Polityka ochrony danych osobowych

MEGA SPORT Spółki Jawnej K. Plinta, J. Plinta

z siedzibą w Szczecinie

 

Rozdział 1. Postanowienia ogólne

 

1. 1. Polityka ochrony danych osobowych Mega Sport Spółki jawnej K. Plinta, J. Plinta z siedziba w Szczecinie, zwana dalej „Polityką ochrony”, ma za zadanie stanowić mapę wymogów, zasad i regulacji ochrony danych osobowych w Mega Sport Spółce jawnej K. Plinta, J. Plinta z siedziba w Szczecinie, zwana dalej „Spółką”.

Polityka ochrony jest polityką ochrony danych osobowych w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetrwaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE seria L poz. 119), zwanego dalej „ogólnym rozporządzeniem o ochronie danych” oraz przepisów ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000), zwanej dalej „ustawą o ochronie danych osobowych”.

 

2. 1. Polityka ochrony zawiera opis zasad ochrony danych osobowych pracowników Spółki, w tym osób z nim współpracujących na podstawie umów cywilnoprawnych, a także swych klientów indywidualnych, będących zarówno osobami fizycznymi prowadzącymi jednoosobową działalność gospodarczą, jak i nie prowadzącymi takiej działalności, jak również kontrahentów, ich przedstawicieli handlowych i innych partnerów gospodarczych.

Odpowiedzialnymi za wdrożenie, utrzymanie oraz stosowanie Polityki ochrony w Spółce odpowiedzialni są wspólnicy Spółki, tj. Krzysztof Plinta i Jan Plinta.

Spółka zapewni zgodności postępowania swych kontrahentów z Polityką ochrony w zakresie odpowiednim do rodzaju prowadzonej z nimi współpracy.

 

3. Użyte w Polityce ochrony wyrażenia oznaczają:

„osoba” – każda osoba fizyczna, której dane osobowe Spółka przetwarza;

„przetwarzający” – osobę fizyczną, osobę prawną lub jednostkę organizacyjną nieposiadającą osobowości prawnej, której ustawa przyznaje zdolność prawną, której Spółka powierzyła przetwarzanie danych osobowych wskazanych w § 2 ust. 1, w szczególności prowadzącą obsługę prawną, księgową, kadrową i informatyczną Spółki;

„profilowanie” – dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania lokalizacji lub przemieszczenia się;

„eksport danych” – przekazywanie danych do państwa trzeciego spoza Europejskiego Obszaru Gospodarczego lub organizacji międzynarodowej;

„dane szczególnych kategorii” – dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne biometryczne, dotyczące zdrowia, seksualności lub orientacji seksualnej;

„dane niezidentyfikowane” – dane osobowe pozyskane bez związku z celem pozyskiwania danych przez Spółkę, których pozyskanie nie nastąpiło z woli pracowników Spółki lub w wyniku obowiązywania przepisów prawa;

„dane karne” – dane dotyczące wyroków skazujących oraz naruszeń prawa.

 

4. 1. Spółka doba o ochronę prywatności i przetwarza dane zgodnie z prawem.

Spółka zapewnia odpowiedni poziom bezpieczeństwa danych osobowych.

Spółka umożliwia osobom, których dane przetwarza, wykonywanie ich prawa i prawa te realizuje.

Spółka prowadzi dokumentację sposobu wykonywania swych obowiązków związanych z ochroną danych osobowych, która pozwala na weryfikację jej zgodności z prawem w każdym czasie.

 

Rozdział 2.

System ochrony danych

 

5. 1. Spółka przetwarza dane osobowe z poszanowaniem zasad legalizmu (przetwarza dane na podstawie i zgodnie z prawem), rzetelności (przetwarza dane rzetelnie i uczciwie), transparentności (przetwarza dane w sposób przejrzysty dla osoby, której dane te dotycząc), minimalizacji i adekwatności (przetwarza dane w celach wynikających z przedmiotu jej działalności i treści łączących ją z osobami fizycznymi umów, nie gromadząc jednocześnie danych zbędnych), prawidłowości (przetwarza dane na z dbałością o ich prawidłowość), czasowości (przetwarza dane nie dłużej niż wskazuje na to rzeczowa potrzeba) oraz bezpieczeństwa (przetwarza dane zapewniając im bezpieczeństwo).

