Polityka bezpieczeństwa przetwarzania danych osobowych

Torby Pro Krzysztof Flasz

Rejestr zmian

Spis treści

I.    Wprowadzenie
II.    Deklaracja Administratora Danych Osobowych 
III.    Definicje   
IV.    Zasady przetwarzania danych osobowych   
1)    Przetwarzanie danych przez personel ADO   
2)    Powierzanie danych osobowych innym firmom i podmiotom   
3)    Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie   
V.    Obowiązki ADO i Personelu   
1)    Obowiązki ADO   
2)    Obowiązki Pracowników i Personelu   
VI.    Realizacja praw podmiotów danych   
1)    Obowiązki informacyjne przy pozyskiwaniu danych osobowych   
2)    Informacje, do który może uzyskać dostęp osoba, której dane dotyczą   
3)    Prawa osób, których dane dotyczą i sposób ich realizacji   
1)    Prawo do sprostowania danych   
2)    Prawo do usunięcia danych („prawo do bycia zapomnianym”)   
2.1    Procedura usunięcia danych osobowych   
3)    Prawo do ograniczenia przetwarzania   
4)    Prawo do przenoszenia danych   
5)    Informowanie osoby, której dane dotyczą o naruszeniu ochrony danych osobowych   
VII.    Wykaz budynków i pomieszczeń tworzących obszar przetwarzania danych osobowych   
1)    Obszar przetwarzania danych osobowych   
VIII.    Środki techniczne i organizacyjnych niezbędne dla ochrony przetwarzanych danych   
1)    Środki organizacyjne   
2)    Środki ochrony fizycznej   
3)    Środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej   
4)    Środki ochrony w ramach narzędzi programowych i baz danych   
IX.    Załączniki   
Upoważnienie do przetwarzania danych osobowych   
Ewidencja osób upoważnionych do przetwarzania danych osobowych   
Ewidencja podmiotów, którym powierzono przetwarzanie danych osobowych   
Rejestr incydentów i naruszeń ochrony danych w firmie Torby Pro Krzysztof Flasz   
Wzór wykazu informacji podawanych przez Administratora Danych Osobowych w przypadku zbierania danych od osoby, której dane dotyczą   

I. Wprowadzenie

Niniejszy dokument wchodzi w skład dokumentacji przewarzania danych osobowych w firmie Torby Pro Krzysztof Flasz, ul. Strażacka 60, 34-124 Klecza Dolna, NIP: 5512537993, REGON: 360365955.

Celem Polityki bezpieczeństwa jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie wykonywać obowiązki Administratora danych osobowych w zakresie zabezpieczenia danych osobowych.

Wraz z Instrukcją Zarządzania Systemem Informatycznym Polityka Bezpieczeństwa opisuje sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczające dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem, zniszczeniem lub innym zagrożeniem powodującym naruszenie praw i wolności osoby, której dane dotyczą.

Podstawą do wdrożenia powyższych zasad jest Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) oraz krajowa ustawa o ochronie danych osobowych.

Polityka Bezpieczeństwa zostaje zatwierdzona i przyjęta do stosowania:

II. Deklaracja Administratora Danych Osobowych

Jako Administrator Danych Osobowych jestem świadomy wagi problemów związanych z ochroną prawa do prywatności, w tym w szczególności prawa osób fizycznych do właściwej i skutecznej ochrony ich danych przetwarzanych przez Administratora, deklaruję zamiar podejmowania wszystkich działań niezbędnych dla ochrony praw i usprawiedliwionych interesów jednostki związanych z bezpieczeństwem danych osobowych.

Jako Administrator Danych Osobowych jestem świadomy zagrożeń związanych z przetwarzaniem danych osobowych. Będę stale doskonalić i rozwijać organizacyjne, techniczne oraz informatyczne środki ochrony danych osobowych przetwarzanych zarówno metodami tradycyjnymi jak i elektronicznie, tak, aby skutecznie zapobiegać zagrożeniom:

• związanym z infekcjami wirusów, koni trojańskich i innego złośliwego oprogramowania,
• związanym z dostępem do stron internetowych, na których zainstalowane są skrypty pozwalające wykradać zasoby komputera,
• związanym z możliwością niekontrolowanego kopiowania danych na zewnętrzne, przenośne nośniki,
• związanym z możliwością podsłuchiwania sieci, dzięki któremu można zdobyć hasła i skopiować objęte ochroną dane,
• związanym z lekceważeniem zasad ochrony danych polegającym na pozostawianiu pomieszczenia lub stanowiska pracy bez ich należytego zabezpieczenia,
• związanym z brakiem świadomości niebezpieczeństwa dopuszczania osób postronnych do swojego stanowiska pracy,
• związanym z działaniami mającymi na celu zaburzenie poufności, integralności, dostępności i odporności systemów i usług przetwarzania.
• związanym z kradzieżą sprzętu lub nośników z danymi, które zazwyczaj są niezabezpieczone,
• związanym z przekazywaniem sprzętu z danymi do serwisu,

i innym zagrożeniom mogącym wystąpić w przyszłości w związku z rozwojem techniki metod przetwarzania danych.

