W firmie "MI AMANTE" Sp. z o.o.

1. Wstęp

1.1. Postanowienia ogólne

Niniejsza polityka ochrony danych osobowych (zwana dalej „Polityką”) reguluje działania związane z przetwarzaniem danych osobowych przez „Mi Amante” Sp. z o.o., NIP 204519279, z siedzibą i adresem zarządu: Sofia 1408, dzielnica Lozenec, ul. "Św. Osii Cordobski", Osiedle Mieszkaniowe „Południowy Park”, blok 113, lokal biurowy 2, (zwane dalej „Spółką”), w celu zapewnienia zgodności z wymogami Rozporządzenia (UE) 2016/679 Parlamentu Europejskiego i Rady dotyczącego ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz swobodnego przepływu takich danych (Ogólne rozporządzenie o ochronie danych, zwane dalej „Rozporządzeniem”), a także ze wszystkimi innymi obowiązującymi aktami prawnymi dotyczącymi ochrony danych osobowych. Niniejsza Polityka ma zastosowanie w kwestiach ochrony danych osobowych, dla których brak jest innych regulacji zgodnie z innymi aktami Spółki.

 

1.2. Polityka ma na celu uregulowanie i obejmuje w szczególności następujące kwestie:

 

działania związane z przetwarzaniem danych osobowych, kategorie podmiotów danych, do których stosuje się Politykę, zasady i obowiązki związane z przetwarzaniem;

obowiązki osób działających pod kierownictwem Spółki przy przetwarzaniu danych osobowych oraz ich odpowiedzialność w przypadku niewykonania;

prawa podmiotów danych i procedura ich wykonywania;

procedura przetwarzania danych osobowych na podstawie zgody podmiotów danych;

zasady reagowania w przypadku naruszenia bezpieczeństwa danych osobowych;

stosowane techniczne i organizacyjne środki ochrony danych osobowych.

 

1.3. Informacje o Spółce

 

Firma „Mi Amante” Sp. z o.o.

Dane dotyczące wpisu w rejestrze handlowym oraz rejestrze podmiotów prawnych nieprowadzących działalności gospodarczej przy Agencji Rejestracji, z numerem EIK 204519279

Siedziba i adres zarządu: miasto Sofia 1408, dzielnica Lozenec, ul. "Św. Osij Kordobski", grupa mieszkaniowa Południowy Park, blok 113, lokal biurowy 2,

Adres do kontaktu: Sofia 1330, Bul. „Nikola Muszanow” 116, piętro 2, biuro 8

 

Przedmiot działalności: produkcja i handel kosmetykami, perfumami oraz powiązanymi z nimi innymi produktami chemicznymi, handel zagraniczny i krajowy artykułami spożywczymi i przemysłowymi, przedstawicielstwo handlowe i pośrednictwo oraz wszelkiego rodzaju działalność gospodarcza, która nie jest zabroniona przez prawo

Email kontaktowy office@miamantehair.com

 

2. Używane terminy i skróty

 

Wszystkie terminy i skróty, które nie są wyraźnie zdefiniowane w Polityce, mają znaczenie określone w Rozporządzeniu.

 

3. Działania związane z przetwarzaniem danych osobowych

 

3.1. Zasady przetwarzania danych osobowych

 

Przetwarzanie danych osobowych przez Spółkę podlega zasadom legalności, dobrej wiary i przejrzystości oraz minimalizacji danych. Przetwarzane dane osobowe są ograniczone do niezbędnych w związku z celami, dla których są przetwarzane. Dane osobowe są zbierane w konkretnych, wyraźnie określonych i uzasadnionych celach i nie są dalej przetwarzane w sposób niezgodny z tymi celami. Dane osobowe są dokładne i w razie potrzeby utrzymywane w aktualnym stanie. Dane osobowe są przechowywane w formie umożliwiającej identyfikację podmiotu danych przez okres nie dłuższy niż jest to konieczne do celów, dla których dane osobowe są przetwarzane. Dane osobowe są przetwarzane w sposób zapewniający odpowiedni poziom bezpieczeństwa danych osobowych, w tym ochronę przed nieautoryzowanym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, ujawnieniem, zniszczeniem lub uszkodzeniem, poprzez stosowanie odpowiednich środków technicznych lub organizacyjnych, z zachowaniem zasad stałej poufności, integralności, dostępności i odporności systemów i usług przetwarzania.

