POLITYKA PRYWATNOŚCI I OCHRONY DANYCH OSOBOWYCH

FIRMY ŚWIDER PIOTR ŚWIRYDOWICZ

  1. Administratorem strony internetowej jest ….
  2. Polityka ochrony danych osobowych

 

Podstawy prawne przetwarzania danych osobowych

Od 25 maja 2018 r. podstawą przetwarzania danych osobowych jest RODO, czyli rozporządzenie Parlamentu Europejskiego i Rady nr 2016/679 z dnia 14 kwietnia 2016 r. w sprawie ochrony danych osobowych, które zastępuje dotychczasową ustawę krajową, czyli ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Pomimo tego, że jest to akt unijny, jest on również bezpośrednio stosowany w Polsce. Każdy podmiot, który posiada lub przetwarza dane osobowe, musi go przestrzegać.

Od 25 maja 2018 r. obowiązuje także krajowa ustawa o ochronie danych osobowych, która reguluje m.in.:

  • zasady powoływania Prezesa Urzędu Ochrony Danych Osobowych (PUODO), zastępującego GIODO,
  • podmioty zobowiązane do wyznaczenia inspektora ochrony danych oraz tryb zawiadamiania o wyznaczaniu,
  • postępowanie kontrolne,
  • odpowiedzialność cywilną, przepisy karne oraz administracyjne kary pieniężne za naruszenie przepisów o ochronie danych osobowych.

 

Podział danych osobowych
RODO dzieli dane osobowe na:

  • zwykłe dane osobowe,
  • szczególne dane osobowe (dawniej wrażliwe).

Do szczególnych danych osobowych zalicza się dane, które ujawniają:

  • pochodzenie rasowe lub etniczne,
  • poglądy polityczne, przekonania religijne, światopoglądowe,
  • przynależność do związków zawodowych,
  • dane genetyczne lub biometryczne,
  • dane dotyczące zdrowia lub orientacji seksualnej.

W firmie nie gromadzi się i nie przetwarza danych szczególnych.

  1. Instrukcja zarządzania systemami informatycznymi

 

Przetwarzanie danych osobowych to czynność, która obejmuje m.in.:

  • zbieranie, utrwalanie,
  • organizowanie, porządkowanie,
  • przechowywanie, adaptowanie lub modyfikowanie,
  • pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie,
  • rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie albo
  • łączenie, ograniczanie, usuwanie lub niszczenie.

Czynności te mogą być wykonywane w sposób zautomatyzowany lub niezautomatyzowany.

Dane osobowe są być:

  • przetwarzane zgodnie z prawem (zgodność z prawem, rzetelność i przejrzystość),
  • zbierane w konkretnym celu (ograniczenie celu),
  • adekwatne (minimalizacja danych),
  • prawidłowe i w razie potrzeby aktualizowane lub usuwane (prawidłowość),
  • przechowywane nie dłużej niż jest to konieczne do celu przetwarzania (ograniczenie przechowywania),
  • odpowiednio zabezpieczone (integralność i poufność).

 

W firmie gromadzi i przetwarza się dane osobowe w następujących programach informatycznych:

 

  • Program księgowy – Buchalter – dane klientów

 

Firma, przetwarza następujące dane osobowe:

– firma przedsiębiorcy/imię i nazwisko (w przypadku klienta nie prowadzącego działalności gospodarczej)

– adres,

– numer identyfikacji podatkowej,

– adres e-mail

– telefon.

Program znajduje się na pendrive. Jest zabezpieczony hasłem. Pendrive zabezpieczony jest w w metalowej szafce zamykanej na klucz. Klucz jest dostępny tylko dla właściciela firmy Piotra Świrydowicz.

 

 

 

  1. Polityka prywatności – Klauzula Informacyjna:

 

Czyli w jaki sposób chronimy i przetwarzamy Państwa dane osobowe w związku

z Rozporządzeniem o Ochronie Danych Osobowych

Szanowni Państwo,

Firma ŚWIDER Piotr Świrydowicz, adres Karakule, ul. Karakule 5, 16-030 Supraśl,
NIP: 9660867394, REGON 051905320, informuję, że przetwarzamy Państwa następujące dane osobowe:

– firma przedsiębiorcy/imię i nazwisko (w przypadku klienta nie prowadzącego działalności gospodarczej)

– adres,

– numer identyfikacji podatkowej,

– adres e-mail

– telefon.