Podpis Administratora danych osobowych

III.  Definicje

W niniejszym dokumencie oraz Instrukcji Zarządzania Systemem Informatycznym przyjmuje się następujące definicje:

1.      Administrator Danych Osobowych

Krzysztof Flasz zwany dalej ADO lub Administratorem.

2.      Dane osobowe

Oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określa­jących fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej

3.      Zbiór danych osobowych

Oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.

4.      Przetwarzanie danych osobowych

Oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

5.      Rozporządzenie lub RODO

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

6.      Polityka Bezpieczeństwa

Niniejsza Polityka Bezpieczeństwa obejmująca zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji danych osobowych w organizacji ADO.

7.      GIODO, UODO

Generalny Inspektor Ochrony Danych Osobowych (do 24 maja 2018 r.) przekształcony w Urząd Ochrony Danych Osobowych (od 25 maja 2018 r.)

8.      System informatyczny

Zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.

9.      Pracownik, Personel

Osoby zatrudnione na podstawie stosunku pracy, umów cywilnoprawnych (umowa o dzieło, umowa zlecenia) przez przedsiębiorcę, wykonujące działalność osobiście, jak również osoby odbywające praktyki, stażyści, osoby skierowane do pracy w ramach umów z agencjami pracy tymczasowej wykonujące prace związane z przetwarzaniem danych osobowych u ADO.

10.  Użytkownik

Każda osoba w organizacji ADO posiadająca dostęp i korzystająca z narzędzi umożliwiających przetwarzanie danych osobowych na podstawie nadanego upoważnienia i na polecenie ADO.

11.  Hasło

Ciąg znaków literowych, cyfrowych lub innych, znany jedynie Użytkownikowi Systemu informatycznego. Hasło użytkownika składa się co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne.

12.  Identyfikator użytkownika lub login

Ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym

13.  Dane wrażliwe

Dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby

14.  Integralność danych

Właściwość zapewniająca, że dane osobowe nie zostały zmienione, zmodyfikowane lub zniszczone w sposób nieautoryzowany.

15.  Rozliczalność danych

Właściwość zapewniająca możliwość wykazania przestrzegania przepisów i przypisania działania podmiotu w sposób jednoznaczny tylko temu podmiotowi

16.  Poufność danych

Właściwość zapewniająca odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych

17.  Strona trzecia

Oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe.

18.  Profilowanie

Oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

19.  Pseudonimizacja

Oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

20.  Podmiot przetwarzający

Oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

21.  Odbiorca

Oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania.

22.  Zgoda

Osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

23.  Naruszenie ochrony danych osobowych

Oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

IV. Zasady przetwarzania danych osobowych

Przetwarzanie danych osobowych zarówno przez ADO, jak i jego personel odbywa się z poszanowaniem obowiązujących przepisów, dobrych praktyk oraz niniejszej Polityki Bezpieczeństwa.

ADO dokładana wszelkich starań, aby stosowane środki zabezpieczeń danych osobowych były adekwatne do zagrożeń wynikających ze sposobu, jak również kategorii przetwarzanych danych osobowych. W celu dostosowania odpowiednich zabezpieczeń przeprowadzono analizę ryzyka.

Dane osobowe są:

• przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);

• zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);

• adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);

• prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);

• przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych, w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);

• przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

ADO jest odpowiedzialny za spełnienie powyższych wymogów i jest w stanie wykazać ich przestrzeganie („rozliczalność”).

1)    Przetwarzanie danych przez personel ADO

W celu zapewniania kontroli i zachowania zasady rozliczalności do przetwarzania danych osobowych dopuszczone są wyłącznie osoby posiadające wiążące upoważnienie do przetwarzania danych nadane przez ADO.

Wzór upoważnienia stanowi załącznik nr 1 do niniejszej Polityki Bezpieczeństwa.

Upoważnienia o których mowa powyżej ewidencjonowane są w Ewidencji upoważnień, która stanowi załącznik nr 2 do niniejszej dokumentacji i prowadzona jest przez ADO.

Każda osoba, z którą podpisane zostało upoważnienie do przetwarzania danych oświadcza jednocześnie, że zobowiązuje się do przestrzegania zapisów prawa oraz wewnętrznych procedur i regulacji ADO, zobowiązując się również do zachowania w tajemnicy przetwarzanych danych oraz sposobów ich zabezpieczenia.

Powyższe oświadczenie i zobowiązanie potwierdzone zostaje w postaci pisemnej uwzględnionej w upoważnieniu do przetwarzania danych osobowych (załącznik nr 1).

