Polityka ochrony danych osobowych

Niniejsza polityka, zwana dalej „Polityką”, opisuje reguły i zasady ochrony danych osobowych przetwarzanych przez

Michał Polniak TRENER PERSONALNY, z siedzibą przy ul. Ogrodowej 4/9 w Sosnowcu. NIP: 644-341-80-03, REGON: 363-254-297

 zwanego dalej „Administratorem”.

Polityka ma za zadanie stanowić mapę wymogów, zasad i regulacji ochrony danych osobowych stosowanych przez administratora danych osobowych.

Polityka może podlegać aktualizacjom i modyfikacjom. Wszystkie zmiany w dokumencie muszą zostać odnotowane w poniższym rejestrze zmian.

Data modyfikacji Autor modyfikacji Opis zmian
  06.06.2020r.Michał Polniak   Dodanie polityki prywatności dot. korespondencji email  
     
     
     

Spis treści

§ 1 Postanowienia wstępne.

§ 2 Zakres zastosowania.

§ 3 Bezpieczeństwo danych osobowych.

§ 4 Administrator danych osobowych (ADO).

§ 5 Inspektor ochrony danych osobowych (IODO).

§ 6 Obsługa informatyczna.

§ 7 Obszar przetwarzania danych.

§ 8 Sprzęt wykorzystywany do przetwarzania danych osobowych.

§ 9 Oprogramowanie wykorzystywane do przetwarzania danych osobowych.

§ 10 Dokumentacja papierowa.

§ 11 Monitoring.

§ 12 Kopie bezpieczeństwa.

§ 13 Ochrona antywirusowa.

§ 14 Zasady dotyczące przetwarzania danych osobowych.

§ 15 Środki bezpieczeństwa, analiza ryzyka, ocena skutków.

§ 16 Obsługa praw jednostki.

§ 17 Retencja danych.

§ 18 Podmioty przetwarzające.

§ 19 Osoby upoważnione.

§ 20 Odbiorcy danych.

§ 21 Naruszenia ochrony danych osobowych.

§ 22 Czy korzystamy z plików cookies i czym one właściwie są?

§ 23 Na jakiej podstawie korzystamy z plików cookies?

§ 24 Czy możesz wyłączyć pliki cookies?

§ 25 W jakich celach korzystamy z plików cookies własnych?

§ 26 Jakie pliki cookies podmiotów trzecich są wykorzystywane?

§ 27 Czy śledzimy Twoje zachowania podejmowane w ramach naszej strony?

§ 28 Czy kierujemy do Ciebie targetowane reklamy?

§ 29 Polityka prywatności dotycząca korespondencji email.

§ 30 W jaki sposób możesz zarządzać swoją prywatnością?

§ 31 Postanowienia końcowe.

Załączniki:

Załącznik nr 1 – lista osób posiadających breloczek pozwalający uzyskać dostęp do siedziby Administratora.

Załącznik nr 2 – wykaz sprzętu wykorzystywanego do przetwarzania danych osobowych.

Załącznik nr 3 – wykaz skrzynek e-mail funkcjonujących w ramach organizacji Administratora.

Załącznik nr 4 – wykaz podmiotów przetwarzających.

Załącznik nr 5 – wykaz środków ochrony danych osobowych.

Załącznik nr 6 – wykaz oprogramowania wykorzystywanego do przetwarzania danych.

Załącznik nr 7 – wykaz osób posiadających dostęp do serwerów.

§ 1 Postanowienia wstępne

  1. Administrator prowadzi działalność gospodarczą w zakresie:
    1. prowadzenia treningów personalnych;
    2. planowania i programowania treningów online;
    3. tworzenia i publikacji treści merytorycznych.
  2. W związku z prowadzoną przez Administratora działalnością gospodarczą dochodzi do przetwarzania danych osobowych.
  3. Dane osobowe przetwarzane są zarówno w formie elektronicznej, jak i papierowej.
  4. Celem Polityki jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych sposobu przetwarzania informacji zawierających dane osobowe, w tym zapewnienie ochrony danych osobowych przed wszelakiego rodzaju zagrożeniami, tak wewnętrznymi jak i zewnętrznymi, świadomymi lub nieświadomymi.
  5. Polityka opisuje również zasady zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych
  6. Polityka została wdrożona w związku z treścią art. 24 ust. 2 RODO jako dowód dołożenia należytej staranności w zakresie ochrony danych osobowych. 
  7. Ochrona danych osobowych realizowana jest poprzez zabezpieczenia fizyczne, organizacyjne, oprogramowanie systemowe, aplikacje oraz samych użytkowników.
  8. Polityka stanowi element dokumentacji ochrony danych osobowych wdrożonej przez Administratora, która to dokumentacja obejmuje, poza Polityką, również inne dokumenty. Dokumentacja ochrony danych osobowych jest przez Administratora przechowywana w formie elektronicznej.

§ 2 Zakres zastosowania

  1. Polityka zawiera informacje dotyczące zasad przetwarzania danych osobowych, do którego dochodzi w związku z prowadzoną przez Administratora działalnością gospodarczą.
  2. Politykę stosuje się w szczególności do:
    1. danych osobowych przetwarzanych w formie papierowej i elektronicznej,
    2. danych osobowych przetwarzanych w systemach informatycznych,
    3. informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych,
    4. rejestru osób dopuszczonych do przetwarzania danych osobowych,
    5. wszelkich innych dokumentów zawierających dane osobowe.
  3. Zasady ochrony danych osobowych określone przez Politykę mają zastosowanie do wszystkich systemów informatycznych, w których przetwarzane są dane osobowe, wszystkich lokalizacji, w których przetwarzane są dane osobowe oraz wszystkich osób mających dostęp do danych osobowych z upoważnienia Administratora, a w szczególności:
    1. wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych, w których przetwarzane są dane osobowe podlegające ochronie,
    2. wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie,
    3. wszystkich pracowników, zleceniobiorców, wykonawców umów o dzieło, wykonawców umów o świadczenie usług, praktykantów, stażystów i innych osób mających dostęp do informacji podlegających ochronie.
  4. Polityka nie dotyczy podmiotów zewnętrznych, które przetwarzają dane osobowe powierzone im do przetwarzania przez administratora danych osobowych na podstawie stosownych umów powierzenia. Podmioty te stosują własne procedury i środki bezpieczeństwa związane z ochroną danych osobowych wymagane przez przepisy prawa, do czego zobowiązały się w ramach zawartych umów powierzenia przetwarzania danych osobowych. Niemniej jednak, część z podmiotów związanych z Administratorem umowami powierzenia może być zobowiązana do przestrzegania postanowień Polityki oraz pozostałych dokumentów wewnętrznych Administratora – chodzi tutaj o osoby, z którymi umowy powierzenia zostały zawarte z uwagi na współpracę w modelu B2B, nad którymi to jednak osobami Administrator posiada pewnego rodzaju kontrolę, w przeciwieństwie do podmiotów całkowicie zewnętrznych.

§ 3 Bezpieczeństwo danych osobowych

  1. Utrzymanie bezpieczeństwa przetwarzanych danych osobowych rozumiane jest jako zapewnienie ich poufności, integralności, rozliczalności oraz dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest wielkość ryzyka związanego z ochroną danych osobowych.
  2. Zastosowane zabezpieczenia mają służyć zapewnieniu bezpieczeństwa danych osobowych i zapewnić:
    1. poufność danych – rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom,
    2. integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany
    3. rozliczalność danych – rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie
    4. integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej
    5. dostępność informacji – rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne
    6. zarządzanie ryzykiem – rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych.
  3. Bezpieczeństwo danych osobowych opiera się o filary ochrony danych osobowych stosowane przez Administratora:
    1. legalność – Administrator dba o ochronę prywatności i przetwarzane dane zgodnie z prawem,
    2. bezpieczeństwo – Administrator zapewnia odpowiedni poziom bezpieczeństwa danych, podejmując stale działania w tym zakresie,
    3. prawa jednostki – Administrator umożliwia osobom, których dane przetwarza, wykonywanie swoich praw i prawa te realizuje,
    4. rozliczalność – Administrator dokumentuje to, w jaki sposób spełnia obowiązki, aby w każdej chwili móc wykazać zgodność.

§ 4 Administrator danych osobowych (ADO)

  1. Administratorem danych osobowych jest firma Michał Polniak TRENER PERSONALNY z siedzibą przy ul. Ogrodowej 4/9 w Sosnowcu. NIP: 644-341-80-03, REGON: 363-254-297.
  2. Do najważniejszych zadań Administratora należy:
    1. wdrożenie, utrzymywanie i aktualizowanie Polityki,
    2. organizacja bezpieczeństwa i ochrony danych osobowych zgodnie z wymogami obowiązujących przepisów prawa,
    3. zapewnienie przetwarzania danych zgodnie z uregulowaniami Polityki,
    4. wydawanie i anulowanie upoważnień do przetwarzania danych osobowych,
    5. prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,
    6. weryfikacja podmiotów przetwarzających i zawieranie umów powierzenia,
    7. prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych i zgłoszenie faktu naruszenia organowi nadzorczemu oraz zawiadomienie o tym osoby, której dane dotyczą,
    8. nadzór nad bezpieczeństwem danych osobowych,
    9. inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych,
    10. przeprowadzanie szkoleń użytkowników przed przystąpieniem przez nich do przetwarzania danych osobowych,
    11. pozbawianie urządzeń i innych nośników informacji przeznaczonych do likwidacji zapisu danych lub – gdy nie jest to możliwe – uszkadzanie je trwale w sposób uniemożliwiający odczytanie danych,
    12. nadzorowanie usuwania awarii sprzętu komputerowego w sposób zapewniający bezpieczeństwo przetwarzanych danych osobowych,
    13. nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których przetwarzane są dane osobowe,
    14. nadzór nad czynnościami związanymi z ochroną przeciwwirusową, czynnościami serwisowymi dotyczącymi komputerów oraz systemów operacyjnych, przy wykorzystaniu których przetwarzane są dane osobowe,
    15. podejmowanie i nadzorowanie wszelkich innych działań zmierzających do zapewnienia bezpieczeństwa przetwarzanych w systemie informatycznym danych osobowych.
  3. Za realizację i koordynację zadań związanych z ochroną danych osobowych odpowiedzialny jest Michał Polniak.

§ 5 Inspektor ochrony danych osobowych (IODO)

Administrator nie wyznaczył inspektora ochrony danych osobowych świadomie, stwierdzając, że nie ciąży na nim taki obowiązek na podstawie art. 37 RODO ze względu na fakt, że:

  1. nie jest organem ani podmiotem publicznym,
    1. jego główna działalność nie polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
    2. jego główna działalność nie polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych ani danych osobowych dotyczących wyroków skazujących i czynów zabronionych (administrator w ogóle nie przetwarza tego rodzaju danych osobowych).

