Menu

Polityka ochrony danych osobowych

  1. Postanowienia ogólne

Niniejszy dokument (dalej jako “Polityka”) ma na celu przygotowanie oraz wyjaśnienie zasad ochrony danych osobowych przyjętych i stosowanych przez Administratora Danych Osobowych zgodnie z wymaganiami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1) (dalej: Rodo).

  1. Skróty i definicje:

Administrator Danych Osobowych – oznacza Haust spółka z ograniczoną odpowiedzialnością z siedzibą w Krakowie przy al. Juliusza Słowackiego 13B/76, 31-159 Kraków, NIP: 6762690199, KRS: 0001163893;

  1. Dane osobowe – oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
  2. Dane specjalne – oznaczają dane wymienione w art. 9 ust. 1 RODO, tj. dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej;
  3. Dane dzieci – oznaczają dane osób poniżej 18. roku życia;
  4. Podmiot przetwarzający – oznacza organizację lub osobę, której Administrator powierzył przetwarzanie danych osobowych (np. usługodawca IT, zewnętrzny podmiot zajmujący się usługami księgowymi).
  5. Profilowanie – oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do automatycznej oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
  6. IOD – oznacza Inspektora Ochrony Danych Osobowych.
  1. Zasady odpowiedzialności

Za wdrożenie i realizację Polityki odpowiedzialny jest Administrator Danych Osobowych. Administrator dba o realizację obowiązków wynikających z RODO oraz realizację uprawnień danych osobowych osób fizycznych, których dane są przetwarzane.

  1. Treść Polityki

Polityka zawiera opis zasad ochrony danych obowiązujących u Administratora Danych Osobowych wraz z odwołaniem do załączników stanowiących realizację wymagań związanych z RODO a dotyczących poszczególnych obszarów z zakresu ochrony danych osobowych wymagających doprecyzowania w odrębnych dokumentach.

  1. Ochrona danych osobowych przez Administratora Danych Osobowych

Administrator dba o ochronę prywatności i przetwarza dane zgodnie z prawem zapewniając
odpowiedni poziom bezpieczeństwa danych podejmując stałe działania w tym zakresie. Administrator umożliwia osobom, których dane przetwarza, wykonywanie swoich praw i prawa te realizuje. Administrator dokumentuje w jaki sposób spełnia obowiązki, aby w każdej chwili móc wykazać zgodność przetwarzania danych z RODO oraz zapobiega incydentom związanym z naruszeniem zasad ochrony danych osobowych.

Administrator Danych Osobowych przetwarza dane osobowe w oparciu o podstawę prawną i zgodnie z prawem, rzetelnie i uczciwie, w sposób przejrzysty dla osoby, której dane dotyczą w konkretnych celach i nie w większym zakresie aniżeli jest to uzasadnione, z dbałością o prawidłowość danych, nie dłużej niż potrzeba, zapewniając odpowiednie bezpieczeństwo danych.

Administrator ucieleśnia, poza Polityką, powyższe zasady ochrony danych osobowych poprzez stosowanie dokumentów takich jak:

  1. klauzula informacyjna – stanowi ona zbiór danych osobowych przetwarzanych przez Administratora, wykaz podmiotów, którym dane osobowe mogą być przekazywane, czas ich przetwarzania, informację, czy dane osobowe są przekazywane poza terytorium Europejskiego Obszaru Gospodarczego oraz informację, czy dane osobowe podlegają profilowaniu;
  2. zgoda na przetwarzanie danych osobowych – stanowi ona podstawę przetwarzania danych osobowych. Osoba fizyczna wypełnia ją po uzyskaniu od Administratora informacji dotyczących przetwarzania jej danych osobowych;
  3. procedura w razie naruszenia – stanowi ona zbiór zasad postępowania Administratora Danych Osobowych w razie wystąpienia incydentu dotyczącego danych osobowych;
  4. rejestr czynności przetwarzania – stanowi on zbiór wszelkich czynności oraz operacji na danych osobowych, jakie mają miejsce u Administratora Danych Osobowych; stanowi formę dokumentowania czynności przetwarzania danych, pełni rolę mapy przetwarzania danych i jest jednym z kluczowych elementów umożliwiających realizację fundamentalnej zasady, na której opiera się cały system ochrony danych osobowych, czyli zasady rozliczalności.
  1. Podstawy przetwarzania

Administrator Danych Osobowych dokumentuje podstawy prawne przetwarzania danych dla poszczególnych czynności przetwarzania, wskazując ogólną podstawę prawną (zgoda, umowa, obowiązek prawny, żywotne interesy, zadanie publiczne/władza publiczna, uzasadniony cel Administratora). Administrator dookreśla podstawę w czytelny sposób, gdy jest to potrzebne.
Administrator wdraża metody zarządzania zgodami umożliwiające rejestrację i weryfikację
posiadania zgody osoby na przetwarzanie jej konkretnych danych w konkretnym celu.