1. Administratorem Państwa danych osobowych jest firma Firma ŚWIDER Piotr Świrydowicz, adres Karakule, ul. Karakule 5, 16-030 Supraśl, NIP: 9660867394, REGON 051905320

2. Państwa dane osobowe przetwarzane będą w celu realizacji zawarcia umów oraz w trakcie ich trwania (związane z czynnościami handlowymi np. sporządzanie ofert, wystawianie faktur, prowadzenie rozliczeń, wymiana korespondencji ) wykorzystujemy w następujących prawnie usprawiedliwionych celach:

– zawarcia i wykonania łączącej nas umowy;

– wykonania ciążących na nas obowiązków prawnych, np.: wystawiania i przechowywania faktur oraz dokumentów księgowych;

– udzielania odpowiedzi na wszelkie pytania związane ze wzajemną relacją prawną, w jakiej pozostajemy;

– ustalenia, obrony i dochodzenia roszczeń;

– weryfikacji płatności.

3. Na podstawie złożonego do nas wniosku, przysługuje Państwu prawo dostępu do treści danych oraz ich sprostowania (poprawienia), usunięcia lub ograniczenia przetwarzania,
a także prawo sprzeciwu, zażądania zaprzestania przetwarzania i przenoszenia danych, jak również prawo do cofnięcia zgody (jeżeli została ona złożona) w dowolnym momencie oraz prawo do wniesienia skargi do organu nadzorczego, którym po 25 maja 2018 r. jest Prezes Urzędu

Ochrony Danych Osobowych w sytuacji, jeżeli uważają Państwo, że przetwarzanie Państwa danych osobowych narusza przepisy prawa.

4. Podanie danych jest dobrowolne, lecz niezbędne (np. w celu wykonania umowy).

W przypadku niepodania danych, nie będzie możliwa realizacja celu, w jakim są one zbierane (np. wykonanie umowy).

5. Dane udostępnione przez Państwa będą podlegały udostępnieniu podmiotom przetwarzającym dane w naszym imieniu, uczestniczącym w wykonywaniu naszych czynności:

– podwykonawcom wspierającym nas np. przy wykonywaniu niektórych usług transportowych, instalacyjnych, serwisowych itp.;

– podmiotom świadczącym nam usługi doradcze, konsultacyjne, pomoc prawną, podatkową, rachunkową.

– podmiotom upoważnionym do tego na podstawie przepisów prawa (min. Urząd Skarbowy, ZUS itp.)

6. Dane udostępnione przez Państwa nie będą podlegały profilowaniu. Nie podejmujemy również decyzji w sposób zautomatyzowany.

7. Administrator danych nie ma obecnie zamiaru przekazywać danych osobowych do państwa trzeciego lub organizacji międzynarodowej. W przeciwnym razie zostanie Państwu przekazana w tej sprawie stosowna informacja.

8. Jeżeli wykorzystywanie przez nas Państwa danych nie jest konieczne do wykonywania umowy, realizacji obowiązku prawnego lub nie stanowi naszego prawnie uzasadnionego interesu, możemy prosić o wyrażenie zgody na określone sposoby wykorzystania tych danych. Udzieloną nam zgodę mogą Państwo w każdej chwili wycofać.

9. Dane osobowe będą przechowywane przez okres uzasadniony celem, o którym mowa w pkt 2.

10. Informacji na temat danych osobowych w naszej firmie udziela:

Piotr Świrydowicz, pod numerem telefonu 608 33 88 88.

Istnieje także możliwość kontaktu e-mailowego pod adresem: [email protected]

Wszelkie Państwa wątpliwości lub zastrzeżenia staramy się wyjaśnić polubownie. Przepisy przyznają Państwu jednak również prawo wniesienia skargi do Generalnego Inspektora Ochrony Danych Osobowych (od 25.05.2018 r. – do Prezesa Urzędu Ochrony Danych Osobowych) lub innego organu ochrony danych osobowych.

  1. Procedura postępowania w przypadku naruszeń ochrony danych osobowych

 

Naruszenie ochrony danych to zgodnie z ogólnym rozporządzeniem o ochronie danych (ogólne rozporządzenie, RODO) to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Ogólne rozporządzenie nakłada na administratorów obowiązek zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu.

  • Doszło do naruszenia – trzeba zgłosić je organowi nadzorczemu

Zgodnie z RODO administrator danych powinien zgłosić naruszenie organowi nadzorczemu „bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia”. Jeśli nie zgłosi naruszenia w tym terminie, do zgłoszenia naruszenia będzie musiał dołączyć wyjaśnienia dotyczące przyczyny opóźnienia.