§ 6 Obsługa informatyczna

  1. Czynności w zakresie obsługi informatycznej wykonywane i koordynowane są przez Michała Polniaka. W razie nieobecności lub niedostępności, wyznaczy on zastępcę.
  2. Do czynności, o których mowa powyżej, należy:
    1. bieżący monitoring i zapewnienie ciągłości działania komputerów i innych urządzeń wykorzystywanych do przetwarzania danych osobowych oraz systemów operacyjnych,
    2. optymalizację wydajności komputerów i innych urządzeń wykorzystywanych do przetwarzania danych osobowych oraz systemów operacyjnych,
    3. instalację i konfiguracje sprzętu sieciowego i serwerowego,
    4. instalację i konfigurację oprogramowania systemowego, sieciowego,
    5. konfigurację i administrowanie oprogramowaniem systemowym, sieciowym oraz zabezpieczającym dane chronione przed nieupoważnionym dostępem,
    6. nadzór nad zapewnieniem awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych,
    7. współpracę z dostawcami usług oraz sprzętu sieciowego i serwerowego,
    8. zarządzanie kopiami awaryjnymi konfiguracji oprogramowania systemowego, sieciowego,
    9. zarządzanie kopiami awaryjnymi danych osobowych oraz zasobów umożliwiających ich przetwarzanie,
    10. przeciwdziałanie próbom naruszenia bezpieczeństwa informacji,
    11. przyznawanie określonych praw dostępu do informacji w danym systemie,
    12. zarządzanie licencjami, procedurami ich dotyczącymi,
    13. prowadzenie profilaktyki antywirusowej.

§ 7 Obszar przetwarzania danych

  1. Podstawowym obszarem przetwarzania danych osobowych jest siedziba Administratora znajdująca się pod następującym adresem: 41-215 Sosnowiec, ul. Ogrodowa 4/9.
  2. Siedziba Administratora to lokal o powierzchni ok. 56 m2 znajdujący się na pierwszym piętrze w budynku, w którym znajdują się również inne lokale. Wejście do siedziby zabezpieczone jest dwoma parami drzwi, które wyposażone są w zamki antywłamaniowe. W siedzibie Administratora znajdują się trzy oddzielne pokoje oraz korytarz i przestrzeń socjalna. Pokoje wyposażone są w drzwi zwykłe zamykane na zamek.
  3. Wejście do siedziby zabezpieczone jest drzwiami. Lista osób posiadających klucz pozwalający na dostęp do siedziby stanowi załącznik nr 1 do Polityki.
  4. W obrębie siedziby Administratora dochodzi do przetwarzania danych w formie papierowej oraz elektronicznej.
  5. Dane osobowe są również przetwarzane poza siedzibą Administratora z uwagi na wykorzystywanie do pracy urządzeń mobilnych pozwalających przetwarzać dane w dowolnym czasie i z dowolnego miejsca. Dane te są przetwarzane na komputerach oraz telefonach. W tym zakresie stosowane są środki ostrożności takie jak m.in.: stosowanie polityki czystego pulpitu, posługiwanie się silnymi hasłami składającym się co najmniej z 8 znaków, w tym liter i cyfr, a także aktywowanie wygaszaczy ekranów na urządzeniach wykorzystywanych do przetwarzania danych osobowych po określonym czasie nieaktywności użytkownika. Wszystkie czynności podejmowane w związku z przetwarzaniem danych osobowych poza siedzibą Administratora muszą być wykonywane z należytą dbałością o zabezpieczenie danych osobowych i zapewnienie ich poufności.
  6. W obrębie siedziby Administratora mogą przebywać osoby upoważnione do przetwarzania danych osobowych, a także osoby przebywające tam w związku z realizacją zawartych z nimi umów. Obecność innych osób jest dopuszczalna, ale tylko pod nadzorem osób upoważnionych do przetwarzania danych osobowych i z zachowaniem zasad bezpieczeństwa mających na celu uniemożliwienie uzyskania dostępu do danych osobowych przez osoby do tego nieuprawnione. W szczególności, na czas obecności osób nieupoważnionych, dokumenty zawierające dane osobowe chowane są w miejsca uniemożliwiające zapoznanie się z nimi, a ekrany komputerów są wygaszane lub tak ustawiane by uniemożliwić wgląd w dane osobowe.
  7. Ponieważ Administrator powierza przetwarzanie danych osobowych podmiotom trzecim, do przetwarzania danych osobowych dochodzi również w innych lokalizacjach, ale w tym zakresie czynności przetwarzania dokonuje podmiot trzeci lub ewentualnie podmioty do tego przez niego upoważnione. Administrator danych osobowych nie ma szczegółowej wiedzy na temat lokalizacji, w obrębie których dochodzi do przetwarzania danych przez podmioty, którym powierzył przetwarzanie danych osobowych, ale podmioty te zobowiązały się do stosowania odpowiednich środków ochrony i bezpieczeństwa danych osobowych wymaganych przez przepisy prawa. W zakresie lokalizacji przetwarzania danych przez podmioty przetwarzające, Administrator pozyskuje zawsze informację czy dane przetwarzane są w obrębie Europejskiego Obszaru Gospodarczego czy poza nim, a w sytuacji, gdy poza nim, weryfikuje czy dany podmiot zapewnia odpowiedni poziom ochrony danych osobowych poprzez korzystanie z mechanizmów zgodności takich jak Tarcza Prywatności, standardowe klauzule umowne.

§ 8 Sprzęt wykorzystywany do przetwarzania danych osobowych

  1. Dane osobowe przetwarzane są z wykorzystaniem komputerów, smartfonów, tabletów oraz dysków lub pamięci przenośnych.
  2. Ponadto, dane osobowe przechowywane są na serwerach. Serwery te nie należą do Administratora, lecz zapewniane są przez podmioty trzecie, z którymi łączą Administratora umowy powierzenia przetwarzania danych osobowych. Do serwerów, na których przechowywane są dane w ramach oprogramowania zapewnionego przez zewnętrzne podmioty administrator ani osoby upoważnione w ogóle nie mają dostępu. Dostęp do plików i bazy danych przechowywanej na serwerze zapewnianej przez zewnętrznego hostingodawcę mają określone osoby wskazane w załączniku nr 7 do Polityki.
  3. Osoby upoważnione do przetwarzania danych osobowych mogą przetwarzać dane z wykorzystaniem własnego, prywatnego sprzętu, po uprzednim uzyskaniu stosownej zgody od Administratora. W takiej sytuacji zobowiązane są do wdrożenia na swoim sprzęcie takich zabezpieczeń, by zapewnić pełną poufność przetwarzanych danych osobowych. Administrator ma prawo do kontroli zastosowanych zabezpieczeń. Ponadto, Administrator ogranicza logowanie do systemów wykorzystywanych do przetwarzania danych osobowych wyłącznie do zweryfikowanego wcześniej sprzętu. Oznacza to, że osoba upoważniona będzie mogła zalogować się do systemu tylko z uprzednio zdefiniowanego w systemie przez Administratora sprzętu
  4. Wykaz sprzętu wykorzystywanego do przetwarzania danych osobowych stanowi załącznik nr 2 do Polityki.
  5. Na dyskach komputerów mogą być przechowywane pliki zawierające dane osobowe. Możliwość uzyskania dostępu do danych przechowywanych na dysku uzależniona jest od uprzedniego zalogowania się z wykorzystaniem nazwy użytkownika oraz hasła.
  6. W pamięci smartfonów również mogą być przechowywane pliki zawierające dane osobowe. Możliwość uzyskania dostępu do danych uzależniona jest od uprzedniego potwierdzenia swojej tożsamości poprzez mechanizm uwierzytelniania użytkownika funkcjonujący w ramach danego smartfona.
  7. Jeżeli dane przechowywane są na dyskach lub w pamięciach przenośnych, dyski te lub pamięci podlegają szyfrowaniu. Administrator dąży jednak do minimalizacji wykorzystywania dysków lub pamięci przenośnych. Jeżeli dane przechowywane są na zewnętrznym dysku twardym, to w przypadku konieczności likwidacji dysku twardego, zostaje on w miarę możliwości poddany pełnemu formatowaniu.
  8. Ekrany monitorów, na których możliwy jest dostęp do danych osobowych, są automatycznie wyłączane po upływie ustalonego czasu nieaktywności użytkownika.
  9. Monitory komputerów są tak ustawione, aby uniemożliwić osobom postronnym wgląd do danych osobowych.
  10. Urządzenia komputerowe, dyski twarde lub inne informatyczne nośniki danych przeznaczone do naprawy, pozbawia się przed tymi czynnościami zapisu zgromadzonych na nich danych osobowych.
  11. Sprzętem pośrednio wykorzystywanym przy przetwarzaniu danych osobowych są również drukarki, które służą do drukowania dokumentów zawierających dane osobowe. Drukarki mogą funkcjonować w sieci bezprzewodowej, co oznacza, że z każdego komputera podłączonego do sieci WiFi zarządzanej przez Administratora możliwe jest połączenie się z drukarką i wykonanie wydruku. Wydrukowane dokumenty zabierane są niezwłocznie z tacy drukarki po wykonaniu wydruku. Postępowanie z dokumentami drukowanymi opisane jest szczegółowo w § 10 Polityki.
  12. Komputery wykorzystywane do przetwarzania danych osobowych w obrębie siedziby Administratora mają połączenie z Internetem poprzez sieć WiFi funkcjonującą w obrębie siedziby Administratora. Dostęp do sieci zabezpieczony jest hasłem, które znane jest wyłącznie Administratorowi i osobom upoważnionym do przetwarzania danych osobowych.

§ 9 Oprogramowanie wykorzystywane do przetwarzania danych osobowych

  1. Dane osobowe przetwarzane są z wykorzystaniem zarówno oprogramowania lokalnie zainstalowanego na dysku komputera lub smartfona, jak również w postaci oprogramowania chmurowego. Wykaz oprogramowania wykorzystywanego do przetwarzania danych osobowych stanowi załącznik nr 6 do Polityki.
  2. Oprogramowanie wykorzystywane do przetwarzania danych osobowych zostało wskazane również w ramach rejestru czynności przetwarzania z przyporządkowaniem do poszczególnych czynności przetwarzania.
  3. Administrator dąży do tego, by każda osoba biorąca udział w przetwarzaniu danych osobowych posiadała swoje własne konto w ramach oprogramowania do przetwarzania danych, tak by wszystkie czynności dokonywane na danych osobowych mogły być przypisane konkretnym użytkownikom. Nie zawsze jest to jednak możliwe, w szczególności, gdy chodzi o oprogramowanie zainstalowane lokalnie na komputerze, takie jak oprogramowanie biurowe czy wręcz sam system operacyjny. W tym zakresie odrębne konto użytkownika dotyczy konta użytkownika w systemie operacyjnym.

