeniu statystyk zapytań zgłaszanych przez Użytkowników za pośrednictwem Serwisów w celu doskonalenia ich funkcjonalności oraz w celu ewentualnego ustalenia i dochodzenia roszczeń lub obrony przed nimi – podstawą prawną przetwarzania jest uzasadniony interes Administratora (art. 6 ust. 1 lit f RODO);
3.2. Aktywność Użytkownika w Serwisach, w tym jego dane osobowe, są rejestrowane w logach systemowych (specjalnym programie komputerowym służącym do przechowywania chronologicznego zapisu zawierającego informację o zdarzeniach i działaniach dotyczących systemu informatycznego służącego do świadczenia usług przez Administratora).
3.3. Zebrane w logach informacje przetwarzane są w związku ze świadczeniem usług. Administrator przetwarza je również w celach technicznych w szczególności, dane mogą być tymczasowo przechowywane i przetwarzane w celu zapewnienia bezpieczeństwa i poprawnego funkcjonowania systemów informatycznych, np. w związku z wykonywaniem kopii bezpieczeństwa, testami zmian w systemach informatycznych, wykrywania nieprawidłowości lub ochroną przed nadużyciami i atakami.
4. Działania marketingowe
4.1. Działania marketingowe mogą polegać na:
a) wyświetlaniu i kierowaniu Użytkownikowi treści marketingowych, które nie są dostosowane do jego preferencji (reklama kontekstowa);
b) wyświetlaniu i kierowaniu Użytkownikowi treści marketingowych odpowiadających jego zainteresowaniom (reklama behawioralna);
c) kierowaniu e-mailowych powiadomień o interesujących ofertach lub treściach, które w niektórych przypadkach zawierają informacje handlowe;
d) prowadzenie innego rodzaju działań związanych z marketingiem bezpośrednim towarów i usług (przesyłanie informacji handlowych drogą listowną, elektroniczną lub działania telemarketingowe);
e) kierowaniu do Użytkownika reklamy behawioralnej (tj. reklamy, która jest dopasowana do preferencji Użytkownika – przetwarzanie danych osobowych obejmuje wówczas także profilowanie Użytkowników. Wykorzystanie zebranych za pośrednictwem tej technologii danych osobowych w celach marketingowych, w szczególności w zakresie promowania usług i towarów podmiotów trzecich, odbywa się na podstawie uzasadnionego interesu Administratora i tylko pod warunkiem, że Użytkownik wyraził zgodę na wykorzystanie plików cookie. Zgoda na wykorzystanie plików cookie może być wyrażona poprzez odpowiednią konfigurację przeglądarki, a także może zostać w każdym momencie wycofana, w szczególności poprzez wyczyszczenie historii cookies oraz wyłączenie obsługi cookies w ustawieniach przeglądarki;
f) kierowaniu do Użytkownika wiadomości za pośrednictwem e-mail, SMS oraz innych środków komunikacji elektronicznej.
4.2. W celu realizowania działań marketingowych Administrator w niektórych przypadkach wykorzystuje profilowanie. Oznacza to, że dzięki automatycznemu przetwarzaniu danych Administrator dokonuje oceny wybranych czynników dotyczących osób fizycznych w celu analizy ich zachowania lub stworzenia prognozy na przyszłość.
5. Pliki Cookies oraz podobna technologia
5.1. Pliki cookies to małe pliki tekstowe instalowane na urządzeniu Użytkownika przeglądającego Serwisy. Cookies zbierają informacje ułatwiające korzystanie ze strony internetowej – np. poprzez zapamiętywanie odwiedzin Użytkownika w Serwisach i dokonywanych przez niego czynności.