  1. Sposób realizacji obowiązków informacyjnych i urzeczywistnienie praw osoby fizycznej

Administrator dba o czytelność i styl przekazywanych danych osobowych oraz komunikacji z osobami, których dane dotyczą, ułatwiając jednocześnie osobom korzystanie z ich praw poprzez zamieszczenie na stronie internetowej Administratora informacji lub linków do informacji o prawach osób, sposobie korzystania z nich przez Administratora, metodach kontaktu z Administratorem w tym celu. Administrator z kolei dba także o realizowanie uprawnień osób w rozsądnych, zgodnych z prawem, terminach.

Administrator wprowadza adekwatne metody identyfikacji i uwierzytelniania osób dla potrzeb realizacji praw jednostki i obowiązków informacyjnych. Administrator dokumentuje obsługę obowiązków informacyjnych, zawiadomień i żądań osób.

  1. Obowiązki informacyjne

Administrator:

  1. informuje osobę o przetwarzaniu jej danych, przy pozyskiwaniu danych od tej osoby, w tym także o celach i podstawach przetwarzania;
  2. informuje osobę o planowanej zmianie celu przetwarzania danych;
  3. informuje osobę o prawie dostępu do danych osobowych (art. 15 RODO), sprostowania danych (art. 16 RODO), usunięcia danych (art. 17 RODO), ograniczenia przetwarzania prawa (art. 18 RODO), przeniesienia danych (art. 20 RODO), sprzeciwu dotyczącego przetwarzania (art. 21 RODO) oraz o realizacji tychże uprawnień;
  4. informuje osobę o prawie sprzeciwu względem przetwarzania danych najpóźniej przy pierwszym kontakcie z tą osobą;
  5. bez zbędnej zwłoki zawiadamia osobę o naruszeniu ochrony danych osobowych.

Administrator Danych Osobowych informuje osobę o tym, że nie przetwarza danych jej dotyczących, jeśli taka osoba zgłosiła żądanie dotyczące jej praw. Administrator informuje osobę, w ciągu miesiąca od otrzymania żądania, o odmowie rozpatrzenia żądania i o prawach osoby z tym związanych, jeżeli żądanie jest niezgodne z prawem.

Na żądanie osoby dotyczące dostępu do jej danych, Administrator informuje osobę, czy przetwarza jej dane oraz informuje osobę o szczegółach przetwarzania, zgodnie z art. 15 RODO, a także udziela osobie dostępu do danych jej dotyczących.

Sprostowanie danych:
Administrator dokonuje sprostowania nieprawidłowych danych na żądanie osoby. Administrator ma prawo odmówić sprostowania danych, chyba że osoba w rozsądny sposób wykaże nieprawidłowości danych, których sprostowania się domaga. W przypadku sprostowania danych Administrator informuje osobę o odbiorcach danych, na żądanie tej osoby.

Uzupełnienie danych:
Administrator uzupełnia i aktualizuje dane na żądanie osoby, ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych. Administrator może polegać na oświadczeniu osoby, co do uzupełnianych danych, chyba że będzie to niewystarczające w świetle przyjętych przez Administratora procedur, prawa lub zaistnieją podstawy, aby uznać oświadczenie za niewiarygodne.

Usunięcie danych:
Na żądanie osoby, której dane dotyczą Administrator usuwa dane, gdy:
a) dane nie są niezbędne do celów, w których zostały zebrane ani przetwarzane w innych celach;
b) zgoda na ich przetwarzanie została cofnięta, a nie ma innej podstawy prawnej przetwarzania;
c) osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych;
d) dane były przetwarzane niezgodnie z prawem;
e) konieczność usunięcia wynika z obowiązku prawnego ciążącego na Administratorze.

Ograniczenie przetwarzania:
Administrator dokonuje ograniczenia przetwarzania danych na żądanie osoby, gdy:
a) osoba kwestionuje prawidłowość danych – na okres pozwalający sprawdzić ich prawidłowość
b) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania
c) Spółka nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń
d) osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia, czy po stronie Spółki zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu.