Wydanie upoważnienia uznaje się za wydanie polecenia przetwarzania danych przez ADO.

Osoby, które nie realizują powyższych przesłanek (podpisanie upoważnienia oraz oświadczenia i zobowiązania) nie mogą przetwarzać danych osobowych w organizacji ADO.

2)    Powierzanie danych osobowych innym firmom i podmiotom

W ramach prowadzonej działalności ADO może powierzyć dane osobowe, zgodnie z zasadami opisanymi w art. 28 RODO.

ADO powierza dane osobowe wyłącznie podmiotom przetwarzającym, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia RODO i chroniło prawa osób, których dane dotyczą.

Przy powierzeniu danych osobowych zawarta zostaje Umowa powierzenia, w której określa się cel powierzenia, jego zakres oraz zapewnienie podmiotu, któremu dane powierzono do stosowania odpowiedniej ochrony danych i ich zabezpieczenia.

Podmiot, z którym zawarto umowę powierzenia zobowiązany jest do udostępnienia ADO informacji, na temat spełnienia obowiązku zapewnienia należytej ochrony.

Informacja o podmiotach, którym powierzono dane osobowe stanowi załącznik nr 3 do niniejszej Polityki bezpieczeństwa.

3)    Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie

3.1          Administrator może korzystać w Sklepie Internetowym z profilowania do celów marketingu bezpośredniego, ale decyzje podejmowane na jego podstawie przez Administratora nie dotyczą zawarcia lub odmowy zawarcia Umowy Sprzedaży, czy też możliwości korzystania z Usług Elektronicznych w Sklepie Internetowym. Efektem korzystania z profilowania w Sklepie Internetowym może być np. przyznanie danej osobie rabatu, przesłanie jej kodu rabatowego, przypomnienie o niedokończonych zakupach, przesłanie propozycji Produktu, który może odpowiadać zainteresowaniom lub preferencjom danej osoby lub też zaproponowanie lepszych warunków w porównaniu do standardowej oferty Sklepu Internetowego. Mimo profilowania to dana osoba podejmuje swobodnie decyzję, czy będzie chciała skorzystać z otrzymanego w ten sposób rabatu, czy też lepszych warunków i dokonać zakupu w Sklepie Internetowym.

3.2          Profilowanie w Sklepie Internetowym polega na automatycznej analizie lub prognozie zachowania danej osoby na stronie Sklepu Internetowego np. poprzez dodanie konkretnego Produktu do koszyka, przeglądanie strony konkretnego Produktu w Sklepie Internetowym, czy też poprzez analizę dotychczasowej historii dokonanych zakupów w Sklepie Internetowym. Warunkiem takiego profilowania jest posiadanie przez Administratora danych osobowych danej osoby, aby móc jej następnie przesłać np. kod rabatowy.

3.3          Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.

V. Obowiązki ADO i Personelu

1)    Obowiązki ADO

ADO decyduje o środkach, celach i sposobach przetwarzania danych osobowych, dlatego zobowiązany jest do:

1. Zastosowania środków technicznych i organizacyjnych niezbędnych do zapewnienia bezpieczeństwa przetwarzanym danym w stopniu adekwatnym do potencjalnego zagrożenia wykazanego w przeprowadzonej analizie ryzyka.
2. Dopuszczenia do przetwarzania danych osobowych tylko osób upoważnionych.
3. Prowadzenia dokumentacji określającej sposoby przetwarzania danych osobowych i zapewniającej zachowanie zasady rozliczalności:

• Polityki bezpieczeństwa
• Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych
• Wydawania upoważnień do przetwarzania danych osobowych. Wzór upoważnienia stanowi załącznik nr 1
• Ewidencji upoważnień osób uprawnionych do przetwarzania danych osobowych w organizacji ADO. Ewidencja upoważnień stanowi załącznik nr 2.
• Ewidencji podmiotów, którym powierzono przetwarzanie danych. Ewidencja podmiotów stanowi załącznik nr 3
• Rejestru incydentów i naruszeń ochrony danych. Rejestr stanowi załącznik nr 4.
• Rejestru czynności przetwarzanych danych osobowych.
• Analizy ryzyka

Oraz zadbania o należyte opracowanie i aktualizację wyżej wymienionej dokumentacji, jak również przestrzeganie zasad w niej opisanych.