Pliki Cookies „serwisowe”
5.2. Administrator wykorzystuje tzw. cookie serwisowe przede wszystkim w celu dostarczania Użytkownikowi usług świadczonych drogą elektroniczną oraz poprawy jakości tych usług. W związku z tym Administrator oraz inne podmioty świadczące na jego rzecz usługi analityczne i statystyczne korzystają z plików cookies, przechowując informacje lub uzyskując dostęp do informacji już przechowywanych w telekomunikacyjnym urządzeniu końcowym Użytkownika (komputer, telefon, tablet itp.). Pliki cookies wykorzystywane w tym celu obejmują:
a) pliki cookies z danymi wprowadzanymi przez Użytkownika (identyfikator sesji) na czas trwania sesji (ang.user input cookies);
b) uwierzytelniające pliki cookies wykorzystywane do usług wymagających uwierzytelniania na czas trwania sesji (ang.authentication cookies);
c) pliki cookies służące do zapewnienia bezpieczeństwa, np. wykorzystywane do wykrywania nadużyć w zakresie uwierzytelniania (ang.user centric security cookies);
d) sesyjne pliki cookies odtwarzaczy multimedialnych (np. pliki cookies odtwarzacza flash), na czas trwania sesji (ang.multimedia player session cookies);
e) trwałe pliki cookies służące do personalizacji interfejsu Użytkownika na czas trwania sesji lub nieco dłużej (ang.user interface customization cookies),
f) pliki cookies służące do zapamiętywania zawartości koszyka na czas trwania sesji (ang.shopping cart cookies);
g) pliki cookies służące do monitorowania ruchu na stronie internetowej, tj. analityki danych, w tym cookies Google Analytics (są to pliki wykorzystywane przez spółkę Google w celu analizy sposobu korzystania z Serwisów przez Użytkownika, do tworzenia statystyk i raportów dotyczących funkcjonowania Serwisów). Google nie wykorzystuje zebranych danych do identyfikacji Użytkownika ani nie łączy tych informacji w celu umożliwienia identyfikacji. Szczegółowe informacje o zakresie i zasadach zbierania danych w związku z tą usługą można znaleźć pod linkiem:https://www.google.com/intl/pl/policies/privacy/partners.
Pliki Cookies „marketingowe”
5.3. Administrator wykorzystuje również pliki cookies do celów marketingowych, m.in. w związku z kierowaniem do Użytkowników reklamy behawioralnej. W tym celu Administrator przechowuje informacje lub uzyskuje dostęp do informacji już przechowywanych w telekomunikacyjnym urządzeniu końcowym Użytkownika (komputer, telefon, tablet itp.). Wykorzystanie plików cookies oraz zebranych za ich pośrednictwem danych osobowych w celach marketingowych, w szczególności w zakresie promowania usług i towarów podmiotów trzecich, wymaga uzyskania zgody Użytkownika. Zgoda ta może być wyrażona poprzez odpowiednią konfigurację przeglądarki, a także może zostać w każdym momencie wycofana, w szczególności poprzez wyczyszczenie historii cookies oraz wyłączenie obsługi cookies w ustawieniach przeglądarki.
6. Okres przetwarzania danych osobowych
6.1. Okres przetwarzania danych przez Administratora zależy od rodzaju świadczonej usługi i celu przetwarzania. Co do zasady dane przetwarzane są przez czas świadczenia usługi lub realizowania zamówienia, do czasu wycofania wyrażonej zgody lub zgłoszenia skutecznego sprzeciwu względem przetwarzania danych w przypadkach, gdy podstawą prawną przetwarzania danych jest uzasadniony interes Administratora.
6.2.Okres przetwarzania danych może być przedłużony w przypadku, gdy przetwarzanie jest niezbędne do ustalenia i dochodzenia ewentualnych roszczeń lub obrony przed nimi, a po tym czasie jedynie w przypadku i w zakresie, w jakim będą wymagać tego przepisy prawa. Po upływie okresu przetwarzania dane są nieodwracalnie usuwane lub anonimizowane.
7. Uprawnienia użytkownika
7.1 Osobie, której dane dotyczą, przysługują następujące prawa:
a) Prawo do informacji o przetwarzaniu danych osobowych – na tej podstawie osobie zgłaszającej takie żądanie Administrator przekazuje informację o przetwarzaniu danych osobowych, w tym przede wszystkim o celach i podstawach prawnych przetwarzania, zakresie posiadanych danych, podmiotach, którym dane osobowe są ujawniane i planowanym terminie ich usunięcia;
Prawo do informacji o przetwarzaniu danych osobowych obejmuje w szczególności:
– informacje, czy dane osobowe są przetwarzane oraz do otrzymania informacji o pełnej nazwie i adresie siedziby Administratora,
– uzyskanie informacji o celu, zakresie i sposobie przetwarzania danych osobowych,
– uzyskanie informacji, od kiedy są przetwarzane dane osobowe oraz podania w powszechnie zrozumiałej formie treści tych danych,
– uzyskanie informacji o źródle, z którego pochodzą dane osobowe,
– uzyskanie informacji o sposobie udostępniania danych osobowych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym te dane osobowe są udostępniane.
