Polityka ochrony danych osobowych – Klauzula informacyjna

Niniejsza polityka ochrony danych osobowych określa zasady ochrony danych osobowych przetwarzanych w ramach działalności gospodarczej prowadzonej przez:

Witolda Pałysa pod nazwą

REALTON WITOLD PAŁYS

ul. Tadeusza Kościuszki, nr 52, lok. 1,

40 – 047 Katowice

NIP 6342745189, REGON 241920030

e-mail: BIURO@REALTON.PL

zwanego dalej Administratorem.

§1

Definicje:

1. Administrator – w rozumieniu art. 4 pkt 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1), Administratorem danych zawartych w niniejszej polityce jest Witold Pałys prowadzący działalność gospodarczą pod nazwą REALTON WITOLD PAŁYS, przy ul. Tadeusza Kościuszki, nr 52, lok. 1 w Katowicach.

2. RODO lub Rozporządzenie – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1).

§ 2

Postanowienia ogólne i bezpieczeństwo danych osobowych

1. Niniejsza polityka została wdrożona w myśl art. 24 ust. 2 RODO jako dowód odpowiedniej staranności mającej na celu, aby przetwarzanie danych osobowych przez Administratora odbywało się zgodnie z Rozporządzeniem.

2. Niniejszy dokument ma na celu usystematyzowanie pracy Administratora w zakresie ochrony danych osobowych, a także określenie środków technicznych i organizacyjnych służących ochronie danych osobowych przetwarzanych w ramach działalności gospodarczej Administratora.

3. Dokument w myśl z art. 24 ust. 1 zd. 2 Rozporządzenia, będzie poddawany przeglądom i w razie potrzeby uaktualniany.

4. Administrator nie powołał Inspektora Ochrony Danych Osobowych, z uwagi, iż nie ciąży na nim taki obowiązek, na podstawie art. 37 RODO.

5. Niniejsza polityka dotyczy wszystkich danych osobowych przetwarzanych przez Administratora, niezależnie od formy ich przetwarzania, w szczególności danych przetwarzanych w systemach i urządzeniach informatycznych i w formie papierowej.

6. Zasady określone w niniejszym dokumencie dotyczą również pracowników i współpracowników Administratora, niezależnie od rodzaju umowy wiążącej ich z Administratorem.

7. Administrator stosuje wymagane aktualnymi przepisami o ochronie danych osobowych środki techniczne zapobiegające pozyskiwaniu i modyfikowaniu przez osoby nieuprawnione danych osobowych.

8. Administrator podejmuje środki ostrożności w celu przeciwdziałania utracie, nadużyciu lub zmianie danych osobowych użytkownika.

9. W celu zapewnienia odpowiedniego poziomu ochrony danych osobowych, Administrator wdrożył, szereg zabezpieczeń organizacyjno-technicznych.

10. Na podstawie wyników analizy ryzyka opisanych w § 3 niniejszego dokumentu, Administrator na bieżąco aktualizuje stosowane zabezpieczenia.

11. Wdrożone przez Administratora zabezpieczenia polegają na:

a. wprowadzeniu instrukcji zarządzania systemami informatycznymi (systemy i urządzenia końcowe);

b. zabezpieczeniu dokumentów w formie papierowej;

c. wprowadzeniu polityki czystego biurka;

§ 3

Analiza ryzyka

1. Administrator przeprowadza, nie rzadziej niż raz na rok, analizę ryzyka naruszenia praw lub wolności osób, których dane przetwarza.

2. Wynik corocznej analizy warunkuje ewentualną aktualizacje środków technicznych i organizacyjnych służących ochronie danych osobowych.

3. W przypadku wyniku analizy wskazującej wysokie ryzyko naruszenia praw lub wolności osób, których dane przetwarza Administrator, przeprowadza się ocenę skutków planowanych operacji zgodnie z art. 35 ust 1 RODO.

§ 4

Obowiązek informacyjny

1. Podstawą prawną przetwarzania danych jest zgoda udzielona przez klienta lub konieczność przetwarzania do wykonania umowy lub podjęcia niezbędnych działań przed jej zawarciem, a także prawnie uzasadniony cel administratora, w myśl art.6 ust.1 lit. a, b, f Rozporządzenia.

2. Podanie danych osobowych ma charakter dobrowolny, jednakże specyfika działalności gospodarczej Administratora powoduje, iż jest niezbędne do podjęcia działań mających na celu zawarcie umowy i/lub zapewnienia realizacji zapisów i postanowień umowy między stronami.

