1.DEFINICJE
RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Dane osobowe – oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (,,osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Administrator – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.
Podmiot przetwarzający – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe na zlecenie administratora.
Przetwarzanie – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Pseudonimizacja – oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
Odbiorca – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania.
Zgoda osoby, której dane dotyczą – oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
Naruszenie ochrony danych osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Zasada zgodności z prawem, rzetelności i przejrzystości – przetwarzane danych osobowych musi odbywać się zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.
Zasada ograniczenia celu – dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.
Zasada minimalizacji danych – dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do osiągnięcia założonych celów przetwarzania.
Zasada prawidłowości – przetwarzane dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane.
Zasada ograniczenia przechowywania – przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.
Zasada integralności i poufności – dane muszą być przetwarzane bezpieczny tym chronione przed ich przypadkową utratą, zniszczeniem lub uszkodzeniem.
Zasada rozliczalności – Administrator jest odpowiedzialny za przestrzeganie przepisów dotyczących ochrony danych osobowych i musi być w stanie wykazać ich przestrzeganie.
Zgoda – osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów.
Zawarcie i wykonanie umowy – przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
Obowiązek prawny Administratora – przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.
Ochrona żywotnych interesów – przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.
Zadania realizowane w interesie publicznym – przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
Prawnie uzasadniony interes – przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.
Prawo do informacji o przetwarzaniu danych osobowych – na tej podstawie Administrator przekazuje osobie fizycznej zgłaszającej żądanie informację o przetwarzaniu danych, w tym przede wszystkim o celach i podstawach prawnych przetwarzania, zakresie posiadanych danych, podmiotach, którym są ujawniane i planowanym terminie usunięcia danych.
Prawo uzyskania kopii danych – na tej podstawie Administrator przekazuje kopię przetwarzanych danych dotyczących osoby fizycznej zgłaszającej żądanie.
Prawo do sprostowania – Administrator zobowiązany jest usuwać ewentualne niezgodności lub błędy w przetwarzanych Danych osobowych oraz uzupełniać je, jeśli są niekompletne.
Prawo do usunięcia danych – na tej podstawie można żądać usunięcia danych, których przetwarzanie nie jest już niezbędne do realizowania żadnego z celów, dla których zostały zebrane.
Prawo do ograniczenia przetwarzania – w razie zgłoszenia takiego żądania Administrator zaprzestaje wykonywania operacji na danych osobowych – z wyjątkiem operacji, na które wyraził zgodę podmiot danych – oraz ich przechowywania, zgodnie z przyjętymi zasadami retencji lub dopóki nie ustaną przyczyny ograniczenia przetwarzania danych (np. zostanie wydana decyzja organu nadzorczego zezwalająca na dalsze przetwarzanie danych).
Prawo do przenoszenia danych – na tej podstawie – w zakresie, w jakim dane są przetwarzane w sposób zautomatyzowany w związku z zawartą umową lub wyrażoną zgodą – administrator wydaje dane dostarczone przez osobę, której one dotyczą, w formacie pozwalającym na odczyt danych przez komputer. Możliwe jest także zażądanie przesłania tych danych innemu podmiotowi, jednakże pod warunkiem, że istnieją w tym zakresie techniczne możliwości zarówno po stronie Administratora, jak również wskazanego podmiotu.
Prawo sprzeciwu wobec przetwarzania danych w celach marketingowych – podmiot danych może w każdym momencie sprzeciwić się przetwarzaniu danych osobowych w celach marketingowych, bez konieczności uzasadnienia takiego sprzeciwu.
Prawo sprzeciwu wobec innych celów przetwarzania danych – podmiot danych może w każdym momencie sprzeciwić się – z przyczyn związanych z jego szczególną sytuacją – przetwarzaniu danych osobowych, które odbywa się na podstawie prawnie uzasadnionego interesu administratora (np. dla celów analitycznych lub statystycznych albo ze względów związanych z ochroną mienia). Sprzeciw w tym zakresie powinien zawierać uzasadnienie.
Prawo wycofania zgody – jeśli dane przetwarzane są na podstawie wyrażonej zgody, podmiot danych ma prawo wycofać ją w dowolnym momencie, co jednak nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem.
Prawo do skargi – w przypadku uznania, że przetwarzanie danych osobowych narusza przepisy RODO lub inne przepisy dotyczące ochrony danych osobowych, podmiot danych może złożyć skargę do organu nadzorującego przetwarzanie danych osobowych, właściwego ze względu na jego miejsce pobytu, pracy lub popełnienia domniemanego naruszenia.
W związku z prowadzeniem działalności wymagającej przetwarzania danych osobowych, dane osobowe mogą być ujawniane zewnętrznym podmiotom, w tym w szczególności dostawcom odpowiedzialnym za obsługę systemów informatycznych i sprzętu, podmiotom świadczącym usługi księgowe, operatorom pocztowym, kurierom, agencjom marketingowym czy rekrutacyjnym, bankom, ubezpieczycielom, innym podmiotom, o charakterze dobroczynnym.
Administrator zastrzega sobie prawo ujawnienia wybranych informacji dotyczących podmiotu danych właściwym organom bądź osobom trzecim, które zgłoszą żądanie udzielenia takich informacji, zgodnie z przepisami obowiązującego prawa.
Poziom ochrony danych osobowych poza Europejskim Obszarem Gospodarczym („EOG”) różni się od tego zapewnianego przez prawo europejskie. Z tego powodu administrator przekazuje dane osobowe poza EOG tylko wtedy, gdy jest to konieczne i z zapewnieniem odpowiedniego stopnia ochrony, przede wszystkim poprzez:
Administrator zawsze informuje o zamiarze przekazania danych osobowych poza EOG na etapie ich zbierania.
Okres przetwarzania danych przez Administratora zależy od celu przetwarzania. Okres przetwarzania danych może także wynikać z przepisów prawa, gdy stanowią one podstawę przetwarzania.
W przypadku przetwarzania danych na podstawie uzasadnionego interesu Administratora – np. ze względów bezpieczeństwa – dane przetwarzane są przez okres umożliwiający realizację tego interesu lub do zgłoszenia skutecznego sprzeciwu względem przetwarzania danych. Jeśli przetwarzanie odbywa się na podstawie zgody, dane przetwarzane są do jej wycofania. Gdy podstawę przetwarzania stanowi niezbędność do zawarcia i wykonania umowy, dane są przetwarzane do momentu jej rozwiązania.
Okres przetwarzania danych może być przedłużony w przypadku, gdy przetwarzanie jest niezbędne do ustalenia lub dochodzenia roszczeń lub obrony przed roszczeniami, a po tym okresie – jedynie w przypadku i w zakresie, w jakim będą wymagać tego przepisy prawa. Po upływie okresu przetwarzania dane są nieodwracalnie usuwane.
Administrator wprowadza odpowiednie środki techniczne i organizacyjne, o których mowa w art. 24 oraz 32 RODO aby zapewnić zgodne z prawem i bezpieczne przetwarzania danych osobowych.