b) Prawo uzyskania kopii danych– na tej podstawie Administrator przekazuje kopię przetwarzanych danych, dotyczących osoby zgłaszającej żądanie;
c) Prawo do sprostowania– na tej podstawie Administrator usuwa ewentualne niezgodności lub błędy dotyczące przetwarzanych danych osobowych, oraz uzupełnia je lub aktualizuje, jeśli są niekompletne lub uległy zmianie;
d) Prawo do usunięcia danych– na tej podstawie można żądać usunięcia danych, których przetwarzanie nie jest już niezbędne do realizowania żadnego z celów, dla których zostały zebrane;
e) Prawo do ograniczenia przetwarzania– na tej podstawie Administrator zaprzestaje dokonywania operacji na danych osobowych, z wyjątkiem operacji, na które wyraziła zgodę osoba, której dane dotyczą oraz ich przechowywania, zgodnie z przyjętymi zasadami retencji, lub dopóki nie ustaną przyczyny ograniczenia przetwarzania danych (np. zostanie wydana decyzji organu nadzorczego, zezwalająca na dalsze przetwarzanie danych);
f) Prawo do przenoszenia danych– na tej podstawie, w zakresie w jakim dane są przetwarzane w związku z zawartą umową lub wyrażoną zgodą, Administrator wydaje dane dostarczone przez osobę, której one dotyczą, w formacie pozwalającym na ich odczyt przez komputer. Możliwe jest także zażądanie przesłania tych danych innemu podmiotowi – jednak pod warunkiem, że istnieją w tym zakresie techniczne możliwości zarówno po stronie Administratora jak i tego innego podmiotu;
g) Prawo sprzeciwu wobec przetwarzania danych w celach marketingowych– osoba, której dane dotyczą, może w każdym czasie sprzeciwić się przetwarzaniu danych osobowych w celach marketingowych, bez konieczności uzasadnienia takiego sprzeciwu;
h) Prawo sprzeciwu wobec innych celów przetwarzania danych– osoba, której dane dotyczą, może w każdym czasie sprzeciwić się przetwarzaniu danych osobowych na podstawie uzasadnionego interesu Administratora (np. dla celów analitycznych lub statystycznych lub ze względów związanych z ochroną mienia);
i) Prawo wycofania zgody– jeśli dane przetwarzane są na podstawie zgody osoba, której dane dotyczą, ma prawo ją wycofać w dowolnym momencie, co jednak nie wpływa na zgodność z prawem przetwarzania dokonanego przed wycofaniem tej zgody;
j) Prawo do skargi– w przypadku uznania, że przetwarzanie danych osobowych narusza przepisy RODO lub inne przepisy dotyczące ochrony danych osobowych, osoba, której dane dotyczą, może złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa.
8. Udostępnianie danych
7.1 Osobie, której dane dotyczą, przysługują następujące prawa:
a) Prawo do informacji o przetwarzaniu danych osobowych – na tej podstawie osobie zgłaszającej takie żądanie Administrator przekazuje informację o przetwarzaniu danych osobowych, w tym przede wszystkim o celach i podstawach prawnych przetwarzania, zakresie posiadanych danych, podmiotach, którym dane osobowe są ujawniane i planowanym terminie ich usunięcia;
Prawo do informacji o przetwarzaniu danych osobowych obejmuje w szczególności:
– informacje, czy dane osobowe są przetwarzane oraz do otrzymania informacji o pełnej nazwie i adresie siedziby Administratora,
– uzyskanie informacji o celu, zakresie i sposobie przetwarzania danych osobowych,
– uzyskanie informacji, od kiedy są przetwarzane dane osobowe oraz podania w powszechnie zrozumiałej formie treści tych danych,
– uzyskanie informacji o źródle, z którego pochodzą dane osobowe,
– uzyskanie informacji o sposobie udostępniania danych osobowych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym te dane osobowe są udostępniane.