§ 10 Dokumentacja papierowa

  1. Dane osobowe mogą być przetwarzane w formie papierowej, gdy zachodzi konieczność dokonania bieżących wydruków określonych dokumentów w celach operacyjnych lub gdy określone dokumenty przechowywane są w dłuższych okresach czasu. Ponadto, część dokumentów może być dostarczana Administratorowi przez inne podmioty.
  2. Dokumenty zawierające dane osobowe to, w szczególności:
    1. faktury,
    2. formularze zamówień,
    3. umowy,
    4. oświadczenia,
    5. reklamacje,
    6. oświadczenie o odstąpieniu od umowy,
    7. dokumentacja pracownicza,
    8. potwierdzenia przelewów,
    9. wyciągi bankowe,
    10. korespondencja papierowa.
  3. Dokumenty drukowane z uwagi na bieżące cele operacyjne są niezwłocznie niszczone z wykorzystaniem niszczarki po zrealizowaniu zadania wymagającego uprzedniego wydruku.
  4. Dokumenty zawierające dane osobowe nie mogą być pozostawiane w miejscach ogólnodostępnych bez opieki. Dokumenty mogą znajdować się na biurkach i innych tego typu powierzchniach podczas wykonywania określonych zadań wymagających dostępu do dokumentów. Po zakończeniu pracy dokument powinien zostać zniszczony z wykorzystaniem niszczarki lub włożony do szafy, o której mowa w ust. 7 poniżej.
  5. Dokumenty dostarczane pocztą lub za pośrednictwem kuriera odbierane są przez Administratora lub przez osoby przez niego do tego upoważnione.
  6. Postępowanie z dokumentacją papierową ma prowadzić do tego, by nikt nieupoważniony nie uzyskał wglądu do danych osobowych zawartych w treści dokumentów.
  7. Administrator nie posiada oddzielnego pomieszczenia przeznaczonego na archiwum. Dokumenty, które przechowywane są w dłuższych okresach czasu, znajdują się w siedzibie Administratora, do której dostęp posiadają wyłącznie osoby upoważnione do przetwarzania danych osobowych.
  8. Dokumenty zawierające dane osobowe nie mogą być wynoszone poza obszar siedziby Administratora, chyba że Administrator wyrazi na to zgodę ze względu na konieczność realizacji określonych obowiązków poza siedzibą Administratora. W takiej sytuacji, muszą zostać podjęte wszelkie środki ostrożności mające na celu zapewnienie poufności dokumentów wynoszonych poza siedzibę Administratora.
  9. Jeżeli zachodzi konieczność przesłania dokumentów zawierających dane osobowe, dopuszczalne jest wyłącznie korzystanie z pocztowych przesyłek rejestrowanych oraz usług kurierskich, tak by w razie ewentualnych problemów z doręczeniem możliwe było sprawne przeprowadzenie postępowania reklamacyjnego. Dokumenty powinny być w odpowiedni sposób zapakowane, by ograniczyć ryzyko ich zniszczenia.
  10. Szczególnym rodzajem dokumentacji zawierającej dane osobowe jest dokumentacja księgowa, która gromadzona jest przez zewnętrzne biuro rachunkowe, a po zakończeniu roku podatkowego wydawana Administratorowi i przechowywana w jego siedzibie.

§ 11 Monitoring

  1. Administrator ma możliwość monitorowania korespondencji wymienianej w ramach poczty elektronicznej przez osoby, dla których zostały utworzone skrzynki pocztowe w ramach organizacji Administratora. Skrzynki zakładane są przez Administratora. Administrator może w każdej chwili dokonywać monitoringu skrzynek pocztowych, logując się do nich i przeglądać ich zawartość. Administrator może również blokować dostęp do skrzynek, zmieniać hasła itp. Osoby korzystające ze skrzynek zostały o tym poinformowane w ramach obowiązku informacyjnego.
  2. Wykaz skrzynek e-mail stanowi załącznik nr 3 do Polityki.
  3. W ramach oprogramowania chmurowego wykorzystywanego do przetwarzania danych osobowych, Administrator ma możliwość weryfikacji, który użytkownik i w jakim czasie logował się do swojego konta.

§ 12 Kopie bezpieczeństwa

  1. W stosunku do dokumentów zawierających dane osobowe nie są wykonywane ich kopie. Postępowanie z dokumentami opisane w § 10 Polityki jest zdaniem Administratora wystarczające, by zapewnić bezpieczeństwo dokumentów i nie ma konieczności wykonywania ich dodatkowych kopii.
  2. Wykonywane są kopie zapasowe elektronicznych baz danych Administratora. Kopie wykonywane są cyklicznie, co 24 godziny. Kopie przechowywane są w formie zaszyfrowanej i skompresowanej na serwerze zapewnianym przez podmiot zewnętrzny. Kopie są nadpisywane, co oznacza, że wykonanie kolejnej kopii zapasowej powoduje trwałą niedostępność poprzednio wykonanej kopii zapasowej.
  3. Jeżeli chodzi o dane osobowe przetwarzane w ramach plików elektronicznych przechowywanych na dysku komputerów, to pliki te są automatycznie synchronizowane z Dyskiem Google, co stanowi ich dodatkową kopię zapasową na wypadek utraty dostępu do danych z dysku komputera.
  4. Ponadto, kopie zapasowe wykonywane są przez zewnętrznego hostingodawcę według procedur przez niego stosowanych, które to procedury, zgodnie ze zobowiązaniami wynikającymi z powierzenia przetwarzania danych, odpowiadają wymogom przepisów prawa.

§ 13 Ochrona antywirusowa

  1. Ochrona antywirusowa jest realizowana poprzez zainstalowanie odpowiedniego oprogramowania antywirusowego.
  2. W przypadku wykrycia wirusa komputerowego, użytkownik systemu zobowiązany jest do natychmiastowego poinformowania o tym fakcie Administratora.
  3. System operacyjny podlega regularnej kontroli pod kątem obecności wirusów komputerowych.
  4. Wykryte zagrożenia usuwa się niezwłocznie z systemu operacyjnego.
  5. Przed przystąpieniem do unieszkodliwienia wirusa, należy zabezpieczyć dane zawarte w systemie przed ich utratą.
  6. Osobą odpowiedzialną za powyższe działania jest Michał Polniak.

§ 14 Zasady dotyczące przetwarzania danych osobowych

  1. Administrator przetwarza dane osobowe z poszanowaniem następujących zasad:
    1. w oparciu o podstawę prawną i zgodnie z prawem (legalizm),
    2. uczciwie i w sposób przejrzysty (rzetelność i transparentność),
    3. w konkretnych celach i nie „na zapas” (minimalizacja),
    4. nie więcej niż potrzeba (adekwatność),
    5. z dbałością o prawidłowość danych (prawidłowość),
    6. nie dłużej niż potrzeba (czasowość),
    7. zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo).
    8. W celu przestrzegania zasady legalności, Administrator dokonał analizy wszystkich czynności przetwarzania danych osobowych i określił właściwe podstawy prawne, w oparciu, o które dane czynności przetwarzania mogą się odbywać. Informacje w tym zakresie zawarte są w rejestrze czynności przetwarzania.
    9. W celu przestrzegania zasady rzetelności i transparentności, Administrator zadbał o to, by w każdej sytuacji pozyskiwania danych osobowych, w stosunku do osoby, której dane są pozyskiwane, realizowany był obowiązek informacyjny zgodnie z art. 13 RODO. Sposób realizacji obowiązku informacyjnego wskazany jest w rejestrze czynności przetwarzania w stosunku do każdej czynności przetwarzania.
    10. W celu przestrzegania zasady minimalizacji, Administrator przemyślał, jakie dane potrzebne są mu do określonych celów, co znalazło odzwierciedlenie w rejestrze czynności przetwarzania. Administrator pouczył wszystkie osoby biorące udział w procesie przetwarzania danych osobowych, by nie pozyskiwały danych osobowych w zakresie przekraczającym uzasadnione potrzeby opisane w rejestrze czynności przetwarzania.
    11. W celu przestrzegania zasady adekwatności, Administrator przemyślał, jakie dane są mu potrzebne do realizacji określonych celów i określił w stosunku do każdej czynności przetwarzania zakres niezbędnych danych. W związku z tym, zakazane jest pozyskiwanie danych osobowych ponad określony przez Administratora katalog danych niezbędnych do realizacji poszczególnych celów.
    12. Nie wszystkie czynności przetwarzania pozwalają na z góry określenie sztywnego katalogu przetwarzanych danych. Szczególnie, gdy chodzi o obsługę klientów, zakres przetwarzanych danych nie jest możliwy do precyzyjnego określenia z uwagi na fakt, że zakres usługi będzie również determinował zakres przetwarzanych danych. Podobnie w przypadku wymiany korespondencji, nie jest możliwe jednoznaczne określenie, jakie dane druga strona przekaże administratorowi w ramach korespondencji.
    13. W celu przestrzegania zasady prawidłowości, Administrator przyjął zasadę, zgodnie z którą w razie wątpliwości dotyczących prawidłowości danych osobowych mu przekazanych, podejmowane są działania mające na celu wyjaśnienie powstałych wątpliwości.
    14. W celu przestrzegania zasady czasowości, Administrator przemyślał terminy, w jakich dane stają się mu zbędne i będą podlegać usunięciu, co znalazło odzwierciedlenie w rejestrze czynności przetwarzania danych osobowych. Ponadto, Administrator przynajmniej raz w roku dokonuje przeglądu czy posiadane przez niego dane nie są już mu zbędne i w razie stwierdzenia zbędności, dokonuje ich trwałego usunięcia.
    15. W celu przestrzegania zasady bezpieczeństwa, Administrator wdrożył odpowiednie środki techniczne i organizacyjne mające zapewnić należytą ochronę przetwarzanych danych osobowych. Decyzja o wyborze środków została poprzedzona przeprowadzeniem analizy ryzyka.

§ 15 Środki bezpieczeństwa, analiza ryzyka, ocena skutków

  1. W celu zapewnienia odpowiedniego poziomu ochrony danych osobowych wprowadzono odpowiednie zabezpieczenia organizacyjne i techniczne.
  2. Decyzja o wyborze zabezpieczeń organizacyjnych i technicznych została poprzedzona analizą ryzyka, która to analiza została spisana w postaci oddzielnego dokumentu.
  3. Wykaz zastosowanych środków bezpieczeństwa stanowi załącznik nr 5 do Polityki.
  4. Środki bezpieczeństwa zostały wymienione również w analizie ryzyka oraz rejestrze czynności przetwarzania.
  5. Wymienione środki techniczne i organizacyjne zabezpieczenia danych dotyczą wyłącznie środków wdrożonych bezpośrednio przez administratora danych osobowych. W zakresie, w jakim administrator danych osobowych powierzył przetwarzanie danych osobowych innym podmiotom, podmioty te zobowiązały się utrzymywać odpowiednie środki ochrony danych osobowych wymagane przez przepisy prawa.
  6. Administrator nie przeprowadził oceny skutków operacji przetwarzania dla ochrony danych osobowych, stwierdzając, że nie ciąży na nim taki obowiązek na podstawie art. 35 RODO. Rodzaje przetwarzania danych osobowych dokonywane przez Administratora nie powodują, zdaniem Administratora, wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Taki wniosek Administratora wynika z tego, że Administrator:
    1. przetwarza głównie podstawowe dane identyfikacyjne i kontaktowe,
    2. przetwarza wyłącznie dane osobowe zwykłe,
    3. nie stosuje narzędzi śledzących i profilujących wykorzystujących dane osobowe,
    4. nie przetwarza danych na dużą skalę.
  7. Ponadto, Administrator zapoznał się z wykazem rodzajów operacji wymagających oceny skutków ogłoszonym przez Prezesa Urzędu Ochrony Danych Osobowych i pośród dokonywanych przez siebie operacji przetwarzania danych nie zidentyfikował żadnej, która znajdowałaby się w wykazie.

