Dbamy o bezpieczeństwo Twoich danych. O tym jak jest to dla nas ważne świadczy m.in. fakt, że przyjęliśmy rozwiązania, mające na celu spełnienie wymagań Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).
W Polityce znaleźć można informacje dotyczące:
- Informacje ogólne
- Zakres zastosowania
- Definicje
- Zasady przetwarzania danych osobowych
- Zasady realizacji praw osób fizycznych
- Zgłaszanie naruszeń
1. Informacje ogólne
Polityka Prywatności wskazuje, w jaki sposób przetwarzane są dane osobowe, prezentuje sposoby realizacji ochrony danych osobowych tych osób fizycznych, których dane są przetwarzane przez Administratora, a także jak można zgłosić naruszenie przetwarzania danych osobowych.
2. Zakres zastosowania
- Celem niniejszego dokumentu jest zapewnienie zgodności procesów przetwarzania danych osobowych przez Administratora z zasadami wynikającymi RODO.
- Adresatami Polityki są:
a) wszystkie osoby fizyczne, których dane osobowe są przetwarzane przez Administratora;
b) wszystkie osoby upoważnione do przetwarzania danych osobowych przez Administratora, włączając w to pracowników i współpracowników Administratora. - Politykę stosuje się w odniesieniu do wszelkich procesów przetwarzania danych osobowych i wszelkich danych osobowych przetwarzanych przez Administratora niezależnie od formy ich przetwarzania (przetwarzane tradycyjnie oraz systemy informatyczne) oraz od tego, czy dane osobowe są lub mogą być przetwarzane w zbiorach danych.
3. Definicje
- Administrator – uesa Polska Sp. z o.o., ul. Traugutta 2, 68-300 Lubsko. NIP: 9730041708, REGON: 970471033;
- Polityka – niniejsza Polityka prywatności przyjęta przez Administratora;
- dane osobowe – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie takich danych jak: imię i nazwisko, adres korespondencyjny, adres poczty elektronicznej lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
- podmiot przetwarzający – podmiot, przetwarzający dane osobowe w imieniu administratora;
- przetwarzanie danych osobowych – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
- osoba upoważniona do przetwarzania danych osobowych – osoba posiadająca upoważnienie wydane przez administratora lub podmiot przetwarzający, do przetwarzania danych osobowych w zakresie określonym przez upoważnienie;
- RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE;
- Ustawa – Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz.U. 2018 poz. 1000; wraz z późn. zmianami);
- Prezes UODO – Prezes Urzędu Ochrony Danych Osobowych; polski organ nadzorczy z zakresu przetwarzania danych osobowych.
- naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
- Użytkownik – podmiot korzystający ze strony internetowej Administratora za pomocą komputera lub innego urządzenia końcowego.
4. Zasady przetwarzania danych osobowych
- Do przestrzegania zasad przetwarzania danych osobowych określonych w Polityce zobowiązani są wszyscy adresaci Polityki, a także podmioty, z którymi Administrator zawarł umowy powierzenia przetwarzania danych osobowych, chyba że inne zasady przestrzegania przepisów dotyczących danych osobowych zostały ustalone w umowie powierzenia przetwarzania danych osobowych lub innych instrumentach prawnych, a które nie naruszają postanowień RODO.
- Przetwarzanie danych osobowych opiera się na następujących zasadach ujętych w art. 5 RODO. Są to:
a) zasada legalności – dane osobowe przetwarzane są zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;
b) zasada ograniczenia celu – dane osobowe są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
c) zasada prawidłowości – dane osobowe są zbierane w sposób prawidłowy i w razie potrzeby uaktualniane; w przypadku nieprawidłowego przetwarzania danych w świetle celów ich przetwarzania, należy podjąć wszelkie rozsądne działania, aby dane te zostały niezwłocznie usunięte lub sprostowane;
d) zasada integralności i poufności danych – dane osobowe przetwarzane są w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych;
e) zasada minimalizmu – dane osobowe przetwarzane są w sposób adekwatny, stosowny oraz ograniczony do tego, co niezbędne do celów, w których są przetwarzane;
f) zasada ograniczenia przechowywania – dane osobowe przechowywane są w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 RODO, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy RODO w celu ochrony praw i wolności osób, których dane dotyczą;
g) zasada rozliczalności – rozumie się przez to możliwość wykazania przestrzegania zasad ujętych w niniejszym punkcie. - Administrator, w sytuacji gdy jest do tego zobowiązany przepisami prawa lub gdy fakultatywnie wyraża taką chęć, prowadzi Rejestr czynności przetwarzania. Jeżeli Administrator jest także podmiotem przetwarzającym, w sytuacji gdy jest do tego zobligowany lub gdy fakultatywnie wyrażą taką chęć, prowadzi Rejestr kategorii czynności przetwarzania.