b) Prawo uzyskania kopii danych– na tej podstawie Administrator przekazuje kopię przetwarzanych danych, dotyczących osoby zgłaszającej żądanie;
c) Prawo do sprostowania– na tej podstawie Administrator usuwa ewentualne niezgodności lub błędy dotyczące przetwarzanych danych osobowych, oraz uzupełnia je lub aktualizuje, jeśli są niekompletne lub uległy zmianie;
d) Prawo do usunięcia danych– na tej podstawie można żądać usunięcia danych, których przetwarzanie nie jest już niezbędne do realizowania żadnego z celów, dla których zostały zebrane;
e) Prawo do ograniczenia przetwarzania– na tej podstawie Administrator zaprzestaje dokonywania operacji na danych osobowych, z wyjątkiem operacji, na które wyraziła zgodę osoba, której dane dotyczą oraz ich przechowywania, zgodnie z przyjętymi zasadami retencji, lub dopóki nie ustaną przyczyny ograniczenia przetwarzania danych (np. zostanie wydana decyzji organu nadzorczego, zezwalająca na dalsze przetwarzanie danych);
f) Prawo do przenoszenia danych– na tej podstawie, w zakresie w jakim dane są przetwarzane w związku z zawartą umową lub wyrażoną zgodą, Administrator wydaje dane dostarczone przez osobę, której one dotyczą, w formacie pozwalającym na ich odczyt przez komputer. Możliwe jest także zażądanie przesłania tych danych innemu podmiotowi – jednak pod warunkiem, że istnieją w tym zakresie techniczne możliwości zarówno po stronie Administratora jak i tego innego podmiotu;
g) Prawo sprzeciwu wobec przetwarzania danych w celach marketingowych– osoba, której dane dotyczą, może w każdym czasie sprzeciwić się przetwarzaniu danych osobowych w celach marketingowych, bez konieczności uzasadnienia takiego sprzeciwu;
h) Prawo sprzeciwu wobec innych celów przetwarzania danych– osoba, której dane dotyczą, może w każdym czasie sprzeciwić się przetwarzaniu danych osobowych na podstawie uzasadnionego interesu Administratora (np. dla celów analitycznych lub statystycznych lub ze względów związanych z ochroną mienia);
i) Prawo wycofania zgody– jeśli dane przetwarzane są na podstawie zgody osoba, której dane dotyczą, ma prawo ją wycofać w dowolnym momencie, co jednak nie wpływa na zgodność z prawem przetwarzania dokonanego przed wycofaniem tej zgody;
j) Prawo do skargi– w przypadku uznania, że przetwarzanie danych osobowych narusza przepisy RODO lub inne przepisy dotyczące ochrony danych osobowych, osoba, której dane dotyczą, może złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa.
9. Zasady powierzania przekazywania danych osobowych
9.1. Powierzenie przetwarzania danych osobowych podmiotowi zewnętrznemu następuje w drodze umowy.
9.2. Przekazanie danych podmiotowi zewnętrznemu współpracującemu z Administratorem (dalej: „Podmiot zewnętrzny”) w celu ich przetwarzania nie powoduje zmiany właściwego administratora danych osobowych.
9.3. Podmiot zewnętrzny, któremu powierzono przetwarzanie danych obowiązany jest wykorzystywać powierzone mu dane wyłącznie w celach i w zakresie, które zostały wskazane w zawartej z nim umowie.
9.4. Podmiot zewnętrzny, któremu powierzono przetwarzanie danych obowiązany jest w szczególności do:
a) stosowania odpowiednich środków ochrony danych osobowych, w tym zapewnienia fizycznej ochrony pomieszczeń w których przetwarzane są dane, zapewnienia adekwatnych do zagrożeń środków organizacyjnych oraz informatycznych, zgodnie z przepisami zawartymi w Rozporządzeniu RODO oraz przepisami powszechnie obowiązującego prawa,
b) niezwłocznego powiadomienia Administratora o przypadkach naruszenia przetwarzania powierzonych danych osobowych oraz do dokumentowania wszelkich informacji, które mogą pomóc w ustaleniu okoliczności tego naruszenia,
c) tworzenia kopii bezpieczeństwa systemów informatycznych, w których przetwarzane są powierzone dane osobowe, jeżeli jest to niezbędne do prawidłowej realizacji przedmiotu umowy,
d) zapewnienia aby każdy pracownik i/lub współpracownik podmiotu zewnętrznego przetwarzający powierzone dane osobowe posiadał upoważnienie do przetwarzania tych danych osobowych,
e) zniszczenia lub zwrotu przekazanych danych stosownie do zapisów umowy powierzenia przetwarzania danych.
10. Środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności i rozliczalności danych osobowych
0.1. Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych przez Administratora danych to:
10.1.1. Środki ochrony fizycznej danych:
a) Pomieszczenia zabezpieczone są drzwiami zamykanymi na klucz.
b) Pomieszczenia wyposażone są w system alarmowy przeciwwłamaniowy.
c) Pomieszczenia zabezpieczone są przed skutkami pożaru za pomocą wolnostojącej gaśnicy.
d) Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów.
10.1.2. Środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej:
a) Dostęp do systemu operacyjnego komputerów, w których przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.
b) Zastosowano system rejestracji dostępu do systemu/zbioru danych osobowych.
c) Zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity.
d) Użyto system Firewall do ochrony dostępu do sieci komputerowej.