4. Zapoznanie osób upoważnionych do przetwarzania danych osobowych z przepisami i zasadami przetwarzania danych osobowych.
5. Zadbania o zgodne z prawem powierzanie i udostępnianie danych osobowych.
6. Zapewnienie fizycznych zabezpieczeń pomieszczeń, w których przetwarzane są dane osobowe, jak również kontrolę i nadzór nad osobami, które przebywają w obszarze przetwarzania.
7. Nadawanie, zmianę lub pozbawienie uprawnień dostępu do systemu informatycznego, w którym przetwarzane są dane osobowe.
8. Zapewnienie ochrony antywirusowej.
9. Tworzenie kopii zapasowych danych osobowych.
10. Zapewnienie respektowania praw osób, których dane dotyczą, a w szczególności prawa do:
    • Uzyskania informacji o Administratorze Danych Osobowych.
    • Uzyskania informacji o celach, zakresie i sposobach przetwarzania danych.
    • Uzyskania informacji o momencie rozpoczęcia przetwarzania danych.
    • Uzyskania informacji o tym, jakie dane są przetwarzane.
    • Uzyskania informacji o źródle, z którego dane pochodzą.
    • Uzyskania informacji o sposobie udostępniania danych oraz ich odbiorcach.
    • Żądania uzupełnienia, uaktualnienia, sprostowania danych,
    • Wniesienia umotywowanego wniosku do zaprzestania przetwarzania danych,
    • Wycofania zgody na przetwarzanie danych osobowych.
    • Usunięcia danych („prawo do bycia zapomnianym”),
    • Ograniczenia przetwarzania ,
    • Przenoszenia danych.

2)    Obowiązki Pracowników i Personelu

Poniższe obowiązki dotyczą Pracowników, Personelu, jak również wszystkich osób upoważnionych przez ADO do przetwarzania danych osobowych i w szczególności odnoszą się do:

1. Przestrzegania zaleceń i zasad ochrony danych osobowych wprowadzonych przez ADO.
2. Ochrony danych osobowych zgodnie z obowiązującymi przepisami prawa.
3. Przetwarzania danych osobowych tylko w zakresie określonym przez ADO.
4. Zgłaszania do ADO incydentów wynikających z naruszenia przepisów i zasad ochrony danych, w tym:

• Informacji o nieuprawnionym dostępie do danych osobowych.
• Usterek i problemów technicznych urządzeń służących do przetwarzania danych osobowych.
• Wykrycia wirusów oraz złośliwego oprogramowania, jak również wszelkich innych potencjalnych zagrożeń (w tym np. kradzież lub wyciek danych, atak na system informatyczny etc.)
• Wszelkich innych nieprawidłowości i potencjalnych zagrożeń związanych z naruszeniem ochrony danych osobowych.

5. Zabezpieczenie nośników i dokumentów zawierających dane osobowe przed nieuprawnionym dostępem.
6. Niszczenie w sposób trwały i niemożliwy do odzyskania dokumentów oraz nośników, na których przechowywane są dane osobowe, których okres przydatności minął.
7. Niezapisywania haseł dostępu do systemu informatycznego ADO oraz oprogramowania, w którym dane są przetwarzane w formie umożliwiającej dostęp do hasła osobom trzecim i nieuprawnionym.
8. Administrator danych osobowych podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą wszelkich informacji, o których mowa w art. 14 i 15 RODO (informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą, Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą).
9. W sytuacji pozyskania danych osobowych od osoby, której dotyczą ADO podaje tej osobie wszystkie następujące informacje:
   1. swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
   2. gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
   3. cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
   4. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
   5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
   6. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.
   7. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
   8. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
   9. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do: cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
   10. informacje o prawie wniesienia skargi do organu nadzorczego;
   11. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
   12. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

VI. Realizacja praw podmiotów danych

1)    Obowiązki informacyjne przy pozyskiwaniu danych osobowych

2. W sytuacji pozyskania danych osobowych w sposób inny, niż od osoby, której dane dotyczą Administrator danych osobowych podaje osobie, której dane dotyczą, następujące informacje:
3. swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
4. gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
5. cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania;
6. kategorie odnośnych danych osobowych;
7. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
8. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
9. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
10. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
11. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
12. informacje o prawie wniesienia skargi do organu nadzorczego;
13. źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;
14. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

