Zásady ochrany osobných údajov
Administratorem wszystkich danych osobowych gromadzonych w wyniku prowadzenia działalności gospodarczej jest DARMA Sp. z o.o. z siedzibą ul. Nad Stawem 2, Gumna.
Zgodnie z art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej jako: „RODO” przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora.
Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej „Kartą praw podstawowych”) oraz art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących.
Zasady i przepisy dotyczące ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych nie mogą – niezależnie od obywatelstwa czy miejsca zamieszkania takich osób – naruszać ich podstawowych praw i wolności, w szczególności prawa do ochrony danych osobowych.
Za „dane osobowe” uznaje się informacje wskazane w przepisach prawa, w tym w RODO, a zatem informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.
Charakter przetwarzania: Przetwarzanie danych osobowych następuje w formie papierowej lub elektronicznej przy wykorzystaniu systemów informatycznych takich jak, np. email, i polegała m.in. na: zbieraniu, utrwalaniu, przechowywaniu, opracowywaniu, zmienianiu, udostępnianiu, uzupełnianiu, usuwaniu. Niniejsze przetwarzanie obejmuje również przekazywanie danych innym podmiotom w celu realizacji zawartej umowy jak np. producentom bądź dystrybutorom reklamowanych produktów.
Cel przetwarzania: Przetwarzanie danych osobowych następuje tylko w takim zakresie jakie Administratorowi niezbędne jest do prowadzenia działalności gospodarczej i świadczonych w jej ramach usług. Przetwarzanie danych osobowych odbywa się jedynie w zakresie bezwzględnie niezbędnym i proporcjonalnym do zapewnienia bezpieczeństwa sieci i informacji – tj. zapewnienia odporności sieci lub systemu informacyjnego na danym poziomie poufności na przypadkowe zdarzenia albo niezgodne z prawem lub nieprzyjazne działania naruszające dostępność, autentyczność, integralność i poufność przechowywanych lub przesyłanych danych osobowych. – oraz bezpieczeństwa związanych z nimi usług oferowanych lub udostępnianych poprzez te sieci i systemy administratora.
Administrator przetwarza jedynie dane osobowe powierzone do przetwarzania, co do których posiada stosowne zgody osób, których te dane dotyczą, a także wypełnił związany z tym obowiązek informacyjny. Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.
Wszelkie przetwarzanie danych osobowych przez w/w Administratora jest zgodne z prawem i rzetelne. W przypadku osób fizycznych są przejrzyste, a dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane w sposób w jakim administrator informuje osobę fizyczną i tylko w zakresie na jaki ona się zgadza. Zasada przejrzystości polega na tym że wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych są łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących.
Jeżeli przetwarzanie danych przez Administratora odbywa się w celu wypełnienia obowiązku prawnego, któremu podlega administrator, lub jeżeli jest niezbędne do wykonania zadania realizowanego w interesie publicznym nie ma on wymogu, aby dla każdego indywidualnego przetwarzania istniało szczegółowe uregulowanie prawne. W takiej sytuacji wystarcza to, że dane uregulowanie prawne stanowi podstawę różnych operacji przetwarzania wynikających z obowiązku prawnego, któremu podlega administrator, lub że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej. Dotyczy to np. przekazywania danych osobowych do Urzędów Skarbowych, Komorników Sądowych i innych.