§ 16 Obsługa praw jednostki

  1. Administrator spełnia obowiązki informacyjne wobec osób, których dane przetwarza oraz oraz zapewnia obsługę ich praw, realizując otrzymane w tym zakresie żądania.
  2. Sposób realizacji obowiązków informacyjnych został wskazany w rejestrze czynności przetwarzania w odniesieniu do każdej czynności.
  3. Obsługa żądań kierowanych do Administratora przez osoby, których dane są przetwarzane, odbywa się za pośrednictwem poczty elektronicznej z wykorzystaniem adresu e-mail dedykowanego obsłudze związanej z ochroną danych osobowych: michal@corazlepszytrener.pl.
  4. Osobą odpowiedzialną za obsługę żądań dotyczących danych osobowych jest Michał Polniak. W razie nieobecności lub niedostępności, wyznacza on swojego zastępcę. Jeżeli żądanie spływa na adres e-mail nieobsługiwany przez Michała Polniaka, osoba obsługująca dany adres e-mail przekazuje żądanie na adres obsługiwany przez Michała Polniaka.
  5. Obsługa żądań archiwizowana jest w ramach archiwum poczty elektronicznej. Ponadto, prowadzony jest rejestr obsługi żądań osób, których dane są przetwarzane, w którym odnotowywane są wszystkie żądania oraz sposób ich obsługi.
  6. Realizując prawa osób, których dane dotyczą, Administrator wprowadza proceduralne gwarancje ochrony praw i wolności osób trzecich. W szczególności w przypadku powzięcia wiarygodnej wiadomości o tym, że wykonanie żądania osoby o wydanie kopii danych lub prawa do przeniesienia danych może niekorzystnie wpłynąć na prawa i wolności innych osób, Administrator może zwrócić się do osoby w celu wyjaśnienia wątpliwości lub podjąć inne prawem dozwolone kroki, łącznie z odmową zadośćuczynienia żądaniu.
  7. Jeżeli żądanie zgłaszane jest przez osobę, której danych Administrator nie przetwarza, osoba obsługująca żądanie informuje tę osobę o tym, że Administrator nie przetwarza jej danych osobowych.
  8. W sytuacji odmowy realizacji żądania kierowanego do Administratora, osoba obsługującą żądanie informuje osobę kierując żądanie o odmowie rozpatrzenia żądania i o prawach osoby z tym związanych.
  9. Na żądanie osoby dotyczące dostępu do jej danych, Administrator informuje osobę, czy przetwarza jej dane oraz informuje osobę o szczegółach przetwarzania, zgodnie z art. 15 RODO, a także udziela osobie dostępu do danych jej dotyczących. Dostęp do danych może być zrealizowany przez wydanie kopii danych, z zastrzeżeniem, że kopii danych wydanej w wykonaniu prawa dostępu do danych Administrator nie uzna za pierwszą nieodpłatną kopię danych dla potrzeb opłat za kopie danych.
  10. Na żądanie, Administrator wydaje osobie kopię danych jej dotyczących i odnotowuje fakt wydania pierwszej kopii danych.
  11. Administrator dokonuje sprostowania nieprawidłowych danych na żądanie osoby. Administrator ma prawo odmówić sprostowania danych, chyba, że osoba w rozsądny sposób wykaże nieprawidłowość danych, których sprostowania się domaga. W przypadku sprostowania danych, Administrator informuje osobę o odbiorcach danych, na żądanie tej osoby.
  12. Administrator uzupełnia i aktualizuje dane na żądanie osoby. Administrator ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych. Administrator może polegać na oświadczeniu osoby co do uzupełnianych danych, chyba że będzie to niewystarczające w świetle przyjętych przez Administratora procedur, prawa lub zaistnieją podstawy, aby uznać oświadczenie za niewiarygodne.
  13. Na żądanie osoby, Administrator usuwa dane, gdy:
    1. dane nie są niezbędne do celów, w których zostały zebrane, ani przetwarzane w innych zgodnych z prawem celach,
    2. zgoda na ich przetwarzanie została cofnięta, a nie ma innej podstawy prawnej przetwarzania,
    3. osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych,
    4. dane były przetwarzane niezgodnie z prawem,
    5. konieczność usunięcia danych wynika z obowiązku prawnego.
  14. Administrator dokonuje ograniczenia przetwarzania danych na żądanie osoby, gdy:
    1. osoba kwestionuje prawidłowość danych – na okres pozwalający sprawdzić ich prawidłowość,
    2. przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,
    3. Administrator nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,
    4. osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia, czy po stronie Administratora zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu.
  15. Na żądanie osoby, Administrator wydaje w ustrukturyzowanym, powszechnie używam formacie nadającym się do odczytu maszynowego lub przekazuje innemu podmiotowi, jeśli jest to możliwe, dane dotyczące tej osoby, które dostarczyła ona Administratorowi, przetwarzane na podstawie zgody tej osoby lub w celu zawarcia lub wykonania umowy z nią zawartej.
  16. Jeżeli osoba zgłosi umotywowany jej szczególną sytuacją sprzeciw względem przetwarzania jej danych, a dane przetwarzane są przez Administratora w oparciu o uzasadniony interes Administratora, Administrator uwzględni sprzeciw, o ile nie zachodzą po stronie Administratora ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw, lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.
  17. Jeżeli osoba zgłosi sprzeciw względem przetwarzania jej danych przez Administratora na potrzeby marketingu bezpośredniego, Administrator uwzględni sprzeciw i zaprzestanie takiego przetwarzania.

§ 17 Retencja danych

  1. W rejestrze czynności przetwarzania wskazane zostały okresy przez jakie dane są przechowywane w związku z poszczególnymi czynnościami przetwarzania.
  2. W sytuacji, gdy zachodzi konieczność usunięcia lub zniszczenia danych osobowych, czy to z uwagi na upływ okresu przechowywania czy też ze względu na stosowne żądanie złożone w tym zakresie przez osobę, której dane dotyczą, dane zostaną usunięte lub zniszczone w taki sposób, by ich odtworzenie nie było możliwe.
  3. W przypadku konieczności usunięcia danych osobowych, podejmowane są następujące kroki:
    1. identyfikacja dokumentów zawierających dane osobowe podlegające usunięciu, a następnie zniszczenie tych dokumentów z wykorzystaniem niszczarki; jeżeli zniszczenie dokumentów nie jest uzasadnione, można ograniczyć się do zamazania lub innego trwałego uczynienia nieczytelnymi danych osobowych zawartych w dokumencie,
    2. weryfikacja w ramach poszczególnego oprogramowania, czy przetwarzane są w nim dane podlegające usunięciu, a jeżeli tak, usunięcie tych danych,
    3. weryfikacja czy na dyskach komputerów oraz w chmurach synchronizowanych z komputerami są przechowywane pliki zawierające dane podlegające usunięciu, a jeżeli tak, usunięcie tych plików w sposób trwały.
    4. Z uwagi na skalę przetwarzania danych osobowych, niewielkie ryzyko związane z przetwarzaniem danych osobowych oraz możliwości finansowe i organizacyjne, Administrator nie ma możliwości usunięcia danych z kopii zapasowych. Przy czym, biorąc pod uwagę, że kopie zapasowe są nadpisywane przy ich wykonywaniu, w ramach kopii zapasowych znajduje się zawsze aktualny stan bazy danych. Oznacza to, że jeżeli po usunięciu danych dojdzie do wykonania kopii zapasowych, w tej kopii zapasowej usunięte dane nie będą się już znajdować.

§ 18 Podmioty przetwarzające

  1. W procesie przetwarzania danych osobowych biorą udział podmioty zewnętrzne.
  2. Podmioty zewnętrzne biorą udział w procesie przetwarzania danych osobowych na podstawie zawartych z tymi podmiotami umów powierzenia danych osobowych.
  3. Wszystkie podmioty biorące udział w procesie przetwarzania danych osobowych zostały wskazane w rejestrze czynności przetwarzania oraz w wykazie podmiotów przetwarzających stanowiącym załącznik nr 4 do Polityki.
  4. Dokonując wyboru podmiotów przetwarzających, Administrator weryfikuje, czy określone podmioty spełniają wymogi dotyczące bezpieczeństwa ochrony danych osobowych na poziomie wymaganym przez RODO. W szczególności, administrator podejmuje następujące czynności w ramach procesu wyboru podmiotów przetwarzających:
    1. weryfikacja renomy podmiotu w środowisku branżowym,
    2. weryfikacja dokumentów dotyczących danych osobowych udostępnianych przez podmiot (regulaminy, polityki prywatności itp.),
    3. weryfikacja treści proponowanej umowy powierzenia przetwarzania danych osobowych,
    4. weryfikacja lokalizacji, w której będą przechowywane dane osobowe, w szczególności lokalizacji serwerów, a w sytuacji, gdy dane miałyby być przekazywane poza obszar EOG – weryfikacja, czy odbywa się to na podstawie odpowiednich mechanizmów zgodności.
  5. Ponadto, jeżeli jest to możliwe, administrator odbiera od podmiotu przetwarzającego stosowne oświadczenia w ramach ankiety dla podmiotu przetwarzającego. Oświadczenie te służą weryfikacji czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie danych spełniało wymogi prawa i chroniło prawa osób, których dane dotyczą.
  6. W stosunku do każdego podmiotu przetwarzającego Administrator zebrał stosowne dokumenty związane z prywatnością, ochroną danych osobowych i przechowuje ja razem z dokumentacją ochrony danych osobowych.
  7. W procesie przetwarzania danych osobowych mogą brać biorą udział współpracownicy administratora, pracujący zdalnie na odległość z wykorzystaniem własnego sprzętu. Administrator traktuje te osoby również jako podmioty przetwarzające i zawiera z nimi umowy powierzenia przetwarzania danych osobowych. Dla osób tych tworzone są oddzielne konta i dostępy w ramach oprogramowania wykorzystywanego do przetwarzania danych osobowych, a w tym zakresie stosowane są odpowiednio postanowienia § 19 ust. 5 – 9 Polityki. Osoby te znajdują się zarówno w wykazie powierzeń stanowiącym załącznik nr 4 do Polityki, jak również w wykazie osób upoważnionych i innych użytkowników stanowiącym załącznik nr 5 do Polityki.