Zasady wskazane w ustępie poprzedzającym tworzą system ochrony danych Spółki.

 

6. 1. Spółka identyfikuje posiadane i pozyskiwane zasoby danych osobowych oraz sposoby ich wykorzystywania.

Spółka opracowuje, prowadzi i utrzymuje Rejestr Czynności Danych Osobowych w Spółce, zwany dalej „Rejestrem”, który stanowi narzędzie weryfikacji zgodności z zasadami ochroną danych.

Spółka zapewnia, identyfikuje i weryfikuje podstawy prawne przetwarzania danych i rejestruje je w Rejestrze, w tym utrzymuje system zarządzania zgodami na przetwarzanie danych i system komunikacji na odległość oraz inwentaryzuje i uszczegóławia uzasadnienie przypadków, gdy Spółka przetwarza dane na podstawie prawnie uzasadnionego interesu Spółki.

 

7. Spółka spełnia obowiązki informacyjne względem osób, których dane przetwarza, oraz zapewnia obsługę ich praw, realizacją otrzymane w tym zakresie żądania, w tym:

1) przekazuje tym osobom prawem wymagane informacje przy zbieraniu danych i w innych sytuacjach oraz organizuje i zapewnia udokumentowanie realizacji tych obowiązków;

2) weryfikuje i zapewnia możliwość elektrycznego wykonywania każdego typu żądania przez samą siebie i przetwarzających;

3) zapewnia odpowiednie nakłady i procedury, aby żądania tych osób były realizowane w prawem przewidzianych terminach i w sposób zgodny z ogólnym rozporządzeniem o ochronie danych osobowych oraz dokumentowane;

4) stosuje procedury pozwalające na ustalenie konieczności zawiadamiania osób dotkniętych zidentyfikowanym naruszeniem ochrony danych.

 

8. Spółka dąży do zapewnienia adekwatności zarządzania danymi, reglamentuje dostęp do danych, zarządza okresem przechowywania danych i weryfikacji ich dalszej przydatności.

 

9. Spółka zapewnia odpowiedni poziom bezpieczeństwa danych osobowych poprzez:

przeprowadzanie analiz ryzyka dla czynności przetwarzania danych lub ich kategorii;

przeprowadza oceny skutków dla ochrony danych w obszarach, w których ryzyko naruszenia wolności i praw jest wysokie;

dostosowuje przedsiębrane środki ochrony danych do ustalonych ryzyk;

posiada system zarządzania bezpieczeństwem informacji;

stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Urzędowi Ochrony Danych.

 

10. Spółka zawiera z przetwarzającymi umowy o powierzenie danych osobowych, umożliwiające weryfikację ochrony danych osobowych u przetwarzających.

 

11. Spółka nie dokonuje eksportu danych.

 

12. Spółka zarządza zmianami wpływającymi na prywatność i w tym celu podejmowane przez nią projekty i inwestycje przeprowadza się po dokonaniu oceny ich wpływu na ochronę danych, ryzyka i zapewnienie prywatności. Oceny te dokonywane są również w trakcie realizacji projektów i inwestycji, jak i po ich zakończeniu.

 

13. Spółka opracowała zasady weryfikacji, kiedy zachodzą przypadki przetwarzania transgranicznego oraz zasady ustalania wiodącego organu nadzorczego i główniej jednostki organizacyjnej w rozumieniu ogólnego rozporządzenia o przetwarzaniu danych.

 

14. 1. Spółka identyfikuje przypadki, w których przetwarza lub może przetwarzać dane szczególnych kategorii lub dane karne oraz utrzymuje mechanizmy zapewnienia zgodności z prawem przetwarzania takich danych. W sytuacji zidentyfikowania przypadków przetwarzania danych szczególnych kategorii lub danych karnych, Spółka postępuje zgodnie z przyjętymi zasadami.