3. Wskazane powyżej informacje Administrator danych osobowych podaje w rozsądnym terminie po pozyskaniu danych osobowych (nie później niż w ciągu miesiąca), mają na uwadze konkretne okoliczności przetwarzania danych osobowych
4. W przypadku wykorzystania danych osobowych w celu kontaktu z osoba, której dane dotyczą ADO informuje o wskazanych informacjach najpóźniej podczas pierwszego kontaktu.
5. W przypadku ujawniania danych osobowych innemu odbiorcy ADO informuje o tym osobę, której dane dotyczą najpóźniej przy pierwszym ujawnieniu.
6. Każda osoba, której dane osobowe przetwarzane są przez Administratora danych osobowych ma prawo do uzyskania potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce jest uprawniona do uzyskania dostępu do nich oraz uzyskania następujących informacji od ADO:
7. jakie są cele przetwarzania jej danych;
8. kategorie odnośnych danych osobowych;
9. kto jest odbiorcą danych i komu zostają ujawnione w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
10. w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
11. informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
12. informacje o prawie wniesienia skargi do organu nadzorczego;
13. jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
14. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
15. Osoba, której dane dotyczą ma prawo do uzyskania kopii danych osobowych podlegających przetwarzaniu. Jeśli osoba zwraca się o kopię drogą elektroniczną (np. przez pocztę e-mail) i nie zaznaczy innej formy, ADO przesyła kopię taką samą drogą.
16. Osoba, której dane dotyczą, ma prawo żądania od ADO niezwłocznego sprostowania dotyczących jej danych osobowych, jeśli są one nieprawidłowe. Dla konkretnego celu osoba, której dane dotyczą może również żądać uzupełnienia niekompletnych danych.
17. W celu realizacji powyższych zadań ADO dokłada wszelkich starań, aby niezwłocznie reagować na informacje o nieprawidłowych lub niekompletnych danych i dokonać poprawienia / uzupełnienia danych.
18. W przypadku żądania osoby, której dane dotyczą usunięcia jej danych, ADO usuwa w sposób trwały dane z każdego systemu informatycznego, oraz, jeśli ma to miejsce – danych w formie papierowej oraz z kopii zapasowych, jeśli:

2)    Informacje, do który może uzyskać dostęp osoba, której dane dotyczą

3)    Prawa osób, których dane dotyczą i sposób ich realizacji

1)    Prawo do sprostowania danych

2)    Prawo do usunięcia danych („prawo do bycia zapomnianym”)

• Dane nie są już niezbędne do celu ich pozyskania (np. zrealizowano zamówienie w sklepie internetowym, dokonano zatrudnienia pracownika w procesie rekrutacji).
• Osoba, której dane dotyczą cofnęła zgodę, na podstawie której dane są przetwarzane.
• Osoba, której dane dotyczą wniesie sprzeciw co do przetwarzania jej danych, a ADO nie ma prawnie uzasadnionego celu dalszego przetwarzania danych.

2. Żądanie usunięcia nie dotyczy danych, które wymagają od Administratora ich przetwarzania na podstawie obowiązujących przepisów prawa, np. w celach księgowo-podatkowych. W takiej sytuacji dane nadal mogą być przetwarzane w celach uzasadnionych przepisami prawa.
3. Po otrzymaniu żądania osoby, której dane dotyczą usunięcia jej danych ADO dokonuje sprawdzenia lokalizacji, z jakich należy usunąć dane, w tym dla danych, których przetwarzanie powierzono innym odbiorcom.
4. Dane zostają w sposób trwały i nieodzyskiwalny usunięte, ze wszystkich miejsc, co do których żądanie usunięcia jest uzasadnione, nie później niż w terminie miesiąca od wpłynięcia żądania.
5. ADO informuje osobę, której dane dotyczą o usunięciu jej danych. W przypadku posiadania adresu korespondencyjnego, adresu e-mail lub innego zestawu danych niezbędnego do komunikacji, ADO dokonuje ich usunięcia niezwłocznie po przesłaniu komunikatu.
6. W przypadku wątpliwości ADO co do pochodzenia żądania usunięcia, nie od osoby, której dane dotyczą (np. po otrzymaniu żądania w formie mailowej nie z adresu używanego wcześniej do korespondencji), ma on prawo do wstrzymania się od usunięcia danych do czasu potwierdzenia pochodzenia żądania.

2.1  Procedura usunięcia danych osobowych

3)    Prawo do ograniczenia przetwarzania

Osoba, której dane dotyczą, ma prawo żądania od ADO ograniczenia przetwarzania w następujących przypadkach:

1. Jeśli osoba, której dane dotyczą zakwestionowała prawidłowość danych osobowych, ADO wstrzymuje się od przetwarzania takich danych (z wyjątkiem czynności przechowywania danych) do czasu sprawdzenia ich poprawności.
2. Jeśli dane przetwarzane są niezgodnie z prawem, a osoba, której dane dotyczą sprzeciwia się ich usunięciu.
3. W przypadku wystąpienia uzasadnionej konieczności usunięcia danych (np. wygaśnięcie celu przetwarzania), ale osoba, której dane dotyczą sprzeciwia się ich usunięciu, ze względu na ustalenie, dochodzenie lub obronę roszczeń.
4. W przypadku uchylenia ograniczenia przetwarzania (np. ustalono poprawność danych) ADO informuje osobę, której dane dotyczą, o tym fakcie przed ponownym rozpoczęciem przetwarzania danych.
5. Osoba, której dane dotyczą ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadających się do odczytu maszynowego dane jej dotyczące, które dostarczyła ADO, oraz ma prawo przesłać te dane innemu administratorowi.
6. W przypadku przetwarzania danych na podstawie uzyskanej zgody lub w celu realizacji umowy, osoba której dane dotyczą ma prawo żądania, by dane osobowe zostały przesłane przez ADO innemu administratorowi, o ile jest to technicznie możliwe.
7. W przypadku naruszenia ochrony danych osobowych, które może spowodować wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą ADO bez zbędnej zwłoki zawiadamia osobę o takim naruszeniu.
8. Zawiadomienie o naruszeniu zawiera co najmniej:

4)    Prawo do przenoszenia danych

5)    Informowanie osoby, której dane dotyczą o naruszeniu ochrony danych osobowych

• Charakter naruszenia opisany jasnym i prostym językiem
• Dane kontaktowe ADO, Inspektora Ochrony Danych lub innej osoby, od której można uzyskać szczegółowe informacje na temat naruszenia (np. informatyka).
• Opis możliwych konsekwencji naruszenia danych.
• Opis środków zastosowanych lub zaproponowanych przez ADO, które mają zaradzić lub ograniczyć negatywne skutki naruszenia danych.

VII. Wykaz budynków i pomieszczeń tworzących obszar przetwarzania danych osobowych

1)    Obszar przetwarzania danych osobowych

Obszarem przetwarzania danych osobowych jest siedziba firmy znajdująca się pod adresem: ul. Strażacka 60, 34-124 Klecza Dolna gdzie dane osobowe przetwarzane są w następujących pomieszczeniach:

- pomieszczenie nr 1 – biuro właściciela (home office)

VIII. Środki techniczne i organizacyjnych niezbędne dla ochrony przetwarzanych danych

1)    Środki organizacyjne

1. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
2. Administrator danych kontroluje jakie dane osobowe, kiedy i przez kogo zostają do zbioru wprowadzone oraz komu są przekazywane.
3. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania.
4. Opracowano i wdrożono Politykę bezpieczeństwa oraz Instrukcję zarządzania systemem informatycznym.
5. Osoby upoważnione do przetwarzania danych zobowiązane zostały do zachowania danych w tajemnicy.
6. Osoby upoważnione do przetwarzania danych zostały zapoznane z obowiązującymi procedurami, przepisami i wytycznymi dotyczącymi przetwarzana danych zgodnie z obowiązującymi przepisami prawa ochrony danych osobowych.
7. Osoby upoważnione do przetwarzania danych zobowiązane są do ich zabezpieczenia przed dostępem osób nieuprawnionych (w tym innych członków organizacji ADO nieposiadających upoważnienia do przetwarzania tych danych) poprzez:

• blokadę komputera lub urządzenia używanego do przetwarzania danych w formie cyfrowej w momencie opuszczenia przez nią pomieszczenia poprzez wylogowanie się z konta lub wyłączenie urządzenia,
• zabezpieczenie danych przetwarzanych w formie papierowej przed dostępem osób nieuprawnionych, zwłaszcza w momencie znajdowania się takiej osoby w obszarze przetwarzania danych np. poprzez zamknięcie dokumentów w szafce, biurku, sejfie lub poprzez inne, skuteczne zabezpieczenie,
• zabezpieczenie papierowych oraz cyfrowych nośników danych po zakończeniu pracy, jeśli dostęp do pomieszczenia może uzyskać osoba postronna (np. serwis sprzątający, serwis urządzeń, ochrona budynku itd.),
• ustawienie ekranów komputerów i innych urządzeń, na których dane są przetwarzane w sposób uniemożliwiający wgląd w dane osobom nieuprawnionych. Dotyczy to zarówno urządzeń znajdujących się w obszarze przetwarzania danych, jak u urządzeń mobilnych, na których dane przetwarzane są poza tym obszarem (np. przez stosowanie filtra prywatyzującego),

8. Niedopuszczalne jest używanie nośników danych (pendrive, dysk zewnętrzny, telefon i inne) pochodzących z niewiadomego lub niepewnego źródła.
9. Stosowanie odpowiedniej polityki haseł oraz ich regularną zmianę (szczegóły opisano w Instrukcji zarządzania systemem informatycznym.
10. Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane.
11. Każdy z użytkowników systemu informatycznego, w którym przetwarzane są dane osobowe pracuje na własnym, unikalnym koncie.

Niedopuszczalne jest korzystanie kilku pracowników z jednego konta lub wymiana czy też udostępnienie hasła do takiego konta.

2. Przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego.
3. Kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco.
4. Dane osobowe przechowywane są w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nie przeciwpożarowymi).
5. Dane osobowe w formie papierowej przechowywane są w zamkniętej niemetalowej szafie.
6. Nośnik kopii zapasowych (np. pendrive lub zewnętrzny dysk twardy) przechowywany jest w zamkniętej niemetalowej szafie.
7. Pomieszczenie, w którym przetwarzane są zbiory danych osobowych zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego i/lub wolnostojącej gaśnicy.
8. Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów.
9. Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.
10. Zastosowano środki kryptograficznej ochrony danych dla danych osobowych przekazywanych drogą teletransmisji.
11. Dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów uwierzytelnienia.
12. Zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity.
13. Użyto system Firewall do ochrony dostępu do sieci komputerowej.
14. Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.
15. Zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe.
16. Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.

2)    Środki ochrony fizycznej

3)    Środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej

4)    Środki ochrony w ramach narzędzi programowych i baz danych

IX. Załączniki

Załącznik nr 1: Wzór upoważnienia do przetwarzania danych wraz z oświadczeniem                             o zobowiązaniu do zachowania poufności przetwarzanych danych.

Załącznik nr 2: Ewidencja osób upoważnionych do przetwarzania danych osobowych

Załącznik nr 3: Ewidencja podmiotów, którym powierzono przetwarzanie danych.

Załącznik nr 4: Rejestr incydentów i naruszeń ochrony danych w firmie

Załącznik nr 5: Wzór wykazu informacji podawanych przez Administratora Danych                               Osobowych w przypadku zbierania danych od osoby, której dane dotyczą

Torby Pro Krzysztof Flasz                                                                                                                          Data…….....

ul. Strażacka 60

34-124 Klecza Dolna

Nr upoważnienia: ……..

Upoważnienie do przetwarzania danych osobowych

W celu zachowania kontroli nad dostępem do danych osobowych ADO upoważnia do przetwarzania danych osobowych:

Panią/Pana ………………………………………………

                                                              Imię i nazwisko osoby upoważnianej

Która na polecenie ADO będzie przetwarzać dane osobowe w ramach następujących czynności:

(Zaznaczyć odpowiednie, pozostałe skreślić)

Realizacja zamówienia w sklepie internetowym

                Założenie konta w sklepie internetowym

                Prowadzenie księgowości

Prowadzenie sprzedaży na Allegro

Przetwarzanie danych kandydatów do pracy

Przetwarzanie danych pracowników

Przetwarzanie danych dostawców / kontrahentów

Wyłącznie w zakresie wynikającym z zadań służbowych pracownika / personelu.

Niniejsze upoważnienie zaczyna obowiązywać od daty jego wydania i traci ważność w momencie ustania stosunku o pracę, rozwiązania umowy lub odwołania przez ADO.

………………………………………………………..

Administrator Danych Osobowych

Czytelny podpis i data

Oświadczenie osoby upoważnionej o zobowiązaniu do zachowania poufności przetwarzanych danych

Ja, niżej podpisany/-na zobowiązuje się do zachowania w tajemnicy przetwarzanych danych osobowych i sposobów ich zabezpieczeń, w czasie jak również po ustaniu stosunku pracy, oraz do przestrzegania instrukcji i procedur związanych z ochroną danych osobowych.

Oświadczam, że zapoznałam/zapoznałem się z przepisami o ochronie danych osobowych oraz dokumentami Polityki Bezpieczeństwa danych osobowych i Instrukcją Zarządzania Systemem Informatycznym wprowadzonymi w Torby Pro Krzysztof Flasz.

……………………………………………………………………

Data i podpis osoby upoważnionej

Ewidencja osób upoważnionych do przetwarzania danych osobowych w Torby Pro Krzysztof Flasz

Rejestr incydentów i naruszeń ochrony danych w firmie Torby Pro Krzysztof Flasz

1. Niniejszy rejestr prowadzony jest zgodnie z Art. 33 ust. 5 RODO.
2. W rejestrze należy uwzględniać wszystkie naruszenia i incydenty, nawet jeśli nie powodują one ryzyka naruszenia praw i wolności osób, których dane dotyczą.
3. W przypadku naruszenia ochrony danych osobowych, Administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzi po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazane organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Wzór wykazu informacji podawanych przez Administratora Danych Osobowych w przypadku zbierania danych od osoby, której dane dotyczą

1. Jeżeli dane osobowe zbierane od osoby, której dotyczą w momencie pozyskania danych osobowych Administrator podaje następujące informacje:

Twoje dane osobowe przetwarzane będą przez Krzysztofa Flasza, z którym możesz skontaktować się poprzez pocztę elektroniczną wysyłając wiadomość na adres info@torby.pro. Możesz również skorzystać z poczty tradycyjnej -ul. Strażacka 60, 34-124 Klecza Dolna.

