1. Definicje
RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia
2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i
w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Dane osobowe – oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do
zidentyfikowania osobie fizycznej (,,osobie, której dane dotyczą”); możliwa do
zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio
zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko,
numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka
szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną,
ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Administrator – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny
podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania
danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii
lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa
członkowskiego może zostać wyznaczony administrator lub mogą zostać określone
konkretne kryteria jego wyznaczania.
Podmiot przetwarzający – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę
lub inny podmiot, który przetwarza dane osobowe na zlecenie administratora.
Przetwarzanie – oznacza operację lub zestaw operacji wykonywanych na danych osobowych
lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany,
taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie,
adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie
poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie
lub łączenie, ograniczanie, usuwanie lub niszczenie.
Pseudonimizacja – oznacza przetworzenie danych osobowych w taki sposób, by nie można
ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych
informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są
objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie
zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
Odbiorca – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny
podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią.
Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego
postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak
uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być
zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów
przetwarzania.
Zgoda osoby, której dane dotyczą – oznacza dobrowolne, konkretne, świadome i
jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub
wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych
osobowych.
Naruszenie ochrony danych osobowych – oznacza naruszenie bezpieczeństwa prowadzące
do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych
przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
2. Zasady przetwarzania danych osobowych
Zasada zgodności z prawem, rzetelności i przejrzystości – przetwarzane danych
osobowych musi odbywać się zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby,
której dane dotyczą.
Zasada ograniczenia celu – dane osobowe muszą być zbierane w konkretnych, wyraźnych i
prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.
Zasada minimalizacji danych – dane osobowe muszą być adekwatne, stosowne oraz
ograniczone do tego, co niezbędne do osiągnięcia założonych celów przetwarzania.
Zasada prawidłowości – przetwarzane dane osobowe muszą być prawidłowe i w razie
potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które
są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub
sprostowane.
Zasada ograniczenia przechowywania – przechowywane w formie umożliwiającej
identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do
celów, w których dane te są przetwarzane.
Zasada integralności i poufności – dane muszą być przetwarzane bezpieczny tym
chronione przed ich przypadkową utratą, zniszczeniem lub uszkodzeniem.
Zasada rozliczalności – Administrator jest odpowiedzialny za przestrzeganie przepisów
dotyczących ochrony danych osobowych i musi być w stanie wykazać ich przestrzeganie.
3. Podstawy prawne przetwarzania danych
Zgoda – osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych
osobowych w jednym lub większej liczbie określonych celów.
Zawarcie i wykonanie umowy – przetwarzanie jest niezbędne do wykonania umowy, której
stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której
dane dotyczą, przed zawarciem umowy.
Obowiązek prawny Administratora – przetwarzanie jest niezbędne do wypełnienia
obowiązku prawnego ciążącego na administratorze.
Ochrona żywotnych interesów – przetwarzanie jest niezbędne do ochrony żywotnych
interesów osoby, której dane dotyczą, lub innej osoby fizycznej.
Zadania realizowane w interesie publicznym – przetwarzanie jest niezbędne do wykonania
zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej
powierzonej administratorowi.
Prawnie uzasadniony interes – przetwarzanie jest niezbędne do celów wynikających z
prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę
trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają
interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony
danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.
4. prawa osób
Prawo do informacji o przetwarzaniu danych osobowych – na tej podstawie Administrator
przekazuje osobie fizycznej zgłaszającej żądanie informację o przetwarzaniu danych, w tym
przede wszystkim o celach i podstawach prawnych przetwarzania, zakresie posiadanych
danych, podmiotach, którym są ujawniane i planowanym terminie usunięcia danych.
Prawo uzyskania kopii danych – na tej podstawie Administrator przekazuje kopię
przetwarzanych danych dotyczących osoby fizycznej zgłaszającej żądanie.
Prawo do sprostowania – Administrator zobowiązany jest usuwać ewentualne niezgodności
lub błędy w przetwarzanych Danych osobowych oraz uzupełniać je, jeśli są niekompletne.
Prawo do usunięcia danych – na tej podstawie można żądać usunięcia danych, których
przetwarzanie nie jest już niezbędne do realizowania żadnego z celów, dla których zostały
zebrane.
Prawo do ograniczenia przetwarzania – w razie zgłoszenia takiego żądania Administrator
zaprzestaje wykonywania operacji na danych osobowych – z wyjątkiem operacji, na które
wyraził zgodę podmiot danych – oraz ich przechowywania, zgodnie z przyjętymi zasadami
retencji lub dopóki nie ustaną przyczyny ograniczenia przetwarzania danych (np. zostanie
wydana decyzja organu nadzorczego zezwalająca na dalsze przetwarzanie danych).
Prawo do przenoszenia danych – na tej podstawie – w zakresie, w jakim dane są
przetwarzane w sposób zautomatyzowany w związku z zawartą umową lub wyrażoną zgodą
– administrator wydaje dane dostarczone przez osobę, której one dotyczą, w formacie
pozwalającym na odczyt danych przez komputer. Możliwe jest także zażądanie przesłania
tych danych innemu podmiotowi, jednakże pod warunkiem, że istnieją w tym zakresie
techniczne możliwości zarówno po stronie Administratora, jak również wskazanego
podmiotu.