Spółka identyfikuje przypadki, w których przetwarza lub może przetwarzać dane niezidentyfikowane i utrzymuje mechanizmy zapewnienia zgodności z prawem przetwarzania takich danych.

Spółka identyfikuje przypadki, w których profilowania przetwarzanych danych i utrzymuje mechanizmy zapewniające zgodność tego procesu z prawem. W sytuacji zidentyfikowania przypadków profilowania i zautomatyzowanego podejmowania decyzji Spółka postępuje zgodnie z przyjętymi zasadami.

Spółka identyfikuje przypadki współadministrowania danymi i postępuje zgodnie z przyjętymi zasadami.

 

15. 1. Rejestr stanowi formę dokumentowania czynności przetwarzania danych, pełni rolę „mapy: przetwarzania danych i jest podstawowym elementem umożliwiającym realizację zasady rozliczalności wypełniania obowiązków z zakresu ochrony danych osobowych.

W Rejestrze Spółka inwentaryzuje i monitoruje sposób, w jaki wykorzystuje dane.

W Rejestrze dla każdej czynności przetwarzania danych, którą Spółka uzna za odrębną, odnotowuje co najmniej:

1) nazwę czynności,

2) cel przetwarzania

3) opis kategorii osób,

4) opis kategorii danych,

5) podstawę prawną przetwarzania wraz z wyszczególnieniem uzasadnionego interesu Spółki, gdy jest on podstawą przetwarzania,

6) sposób zbierania danych,

7) opis kategorii odbiorców przetwarzanych danych,

8) informacje o eksporcie danych,

9) ogólny opis technicznych i organizacyjnych środków ochrony danych.

 

16. 1. W Rejestrze dokumentowane są podstawy prawne przetwarzania danych dla poszczególnych czynności.

Wskazując ogólną podstawę prawną (zgoda, umowa, obowiązek prawny, żywotny interes lub cel Spółki, żądanie władzy publicznej) Spółka dba o precyzję.

Spółka wdraża metody zarządzania zgodna umożliwiające rejestrację i weryfikację posiadanych zgód na przetwarzanie konkretnych danych w określony celu, zgody na komunikację na odległości oraz rejestrację odmowy zgody, cofnięcia zgody i innych czynności.

Kierownik komórki organizacyjnej Spółki ma obowiązek znać podstawy prawne, na jakich komórka przezeń kierowana dokonuje konkretnych czynności przetwarzania danych. Jeżeli podstawą jest uzasadniony interes Spółki, kierownik komórki ma obowiązek znać konkretny realizowany przetwarzaniem interes Spółki.

 

17. 1. Spółka dba o czytelność i styl przekazywanych informacji i komunikacji z osobami, których dane przetwarza.

Spółka ułatwia osobom korzystanie z ich praw, w tym zamieszczanie na stronie internetowej informacji i przysługujących im prawach, sposobie korzystania z nich w Spółce (w tym zwłaszcza wymaganiach dotyczących identyfikacji oraz metod kontaktu ze Spółką).

Spółka dąży do przestrzegania terminów realizacji obowiązków względem osób, których dane przetwarza.

Spółka wprowadza adekwatne metody identyfikacji i uwierzytelniania osób dla potrzeb realizacji praw jednostki i obowiązków informacyjnych.

W celu realizacji praw jednostki Spółka zapewnia procedury i mechanizmy pozwalające na zidentyfikowanie danych konkretnych osób przetwarzanych przez Spółkę, zintegrować te dane, wyprowadzić do nich zmiany i usuwać w sposób zintegrowany.

Spółka dokumentuje obsługę obowiązków informacyjnych, zawiadomień i żądań osób.

 

18. 1. Spółka określa zgodne z prawem i efektywne sposoby wykonywania obowiązków informacyjnych.