 

3.2. Kategorie podmiotów danych. Kategorie danych osobowych i cele przetwarzania.

 

3.2.1. Spółka ma prawo przetwarzać dane osobowe dotyczące swoich klientów, pracowników i innych podmiotów danych, w następujący sposób:

 

klienci (osoby fizyczne) Spółki w ramach jej podstawowej działalności polegającej na oferowaniu i handlu produktami kosmetycznymi, wobec których mogą być przetwarzane dane osobowe takie jak adres IP, adres e-mail, numer telefonu, adres MAC, adres (pocztowy i do dostawy), informacje dotyczące fakturowania i przyjmowania płatności bankowych itp. Cele przetwarzania dla tej kategorii podmiotów obejmują: (i). przyjmowanie, przetwarzanie i realizację zamówień na produkty i/lub usługi oferowane przez Spółkę, w tym korzystanie ze strony internetowej Spółki; (II). przechowywanie rejestru podatkowego i księgowego; (III). realizację wymogów prawnych; (IV). cele związane z uzasadnionymi interesami Spółki; (v). cele, na które podmiot danych wyraził zgodę na przetwarzanie swoich danych;

potencjalni, obecni i/lub byli pracownicy Spółki oraz osoby fizyczne, które znajdują się lub znajdowały się w stosunkach umownych ze Spółką na podstawie umów cywilnoprawnych; kandydaci do pracy lub do zawarcia umowy cywilnoprawnej jako zewnętrzni wykonawcy – osoby fizyczne, które nie pozostają w stosunkach pracy lub umownych ze Spółką, ale chcą takie nawiązać, wobec których mogą być przetwarzane dane osobowe takie jak pełne imię i nazwisko, PESEL/NIP/Numer służbowy, data urodzenia; adres, dane dotyczące wcześniejszego doświadczenia zawodowego lub pracy, wykształcenie i kwalifikacje, ponoszona odpowiedzialność dyscyplinarna; informacje o rachunkach bankowych (IBAN, w przypadku płatności przelewem bankowym), dane kontaktowe: numer telefonu; adres e-mail; inne dane wymagane zgodnie z obowiązującym prawem do zawarcia i realizacji umowy o pracę lub umowy cywilnoprawnej; dane bezpośrednio związane z działalnością związaną z realizacją zawartych z tymi osobami umów (np.: dane z logów lub aktywności osób w systemach utrzymywanych przez Spółkę, w celu realizacji powierzonych im funkcji (np. systemy do wprowadzania zamówień), adres IP itp. Cele przetwarzania w odniesieniu do tej kategorii podmiotów obejmują: (i). badanie możliwości zawarcia, zawarcie i realizację umowy o pracę lub umowy cywilnoprawnej z podmiotami danych; (ii). prowadzenie rejestru podatkowego i księgowego; (iii). realizację wymogów prawnych; (iv). cele związane z uzasadnionymi interesami Spółki; (v). cele, na które podmiot danych wyraził zgodę na przetwarzanie swoich danych.

 

kontrahenci i partnerzy – osoby fizyczne, na podstawie umów dotyczących reklamy i promowania produktów oferowanych przez Spółkę, dla których Spółka może zbierać dane osobowe w formie zdjęć fotograficznych. Cele przetwarzania w odniesieniu do tej kategorii podmiotów obejmują: (i). realizację umów dotyczących reklamy lub promowania; (ii). cele związane z uzasadnionymi interesami Spółki; (iii). cele, na które podmiot danych wyraził zgodę na przetwarzanie swoich danych;

 

inni indywidualni przedsiębiorcy oraz osoby fizyczne-reprezentanci lub osoby kontaktowe podmiotów prawnych, które mają kontakt ze Spółką (w tym, ale nie wyłącznie dostawcy, kontakty biznesowe, podwykonawcy, partnerzy biznesowi itp.) w celu realizacji i/lub zarządzania działalnością Spółki;

 

inni fizyczni osoby, przedstawiciele ustawowi lub pełnomocnicy fizycznych osób – klientów Spółki.