Przenoszenie danych:
Na żądanie osoby Administrator wydaje w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego lub przekazuje innemu podmiotowi, jeśli jest to możliwe, dane dotyczące tej osoby, które dostarczyła ona Administratorowi, przetwarzane na podstawie zgody tej osoby lub w celu zawarcia lub wykonania umowy z nią zawartej, w systemach informatycznych Administratora..

Sprzeciw względem przetwarzania danych:
Jeżeli osoba zgłosi umotywowany jej szczególną sytuacją sprzeciw względem przetwarzania jej danych, a dane przetwarzane są przez Administratora w oparciu o uzasadniony interes Administratora lub o powierzone Administratorowi zadanie w interesie publicznym, Administrator uwzględni sprzeciw, o ile nie zachodzą po stronie Administratora ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.
Jeżeli osoba zgłosi sprzeciw względem przetwarzania jej danych przez Administratora na potrzeby marketingu bezpośredniego, Administrator uwzględni sprzeciw i zaprzestanie takiego przetwarzania.

  1. Minimalizacja przetwarzania danych

Administrator minimalizuje przetwarzanie danych. Stosuje zasadę adekwatności danych do celów, dostępu do danych, czasu przechowywania danych. Administrator, urzeczywistniając zasady, o których mowa powyżej, weryfikuje zakres pozyskiwanych danych, zakres ich przetwarzania i liczbę przetwarzanych danych tak, aby pozyskiwane były tylko te dane, które są niezbędne w celu realizacji umowy zawartej z klientami, dla zabezpieczenia roszczeń lub by dane były pozyskiwane wyłącznie w konkretnym celu, na wyraźne życzenie osoby, której dane dotyczą (newsletter). Administrator dba także, aby dane były pozyskiwane wyłącznie przez okres niezbędny dla wykonania umowy, w szczególności przez okresy przedawnienia wynikające z przepisów, w tym także przepisów podatkowych oraz księgowych.

  1. Bezpieczeństwo danych osobowych

Administrator zapewnia stopień bezpieczeństwa odpowiadający zakresowi przetwarzanych danych osobowych oraz ryzyku ich naruszenia. Administrator przeprowadza i dokumentuje analizy adekwatności środków bezpieczeństwa danych osobowych. W związku z powyższym, Administrator zapewnia, aby nikt spoza organizacji Administratora nie miał dostępu do danych osobowych (z wyłączeniem przypadków, gdy powierzenie danych osobowych następuje zgodnie z prawem) oraz stosuje zabezpieczenia elektroniczne chroniąc dostęp do danych osobowych. Nadto, Administrator kategoryzuje dane oraz czynności przetwarzania pod kątem ryzyka, które przedstawiają. Administrator na bieżąco przeprowadza analizy ryzyka naruszenia obowiązków wynikających z RODO, analizując możliwe naruszenia ochrony danych osobowych uwzględniając charakter, zakres, kontekst i cele przetwarzania, ryzyko naruszenia i wagę zagrożenia. Administrator wykorzystuje możliwe do zastosowania organizacyjne i techniczne środki bezpieczeństwa jak między innymi szyfrowanie danych, stosowanie metody podwójnego uwierzytelnienia oraz korzystania z technologii udostępnianych przez zweryfikowane podmioty, w szczególności Administrator stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Prezesowi Urzędowi Ochrony Danych w terminie 72 godzin od powzięcia uzasadnionej informacji o naruszeniu.

  1. Odbiorcy danych

Administrator przekazuje dane osobowe tylko zweryfikowanym odbiorcom danych, aby wyeliminować ryzyko, że odbiorcy nie dawaliby rękojmi wdrożenia odpowiednich środków organizacyjnych i technicznych dla zapewnienia bezpieczeństwa, realizacji praw jednostki i innych obowiązków ochrony danych spoczywających na Administratorze.

  1. Przekazywanie danych osobowych poza EOG

Administrator Danych Osobowych rejestruje przypadki przekazywania danych poza Europejski Obszar Gospodarczy. Administrator przedsiębrał środki w celu weryfikacji podmiotów, którym mogą być przekazywane dane osobowe. W szczególności Administrator upewnił się, czy podmioty te zapewniają zgodność przetwarzania danych osobowych w przynajmniej takim stopniu, w jakim wymaga tego RODO.

POLITYKA_OCHRONY_DANYCH_OSOBOWYCH_-_RODOPobierz
Twój koszyk0
Brak produktów w koszyku!
Kontynuuj zakupy