  • Zgłoszenie musi:

opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,

zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,

opisywać możliwe konsekwencje naruszenia ochrony danych osobowych,

opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

  • Z obowiązku zgłoszenia zostały zwolnione:

te naruszenia, wobec których zachodzi małe prawdopodobieństwo, że naruszą te prawa i wolności. Będą nimi skutki przetwarzania danych prowadzące np. do:

  • kradzieży tożsamości,
  • straty finansowej,
  • naruszenia dobrego imienia,
  • naruszenia poufności danych chronionych tajemnicą zawodową,
  • utraty przysługujących osobom praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi oraz
  • ujawnienia danych wrażliwych.
  • obowiązek poinformowania o naruszeniu danych osoby, której dane dotyczą

Obowiązek ten będzie istniał jednak tylko wtedy, kiedy incydent naruszenia ochrony danych będzie mógł powodować wysokie ryzyko naruszenia praw lub wolności tej osoby. Zatem administrator danych po raz kolejny zostanie zmuszony do samodzielnej, niełatwej oceny dotyczącej zachodzącego ryzyka. Zawiadomienia takiego powinien dokonać bez zbędnej zwłoki, opisując jasnym i prostym językiem charakter naruszenia. Musi ono ponadto zawierać treści określone w trzech ostatnich punktach wymaganych dla zgłoszenia naruszenia organowi nadzorczemu.

  • Kiedy nie trzeba będzie informować o naruszeniu osoby, której dane dotyczą

Zawiadamianie osób o naruszeniu ich danych nie będzie konieczne w przypadkach, gdy administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zastosował do danych osobowych, których dotyczy naruszenie. W szczególności chodzi o takie środki jak szyfrowanie uniemożliwiające odczyt osobom nieuprawnionym danych osobowych i dostęp do nich. Warunkiem jest też to, że administrator danych ma zastosować następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą.

W sytuacji, w której zawiadomienie wymagałoby niewspółmiernie dużego wysiłku, administrator może wydać publiczny komunikat lub zastosować podobny środek, za pomocą którego osoby, których dane dotyczą, zostaną poinformowane o naruszeniu w równie skuteczny sposób.

 

  1. Procedura zawiadamiania o naruszeniu ochrony danych osobowych

 

O naruszeniu administrator powinien poinformować organ niezwłocznie, jednak nie później niż 72 godziny od wykrycia naruszenia. Zgłoszenie musi zawierać informacje wskazane w art. 33 ust. 3 pkt. 2-d RODO, czyli m.in. charakter naruszenia, wskazywać kategorię i przybliżoną liczbę osób, których dotyczy naruszenie, możliwe konsekwencje czy dane kontaktowe IOD. Jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia o naruszeniu osobę, której dane dotyczą. Zawiadomienie powinno zawierać m.in. dane kontaktowe IOD lub opis możliwych konsekwencji naruszenia. Język, którym posługuje się administrator danych w relacji z podmiotem danych, powinien być jasny i prosty. Jeżeli jest to wykonalne, informacja odnośnie naruszenia może zostać przekazana za pomocą infografik, wyjaśniających podmiotowi danych charakter naruszenia.

 

  1. Procedura usuwania i niszczenia danych osobowych

Zgodnie z art. 5 ust. 1e RODO dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, dla realizacji których dane te są przetwarzane. Wyrażona w tym przepisie zasada ograniczenia przechowywania wskazuje, że dane nie mogą być przetwarzane w nieskończoność i w każdym przypadku należy ocenić, czy dla danego podmiotu są one niezbędne w kontekście realizacji konkretnych celów.

Usuwamy zatem dane, gdy:

  • minął okres ich przydatności;
  • okaże się, że cel który chcemy osiągnąć, nie wymaga już przetwarzania takich danych.

Przygotowanie procedury usuwania danych osobowych zacząć należy od ich inwentaryzacji. Sprawdzamy jakie dane przetwarzamy, w ramach jakich procesów, gdzie i w jakiej formie (papierowej lub elektronicznej). Następnie analizujemy, jak długo musimy przetwarzać określone dane osobowe, przy czym czas ten ustala się na dwa sposoby.