 

3.2.2. Spółka przechowuje dane osobowe przez dłuższy z okresów, które są niezbędne do przestrzegania obowiązujących przepisów prawa i aktów wykonawczych lub inny okres zgodnie z wymaganiami dotyczącymi działalności handlowej Spółki lub jej działalności jako pracodawcy lub zleceniodawcy na podstawie umów cywilnoprawnych. Przetwarzanie danych osobowych opiera się na zasadzie minimalizacji danych, w zależności od celu świadczenia usług, z których korzysta dany klient.

 

4. Kategorie odbiorców danych

 

Spółka może ujawniać dane osobowe następującym osobom:

 

dostawcy usług – konsultanci, prawnicy, księgowi, specjaliści IT i inni, w związku z zawieraniem umów z podstawowej działalności Spółki, realizacją wymogów prawnych, wsparciem technicznym i innymi;

 

podwykonawcy – przy świadczeniu usług w imieniu Spółki (dystrybutorzy itp.), w związku z zawieraniem i realizacją umów handlowych dotyczących produktów oferowanych przez Spółkę;

 

osoby świadczące usługi w zakresie dostarczania i utrzymania sprzętu, oprogramowania i sprzętu komputerowego używanego do przetwarzania (w tym przechowywania) danych osobowych, do rozliczania płatności itp.;

 

banki, za obsługę płatności ze strony podmiotów danych;

 

organy publiczne i/lub sądowe, w zakresie dozwolonym i/lub wymaganym zgodnie z prawem.

 

5. Obowiązki Spółki

 

Spółka ma następujące zobowiązania:

 

określa polityki i procedury ochrony przetwarzanych danych osobowych zgodnie z obowiązującym prawem;

 

wprowadza odpowiednie środki techniczne i organizacyjne w celu skutecznego stosowania zasad ochrony danych oraz aby zapewnić, że domyślnie przetwarzane są tylko dane osobowe niezbędne do odpowiedniego celu przetwarzania;

 

zapewnia wykonywanie praw podmiotów dotyczących ochrony danych osobowych;

 

aktualizuje obsługiwane bazy danych i sprawuje kontrolę nad przestrzeganiem wymagań dotyczących ochrony, ustala okoliczności związane z naruszeniem ochrony oraz podejmuje działania mające na celu ich usunięcie;

 

utrzymuje dane osobowe w formie umożliwiającej identyfikację odpowiednich podmiotów przez okres nie dłuższy niż jest to konieczne do celów, dla których dane te są przetwarzane;

 

informować pracowników ds. ochrony danych osobowych o celowości;

 

udziela pomocy przy realizacji funkcji kontrolnych Komisji Ochrony Danych Osobowych (zwanej dalej „KODO”);

 

określa prawa pracowników do dostępu do danych osobowych w systemach informatycznych zgodnie z celami przetwarzania;

 

używa przetwarzających dane osobowe, które zapewniają wystarczające gwarancje poprzez stosowanie odpowiednich środków technicznych i organizacyjnych ochrony;

 

przestrzega określonych zasad w przypadku naruszenia bezpieczeństwa danych osobowych;

 

dokumentuje naruszenia bezpieczeństwa danych osobowych zgodnie z obowiązującym prawem;

 

przeprowadza ocenę ryzyka zgodnie z wymogami Rozporządzenia, odpowiednio ocenę wpływu, jeśli zgodnie z Rozporządzeniem istnieją ku temu warunki.