- Administrator prowadzi we własnym zakresie niezbędną dokumentację i stosuje odpowiednie środki techniczne i bezpieczeństwa w celu właściwego przetwarzania danych osobowych.
- Administrator nadaje upoważnienia osobom, które w ramach wykonywania swoich obowiązków, przetwarzają dane osobowe. Jednocześnie, każda z osób upoważnionych jest zobligowana do zachowania poufności wszelkich informacji, które pozyskała w ramach wykonywania swoich obowiązków.
- Każda z osób upoważnionych do przetwarzania danych osobowych jest zobowiązana do:
a) przetwarzania danych osobowych wyłącznie w zakresie i celu przewidzianym w powierzonych zadaniach;
b) zachowania w tajemnicy danych osobowych do których ma dostęp;
c) niewykorzystywania danych osobowych w celach niezgodnych z zakresem i celem powierzonych zadań;
d) zachowania w tajemnicy sposobów zabezpieczenia danych osobowych;
e) ochrony danych osobowych przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją danych osobowych, nieuprawnionym ujawnieniem danych osobowych, nieuprawnionym dostępem do danych osobowych oraz przetwarzaniem;
f) powiadomienia w przypadku stwierdzenia lub podejrzenia naruszenia ochrony danych osobowych – zgodnie z zasadami zgłaszania naruszeń. - Administrator zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, rozliczalności i ciągłości przetwarzanych danych oraz nadzoruje przestrzeganie zasad ochrony danych osobowych.
- Administrator w ramach prowadzonej działalności gospodarczej, może powierzać do przetwarzania dane osobowe innym podmiotom. Szczegółowe zasady powierzenia przetwarzania danych osobowych reguluje w takim przypadku umowa powierzenia przetwarzania danych lub inny instrument prawny.
- Administrator wobec przetwarzanych przez siebie danych osobowych, w zakresie ich przetwarzania uwzględnia stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikającej z przetwarzania, poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych (privacy by design).
- Administrator wobec przetwarzanych przez siebie danych osobowych, wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania (privacy by default).
- Połączenia ze stroną internetową Administratora są szyfrowane przy pomocy protokołu SSL.
- Jeżeli przetwarzanie danych osobowych wymaga wyrażenia zgody, Administrator przetwarza te dane tylko w takim celu i w zakresie, na jaki została wyrażona zgoda.
- W przypadku powierzenia przetwarzania danych osobowych, Administrator korzysta wyłącznie z usług takiego podmiotu przetwarzającego, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO oraz zapewniało prawa osób, których dane dotyczą.
5. Zasady realizacji praw osób fizycznych
- Z uwagi na nadanie szeregu praw osobom fizycznym, których dane osobowe są przetwarzane, Administrator zapewnia ich realizację w każdym przypadku gdy jest to możliwe. Prawa osób fizycznych, które Administrator realizuje, to:
a) prawo do dostępu do danych;
b) prawo do sprostowania danych;
c) prawo do usunięcia danych;
d) prawo do ograniczenia przetwarzania;
e) prawo do przenoszenia danych;
f) prawo do sprzeciwu;
g) prawo do cofnięcia zgody. - Administrator wdrożył środki organizacyjne i techniczne zapewniające realizację ww. praw, aby bez zbędnej zwłoki, nie później niż w terminie jednego miesiąca od otrzymania żądania osoby fizycznej, móc zrealizować żądania osób, których dane dotyczą.