W pierwszej kolejności należy sprawdzić, czy istnieją przepisy szczególne regulujące obowiązek przetwarzania pewnych informacji przez z góry ustalony okres. Można tu wskazać przepisy prawa pracy, prawa podatkowego lub ustawy o rachunkowości. Jeśli ustawodawca nie reguluje takiej kwestii, należy odnieść ją do ewentualnego prawnie uzasadnionego interesu administratora – innym słowy zapytać „jak długo te dane mogą być nam przydatne?”.

Ustalając okres retencji należy wziąć pod uwagę obecną i przyszłą wartość informacji, koszty, ryzyko i zobowiązania związane z przetwarzanie danych, a także realną możliwość zapewnienia, by dane były aktualne.

Usuwanie danych może mieć charakter zautomatyzowany – poprzez odpowiednią konfigurację systemów informatycznych (w przypadku danych przetwarzanych w formie elektronicznej), lub być dokonywane manualnie, okresowo, czemu towarzyszy zwykle sporządzenie protokołu usunięcia danych.

Wskazać przy tym należy, iż systemy informatyczne powinny pozwalać na ustalanie okresów retencji poszczególnych danych, a także umożliwiać sprawne usuwanie całości lub części danych (co może być problematyczne, gdy w organizacji funkcjonuje kilka systemów o złożonej sieci przepływów).

W procedurze retencji należy też przedstawić wytyczne w zakresie niszczenia dokumentów oraz innych nośników zawierających dane osobowe, uwzględniające takie elementy jak:

  • fizyczne niszczenie dokumentacji,

  • likwidacja sprzętu i nośników zawierających dane osobowe,

  • usuwanie danych z systemów,

 

  1. JAKIE PRZYSŁUGUJĄ PRAWA W ZWIĄZKU Z PRZETWARZANIEM PRZEZ NAS TWOICH DANYCH OSOBOWYCH?

Na podstawie RODO masz prawo do:

  • żądania dostępu do swoich danych osobowych,
  • żądania sprostowania swoich danych osobowych,
  • żądania usunięcia swoich danych osobowych,
  • żądania ograniczenia przetwarzania danych osobowych,
  • wniesienia sprzeciwu wobec przetwarzania danych osobowych,
  • żądania przenoszenia danych osobowych.

W razie zgłoszenia nam któregokolwiek z wymienionych powyższej żądań bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udzielimy Ci informacji o działaniach podjętych w związku ze zgłoszonym przez Ciebie żądaniem. W razie potrzeby możemy wydłużyć termin miesięczny o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W każdym wypadku poinformujemy Ciebie w terminie miesiąca od otrzymania żądania o przedłużeniu terminu i podamy Tobie przyczyny opóźnienia.

 

Prawo dostępu do danych osobowych (art. 15 RODO)

Masz prawo uzyskania informacji czy przetwarzamy Twoje dane osobowe. Jeżeli przetwarzamy Twoje dane osobowe to masz prawo do:

  • dostępu do danych osobowych,
  • uzyskania informacji o celach przetwarzania, kategoriach przetwarzanych danych osobowych, o odbiorcach lub kategoriach odbiorców tych danych, planowanym okresie przechowywania Twoich danych lub o kryteriach ustalania tego okresu, o prawach przysługujących Ci na mocy RODO oraz o prawie wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, o źródle tych danych, o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz o zabezpieczeniach stosowanych w związku z przekazaniem tych danych poza Unię Europejską;
  • uzyskania kopii swoich danych osobowych.

Jeśli chcesz zażądać dostępu do swoich danych osobowych zgłoś swoje żądanie na adres: [email protected]

 

Prawo do sprostowania danych osobowych (art. 16 RODO)

Jeżeli Twoje dane osobowe są nieprawidłowe masz prawo żądania od nas niezwłocznego sprostowania Twoich danych osobowych. Masz też prawo do żądania uzupełnienia przez nas Twoich danych osobowych. Jeśli chcesz zażądać sprostowania lub uzupełnienia swoich danych osobowych zgłoś swoje żądanie na adres: [email protected]

 

Prawo do usunięcia danych osobowych, tzw. „prawo do bycia zapomnianym” (art. 17 RODO)

Masz prawo żądania usunięcia swoich danych osobowych, gdy:

  • Twoje dane osobowe przestały być niezbędne do celów, dla których zostały zebrane lub w inny sposób przetwarzane;
  • wycofałeś określoną zgodę, w zakresie w jakim dane osobowe były przetwarzane w oparciu o Twoją zgodę;
  • Twoje dane osobowe były przetwarzane niezgodnie z prawem;
  • wniosłeś/wniosłaś sprzeciw wobec przetwarzania Twoich danych osobowych na potrzeby marketingu bezpośredniego, w tym profilowania, w zakresie w jakim przetwarzanie danych osobowych jest związane z marketingiem bezpośrednim;
  • wniosłeś/wniosłaś sprzeciw wobec przetwarzania Twoich danych osobowych w związku z przetwarzaniem niezbędnym dla wykonania zadania realizowanego w
  • interesie publicznym lub przetwarzania niezbędnego dla celów wynikających z prawnie uzasadnionych interesów realizowanych przez nas lub stronę trzecią.