 

6. Obowiązki pracowników Spółki. Odpowiedzialność. Poufność

 

6.1. Pracownicy Spółki rozpoczynają przetwarzanie danych osobowych po zapoznaniu się z:

 

regulacje prawne w zakresie ochrony danych osobowych;

 

Polityka oraz inne wewnętrzne akty Spółki związane z ochroną danych osobowych;

 

zagrożenia dla danych osobowych przetwarzanych przez Spółkę.

 

Pracownicy Spółki są zobowiązani:

 

spełniać wymagania Rozporządzenia, pozostałego obowiązującego prawa w zakresie ochrony danych osobowych, Polityki oraz innych wewnętrznych aktów Spółki związanych z ochroną danych osobowych;

 

przetwarzać dane osobowe tylko wtedy, gdy istnieje warunek legalnego przetwarzania, a mianowicie: prawna podstawa przetwarzania; lub podstawa przetwarzania wynikająca z relacji umownych z osobą lub niezbędna do ewentualnego zawarcia relacji umownych z osobą; lub podstawa przetwarzania wynikająca z wyraźnej zgody osoby; lub podstawa przetwarzania wynikająca z uzasadnionego interesu Spółki lub strony trzeciej zgodnie z wymogami Rozporządzenia;

 

używać danych osobowych zgodnie z celami, dla których są zbierane, i nie przetwarzać ich dalej w sposób niezgodny z tymi celami;

 

nie wykorzystywać danych osobowych, do których mają dostęp jako pracownicy Spółki, do jakichkolwiek celów osobistych;

 

przestrzegać zasady unikania możliwości nieuprawnionego dostępu do danych osobowych oraz pozostawiania dostępnych danych osobowych bez nadzoru w odpowiednim miejscu pracy. W pomieszczeniach, do których mają dostęp osoby zewnętrzne, odpowiedni pracownicy są zobowiązani podjąć środki, aby osoby zewnętrzne nie miały żadnego nieuprawnionego dostępu do dokumentów zawierających dane osobowe, w tym aby nie mogły ich przeglądać, kopiować ani fotografować za pomocą urządzeń technicznych;

 

kiedy realizacja odpowiedniej czynności na to pozwala, ograniczyć wykorzystywane dane osobowe do maksymalnego stopnia;

 

zapewniają i gwarantują przestrzeganie praw podmiotów w związku z przetwarzaniem danych osobowych;

 

nie dopuszczać, nie wspierać ani nie tworzyć warunków do naruszeń bezpieczeństwa podczas przetwarzania danych osobowych;

 

nie udostępniają ani nie przekazują sobie nawzajem ani osobom trzecim informacji istotnych dla bezpieczeństwa danych (nazwy użytkowników, hasła dostępu do systemów itp.);

 

nie kopiuj plików z informacjami korporacyjnymi zawierającymi dane osobowe na przenośny nośnik w formie niezaszyfrowanej (lub niezabezpieczonej hasłem);

 

nie wysyłają pocztą elektroniczną na adresy e-mail spoza Spółki informacji zawierających istotne ilości danych osobowych lub jakichkolwiek szczególnych kategorii danych osobowych, ani innych danych osobowych, do których nieuprawniony dostęp może stanowić wysokie ryzyko dla praw i interesów osób, których dotyczą, w plikach niezabezpieczonych hasłem lub w formie niezaszyfrowanej bądź w inny sposób pseudonimizowanej.

 

nie publikować danych osobowych klientów lub pracowników Spółki na publicznych stronach internetowych itp., bez odpowiedniej podstawy prawnej do tego;

 

6.2. Odpowiedzialność pracowników

 

6.2.1. Wszelkie działania prowadzące lub mogące prowadzić do nieuprawnionego usunięcia, zniszczenia lub zmiany otrzymanych danych osobowych w Spółce w formie elektronicznej lub na nośniku papierowym, a także nieuprawnione udostępnianie/ujawnianie danych osobowych przez pracowników Spółki jest zabronione i może skutkować pociągnięciem do odpowiedzialności odpowiedniego pracownika (dyscyplinarnej, administracyjno-karnej i/lub karnej, i/lub cywilnej).