§ 19 Osoby upoważnione

  1. Osoby, które przetwarzają dane osobowe w ramach stosunku pracy lub na podstawie stosunku cywilnoprawnego, ale pozostając pod fizycznym nadzorem administratora, przetwarzają dane na podstawie upoważnienia do przetwarzania danych. Pozostałe osoby, w szczególności współpracownicy zdalni, przetwarzają dane na podstawie umów powierzenia przetwarzania danych.
  2. Upoważnienie do przetwarzania danych osobowych dokonywane jest na piśmie.
  3. Każda osoba upoważniona uwzględniana jest w ewidencji osób upoważnionych.
  4. Ewidencję osób upoważnionych prowadzi Administrator. Ewidencja stanowi załącznik nr 6 do Polityki.
  5. Każda osoba upoważniona posiada oddzielne konto użytkownika w systemach informatycznych wykorzystywanych do przetwarzania danych osobowych.
  6. Nadawanie identyfikatorów i przydzielanie haseł:
    1. hasło składa się z co najmniej 8 znaków; zalecane jest, aby zawierało małe i wielkie litery oraz cyfry i znaki specjalne,
    2. identyfikator użytkownika powinien być inny dla każdego użytkownika, a po jego wyrejestrowaniu z systemu informatycznego, nie powinien być przydzielany innej osobie,
    3. identyfikatory użytkowników ujawnione są w wykazie osób upoważnionych do przetwarzania danych osobowych,
    4. hasła pozostają tajne, każdy użytkownik jest zobowiązany do zachowania w tajemnicy swego hasła, także po jego zmianie; obowiązek ten rozciąga się także na okres po upływie ważności hasła,
    5. hasło, co do którego zaistniało choćby podejrzenie ujawnienia powinno być niezwłocznie zmienione przez użytkownika,
    6. utrata upoważnienia do przetwarzania danych osobowych powoduje natychmiastowe usunięcie z grona użytkowników systemu informatycznego.
  7. Przed rozpoczęciem pracy w systemie operacyjnym oraz w systemach informatycznych osoba upoważniona musi podjąć następujące kroki:
    1. zalogować się do systemu operacyjnego z wykorzystaniem zastrzeżonych tylko dla siebie identyfikatora i hasła w sposób uniemożliwiający ich ujawnienie osobom postronnym,
    2. sprawdzić prawidłowość funkcjonowania komputera i systemu operacyjnego,
    3. w razie stwierdzenia nieprawidłowości, powiadomić o tym administratora systemu informatycznego lub Administratora,
    4. zalogować się do systemu informatycznego z wykorzystaniem zastrzeżonych tylko dla siebie identyfikatora i hasła w sposób uniemożliwiający ich ujawnienie osobom postronnym,
    5. w razie stwierdzenia naruszenia zabezpieczenia systemu operacyjnego lub informatycznego, lub stanu wskazującego na istnienie takiej możliwości, podjąć odpowiednie kroki stosownie do zasad postępowania w sytuacji naruszenia zabezpieczenia danych osobowych.
  8. Przerywając przetwarzanie danych, osoba upoważniona powinna co najmniej aktywować wygaszasz ekranu lub w inny sposób zablokować możliwość korzystania ze swego konta użytkownika przez inne osoby.
  9. Po zakończeniu przetwarzania danych osobowych, osoba upoważniona zobowiązana jest do zakończenia pracy w systemie informatycznym, wylogowania się z systemu operacyjnego i wyłączenie komputera.

§ 20 Odbiorcy danych

  1. Odbiorcy danych osobowych zostali wskazani w rejestrze czynności przetwarzania w odniesieniu do poszczególnych czynności przetwarzania.

§ 21 Naruszenia ochrony danych osobowych

  1. Każde naruszenie ochrony danych osobowych powinno być niezwłocznie zgłaszane przez użytkowników Administratorowi.
  2. Typowe sytuacje, które należy postrzegać w kontekście naruszenia ochrony danych osobowych:
  3. naruszenie lub próby naruszenia integralności systemów informatycznych przeznaczonych do przetwarzania danych osobowych – przez osoby nieuprawnione do dostępu do sieci lub aplikacji ze zbiorem danych osobowych,
  4. naruszenie lub próba naruszenia integralności danych osobowych w systemie przetwarzania (wszelkie dokonane lub usiłowane modyfikacje, zniszczenia, usunięcia danych osobowych przez nieuprawnioną do tego osobę),
  5. celowe lub nieświadome przekazanie zbioru danych osobowych osobie nieuprawnionej do ich otrzymania,
  6. nieautoryzowane logowanie do systemu,
  7. nieuprawnione prace na koncie użytkownika dopuszczonego do przetwarzania danych osobowych przez osobę do tego nieuprawnioną,
  8. istnienie nieautoryzowanych kont dostępu do danych osobowych,
  9. włamanie lub jego usiłowanie z zewnątrz sieci,
  10. nieautoryzowane zmiany danych w systemach informatycznych,
  11. niezablokowanie dostępu do systemu informatycznego przez osobę uprawnioną do przetwarzania danych osobowych w czasie jej nieobecności,
  12. ujawnienie indywidualnych haseł dostępu użytkowników do systemów informatycznych,
  13. brak nadzoru nad serwisantami lub innymi pracownikami przebywającymi w pomieszczeniach, w których odbywa się przetwarzanie danych osobowych,
  14. nieuprawniony dostęp lub próba dostępu do pomieszczeń, w których odbywa się przetwarzanie danych osobowych,
  15. zniszczenie dokumentacji zawierającej dane osobowe bez użycia niszczarki,
  16. fizyczna obecność w budynku lub pomieszczeniach, w których dochodzi do przetwarzania danych osobowych, osób zachowujących się podejrzanie,
  17. otwarte drzwi do szaf, w których przechowywane są dane osobowe,
  18. ustawienie monitorów pozwalające na wgląd osób postronnych w dane osobowe,
  19. wynoszenie danych osobowych w wersji papierowej i elektronicznej na zewnątrz firmy bez upoważnienia administratora danych osobowych,
  20. udostępnienie danych osobowych osobom nieupoważnionym w formie papierowej, elektronicznej i ustnej,
  21. telefoniczne próby wyłudzenia danych osobowych,
  22. kradzież komputerów lub CD, twardych dysków, pendrive’a z danymi osobowymi,
  23. e-maile zachęcające do ujawnienia identyfikatora i/lub hasła,
  24. pojawienie się wirusa komputerowego lub niestandardowe zachowanie komputerów,
  25. przechowywanie haseł do systemów w pobliżu komputera.
  26. W przypadkach, o których mowa powyżej, należy podjąć czynności zmierzające do zabezpieczenia miejsca zdarzenia, zabezpieczenia ewentualnych dowodów i minimalizacji zaistniałych szkód, w tym w szczególności:
  27. zapisać wszelkie informacje związane z danym zdarzeniem, a w szczególności:
    1. dokładny czas uzyskania informacji o naruszeniu zabezpieczenia danych osobowych i czas samodzielnego wykrycia tego faktu,
    2. dane osoby zgłaszającej,
    3. opis miejsca zdarzenia,
    4. opis przedstawiający stan techniczny sprzętu służącego do przetwarzania lub przechowywania danych osobowych,
    5. wszelkie ustalone okoliczności zdarzenia.
  28. na bieżąco wygenerować i wydrukować wszystkie możliwe dokumenty i raporty, które mogą pomóc w ustaleniu okoliczności zdarzenia, opatrzyć je datą i podpisem,
  29. dokonać identyfikacji zaistniałego zdarzenia, poprzez ustalenie w szczególności:
    1. rozmiaru zniszczeń,
    2. sposobu, w jaki osoba niepowołana uzyskała dostęp do danych osobowych,
    3. rodzaju danych, których dotyczyło naruszenie,
    4. wyeliminować czynniki bezpośredniego zagrożenia utraty danych osobowych,
    5. sporządzić protokół z wyżej wymienionych czynności,
    6. poinformować właściwe organy ścigania w przypadku podejrzenia popełnienia przestępstwa.
  30. Administrator obowiązany jest do niezwłocznego podjęcia działań mających na celu powstrzymanie lub ograniczenie osobom niepowołanym dostępu do danych osobowych w szczególności przez:
  31. zmianę hasła dla użytkownika,
  32. fizyczne odłączenie urządzeń i tych segmentów sieci, które mogły umożliwić dostęp do bazy danych osobie niepowołanej;
  33. wylogowanie użytkownika podejrzanego o naruszenie zabezpieczenia ochrony danych.
  34. Po przeanalizowaniu przyczyn i skutków zdarzenia powodującego naruszenie bezpieczeństwa przetwarzanych danych osobowych, osoby odpowiedzialne za bezpieczeństwo danych osobowych obowiązane są podjąć wszelkie inne działania mające na celu wyeliminowanie podobnych naruszeń w przyszłości oraz zmniejszenie ryzyka występowania ich negatywnych skutków. W szczególności, jeżeli przyczyną naruszenia są:
  35. błąd osoby upoważnionej do przetwarzania danych osobowych związany z przetwarzaniem danych osobowych – należy przeprowadzić dodatkowe szkolenie, indywidualne lub grupowe,
  36. uaktywnienie wirusa komputerowego – należy ustalić źródło jego pochodzenia oraz wykonać test zabezpieczenia antywirusowego,
  37. zaniedbanie ze strony osoby upoważnionej do przetwarzania danych osobowych – należy wyciągnąć konsekwencje zgodnie z przepisami prawa,
  38. włamanie – należy dokonać szczegółowej analizy wdrożonych środków zabezpieczających,
  39. zły stan urządzenia lub sposób działania programu lub inne niedoskonałości informatycznego systemu przetwarzania danych osobowych – należy niezwłocznie przeprowadzić kontrolne czynności serwisowo – programowe.
  40. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia, jego skutki oraz podjęte środki zaradcze. Dokumentacja odbywa się z wykorzystaniem zestawienia incydentów naruszenia ochrony danych osobowych.  
  41. W przypadku naruszenia ochrony danych osobowych, na Administratorze ciąży obowiązek przeprowadzenia oceny czy zachodzi konieczność zgłoszenia tego faktu do organu nadzorczego zgodnie z postanowieniami art. 33 RODO oraz zawiadomienia osoby, której dane dotyczą, zgodnie z postanowieniami art. 34 RODO.

§ 22 Czy korzystamy z cookies i czym one właściwie są?

Nasza strona, podobnie jak niemal wszystkie inne strony internetowe, wykorzystuje pliki cookies.

Cookies to niewielkie informacje tekstowe, przechowywane na Twoim urządzeniu końcowym (np. komputerze, tablecie, smartfonie), które mogą być odczytywane przez nasz system teleinformatyczny (cookies własne) lub systemy teleinformatyczne podmiotów trzecich (cookies podmiotów trzecich). W plikach cookies mogą być zapisywane i przechowywane określone informacje, do których następnie systemy teleinformatyczne mogą uzyskiwać dostęp w określonych celach.

Niektóre używane przez nas cookies są usuwane po zakończeniu sesji przeglądarki internetowej, tzn. po jej zamknięciu (tzw. cookies sesyjne). Inne cookies są zachowywane na Twoim urządzeniu końcowym i umożliwiają nam rozpoznanie Twojej przeglądarki przy kolejnym wejściu na stronę (trwałe cookies).

Jeżeli chcesz dowiedzieć się więcej o plikach cookies jako takich, możesz zapoznać się np. z tym materiałem: https://pl.wikipedia.org/wiki/HTTP_cookie.

§ 23 Na jakiej podstawie korzystamy z plików cookies?

Z plików cookies korzystamy na podstawie Twojej zgody, za wyjątkiem sytuacji, gdy pliki cookies są niezbędne do prawidłowego świadczenia na Twoją rzecz usługi drogą elektroniczną.