Pomimo zgłoszenia żądania usunięcia danych osobowych możemy przetwarzać Twoje dane dalej w celu ustalenia, dochodzenia lub obrony roszczeń o czym zostaniesz poinformowany/poinformowana. Jeśli chcesz zażądać usunięcia swoich danych osobowych zgłoś swoje żądanie na adres: [email protected]

 

Prawo do zgłoszenia żądania ograniczenia przetwarzania danych osobowych (art. 18 RODO)

Masz prawo do żądania ograniczenia przetwarzania Twoich danych osobowych, gdy:

  • kwestionujesz prawidłowość swoich danych osobowych – w takim wypadku ograniczymy przetwarzanie Twoich danych osobowych na czas pozwalający sprawdzić prawidłowość tych danych;
  • przetwarzanie Twoich danych jest niezgodne z prawem, a zamiast usunięcia danych osobowych zażądasz ograniczenia przetwarzania Twoich danych osobowych;
  • Twoje dane osobowe przestały być potrzebne do celów przetwarzania, ale są one potrzebne w celu ustalenia, dochodzenia lub obrony Twoich roszczeń;
  • zgłosiłeś/zgłosiłaś sprzeciw wobec przetwarzania Twoich danych osobowych – do czasu stwierdzenia czy nasze prawnie uzasadnione interesy są nadrzędne wobec podstaw wskazanych w Twoim sprzeciwie.

Jeśli chcesz zażądać ograniczenia przetwarzania swoich danych osobowych zgłoś swoje żądanie na adres: [email protected]

 

Prawo do sprzeciwu wobec przetwarzania danych osobowych (art. 21 RODO)

Masz prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania Twoich danych osobowych, w tym profilowania, w związku z:

  • przetwarzaniem niezbędnym dla wykonania zadania realizowanego w interesie publicznym lub przetwarzania niezbędnego dla celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora danych osobowych lub stronę trzecią;
  • przetwarzaniem na potrzeby marketingu bezpośredniego.
  • Jeśli chcesz zgłosić sprzeciw wobec przetwarzania Twoich danych osobowych zgłoś swoje żądanie na adres: [email protected]

Prawo do żądania przenoszenia danych osobowych (art. 20 RODO)

Masz prawo otrzymać od nas swoje dane osobowe w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz przesłać je innemu administratorowi danych osobowych. Standardowo udostępnimy Ci Twoje dane osobowe w formacie CSV. Jeśli wolisz aby dane zostały Ci udostępnione w innym formacie wskaż preferowany format w swoim żądaniu. W miarę możliwości postaramy się udostępnić Ci dane w preferowanym przez Ciebie formacie. Możesz również zażądać, abyśmy przesłali Twoje dane osobowe bezpośrednio innemu administratorowi (o ile jest to technicznie możliwe). Jeśli chcesz zażądać przeniesienia swoich danych osobowych zgłoś swoje żądanie na adres: [email protected]

 

Czy możesz cofnąć wyrażoną zgodę na przetwarzanie danych osobowych?

Możesz cofnąć udzieloną zgodę na przetwarzanie swoich danych osobowych w dowolnym momencie. Cofnięcie zgody na przetwarzanie danych osobowych nie ma wpływu na zgodność z prawem przetwarzania dokonanego przez nas na podstawie Twojej zgody przed jej cofnięciem. Jeśli chcesz cofnąć zgodę na przetwarzanie swoich danych osobowych zgłoś swoje żądanie na adres: [email protected]

Skarga do organu nadzorczego

Jeżeli sądzisz, że przetwarzanie Twoich danych osobowych narusza przepisy ochrony danych osobowych masz prawo złożenia skargi do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia. W Polsce organem nadzorczym w rozumieniu RODO jest Prezes Urzędu Ochrony Danych Osobowych, który z dniem 25 maja 2018 roku zastąpił GIODO.