- W przypadku skomplikowanego żądania lub znacznej liczby zgłoszonych żądań, Administrator, w terminie jednego miesiąca od otrzymania żądania osoby fizycznej, poinformuje osobę fizyczną, której dane dotyczą, o przedłużeniu terminu o maksymalnie kolejne dwa miesiące wraz z podaniem przyczyn opóźnienia.
- W przypadku, gdy żądanie osoby fizycznej nie może zostać uwzględnione (np. jest sprzeczne z prawem) Administrator poinformuje osobę fizyczną w ww. terminach o odmowie realizacji żądania wraz z podaniem przyczyn.
- Czynności podejmowane przez Administratora w odpowiedzi na zgłoszone żądania są wolne od opłat. Wyjątkowo – w przypadku, gdy żądania osoby fizycznej są ewidentnie nadmierne – Administrator ma prawo pobrać opłatę w wysokości uwzględniającej koszty udzielenia odpowiedzi.
- Żądania osób fizycznych mogą być kierowane do Administratora:
a) drogą pisemną na adres: uesa Polska Sp. z o.o., ul. Traugutta 2, 68-300 Lubsko
b) drogą mailową na adres: centrala@uesa.pl - W przypadku zgłoszenia żądania pracownikowi lub współpracownikowi Administratora, osoba ta ma obowiązek przekazania zgłoszonego żądania niezwłocznie na adres: centrala@uesa.pl.
- W uzasadnionych przypadkach, Administrator przed realizacją prawa osoby fizycznej, może dążyć do zweryfikowania tożsamości osoby fizycznej.
- Realizacja praw osób fizycznych, których dane są przetwarzane, następuje w formie pisemnej lub dokumentowej (włączając w to formę elektroniczną).
- W celu obrony ewentualnych roszczeń, Administrator zastrzega możliwość przetwarzania korespondencji związanej z realizacją praw osób, których dane są przetwarzane, do czasu upływu terminu przedawnienia roszczeń.
- Administrator może odmówić żądaniu zaprzestania przetwarzania danych osobowych, powołując się na:
a) istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania danych, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub
b) istnienie podstaw do ustalenia, dochodzenia lub obrony roszczeń. - W przypadku, gdy podstawą przetwarzania danych osobowych jest zgoda osoby fizycznej, osoba fizyczna ma prawo w dowolnym momencie wycofać zgodę na przetwarzanie danych osobowych.
6. Zgłaszanie naruszeń
- W przypadku zaistnienia naruszenia, osoba która dane naruszenie wykryła, jest zobowiązana do niezwłocznego zgłoszenia naruszenia do Administratora.
- Zgłoszenie naruszenia może nastąpić także w formie elektronicznej, na adres: centrala@uesa.pl.
- Osoba zgłaszająca naruszenie, jest zobowiązana do przesłania zgłoszenia. Niezgłoszenie naruszenia przez osobę, która powzięła wiedzę o naruszeniu, może zostać zakwalifikowane jako ciężkie naruszenie obowiązków pracowniczych lub podstawa do rozwiązania umowy cywilnoprawnej z ważnych powodów.
- Do zgłoszenia naruszenia zobowiązany jest także podmiot przetwarzający, zgodnie z zasadami ujętymi w umowie powierzenia przetwarzania danych, lub w innym instrumencie prawnym, na podstawie którego doszło do powierzenia przetwarzania danych osobowych.
- Osoba zgłaszająca naruszenia, poza obowiązkiem niezwłocznego zgłoszenia naruszenia, zobowiązana jest do podjęcia wszelkich możliwych działań w celu minimalizacji skutków zaistniałego naruszenia, w tym do powstrzymania się od rozpoczęcia lub kontynuowania pracy, jeżeli jej wykonywanie mogłoby przyczynić się do zwiększenia skali naruszenia lub utrudnić lub uniemożliwić ustalenie jego przyczyny.