10.1.3. Środki ochrony w ramach narzędzi programowych i baz danych:
a) Wykorzystano środki pozwalające na rejestrację zmian wykonywanych na poszczególnych elementach zbiorów danych osobowych.
b) Zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego zbioru danych osobowych.
c) Dostęp do zbiorów danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.
d) Zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w tym zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego.
10.1.4. Środki organizacyjne:
a) Każda osoba mająca dostęp do danych została zapoznana z zasadami bezpiecznego przetwarzania danych wynikającymi z niniejszej Polityki.
b) Osoby mające dostęp do danych osobowych zobowiązane są, na mocy niniejszej Polityki, do zachowania danych osobowych oraz informacji o sposobach ich zabezpieczenia w tajemnicy.
c) Dostęp do pomieszczeń, w których są przetwarzane dane osobowe posiadają tylko osoby upoważnione.
d) Dostęp do komputerów, na których są przetwarzane dane osobowe posiadają tylko osoby upoważnione.
e) Stosowany jest system upoważnień do przetwarzania danych osobowych.
f) Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych.
g) Prowadzona jest dokumentacja obejmująca Politykę.
11. Formy kontaktu z administratorem
11.1. W zakresie ochrony danych osobowych Administrator zapewnia możliwość skontaktowania się z nim w formie tradycyjnej (listownie), drogą mailową oraz za pośrednictwem formularzy kontaktowych udostępnionych w Serwisach.
11.2. Zapytanie do Administratora, można złożyć:
a) w formie pisemnej na adres: Inspektor Ochrony Danych Osobowych, STNUX Chiliński i Wspólnicy Spółka Jawna, ul. Puławska 111A/6, 02-707 Warszawa,
b) drogą e-mailową na adres: iodo@stnux.pl – jeśli dotyczy to kwestii ochrony danych osobowych,
11.3. Administrator wyznaczył Inspektora Ochrony Danych Osobowych, z którym można skontaktować się poprzez e-mail: iodo@stnux.pl w każdej sprawie dotyczącej przetwarzania danych osobowych.
114. Wniosek powinien w miarę możliwości precyzyjnie wskazywać, czego dotyczy żądanie, tj. w szczególności:
a) z jakiego uprawnienia chce skorzystać osoba składająca wniosek (np. prawo do otrzymania kopii danych, prawo do usunięcia danych, itd.);
b) jakiego procesu przetwarzania dotyczy żądanie (np. korzystanie z określonej usługi, aktywność w określonym serwisie internetowym itp.);
c) jakich celów przetwarzania dotyczy żądanie (np. cele analityczne).
11.5. Jeżeli Administrator nie będzie w stanie ustalić treści żądania lub zidentyfikować osoby składającej wniosek w oparciu o dokonane zgłoszenie, zwróci się do wnioskodawcy o dodatkowe informacje.
11.6. Odpowiedź na zgłoszenia zostanie udzielona niezwłocznie, nie później niż w ciągu miesiąca od jego otrzymania. W razie konieczności przedłużenia tego terminu, Administrator poinformuje wnioskodawcę o przyczynach takiego przedłużenia.
11.7. Odpowiedź będzie udzielana na adres e-mail z którego przesłano wniosek, a w przypadku wniosków skierowanych listownie, listem zwykłym na adres wskazany przez wnioskodawcę, o ile z treści listu nie będzie wynikała chęć otrzymania informacji zwrotnej na adres e-mail (w takim przypadku należy podać adres e-mail).
11.8. Skorzystanie z formularzy udostępnionych w Serwisach wymaga podania danych osobowych niezbędnych do skontaktowania się z Użytkownikiem i udzielenia odpowiedzi na zapytanie (imię, nazwisko i adres mailowy).
11.9. Użytkownik może podać także inne dane w celu ułatwienia kontaktu lub obsługi zapytania.
11.10. Podanie danych osobowych takich jak imię i nazwisko, adres mail lub adres korespondencyjny jest wymagane w celu przyjęcia i obsługi zapytania, a ich niepodanie skutkuje brakiem możliwości obsługi.
12. Bezpieczeństwo danych osobowych
12.1. Administrator na bieżąco prowadzi analizę ryzyka w celu zapewnienia, że dane osobowe przetwarzane są przez niego w sposób bezpieczny – zapewniający przede wszystkim, że dostęp do danych mają jedynie osoby upoważnione i jedynie w zakresie, w jakim jest to niezbędne ze względu na wykonywane przez nie zadania. Administrator dba o to, by wszystkie operacje na danych osobowych były rejestrowane i dokonywane jedynie przez uprawnionych pracowników i współpracowników.