3. Administrator zapewnia spełnienie obowiązku informacyjnego wobec wszystkich osób, których dane przetwarza lub potencjalnie będzie przetwarzał, zgodnie z art. 13, 14 i 15 Rozporządzenia. W szczególności, wobec kontrahentów, pracowników i współpracowników, dostawców oraz odbiorców korespondencji mailowej.

4. Administrator dokumentuje każdorazowo dopełnienie obowiązku informacyjnego, adekwatnie do sposobu spełnienia tego obowiązku.

5. Dane osobowe nie są przekazywane do państw trzecich.

6. Okres przechowywania danych osobowych to 5 lat od końca roku rozliczeniowego na potrzeby urzędu skarbowego oraz przez 6 lat dla przedawniania roszczeń.

7. Administrator informuje osoby o których mowa w ustępie powyżej, iż przysługuje im prawo do: dostępu do danych, ich sprostowania, ograniczenia przetwarzania, usunięcia, jak również do wniesienia sprzeciwu wobec ich przetwarzania w dowolnym momencie (sprzeciw wobec przetwarzania danych jest równoznaczny z zaprzestaniem realizacji zapisów i postanowień umowy między stronami), do cofnięcia zgody na przetwarzanie danych w dowolnym momencie, do „bycia zapomnianym” oraz do przeniesienia swoich danych.

8. Dopełniając informacje o których mowa w powyższym ustępie Administrator informuje o prawie do wniesienia skargi w związku z przetwarzaniem Państwa danych osobowych do organu nadzorczego, którym jest Generalny Inspektor Ochrony Danych Osobowych (adres: Generalny Inspektor Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa)

 § 5

Personel

1. Każdy pracownik oraz współpracownik Administratora przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami danych osobowych w wersji papierowej zostaje przeszkolony w zakresie ochrony danych osobowych.

2. Administrator nadaje upoważnienia każdemu pracownikowi i współpracownikowi do przetwarzania danych osobowych, określając zakres czynności i uprawnień.

3. Każdy pracownik i współpracownik Administratora przetwarza dane osobowe wyłącznie w zakresie otrzymanego upoważnienia, zgodnie z poleceniami Administratora.

4. Wszyscy pracownicy i współpracownicy są zobowiązani do zachowania poufności danych osobowych i niewykorzystywania danych osobowych w innych celach niż określone przez Administratora.

5. Administrator odwołuje upoważnienie do przetwarzania danych najpóźniej w momencie zakończenia obowiązywania umowy z pracownikiem lub współpracownikiem.

§ 6

Prawa osoby, której dotyczą

1. Administrator zapewnia obsługę praw jednostki, zgodnie z art. 12 RODO.

2. W celu zapewnienia obsługi praw jednostki, Administrator wykonuje następujące kroki:

a. potwierdzenie tożsamości,

b. weryfikacja, czy Administrator przetwarza dane wnioskodawcy,

c. analiza, czy żądanie jest zasadne oraz nie jest nadmierne,

d. ewentualne pobranie opłaty, jeśli żądanie jest nieuzasadnione lub nadmierne, względnie odmawia realizacji,

e. realizacja żądania poprzez udzielenie lub odmowę udzielenia informacji.

§ 7

Incydenty naruszeń

1. Każde naruszenie ochrony danych osobowych powinno być niezwłocznie zgłaszane Administratorowi.

2. Administrator prowadzi ewidencję naruszeń i dokumentuje w niej każdorazowe naruszenia ochrony danych osobowych, w tym okoliczności naruszenia, jego skutki oraz podjęte środki zorientowane na przeciwdziałanie dalszym naruszeniom.

3. W przypadku naruszenia ochrony danych osobowych, administrator decyduje czy podlega ono zgłoszeniu organowi nadzorczemu. Obowiązek ewentualnego zgłoszenia naruszenia do organu nadzorczego, Administrator wykonuje zgodnie z art. 33 RODO oraz zawiadomienia osoby, której dane dotyczą, zgodnie z art. 34 RODO.

§8

Rozliczalność i dokumentacja

1. Administrator nie prowadzi rejestru kategorii czynności przetwarzania, gdyż nie przetwarza danych osobowych na zlecenie innych administratorów.

2. Administrator działa zgodnie z zasadą rozliczalności, czyli przy każdym działaniu związanym z ochroną danych osobowych prowadzi odpowiednią dokumentację w celu wykazania, że dane osobowe są przetwarzane zgodnie z RODO.