 

6.3. Firma:

 

zapewnia podpisanie deklaracji o poufności i nieujawnianiu danych osobowych przez wszystkich pracowników, którzy przetwarzają dane osobowe w jego imieniu.

 

informuje pracowników przetwarzających dane osobowe o ich obowiązkach związanych z tym przetwarzaniem.

 

7. Prowadzenie rejestru czynności przetwarzania danych osobowych jako administrator

 

Zgodnie z wymogami art. 30 ust. 1 Rozporządzenia, Spółka prowadzi Rejestr czynności przetwarzania jako administrator, który zawiera nazwę i dane kontaktowe Spółki. Rejestr obejmuje szczegółowy opis wszystkich czynności przetwarzania danych osobowych zgodnie z art. 30 ust. 1 Rozporządzenia, w tym z następującymi cechami: nazwa czynności (procesu biznesowego, funkcji) przetwarzania; cele przetwarzania; kategorie osób fizycznych, których dane osobowe są przetwarzane; kategorie danych osobowych przetwarzanych w danej czynności; strony trzecie, które otrzymują lub w inny sposób uczestniczą w przetwarzaniu danych osobowych w danej czynności; gdy ma to zastosowanie, przekazywanie danych osobowych do państwa trzeciego spoza UE; przewidywane okresy przechowywania i usuwania różnych kategorii danych osobowych, gdy jest to możliwe; ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, gdy jest to możliwe.

 

8. Prowadzenie rejestru czynności przetwarzania danych osobowych jako podmiot przetwarzający

 

W przypadku, gdy w związku z działalnością Spółki pojawi się konieczność prowadzenia Rejestru czynności przetwarzania danych osobowych jako podmiot przetwarzający w rozumieniu art. 30 ust. 2 Rozporządzenia, Spółka utworzy i będzie prowadzić taki Rejestr w wymaganym zgodnie z obowiązującym prawem zakresie, objętości i treści.

 

9. Inspektor ochrony danych

 

Spółka wyznaczy inspektora ochrony danych (zwany dalej „IOD”) w przypadku, gdy takie wyznaczenie będzie lub stanie się konieczne zgodnie z obowiązującymi przepisami dotyczącymi ochrony danych osobowych.

 

10. Prawa podmiotów danych

 

Spółka zapewnia wykonywanie następujących praw podmiotów danych:

 

prawo do informacji podczas zbierania danych osobowych od podmiotu danych;

 

prawo dostępu do danych osoby, której dane dotyczą, a w szczególności: (i). potwierdzenie, czy dane osobowe osoby, której dane dotyczą, są przetwarzane przez Spółkę; (ii). udostępnienie dostępu do danych poprzez kopię danych będących w trakcie przetwarzania, a także informacji dotyczących celów przetwarzania; kategorii danych osobowych; odbiorców lub kategorii odbiorców, którym dane osobowe zostały lub zostaną ujawnione; okresów przechowywania danych osobowych; istnienia prawa do sprostowania lub usunięcia danych osobowych albo ograniczenia przetwarzania danych osobowych, lub sprzeciwu wobec przetwarzania; prawa do złożenia skargi do KZLD; źródeł danych osobowych; istnienia zautomatyzowanego podejmowania decyzji, w tym profilowania.

 

prawo do sprostowania - żądania sprostowania lub uzupełnienia swoich danych osobowych, jeśli są one nieścisłe lub niepełne;

 

prawo do usunięcia danych osobowych, gdy istnieją przewidziane w Rozporządzeniu podstawy;

 

prawo do ograniczenia przetwarzania;

 

prawo do przenoszenia danych;

 

prawo do sprzeciwu;

 

prawo podmiotu danych do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, która wywołuje skutki prawne lub w inny istotny sposób go dotyka;

 

udzielanie, zmiana lub wycofanie zgody na przetwarzanie danych osobowych, gdy podstawą przetwarzania jest zgoda podmiotu danych.