12.2. Administrator podejmuje wszelkie niezbędne działania, by także jego podwykonawcy i inne podmioty współpracujące dawały gwarancję stosowania odpowiednich środków bezpieczeństwa w każdym przypadku, gdy przetwarzają dane osobowe na zlecenie Administratora.
12.3. W przypadku naruszenia lub podejrzenia naruszenia przetwarzania danych osobowych Administrator jest zobowiązany:
– ustalić czas wystąpienia naruszenia, jego zakres, przyczyny, skutki oraz wielkość szkód, które zaistniały,
– zabezpieczyć ewentualne dowody,
– ustalić osoby odpowiedzialne za naruszenie,
– podjąć działania naprawcze (usunięcie skutków incydentu i ograniczenie szkody),
– zainicjować działania dyscyplinarne,
– wyciągnąć wnioski i rekomendować działania korygujące, które będą zmierzać do wyeliminowania prawdopodobieństwa, że w przyszłości wystąpi podobny incydent w ochronie danych osobowych,
– udokumentować prowadzone postępowanie w rejestrze naruszeń.
13. Obowiązki administratora
13.1. Administrator jest odpowiedzialny za:
a) Nadzorowanie, aby będące w jego posiadaniu dane osobowe były przetwarzane zgodnie z prawem.
b) Zapewnienie środków technicznych i organizacyjnych do ochrony przetwarzanych danych osobowych, odpowiednich do zagrożeń oraz kategorii danych objętych ochroną.
c) Prowadzenie dokumentacji opisującej sposób przetwarzania danych osobowych (Polityka oraz dokumenty z nią związane).
d) Wyznaczenie z imienia i nazwiska osoby pełniącej funkcję Inspektora Ochrony Danych Osobowych, która:
• ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych
• posiada odpowiednią wiedzę w zakresie ochrony danych osobowych
• nie była karana za przestępstwo popełnione z winy umyślnej
• podlega bezpośrednio kierownikowi jednostki organizacyjnej lub Administratorowi.
e) aktualizacja Polityki zawierającej strategię ochrony danych osobowych przetwarzanych w systemach informatycznych oraz w sposób tradycyjny (kartoteki papierowe), a także nadzorowanie przestrzegania określonych w niej zasad.
f) Zarządzanie upoważnieniami do przetwarzania danych osobowych.
g) Prowadzenie i aktualizacja ewidencji osób upoważnionych do przetwarzania danych osobowych.
h) Nadzorowanie obiegu dokumentów zawierających dane osobowe, w tym również nadzorowanie udostępniania danych osobowych odbiorcom danych i innym podmiotom.
i) Zatwierdzanie wzorów dokumentów (odpowiednich klauzul w dokumentach) dotyczących ochrony danych osobowych.
j) Opiniowanie umów, których przedmiotem – bezpośrednio lub pośrednio – są dane osobowe.
k) Prowadzenie lub organizacja szkoleń dla pracowników Administratora z zakresu ochrony danych osobowych.
l) Nadzorowanie przestrzegania przez pracowników zasad ochrony danych osobowych określonych w Polityce prywatności oraz dokumentach z nią związanych.
m) Analiza sytuacji oraz przyczyn, które doprowadziły do naruszenia zasad bezpieczeństwa.
n) Wykonywanie innych zadań określonych w niniejszej Polityce .
13.2. Do zadań Inspektora Ochrony Danych Osobowych należą:
a) analiza czy Polityka oraz powiązane z nią inne dokumenty, są adekwatne do:
• zmian w budowie systemu informatycznego,
• zmian organizacyjnych zachodzących w strukturze Administratora,
• zmian w obowiązującym prawie,
• innych zmian, które mogą mieć wpływ na bezpieczeństwo danych.
b) przeprowadzanie co najmniej raz w roku audytu wewnętrznego, mającego na celu ustalenie stopnia zgodności działalności Administratora z aktualnymi przepisami prawa.
c) oprócz audytu, o którym mowa w pkt. 11.2 lit b) Inspektor Ochrony Danych Osobowych może zarządzić, audyt ad hoc np. po zaistnieniu incydentu mającego wpływ na bezpieczeństwo danych osobowych.
14. Zmiana polityki prywatności
14.1 Polityka jest na bieżąco weryfikowana i w razie potrzeby aktualizowana.