Prawa osób fizycznych przekazujących dane osobowe
Każda osoba fizyczna ma prawo do:
- dostępu do zebranych danych jej dotyczących oraz powinna mieć możliwość łatwego wykonywania tego prawa w rozsądnych odstępach czasu, by mieć świadomość przetwarzania i móc zweryfikować zgodność przetwarzania z prawem,
- dostępu do wiedzy i informacji, w szczególności w zakresie celów, w jakich dane osobowe są przetwarzane, w miarę możliwości okresu, przez jaki dane osobowe są przetwarzane, odbiorców danych osobowych, założeń ewentualnego zautomatyzowanego przetwarzania danych osobowych oraz, przynajmniej w przypadku profilowania, konsekwencji takiego przetwarzania,
- sprostowania danych osobowych jej dotyczących oraz prawo do „bycia zapomnianym”, jeżeli zatrzymywanie takich danych narusza rozporządzenie, prawo Unii lub prawo państwa członkowskiego, któremu podlega administrator,
- tego, by jej dane osobowe zostały usunięte i przestały być przetwarzane (całkowicie lub czasowo) , jeżeli dane te nie są już niezbędne do celów, w których były zbierane lub w inny sposób przetwarzane, jeżeli osoba, której dane dotyczą, cofnęła zgodę lub jeżeli wniosła sprzeciw wobec przetwarzania danych osobowych jej dotyczących, lub jeżeli przetwarzanie jej danych osobowych nie jest z innego powodu zgodne z niniejszym rozporządzeniem,
- otrzymywania informacji dotyczących jej danych osobowych, których dostarczyła administratorowi, w ustrukturyzowanym, powszechnie używanym, nadającym się do odczytu maszynowego i interpretacyjnym formacie oraz przesyłania ich innemu administratorowi. O ile jest to technicznie możliwe, osoba, której dane dotyczą, ma prawo do spowodowania, by dane osobowe zostały przesłane przez jednego administratora bezpośrednio innemu administratorowi,
- jeżeli dane osobowe są przetwarzane do celów marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo wnieść w dowolnym momencie, bezpłatnie sprzeciw wobec tego przetwarzania, pierwotnego lub dalszego – w tym profilowania, o ile jest ono powiązane z marketingiem bezpośrednim.
Administrator uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, wdrożył odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający odpowiedniej ochronie danych osobowych.
Poniższa tabela zawiera kategorie danych osobowych przetwarzanych przez Administratora jakim jest DARMA Sp. z o.o.:
Kategorie przetwarzania danych osobowych | Cel przetwarzania i rodzaj przetwarzanych danych | Czas przechowywania danych osobowych | |
---|---|---|---|
1 | Rekrutacja nowych pracowników | Rekrutacja nowych pracowników; (imię, nazwisko, adres, pesel, nr telefonu, adres email) | Do 3 miesięcy od zakończenia procesu rekrutacji |
2 | Akta osobowe | Dotyczą zatrudnionych pracowników; (imię, nazwisko, adres, pesel, nr telefonu, adres email) | Na czas zatrudnienia |
3 | Dane kadrowo-płacowe | Dotyczą zatrudnionych pracowników, wydawania zaświadczeń; (imię, nazwisko, adres, pesel, nr telefonu, adres email) | Zgodnie z obowiązującymi przepisami (50 lat) |
4 | Obsługa klienta indywidualnego | Realizacja zamówień, współpraca handlowa; (imię, nazwisko, adres, nr telefonu, adres email) | Do 3 miesięcy od zakończenia zamówienia, współpracy |
5 | System informatyczny – baza danych | Realizacja współpracy z klientami, fakturowanie, płatności, zamówienia; (imię, nazwisko, adres, pesel, nr telefonu, adres email) | Faktury 6 lat |
6 | Reklamacje i zwroty | W celu realizacji reklamacji lub zwrotu; (imię, nazwisko, adres, nr telefonu, adres email) | imię nazwisko, adres, nr telefonu, adres email |
7 | Sklep internetowy | Realizacja zamówień, współpraca handlowa; (imię, nazwisko, adres, pesel, nr telefonu, adres email) | Do 3 miesięcy od zakończenia zamówienia. W przypadku posiadania konta internatowego do 3 miesięcy od jego zamknięcia (likwidacji) |
8 | Obsługa byłych pracowników | Wydawanie zaświadczeń; (imię, nazwisko, adres, pesel, nr telefonu, adres email) | Zgodnie z obowiązującymi przepisami (50 lat) |
9 | Monitoring | Ochrona obiektu, zapewnienie bezpieczeństwa; (wizerunek) | ok. 30 dni |