 

Podmioty danych mogą wykonywać swoje prawa poprzez złożenie pisemnego wniosku do Spółki, w jeden z następujących sposobów:

 

za pośrednictwem poczty elektronicznej na wskazany powyżej adres e-mail Spółki za pomocą kwalifikowanego podpisu elektronicznego, zgodnie z Ustawą o dokumencie elektronicznym i usługach zaufania (zwanym dalej „KEP”);

 

za poštą na adres kontaktowy Spółki wraz z przesłaniem notarialnie poświadczonego wniosku w celu zapewnienia identyfikacji wnioskodawcy, a w przypadkach, gdy wniosek jest składany przez ustawowego przedstawiciela wnioskodawcy lub przez pełnomocnika wnioskodawcy z notarialnie poświadczonym pełnomocnictwem, wniosek powinien również zawierać notarialnie poświadczony podpis osoby podpisującej się.

 

Wnioski są rozpatrywane bez nieuzasadnionych opóźnień. W terminie jednego miesiąca od złożenia wniosku, Spółka informuje podmiot danych o podjętych działaniach w związku z wnioskiem, odpowiednio o przyczynach braku podjęcia działań oraz o możliwości złożenia skargi do organu nadzorczego i dochodzenia ochrony na drodze sądowej. Jeśli zostaną podjęte działania w związku z wnioskiem, termin powiadomienia podmiotu danych o tych działaniach może zostać przedłużony do łącznie trzech miesięcy, biorąc pod uwagę złożoność i liczbę wniosków. W takim przypadku Spółka informuje podmiot danych o przedłużeniu terminu w ramach pierwotnego, jednomiesięcznego terminu.

 

Informacje (które mogą się różnić w zależności od tego, które prawo podmiotu danych zostało wykonane) są dostarczane na nośniku papierowym osobiście podmiotowi danych lub jego ustawowemu lub upoważnionemu przedstawicielowi z wyraźnym notarialnie poświadczonym pełnomocnictwem. Jeśli wniosek został złożony drogą elektroniczną, informacje są również dostarczane za pośrednictwem poczty elektronicznej na adres e-mail, z którego pochodzi złożony wniosek, w plikach zabezpieczonych hasłem.

  

11. Zgoda podmiotu danych jako podstawa przetwarzania

 

11.1. Fundacja

 

W przypadkach, gdy podstawą przetwarzania danych osobowych jest zgoda w rozumieniu Rozporządzenia, zgoda powinna być udzielana osobiście poprzez pisemne oświadczenie, w formie elektronicznej lub innym sposobem określonym przez Spółkę, który zapewni, że zgoda jest dobrowolnie udzielona, konkretna, świadoma i jednoznaczna.

 

11.2. Podmioty danych

 

Spółka może zbierać zgody dla wszystkich kategorii podmiotów danych, dla których przetwarzane są dane osobowe, w tym klientów, pracowników oraz osób, z którymi Spółka zawarła umowy cywilnoprawne na świadczenie usług lub zamówień, i inne.

 

11.3. Wycofanie

 

Spółka zapewnia podmiotom danych możliwość łatwej zmiany lub wycofania zgody, bez wywoływania niekorzystnych skutków prawnych dla nich, gdy obiektywnie istnieje taka możliwość. Zmiany lub wycofanie zgody dokonywane są przez podmioty danych zgodnie z procedurą zbierania zgód. W przypadku częściowego lub całkowitego wycofania zgody, gdy przetwarzanie danych osobowych odbywa się na tej podstawie, Spółka może nie być w stanie świadczyć żądanej przez klienta usługi lub wykonywać działalności, do której wymagane było odpowiednie udostępnienie danych osobowych. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania opartego na udzielonej zgodzie do momentu jej wycofania.

 

11.4. Zbieranie zgód

 

Zgody są zbierane w jeden z następujących sposobów:

 

osobiście, w biurze kontaktowym - dla klientów Spółki;

 

na elektroniczną pocztę służbową - dla obecnych pracowników;

 

przez licencjonowanego operatora pocztowego z notarialnym poświadczeniem oświadczenia o zgodzie; lub

 

podpisano z KEP oświadczenie zgody, wysłane pocztą elektroniczną.