Pliki cookies, które nie są niezbędne do prawidłowego świadczenia usługi drogą elektroniczną, pozostają zablokowane do czasu wyrażenia przez Ciebie zgody na korzystanie przez nas z plików cookies. Podczas Twojej pierwszej wizyty na naszej stronie wyświetlamy Ci komunikat z pytaniem o Twoją zgodę wraz z możliwością zarządzania plikami cookies, tj. zdecydowania, na które pliki cookies się godzisz, a które chcesz blokować.

W zakresie Twojej zgody na pliki cookies, przyjmujemy wariant, zgodnie z którym taką zgodę wyrażasz poprzez ustawienia swojej przeglądarki internetowej lub dodatkowego oprogramowania wspierającego zarządzanie plikami cookies. Przyjmujemy, że godzisz się na wszystkie pliki cookies przez nas stosowane, które nie są blokowane przez Twoją przeglądarkę lub dodatkowe oprogramowanie, z którego korzystasz. Pamiętaj, że wyłączenie lub ograniczenie obsługi plików cookies może uniemożliwiać używanie części funkcji dostępnych na naszej stronie oraz powodować trudności w korzystaniu z naszej strony, jak również z wielu innych stron internetowych, które stosują cookies. Przykładowo, jeżeli zablokujesz pliki cookies wtyczek serwisów społecznościowych, przyciski, widgety oraz funkcje społecznościowe zaimplementowane na naszej stronie mogą być dla Ciebie niedostępne.

§ 24 Czy możesz wyłączyć pliki cookies?

Tak, możesz zarządzać ustawieniami plików cookies w ramach swojej przeglądarki internetowej. Możesz blokować wszystkie lub wybrane pliki cookies. Możesz również blokować pliki cookies konkretnych witryn. W każdej chwili możesz również usunąć zapisane wcześniej pliki cookies oraz inne dane witryn i wtyczek.

Przeglądarki internetowe oferują również możliwość korzystania z trybu incognito. Możesz z niego skorzystać, jeśli nie chcesz, by informacje o odwiedzonych stronach i pobranych plikach zostały zapisane w historii przeglądania i pobierania. Pliki cookie utworzone w trybie incognito są usuwane w momencie zamknięcia wszystkich okien tego trybu.

Dostępne są również wtyczki do przeglądarek umożliwiające kontrolę nad plikami cookies, takie jak np. Ghostery (https://www.ghostery.com). Opcję kontroli nad plikami cookies może zapewniać również dodatkowe oprogramowanie, w szczególności pakiety antywirusowe itp.

Ponadto, w Internecie dostępne są narzędzia pozwalające na kontrolę nad niektórymi rodzajami plików cookies, w szczególności na zbiorowe zarządzanie ustawieniami reklamy behawioralnej (np. www.youronlinechoices.com/, www.networkadvertising.org/choices).

Dajemy Ci również możliwość kontroli nad plikami cookies bezpośrednio z poziomu naszej strony. Zaimplementowaliśmy specjalny mechanizm do zarządzania plikami cookies, który pozwala Ci blokować te pliki cookies, których sobie nie życzysz.[WW1]  Pamiętaj, że wyłączenie lub ograniczenie obsługi plików cookies może uniemożliwiać używanie części funkcji dostępnych na naszej stronie oraz powodować trudności w korzystaniu z naszej strony, jak również z wielu innych stron internetowych, które stosują cookies. Przykładowo, jeżeli zablokujesz pliki cookies wtyczek serwisów społecznościowych, przyciski, widgety oraz funkcje społecznościowe zaimplementowane na naszej stronie mogą być dla Ciebie niedostępne.

§ 25 W jakich celach korzystamy z plików własnych?

Pliki cookies własne wykorzystywane są do zapewnienia prawidłowego funkcjonowania poszczególnych mechanizmów strony, takich jak utrzymywanie sesji po zalogowaniu do konta, zapamiętanie ostatnio przeglądanych produktów oraz produktów dodanych do koszyka.

W plikach cookies własnych przechowywana jest również informacja o zdefiniowanych przez Ciebie ustawieniach cookies dokonanych z poziomu mechanizmu do zarządzania plikami cookies. Pliki cookies własne wykorzystywane są również do obsługi mechanizmu odzyskiwania porzuconych koszyków.

§ 26 Jakie pliki cookies podmiotów trzecich są wykorzystywane?

W ramach naszej strony funkcjonują następujące pliki cookies podmiotów trzecich:

  • Google Analytics,
  • Google Tag Manager,
  • Google AdWords,
  • Google AdSense,
  • Facebook Custom Audiences,
  • Facebook, Twitter, LinkedIN, Pinterest (pliki cookies narzędzi społecznościowych),
  • Disqus,
  • YouTube. 

Google Analytics – szczegóły

Korzystamy z narzędzia Google Analytics zapewnianego przez Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Działania w tym zakresie realizujemy, opierając się na naszym prawnie uzasadnionym interesie, polegającym na tworzeniu statystyk i ich analizie w celu optymalizacji naszych stron internetowych.

W celu korzystania z Google Analytics, zaimplementowaliśmy w kodzie naszej strony specjalny kod śledzący Google Analytics. Kod śledzący wykorzystuje pliki cookies firmy Google LLC dotyczące usługi Google Analytics. W każdej chwili możesz zablokować kod śledzący Google Analytics, instalując dodatek do przeglądarki udostępniany przez Google: https://tools.google.com/dlpage/gaoptout.

Google Analytics w sposób automatyczny gromadzi informacje o Twoim korzystaniu z naszej strony. Zgromadzone w ten sposób informacje są najczęściej przekazywane do serwerów Google, które mogą znajdować się w całym świecie i tam przechowywane.

Z uwagi na aktywowaną przez nas anonimizację adresu IP, Twój adres IP jest skracany przed przekazaniem dalej. Tylko w wyjątkowych przypadkach pełny adres IP jest przekazywany do serwerów Google i dopiero tam skracany. Zanonimizowany adres IP przekazany przez Twoją przeglądarkę w ramach Google Analytics co do zasady nie jest łączony z innymi danymi Google.

Podkreślamy, że w ramach Google Analytics nie gromadzimy jakichkolwiek danych, które pozwalałaby na Twoją identyfikację. W związku z tym, dane gromadzone w ramach Google Analytics nie mają dla nas charakteru danych osobowych. Informacje, do jakich mamy dostęp w ramach Google Analytics to, w szczególności:

  • informacje o systemie operacyjnym i przeglądarce internetowej, z której korzystasz,
  • podstrony, jakie przeglądasz w ramach naszej strony,
  • czas spędzony na naszej stronie oraz na jego podstronach,
  • przejścia pomiędzy poszczególnymi podstronami,
  • źródło, z którego przechodzisz do naszej strony.

Ponadto, korzystamy w ramach Google Analytics z następujących Funkcji Reklamowych

  • raporty demograficzne i zainteresowań,
  • remarketing,
  • funkcje raportowania o reklamach, user-ID.

W ramach Funkcji Reklamowych również nie gromadzimy danych osobowych. Informacje, do jakich mamy dostęp, to, w szczególności:

  • przedział wieku, w którym się znajdujesz,
  • Twoja płeć,
  • Twoja przybliżona lokalizacja ograniczona do miejscowości,
  • Twoje zainteresowania określone na podstawie aktywności w sieci.

Usługi Google Analytics i Google Analytics 360 uzyskały certyfikat niezależnego standardu bezpieczeństwa ISO 27001. ISO 27001 jest jednym z najczęściej uznawanych standardów na świecie i poświadcza spełnianie odpowiednich wymogów przez systemy obsługujące Google Analytics i Google Analytics 360.

Jeżeli jesteś zainteresowany szczegółami związanymi z wykorzystywaniem przez Google danych z witryn i aplikacji, które korzystają z usług Google, zachęcamy do zapoznania się z tymi informacjami:  https://policies.google.com/technologies/partner-sites.

Google Tag Manager – szczegóły

Korzystamy z narzędzia Google Tag Manager zapewnianego przez Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA i umożliwiającego zarządzanie tagami, czyli drobnymi fragmentami kodu, dzięki którym jesteśmy w stanie kontrolować ruch i zachowanie użytkowników, zbierać informacje o skuteczności reklam i podejmować działania mające na celu ulepszanie naszej strony. Google Tag Manager nie zbiera żadnych informacji umożliwiających Twoją identyfikację, jednakże narzędzie to powoduje uruchomienie innych tagów, które z kolei mogą zbierać dane.

Google AdWords – szczegóły

Korzystamy z funkcji remarketingowych dostępnych w ramach systemu Google AdWords obsługiwanego przez Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Działania w tym zakresie realizujemy, opierając się na naszym prawnie uzasadnionym interesie, polegającym na marketingu własnych produktów lub usług.  

Przy okazji odwiedzin naszej strony internetowej automatycznie pozostawiany jest w Twoim urządzeniu plik remarketing cookie firmy Google, który zbiera informacje na temat Twojej aktywności na naszej stronie. Dzięki zgromadzonym w ten sposób informacją jesteśmy w stanie wyświetlać Ci reklamy w ramach sieci Google w zależności od Twoich zachowań na naszej stronie. Przykładowo, jeżeli wyświetlisz jakiś produkt, informacja o tym fakcie zostanie odnotowana przez plik remarketing cookie, co sprawi, że będziemy mogli skierować do Ciebie reklamę dotyczącą tego produktu lub jakąkolwiek inną, którą uznamy za właściwą. Reklama ta zostanie wyświetlona Ci w ramach sieci Google podczas korzystania przez Ciebie z Internetu, przeglądania innych stron internetowych itp.

Podkreślamy, że my, korzystając z Google Ads, nie gromadzimy jakichkolwiek danych, które pozwalałaby na Twoją identyfikację. Ewentualne zestawienie danych w taki sposób, że nabierają one charakteru danych osobowych, może być dokonywane po stronie Google, ale w tym zakresie nie ponosimy już za to odpowiedzialności, ponieważ Google realizuje te działania na podstawie umowy zawartej z Tobą jako użytkownikiem usług Google. 

My, korzystając z Google AdWords, jesteśmy jedynie w stanie definiować grupy odbiorców, do których chcielibyśmy, by nasze reklamy docierały. Na tej podstawie Google podejmuje decyzję, kiedy i w jaki sposób zaprezentuje Ci naszą reklamę.

Dalsze przetwarzanie informacji ma miejsce tylko wtedy, gdy wyraziłeś zgodę wobec Google na łączenie historii przeglądania z Twoim kontem oraz wykorzystanie informacji z Twojego konta Google do personalizowania reklam, które wyświetlane są na stronach internetowych. W takiej sytuacji Google wykorzysta Twoje dane w celu stworzenia i zdefiniowania list grup docelowych dla celów remarketingu na różnych urządzeniach. W tym celu Google łączy tymczasowo zebrane informacje z innymi posiadanymi danymi, aby utworzyć grupy docelowe.

Jeżeli nie chcesz otrzymywać personalizowanych reklam, możesz zarządzać ustawieniami reklam bezpośrednio po stronie Google: https://adssettings.google.com/

Jeżeli jesteś zainteresowany szczegółami związanymi z wykorzystywaniem przez Google danych z witryn i aplikacji, które korzystają z usług Google, zachęcamy do zapoznania się z tymi informacjami:  https://policies.google.com/technologies/partner-sites.