Twoje dane osobowe będą przetwarzane w celu <wpisujemy cel przetwarzania danych – w razie wątpliwości cel określono dla każdej operacji przetwarzania w rejestrze czynności przetwarzania – kolumna B. Jeśli pozyskujemy dane dla różnych celów, należy wpisać wszystkie>. Podstawą prawną przetwarzania danych dla wskazanego celu / celów jest <wpisujemy podstawę prawną z kolumny H rejestru czynności przetwarzania, np. Art. 6, ust. 1, lit. b RODO>.

Jeśli przetwarzamy Twoje dane na podstawie zgody, masz prawo do jej cofnięcia. Masz również prawo do wniesienia skargi do organu nadzorczego, żądania od Administratora dostępu do danych, które Cię dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także do wniesienia sprzeciwu wobec ich przetwarzania i przeniesieniu danych.

Podanie danych osobowych jest dobrowolne, z zastrzeżeniem dwóch wyjątków:

• zawieranie umów z Administratorem - niepodanie w przypadkach i w zakresie wskazanym na stronie Sklepu Internetowego oraz w Regulaminie Sklepu Internetowego danych osobowych niezbędnych do zawarcia i wykonania Umowy Sprzedaży lub umowy o świadczenie Usługi Elektronicznej z Administratorem skutkuje brakiem możliwości zawarcia tejże umowy. Podanie danych osobowych jest w takim wypadku wymogiem umownym i jeżeli osoba, które dane dotyczą chce zawrzeć daną umowę z Administratorem, to jest zobowiązana do podania wymaganych danych. Każdorazowo zakres danych wymaganych do zawarcia umowy wskazany jest uprzednio na stronie Sklepu Internetowego oraz w Regulaminie Sklepu Internetowego;
• Obowiązki ustawowe Administratora - podanie danych osobowych jest wymogiem ustawowym wynikającym z powszechnie obowiązujących przepisów prawa nakładających na Administratora obowiązek przetwarzania danych osobowych (np. przetwarzanie danych w celu prowadzenia ksiąg podatkowych lub rachunkowych) i brak ich podania uniemożliwi Administratorowi wykonanie tychże obowiązków.

Twoje dane osobowe mogą zostać przekazane następującym kategoriom odbiorców, w zależności od Twojego wyboru sposobu realizacji umowy lub innej czynności przetwarzania:

• przewoźnicy / spedytorzy / brokerzy kurierscy
• podmioty obsługujące płatności elektroniczne lub kartą płatniczą
• podmioty kredytujące / leasingodawcy
• dostawcy systemu ankiet opiniujących
• dostawcy usług zaopatrujący Administratora w rozwiązania techniczne, informatyczne oraz organizacyjne, umożliwiające Administratorowi prowadzenie działalności gospodarczej, w tym Sklepu Internetowego i świadczonych za jego pośrednictwem Usług
• dostawcy usług księgowych, prawnych i doradczych zapewniający Administratorowi wsparcie księgowe, prawne lub doradcze (w szczególności biuro księgowe, kancelaria prawna lub firma windykacyjna) ,

Twoje dane osobowe będą przetwarzane tylko przez <wpisujemy czas przechowywania danych lub kryteria ustalania tego okresu – np. do czasu ustania obowiązku prawnego, czy np. do czasu rezygnacji osoby, której dane dotyczą z usługi konta w sklepie internetowym. Informację o planowanym terminie usunięcia danych osobowych znajdziemy w kolumnie F Rejestru czynności przetwarzania>

Administrator może korzystać w Sklepie Internetowym z profilowania do celów marketingu bezpośredniego, ale decyzje podejmowane na jego podstawie przez Administratora nie dotyczą zawarcia lub odmowy zawarcia Umowy Sprzedaży, czy też możliwości korzystania z Usług Elektronicznych w Sklepie Internetowym. Efektem korzystania z profilowania w Sklepie Internetowym może być np. przyznanie danej osobie rabatu, przesłanie jej kodu rabatowego, przypomnienie o niedokończonych zakupach, przesłanie propozycji Produktu, który może odpowiadać zainteresowaniom lub preferencjom danej osoby lub też zaproponowanie lepszych warunków w porównaniu do standardowej oferty Sklepu Internetowego. Mimo profilowania to dana osoba podejmuje swobodnie decyzję, czy będzie chciała skorzystać z otrzymanego w ten sposób rabatu, czy też lepszych warunków i dokonać zakupu w Sklepie Internetowym

WAŻNE – w przypadku przekazywania danych osobowych do państwa trzeciego (czyli leżącego poza europejskim obszarem gospodarczym) należy o tym poinformować, wraz z informacją o stwierdzeniu lub braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony danych w takim państwie. Niestety obecnie takie wytyczne nie są jeszcze opublikowane.

2. Jeśli dane osobowe zostały pozyskane nie od osoby, której dotyczą dodatkowo (włączają informacje z punktu 1 powyżej ) należy poinformować o źródle pochodzenia danych oraz czy pochodzą one ze źródeł publicznie dostępnych.