 

11.5. Udzielanie i wycofywanie zgód online

 

W przypadku sytuacji, gdy uzyskanie zgody na przetwarzanie danych osobowych przez Spółkę jest wymagane w związku z usługami świadczonymi przez Spółkę, które są zamawiane lub online, zgoda ta jest również uzyskiwana (odpowiednio wycofywana) online.

 

11.6. Składowanie

 

Zgody na przetwarzanie danych osobowych są rejestrowane i przechowywane przez Spółkę w odpowiednim możliwym do takiego przechowywania rodzaju i zakresie.

 

12. Przetwarzanie danych osobowych przez Spółkę za pośrednictwem podmiotu przetwarzającego dane osobowe

 

W celu wykonywania swojej działalności Spółka może korzystać z usług stron trzecich (podwykonawców, dystrybutorów, dostawców usług kurierskich itp.), które są podmiotami przetwarzającymi dane osobowe w rozumieniu art. 4 pkt 8 Rozporządzenia. Takimi podmiotami przetwarzającymi mogą być:

 

spółki handlowe;

 

osoby fizyczne zatrudnione na umowach cywilnoprawnych.

 

Przy powierzeniu przetwarzania danych osobowych podmiotowi przetwarzającemu Spółka przestrzega następujących wymagań:

 

wybierani są przetwarzający, którzy zapewniają wystarczające gwarancje stosowania odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych;

 

warunki ochrony danych osobowych są regulowane na piśmie pomiędzy Spółką a podmiotem przetwarzającym.

 

Umowy/porozumienia, które Spółka zawiera z podmiotami przetwarzającymi dane osobowe, określają i regulują: przedmiot i okres obowiązywania, cele i charakter przetwarzania; kategorie podmiotów danych, których dane osobowe są przetwarzane; rodzaj danych osobowych, które podmiot przetwarzający będzie przetwarzał w imieniu Spółki; prawa i obowiązki Spółki oraz podmiotu przetwarzającego; wymagania dotyczące technicznych i organizacyjnych środków ochrony, które podmiot przetwarzający powinien stosować (wobec podmiotu przetwarzającego nie dopuszcza się odstępstw od przewidzianych w niniejszej Polityce); obowiązek podmiotu przetwarzającego do współpracy zgodnie z art. 31-36 Rozporządzenia; obowiązek podmiotu przetwarzającego do niezwłocznego powiadomienia Spółki po uzyskaniu informacji o naruszeniu bezpieczeństwa; wymagania wobec podmiotu przetwarzającego oraz inne obowiązkowe warunki, zgodnie z art. 28 ust. 3 Rozporządzenia.

 

13. Zasady reagowania w przypadku naruszenia bezpieczeństwa danych osobowych

 

13.1. Wykrycie naruszenia bezpieczeństwa przez pracownika

 

W przypadku naruszenia bezpieczeństwa wykrytego przez pracownika Spółki, pracownik niezwłocznie zgłasza to kierownictwu Spółki lub, jeśli zostanie wyznaczony, Inspektorowi Ochrony Danych Osobowych, w formie pisemnej (a jeśli to możliwe – również ustnej), przekazując również posiadane informacje na ten temat – dotyczące charakteru naruszenia, przypuszczalnego czasu wystąpienia / dokonania naruszenia i innych.

 

13.2. Badanie naruszenia bezpieczeństwa i środki

 

Bez nieuzasadnionego opóźnienia Spółka powinna zbadać fakty, przeprowadzić analizę i ocenę wagi naruszenia, biorąc pod uwagę ryzyko dla praw i wolności podmiotów, liczbę dotkniętych podmiotów danych itp., oraz zaproponować odpowiednie środki zaradcze, a tam gdzie jest to niemożliwe – minimalizować zidentyfikowane ryzyka i ewentualne niekorzystne skutki.

 

13.3. Powiadomienie KZLD

 

W przypadku naruszenia bezpieczeństwa, Spółka informuje o tym UODO w terminie do 72 godzin od ustalenia, chyba że w danym przypadku nie istnieje jakiekolwiek prawdopodobieństwo, że naruszenie bezpieczeństwa spowoduje ryzyko dla praw i wolności osób fizycznych.