Prawo sprzeciwu wobec przetwarzania danych w celach marketingowych – podmiot
danych może w każdym momencie sprzeciwić się przetwarzaniu danych osobowych w
celach marketingowych, bez konieczności uzasadnienia takiego sprzeciwu.
Prawo sprzeciwu wobec innych celów przetwarzania danych – podmiot danych może w
każdym momencie sprzeciwić się – z przyczyn związanych z jego szczególną sytuacją –
przetwarzaniu danych osobowych, które odbywa się na podstawie prawnie uzasadnionego
interesu administratora (np. dla celów analitycznych lub statystycznych albo ze względów
związanych z ochroną mienia). Sprzeciw w tym zakresie powinien zawierać uzasadnienie.
Prawo wycofania zgody – jeśli dane przetwarzane są na podstawie wyrażonej zgody,
podmiot danych ma prawo wycofać ją w dowolnym momencie, co jednak nie wpływa na
zgodność z prawem przetwarzania dokonanego przed jej wycofaniem.
Prawo do skargi – w przypadku uznania, że przetwarzanie danych osobowych narusza
przepisy RODO lub inne przepisy dotyczące ochrony danych osobowych, podmiot danych
może złożyć skargę do organu nadzorującego przetwarzanie danych osobowych, właściwego
ze względu na jego miejsce pobytu, pracy lub popełnienia domniemanego naruszenia.
5. Odbiorcy danych
W związku z prowadzeniem działalności wymagającej przetwarzania danych osobowych,
dane osobowe mogą być ujawniane zewnętrznym podmiotom, w tym w szczególności
dostawcom odpowiedzialnym za obsługę systemów informatycznych i sprzętu, podmiotom
świadczącym usługi księgowe, operatorom pocztowym, kurierom, agencjom
marketingowym czy rekrutacyjnym, bankom, ubezpieczycielom, innym podmiotom, o
charakterze dobroczynnym.
Administrator zastrzega sobie prawo ujawnienia wybranych informacji dotyczących
podmiotu danych właściwym organom bądź osobom trzecim, które zgłoszą żądanie
udzielenia takich informacji, zgodnie z przepisami obowiązującego prawa.
6. przekazywanie danych poza eog
Poziom ochrony danych osobowych poza Europejskim Obszarem Gospodarczym („EOG”)
różni się od tego zapewnianego przez prawo europejskie. Z tego powodu administrator
przekazuje dane osobowe poza EOG tylko wtedy, gdy jest to konieczne i z zapewnieniem
odpowiedniego stopnia ochrony, przede wszystkim poprzez:
(I) współpracę z podmiotami przetwarzającymi dane osobowe w państwach, w
odniesieniu do których została wydana stosowna decyzja Komisji Europejskiej
dotycząca stwierdzenia zapewnienia odpowiedniego stopnia ochrony danych
osobowych;
(II) stosowanie standardowych klauzul umownych wydanych przez Komisję
Europejską;
(III) stosowanie wiążących reguł korporacyjnych zatwierdzonych przez właściwy
organ nadzorczy.
Administrator zawsze informuje o zamiarze przekazania danych osobowych poza EOG na
etapie ich zbierania.
7. okres przetwarzania danych osobowych
Okres przetwarzania danych przez Administratora zależy od celu przetwarzania. Okres
przetwarzania danych może także wynikać z przepisów prawa, gdy stanowią one podstawę
przetwarzania.
W przypadku przetwarzania danych na podstawie uzasadnionego interesu Administratora –
np. ze względów bezpieczeństwa – dane przetwarzane są przez okres umożliwiający
realizację tego interesu lub do zgłoszenia skutecznego sprzeciwu względem przetwarzania
danych. Jeśli przetwarzanie odbywa się na podstawie zgody, dane przetwarzane są do jej
wycofania. Gdy podstawę przetwarzania stanowi niezbędność do zawarcia i wykonania
umowy, dane są przetwarzane do momentu jej rozwiązania.
Okres przetwarzania danych może być przedłużony w przypadku, gdy przetwarzanie jest
niezbędne do ustalenia lub dochodzenia roszczeń lub obrony przed roszczeniami, a po tym
okresie – jedynie w przypadku i w zakresie, w jakim będą wymagać tego przepisy prawa. Po
upływie okresu przetwarzania dane są nieodwracalnie usuwane.
8. bezpieczeństwo danych
Administrator wprowadza odpowiednie środki techniczne i organizacyjne, o których mowa w
art. 24 oraz 32 RODO aby zapewnić zgodne z prawem i bezpieczne przetwarzania danych
osobowych.
9. zmiany polityki przetwarzania danych osobowych
Polityka jest na bieżąco weryfikowana i w razie potrzeby aktualizowana.
Aktualna wersja Polityki obowiązuje od 29.03.2023 r.