Spółka informuje o przedłużeniu ponad jeden miesiąc terminu rozpatrzenia żądania osoby, której dane przetwarza.

Spółka informuje o przetwarzaniu danych przy ich pozyskiwaniu, a jednocześnie określa sposób informowania osób o przetwarzaniu danych niezidentyfikowanych, o ile jest to możliwe.

Spółka uprzednio informuje o planowanej zmianie celu przetwarzania danych, jak również o uchylenia ograniczenia przetwarzania danych.

Spółka informuje odbiorców danych o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych, o ile nie będzie wiązało się to z nadmiernymi kosztami.

Spółka informuje o prawie sprzeciwu wobec przetwarzania danych najpóźniej przy pierwszym kontakcie z daną osobą.

Spółka bez zbędnej zwłoki zawiadamia o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia wolności lub praw danej osoby.

 

Rozdział 3.

Żądania osób, których dane są przetwarzane

 

19. 1. Realizując prawa osób, których dane dotyczą, Spółka wprowadza proceduralne gwarancje ochrony wolności i praw osób trzecich. W przypadku powzięcia wiarygodnej wiadomości o tym, że wykonanie żądania osoby o sporządzenie kopii danych lub prawa do przeniesienia danych może niekorzystnie wpłynąć na wolności i prawa innych osób, Spółka może zwrócić się do osoby w celu wyjaśnienia wątpliwości lub podjąć inne prawem dozwolone kroki, łącznie z odmową spełnienia żądania.

Spółka informuje osobę o ty, że nie przetwarza danych jej dotyczących, jeżeli osoba taka zgłosi Spółce żądanie dotyczące jej praw.

Spółka informuje osobę, w ciągu miesiąca od otrzymania żądania, o odmowie rozpatrzenia żądania i o prawach z tym związanych.

Na żądanie osoby dotyczące dostępu do jej danych Spółka informuje ją, czy przetwarza jej dane oraz informuje o szczegółach przetwarzania, zgodnie z art. 15 ogólnego rozporządzenia o ochronie danych osobowych, a także udziela osobie dostępu do danych jej dotyczących. Na żądanie wydania kopii danych Spółka wydaje kopie danych, odnotowując fakt wydania pierwszej kopii. Pierwsza kopia danych jest bezpłatna. Druga i kolejne kopie danych są odpłatna, a ich cena jest szacowana na podstawie jednostkowego kosztu obsługi żądania wydania kopii danych.

Spółka prostuje nieprawidłowe dane na żądanie osoby. Spółka może odmówić sprostowania danych, chyba że osoba wykaże nieprawidłowość danych, których sprostowania się domaga. W przypadku sprostowania danych Spółka informuje osobę o odbiorcach danych, o ile osoba żądanie takie sformułuje.

Spółka uzupełnia i aktualizuje dane na żądania osoby. Spółka może odmówić uzupełnienia danych, jeżeli byłoby to sprzeczne z celami przetwarzania danych. Aktualizacja lub uzupełnienie danych następuje na podstawie oświadczenia osoby, chyba że istnieją podstawy uznania oświadczenia za niewiarygodne.

Spółka usuwa dane, na żądanie osoby, gdy:

1) dane nie są niezbędne do celów, w których zostały zebrane, ani przetwarzane w innych zgodnych z prawem celach;

2) zgodna na ich przetwarzanie została cofnięta, a nie ma innej podstawy prawnej ich przetwarzania;

3) osoba wniosła skuteczny sprzeciw względem przetwarzania danych;

4) dane były przetwarzane niezgodnie z prawem;

5) konieczność usunięcia wynika z obowiązku prawnego.

W przypadku usunięcia danych Spółka informuje o tym podmioty przetwarzające dane na jej zlecenie.

Spółka ogranicza przetwarzanie danych na żądanie osoby, gdy:

1) osoba kwestionuje prawidłowość danych – na okres niezbędny do zweryfikowania prawdziwości danych;

2) przetwarzanie danych jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając ograniczenia ich wykorzystywania;

3) Spółka nie potrzebuje już danych osobowych;

4) osoba wzniosła sprzeciw względem przetwarzania danych.