 

13.4. Powiadamianie podmiotów danych

 

Gdy naruszenie bezpieczeństwa może prowadzić do wysokiego ryzyka dla praw i wolności osób fizycznych, Spółka niezwłocznie zgłasza naruszenie bezpieczeństwa danych osobowych zainteresowanym podmiotom danych. W zgłoszeniu opisuje się charakter naruszenia bezpieczeństwa oraz podaje co najmniej: nazwę i dane kontaktowe Spółki; opis ewentualnych konsekwencji naruszenia; opis podjętych lub proponowanych przez Spółkę środków zaradczych.

 

Spółka ma prawo nie informować zainteresowanych podmiotów danych o naruszeniu, jeśli:

 

(I). podjęło odpowiednie wcześniejsze środki techniczne i organizacyjne w celu ochrony i środki te zostały zastosowane (np. szyfrowanie); i/lub

 

(II). podjęło następnie środki, które gwarantują, że nie ma już prawdopodobieństwa materializacji wysokiego ryzyka dla praw i wolności podmiotów danych; i/lub

 

(III). takie powiadomienie prowadziłoby do nieproporcjonalnych wysiłków. W takim przypadku Spółka dokonuje publicznego ogłoszenia na swojej stronie internetowej i/lub poprzez odpowiednie rozpowszechnienie za pośrednictwem środków masowego przekazu o naruszeniu.

  

13.5. Składowanie

 

Zgłoszenia naruszeń bezpieczeństwa danych osobowych są rejestrowane i przechowywane przez Spółkę.

  

14. Techniczne i organizacyjne środki ochrony danych osobowych

 

14.1. Środki techniczne i organizacyjne Spółki jako administratora

 

W działalności Spółki przewidziano niezbędne środki techniczne i organizacyjne w celu ochrony danych osobowych przed przypadkowym lub nielegalnym zniszczeniem, przypadkową utratą, nieuprawnionym dostępem, zmianą lub rozpowszechnianiem, a także przed innymi nielegalnymi formami przetwarzania. Rodzaje ochrony obejmują ochronę fizyczną, personalną, dokumentacyjną, ochronę zautomatyzowanych systemów informatycznych i/lub sieci, ochronę kryptograficzną. Środki techniczne i organizacyjne stosowane przez Spółkę są szczegółowo wymienione w Załączniku 1 do niniejszej Polityki, który może podlegać okresowym aktualizacjom.

 

14.2. Środki techniczne i organizacyjne Spółki jako podmiotu przetwarzającego

 

W przypadku gdy Spółka przetwarza dane osobowe jako podmiot przetwarzający dla innych administratorów, konkretne środki techniczne i organizacyjne stosowane przez Spółkę jako podmiot przetwarzający są określane w indywidualnych umowach z odpowiednim administratorem. Jeśli takie określenie nie istnieje, Spółka będzie stosować środki techniczne i organizacyjne, które stosuje jako administrator.

 

15. Przekazywanie danych osobowych poza Europejski Obszar Gospodarczy (EOG)

Spółka może dokonywać międzynarodowego przekazywania danych pochodzących z Europejskiego Obszaru Gospodarczego (EOG), gdy Komisja Europejska uznała dany kraj spoza EOG za zapewniający odpowiedni poziom ochrony danych. W przypadku przekazywania do krajów spoza EOG, których poziom ochrony nie został uznany przez Komisję Europejską, Spółka będzie powoływać się na określoną derogację mającą zastosowanie do konkretnej sytuacji zgodnie z Rozporządzeniem lub będzie stosować jedną z gwarancji przewidzianych przez obowiązujące przepisy prawa. W pozostałych przypadkach, przekazywanie danych osobowych poza EOG odbywa się na podstawie wyraźnej zgody podmiotu danych na proponowane przekazanie danych, uzyskanej z zachowaniem wymogów Rozporządzenia w tym zakresie.