Google AdSense – szczegóły

Wyświetlamy na naszych stronach reklamy w ramach sieci Google AdSense obsługiwanej przez Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Działania w tym zakresie realizujemy, opierając się na naszym prawnie uzasadnionym interesie, polegającym na monetyzacji treści przez nas publikowanych.  

Nasza strona, w związku z wyświetlaniem na niej reklam w ramach sieci AdSense, zawiera tagi reklam, które wydają Twojej przeglądarce internetowej polecenie wysłania żądania treści reklamowej z serwerów Google. Wraz z treścią reklamową serwer wysyła także plik cookie. Pliki cookies wykorzystywane są do wyświetlania reklam na podstawie Twoich poprzednich odwiedzin na naszej stronie lub w innych witrynach internetowych. AdSense używa plików cookie również po to, by poprawiać jakość reklam. Często zastosowania to m.in. kierowanie reklam na podstawie tematów, które Cię interesują, ulepszanie raportów o skuteczności kampanii i pomijanie reklam, które już widziałeś.

Podkreślamy, że my, korzystając z Google AdSense, nie gromadzimy jakichkolwiek danych, które pozwalałaby na Twoją identyfikację. Ewentualne zestawienie danych w taki sposób, że nabierają one charakteru danych osobowych, może być dokonywane po stronie Google, ale w tym zakresie nie ponosimy już za to odpowiedzialności, ponieważ Google realizuje te działania na podstawie umowy zawartej z Tobą jako użytkownikiem usług Google. 

Dalsze przetwarzanie informacji ma miejsce tylko wtedy, gdy wyraziłeś zgodę wobec Google na łączenie historii przeglądania z Twoim kontem oraz wykorzystanie informacji z Twojego konta Google do personalizowania reklam, które wyświetlane są na stronach internetowych. W takiej sytuacji Google wykorzysta Twoje dane w celu stworzenia i zdefiniowania list grup docelowych dla celów remarketingu na różnych urządzeniach. W tym celu Google łączy tymczasowo zebrane informacje z innymi posiadanymi danymi, aby utworzyć grupy docelowe.

Jeżeli nie chcesz otrzymywać personalizowanych reklam, możesz zarządzać ustawieniami reklam bezpośrednio po stronie Google: https://adssettings.google.com/

Jeżeli jesteś zainteresowany szczegółami związanymi z wykorzystywaniem przez Google danych z witryn i aplikacji, które korzystają z usług Google, zachęcamy do zapoznania się z tymi informacjami:  https://policies.google.com/technologies/partner-sites.

Facebook Custom Audiences – szczegóły

W ramach systemu reklam Facebook Ads zapewnianego przez Facebook Inc., 1601 S. California Ave., Palo Alto, CA 94304, USA, korzystamy z funkcji Niestandardowych Grup Odbiorców w celu kierowania do określonych grup użytkowników targetowanych przekazów reklamowych. Działania w tym zakresie realizujemy, opierając się na naszym prawnie uzasadnionym interesie, polegającym na marketingu własnych produktów lub usług.

W celu kierowania do Ciebie reklam spersonalizowanych pod kątem Twoich zachowań na naszej stronie, zaimplementowaliśmy w ramach naszej strony Pixel Facebooka, który w sposób automatyczny gromadzi informacje o Twoim korzystaniu z naszej witryny. Zgromadzone w ten sposób informacje są najczęściej przekazywane do serwerów Facebooka, która mogą znajdować się na całym świecie, w szczególności w Stanach Zjednoczonych Ameryki (USA).

Informacje zbierane w ramach Pixela Facebooka są anonimowe, tj. nie pozwalają nam na Twoją identyfikację. W zależności od Twojej aktywności na naszych stronach możesz trafić do określonej grupy odbiorców, ale w żaden sposób nie identyfikujemy poszczególnych osób należących do tych grup.

Informujemy Cię jednak, że Facebook może łączyć zbierane informacje z innymi informacjami o Tobie zebranymi w ramach korzystania przez Ciebie z serwisu Facebook i wykorzystywać dla swoich własnych celów, w tym marketingowych. Takie działania Facebooka nie są już zależne od nas, a informacji o nich możesz szukać bezpośrednio w polityce prywatności Facebooka: https://www.facebook.com/privacy/explanation. Z poziomu swojego konta na Facebooku możesz również zarządzać swoimi ustawieniami prywatności. Tutaj znajdziesz przydatne informacje w tym zakresie: https://www.facebook.com/ads/settings.

Narzędzia społecznościowe – szczegóły

Na naszej stronie internetowej używane są wtyczki, przyciski i inne narzędzia społecznościowe, zwane dalej łącznie „wtyczkami”, udostępniane przez serwisy społecznościowe takie jak Facebook, Instagram, LinkedIN, Twitter, Pinterest.

Wyświetlając naszą stronę internetową zawierającą wtyczkę danego serwisu społecznościowego, Twoja przeglądarka przesyła do administratora tego serwisu społecznościowego informację o odwiedzinach. Ponieważ wtyczka jest fragmentem serwisu społecznościowego wbudowanym w naszą stronę, przeglądarka wysyła informację o żądaniu pobrania zawartości danego serwisu społecznościowego na naszą stronę.

Wtyczki gromadzą pewne informacje na Twój temat, takie jak identyfikator użytkownika, odwiedzana witryna, data i godzina oraz inne informacje dotyczące przeglądarki internetowej.

Administratorzy serwisów społecznościowych wykorzystują część tych informacji, aby personalizować warunki oglądania naszej strony. Na przykład, gdy odwiedzasz stronę z przyciskiem „Lubię to”, administrator serwisu społecznościowego potrzebuje informacji, kim jesteś, aby pokazać Ci, którzy z Twoich znajomych również lubią naszą stronę.  

Informacje gromadzone przez wtyczki mogą być również wykorzystywane przez administratorów serwisów społecznościowych w ich własnych celach, takich jak np. doskonalenie własnych produktów, tworzenie profili użytkowników, analiza i optymalizacja własnych działań, targetowanie reklam. Nie mamy realnego wpływu na to, w jaki sposób informacje gromadzone przez wtyczki są następnie wykorzystywane przez administratorów serwisów społecznościowych. Szczegółów w tym zakresie możesz szukać w regulaminach i politykach prywatności poszczególnych serwisów społecznościowych.

Wtyczki serwisów społecznościowych gromadzą i przekazują informacje do administratorów tych serwisów nawet wtedy, gdy przeglądasz naszą stroną nie będąc zalogowanym do swojego konta w serwisie społecznościowym. Wtedy jednak przeglądarka wysyła bardziej ograniczony zestaw informacji.

Jeśli zalogowałeś się do jednego z serwisów społecznościowych, to administrator serwisu będzie mógł bezpośrednio przyporządkować wizytę na naszej stronie do Twojego profilu w danym serwisie społecznościowym.

Jeśli nie chcesz, aby serwisy społecznościowe przyporządkowywały dane zebrane w trakcie odwiedzin na naszej stronie internetowej bezpośrednio Twojemu profilowi w danym serwisie, to przed wizytą na naszej stronie musisz się wylogować z tego serwisu. Możesz również całkowicie uniemożliwić załadowanie na stronie wtyczek stosując odpowiednie rozszerzenia dla Twojej przeglądarki, np. blokowanie skryptów.

Ponadto, korzystanie z niektórych wtyczek może wiązać się z publikowaniem określonych informacji w ramach Twoich profili społecznościowych. Przykładowo, informacje o kliknięciach w przycisk „Lubię to” mogą być dostępne na Twojej osi czasu na Facebooku. Oczywiście, jeżeli udostępniasz jakieś treści w swoich social media z wykorzystaniem wtyczek osadzonych na naszej stronie, to udostępnienie to w sposób naturalny będzie widoczne w Twoim profilu.

Jeżeli chodzi o szczegóły związane z przetwarzaniem przez administratorów serwisów społecznościowych informacji gromadzonych przez wtyczki, w szczególności o cel i zakres gromadzenia danych oraz ich dalsze przetwarzanie i wykorzystanie przez administratorów, jak również możliwość kontaktu oraz Twoje prawa w tym zakresie i możliwość dokonania ustawień zapewniających ochronę Twojej prywatności, wszystko znajdziesz w politykach prywatności poszczególnych usługodawców:

Disqus – szczegóły

Na naszej stronie wykorzystywany jest system komentarzy Disqus obsługiwany przez zewnętrzny podmiot, tj. Disqus, Inc., 717 Market St San Francisco, CA 94103, USA.

Gdy wyświetlasz stronę zawierającą komentarze obsługiwane przez system Disqus, Disqus wysyła jeden lub więcej plików cookies do Twojego urządzenia, które identyfikują Twoją przeglądarkę internetową. Pliki cookies Disqus odpowiedzialne są za prawidłowe funkcjonowanie systemu komentarzy, w szczególności usprawniają proces logowania się. W ramach plików cookies Disqus gromadzone są również informacje w jaki sposób korzystasz z naszej strony (np. podstrony, który odwiedzasz, linki, w które klikasz) w celu analizy Twojej aktywności oraz personalizowania wyświetlanych Ci w ramach systemu Disqus treści, w tym reklam.

Jeżeli Disqus wyświetla reklamy, korzysta z technologii wspierających ten proces, takich jak Google, Polymorph, ServeBid, które mogą ustawiać cookies na potrzeby personalizacji marketingu, powiązania reklam z późniejszymi aktywnościami, limitowania jak często wyświetlane są Ci poszczególne reklamy.

Pamiętaj, że z systemu komentarzy Disqus korzystasz jako jego własny użytkownik, na podstawie regulaminu oraz polityki prywatności Disqus. Disqus jest samodzielnym, niezależnym od nas podmiotem świadczącym na Twoją rzecz usługi drogą elektroniczną. Szczegółów w zakresie zasad korzystania z systemu Disqus, w tym ochrony prywatności, możesz szukać w dokumentach udostępnianych bezpośrednio przez Disqus:

YouTube – szczegóły

Na naszych stronach osadzane są widgety YouTube pozwalające Ci odtwarzać nagrania dostępne w serwisie YouTube bezpośrednio z naszych stron. Serwis YouTube obsługiwany jest przez Google LLC.

Wideo osadzane są na stronie w trybie ochrony prywatności. Bazując na informacjach udostępnianych przez YouTube, oznacza to, że żadne pliki cookies nie są zapisywane na Twoim urządzeniu ani Google nie gromadzi jakichkolwiek informacji na Twój temat, dopóki nie odtworzysz nagrania.

Gdy odtwarzasz nagranie, YouTube zapisuje na Twoim urządzeniu pliki cookies i otrzymuje informacje, że odtworzyłeś nagranie z poziomu określonej strony internetowej, nawet jeśli nie posiadasz konta Google czy nie jesteś akurat zalogowany. Jeśli zalogowałeś się do konta Google, to usługodawca ten będzie mógł bezpośrednio przyporządkować wizytę na naszej stronie do Twojego konta. Cel i zakres gromadzenia danych oraz ich dalszego przetwarzania i wykorzystania przez Google, jak również możliwość kontaktu oraz Twoje prawa w tym zakresie i możliwość dokonania ustawień zapewniających ochronę Twojej prywatności zostały opisane w polityce prywatności Google. 