W okresie graniczenia przetwarzania danych Spółka jedynie je przechowuje, nie przetwarzając ich, chyba że co innego wynika z porozumienia z osobą lub jest to konieczne ze względu na interes Spółki lub interes publiczny. Spółka poinformuje osobę o uchylenia ograniczenia przetwarzania.

Na żądanie osoby Spółka przekaże jej dane osobowe (w uzgodnionej postaci elektronicznej lub pisemnej) wskazanemu przez osobę podmiotowi, dostarczone Spółce przez tę osobę na podstawie jej zgody lub w ramach zawarcia umowy.

Jeżeli osoba zgłosi umotywowany jej szczególną sytuacją sprzeciw względem przetwarzania jej danych, a dane przetwarzane są przez Spółkę na podstawie uzasadnionego interesu Spółki, Spółka sprzeciw uwzględni, o ile nie zachodzą po jej stronie ważne, prawem uzasadnione podstawy do przetwarzania danych, nadrzędne wobec interesów, wolności lub praw osoby zgłaszającej sprzeciw lub podstawy do ustalenia, chodzenia lub obrony roszczeń Spółki.

Spółka uwzględni sprzeciw jeżeli dotyczy on przetwarzania danych osobowych na potrzeby marketingowe.

 

20. 1. Spółka minimalizuje przetwarzane dane, uwzględniając adekwatność i konieczność ich zakresu względem celu przetwarzania, dostęp do danych oraz czas ich przechowywania. W tym celu Spółka dokonuje okresowego przeglądu danych i zakresu ich przetwarzania.

Spółka przeprowadza weryfikację zmian w zakresie ilości i zakresu przetwarzania danych w ramach procedur zarządzania zmianą.

Spółka ogranicza dostęp do danych osobowych poprzez zobowiązania pracowników do zachowania poufności, określenie miejsc, w których dane mogą być przechowywane i środków ich zabezpieczenia).

Spółka kontroluje dostęp fizyczny do danych.

W przypadku zmian pracowników Spółka aktualizuje przyznane uprawniania do przetwarzania danych i aktualizuje rejestr upoważnień.

Spółka kontroluje cykl przetwarzania danych i weryfikuje ich dalszą przydatność do realizacji celów, w jakich są gromadzone. Dane, których okres przydatności upłynął są usuwane z systemów Spółki i podlegają archiwizacji. Procedury archiwizacji danych określają przepisy prawa.

21. 1. Spółka zapewnia stopień zabezpieczenia danych odpowiadający ryzyku naruszenia wolności i praw osób wskutek przetwarzania danych przez Spółkę.

Spółka analizuje adekwatności środków bezpieczeństwa danych poprzez:

1) zapewnienie odpowiednie stanu wiedzy o bezpieczeństwie informacji, cyberbezpieczeństwie i ciągłości podejmowanych działań;

2) kategoryzowanie danych i czynności ich przetwarzania pod kątem ryzyka, które przedstawiają;

3) prowadzenie analiz ryzyka naruszenia wolności lub praw osób w procesie przetwarzania danych;

4) ustalanie możliwych do zastosowania organizacyjnych i technicznych środków bezpieczeństwa i oszacowanie kosztów ich wdrożenia.

Środkami organizacyjnymi i technicznymi bezpieczeństwa danych są m. in. pseudoanonimizacja, szyfrowanie danych osobowych, fizyczne zabezpieczenia baz danych etc.

 

Rozdział 3.

Postanowienia różne

22. W sprawach nieuregulowanych w Polityce ochrony danych osobowych znajdują zastosowanie przepisy ogólnego rozporządzenia o ochronie danych osobowych oraz ustawy o ochronie danych osobowych wraz z ewentualnymi aktami wykonawczymi do nich ogłoszonymi.

23. Polityka ochrony danych osobowych wchodzi w życie 25 września 2018 roku.