Jeśli nie chcesz, aby Google przyporządkowywał dane zebrane w trakcie odtwarzania wideo bezpośrednio Twojemu profilowi, przed odtworzeniem wideo musisz się wylogować ze swojego konta. Możesz również całkowicie uniemożliwić załadowanie na stronie wtyczek stosując odpowiednie rozszerzenia dla Twojej przeglądarki, np. blokowanie skryptów.

Informacje gromadzone w ramach plików cookies związanych z osadzonymi na naszych stronach filmami z serwisu YouTube wykorzystywane są przez Google w celu zapewnienia prawidłowego i bezpiecznego funkcjonowania widgetu, analizy i optymalizacji w zakresie świadczonych przez YouTube usług, jak również w celach personalizacji i reklamy.

Pamiętaj, że odtwarzając nagrania dostępne w serwisie YouTube, korzystasz z usług świadczonych drogą elektroniczną przez Google LLC. Google LLC jest samodzielnym, niezależnym od nas podmiotem świadczącym na Twoją rzecz usługi drogą elektroniczną. Szczegółów w zakresie zasad korzystania z YouTube, w tym ochrony prywatności, możesz szukać w dokumentach udostępnianych bezpośrednio przez YouTube:

§ 27 Czy śledzimy Twoje zachowania podejmowane w ramach naszej strony?

Tak, korzystamy z narzędzi Google Analytics, Google AdWords, Hotjar oraz Facebook Custom Audiences, które wiążą się z gromadzeniem informacji na temat Twoich aktywności na naszej stronie. Narzędzia te zostały szczegółowo opisane w ramach pytania poświęconego plikom cookies podmiotów trzecich, dlatego nie będziemy powtarzać tych informacji również tutaj.

§ 28 Czy kierujemy do Ciebie targetowane reklamy?

Tak, korzystamy z Facebook Ads oraz Google Ads, w ramach których możemy kierować reklamy do określonych grup docelowych zdefiniowanych w oparciu o różne kryteria takie jak wiek, płeć, zainteresowania, zawód, praca, działania podejmowane uprzednio w ramach naszej strony. Narzędzia te zostały szczegółowo opisane w ramach pytania poświęconego plikom cookies podmiotów trzecich, dlatego nie będziemy powtarzać tych informacji również tutaj.

§ 29 Polityka prywatności dotycząca korespondencji email.

Administrator danych osobowych

Administratorem danych osobowych jest Administrator.

Cele i podstawy przetwarzania

Dane przetwarzane są w celu wymiany korespondencji oraz jej archiwizacji na wypadek potrzeby wykazania jej przebiegu, co jest naszym prawnie uzasadnionym interesem (art. 6 ust. 1 lit. f RODO).

Odbiorcy danych

Dane osobowe zawarte w korespondencji e-mail powierzamy do przetwarzania następującym podmiotom:

  • hostingodawca – w celu przechowywania danych na serwerach skrzynek pocztowych,
  • podwykonawcy biorący udział w wymianie wiadomości (MailerLite).

Okres przechowywania danych

Pana / Pani dane będą przetwarzane do czasu zakończenia komunikacji z nami. Po tym okresie mogą zostać usunięte, ale mogę również podlegać archiwizacji, jeżeli uznamy, że przebieg komunikacji uzasadnia takową archiwizację, np. z uwagi na wypadek potrzeby wykazania tego przebiegu w przyszłości. W tym zakresie nie jesteśmy w stanie określić jednoznacznego terminu usunięcia danych.

Przekazywanie danych do państw trzecich

W związku z korzystaniem z usług Zenbox oraz MailerLite, dochodzi do przekazywania danych do państw trzecich w związku z ich przechowywaniem na serwerach zlokalizowanych poza Europejskim Obszarem Gospodarczym. Zenbox oraz MailerLite zapewniają odpowiedni poziom ochrony danych osobowych poprzez stosowane mechanizmy zgodności, takie jak programy certyfikujące lub standardowe klauzule umowne.

Uprawnienia związane z przetwarzaniem

W związku z przetwarzaniem danych osobowych przysługują Panu / Pani następujące uprawnienia:

  • prawo dostępu do swoich danych oraz otrzymania ich kopii,
  • prawo do sprostowania (poprawiania) swoich danych,
  • prawo do usunięcia danych (jeżeli Pana / Pani zdaniem nie ma podstaw, abyśmy przetwarzali Pana / Pani dane, może Pan / Pani żądać, abyśmy je usunęli),
  • prawo do ograniczenia przetwarzania danych (może Pan / Pani żądać, abyśmy ograniczyli przetwarzanie danych wyłącznie do ich przechowywania lub wykonywania uzgodnionych z Panem / Panią działań, jeżeli mamy nieprawidłowe dane lub przetwarzamy je bezpodstawnie),
  • prawo do wniesienia sprzeciwu wobec przetwarzania danych (ma Pan / Pani prawo do sprzeciwu wobec przetwarzania danych na podstawie prawnie uzasadnionego interesu; powinien Pan / Pani wskazać nam Pana / Pani szczególną sytuację, która Pana / Pani zdaniem uzasadnia zaprzestanie przez nas przetwarzania objętego sprzeciwem. Przestaniemy przetwarzać Pana / Pani dane w tych celach, chyba że wykażemy, że podstawy przetwarzania przez nas danych są nadrzędne wobec Pana / Pani praw lub też, że Pana / Pani dane są nam niezbędne do ustalenia, dochodzenia lub obrony roszczeń),
  • prawo do przenoszenia danych (ma Pan / Pani prawo otrzymać od nas w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe, które Pan / Pani nam dostarczył na podstawie umowy lub Pana / Pani zgody. Może nam Pan / Pani zlecić przesłanie tych danych bezpośrednio innemu podmiotowi),
  • prawo wniesienia skargi od organu nadzorczego (jeżeli stwierdzi Pan / Pani, że przetwarzamy dane niezgodnie z prawem, może Pan / Pani złożyć w tej sprawie skargę do Prezesa Urzędu Ochrony Danych Osobowych lub innego właściwego organu nadzorczego).

W celu wykonania swoich praw prosimy skierować swoje żądanie pod adres e-mail michal@corazlepszytrener.pl. Proszę pamiętać, że przed realizacją Pana / Pani uprawnień będziemy musieli odpowiednio Pana / Panią zidentyfikować.

Informacja o wymogu / dobrowolności podania danych

Podanie przez Pana / Panią danych jest warunkiem nawiązania z nami kontaktu.

§ 30 W jaki sposób możesz zarządzać swoją prywatnością?

Odpowiedź na to pytanie znajduje się w wielu miejscach tej polityki prywatności przy okazji opisywania poszczególnych narzędzi, reklamy behawioralnej, zgody na cookies itp. Niemniej jednak, dla Twojej wygody zebraliśmy jeszcze raz te informacji w jednym miejscu. Poniżej znajdziesz listę możliwości zarządzania swoją prywatnością:

§ 31 Postanowienia końcowe

  1. Niniejsza Polityka oraz pozostałe dokumenty związane z ochroną danych osobowych, ulegać będą przeglądom w celu weryfikacji aktualności informacji w nim zawartych w cyklu przynajmniej corocznym.
  2. Każdy przegląd będzie podlegał raportowaniu z wykorzystaniem wzoru raportu wchodzącego w skład dokumentacji ochrony danych osobowych.
  3. W przypadku aktualizacji któregoś z dokumentów, zmiany będą uwidaczniane w rejestrze zmian stanowiącym część dokumentu podlegającego aktualizacji.

Załączniki

Załącznik nr 1 – lista osób posiadających klucz pozwalający uzyskać dostęp do siedziby Administratora

  • Marta Polniak;
  • Beata Polniak;
  • Robert Polniak;
  • Wioletta Czarnecka;
  • Zbigniew Czarnecki.

Załącznik nr 2 – wykaz sprzętu wykorzystywanego do przetwarzania danych osobowych

  • laptop Hp Pavilion 15,
  • tablet Huawei Media Pad M3 Lite,
  • telefon Xiaomi Mi9,
  • telefon Xiaomi Mi Max 2.

Załącznik nr 3 – wykaz skrzynek e-mail funkcjonujących w ramach organizacji Administratora

  • michal@corazlepszytrener.pl,
  • trener@michalpolniak.pl.

Załącznik nr 4 – wykaz podmiotów przetwarzających

Podmiot przetwarzający Świadczone usługi Umowa powierzenia
zenbox sp. z o.o. ul. Dąbrowskiego 7, 42-200 Częstochowa Hosting Zawarta w formie elektronicznej.
Sebastjan Sp. j. ul. Kościelna 37, 41-700 Ruda Śląska Księgowość Zawarta w formie pisemnej.
Disqus 717 Market St San Francisco, CA, 94103 United States of America Wtyczka systemu komentarzy Disqus Zawarta w formie elektronicznej.
Mailerlite Vilnius, LT (HQ) Jono Basanavičiaus g. 17 Lithuania System mailingowy MailerLite Zawarta w formie elektronicznej

Załącznik nr 5 – wykaz środków ochrony danych osobowych

  • Kontrola dostępu do siedziby Administratora (drzwi z systemem breloków).
  • Kontrola dostępu do sprzętu oraz oprogramowania wykorzystywanego do przetwarzania danych osobowych (logowanie z wykorzystaniem identyfikatora użytkownika oraz hasła lub autoryzacja czynnikiem biometrycznym).
  • Ograniczenie dostępu do kluczowej infrastruktury do zawężonego kręgu osób
  • Dwuskładnikowe logowanie aktywowane tam, gdzie jest to możliwe.
  • Kopie zapasowe.
  • Niszczarka dokumentów.
  • Wygaszacze ekranów zabezpieczone hasłem.
  • Blokada systemów po dłuższej nieaktywności.
  • Ochrona antywirusowa.
  • Polityka czystego biurka i czystego pulpitu.

Załącznik nr 6 – wykaz oprogramowania wykorzystywanego do przetwarzania danych

  • Google Docs i Google Sheets – oprogramowanie biurowe dostępne w chmurze Google, które przechowuje dane również w chmurze Google,
  • Google Drive – chmura umożliwiające przechowywanie w niej plików zawierających dane osobowe,
  • wtyczka Disqus – program modyfikujący system komentarzy na stronie internetowej,
  • klient poczty zainstalowany lokalnie na komputerze – korespondencja przechowywana jest na serwerze zapewnianym przez zewnętrznego hostingodawcę,
  • oprogramowanie biurowe zainstalowane lokalnie na komputerach wykorzystywanych do przetwarzania danych,
  • system operacyjny komputera – w zakresie, w jakim dane przetwarzane są z wykorzystaniem standardowych funkcji i narzędzi dostępnych w ramach systemu, np. w postaci folderów zawierających w swojej nazwie dane osobowe.

Załącznik nr 7 – wykaz osób posiadających dostęp do serwera 

  • Michał Polniak.