Polityka prywatności - Instytut Shintai
Instytut Shintai

POLITYKA BEZPIECZEŃSTWA INFORMACJI

w INSTYTUTCIE SHINTAI DAY SPA

CEL POWSTANIA DOKUMENTU I OŚWIADCZENIA ADMINISTRATORA DANYCH OSOBOWYCH

1.     Niniejsza Polityka bezpieczeństwa, zwana dalej Polityką, została sporządzona i wdrożona w celu wykazania, że dane osobowe są przetwarzane i zabezpieczone zgodnie z wymogami prawa, dotyczącymi zasad przetwarzania i zabezpieczenia danych w kancelarii, w tym z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako RODO).

2.     Przedmiotem Polityki jest m.in. określenie, opisanie i zawarcie w niej, jak również w załączonych dokumentach:

a)  zasad przetwarzania danych osobowych,

b)  zastosowanych środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń,

c)  kategorii danych osobowych objętych ochroną, a w szczególności:

·    zabezpieczeń danych osobowych przed ich udostępnieniem osobom nieupoważnionym,

·    zabraniem przez osobę nieuprawnioną,

·    przetwarzaniem z naruszeniem ustawy,

·    zmianą, utratą, uszkodzeniem lub zniszczeniem.

 

3.      Instytut Shintai Day Spa
ul. Dobrego Pasterza 118/1
31- 416 Kraków

jest Administratorem Danych Osobowych osób fizycznych, które są przetwarzane w ramach prowadzonej przez niego działalności gospodarczej.

4.     Administrator zapewnia, że:

a)   nie prowadzi przetwarzania danych, które wiązałoby się z wysokim ryzykiem naruszenia praw lub wolności osoby fizycznej;

b)   uwzględnia ochronę danych w fazie projektowania oraz stosuje domyślną politykę ochrony tam, gdzie ma to zastosowanie (tzw. „privacy by design” i „privacy by default”);

c)   respektuje prawa osoby, której dane dotyczą, w szczególności prawa dostępu do danych, sprostowania danych, bycia zapomnianym, prawo do ograniczenia przetwarzania, prawo do przenoszenia danych, prawo do sprzeciwu, zgodnie z aktualnie obowiązującymi przepisami prawa;

d)   dokona oceny skutków dla planowanych operacji przetwarzania danych osobowych przed rozpoczęciem przetwarzania - jeśli dany rodzaj przetwarzania - w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

5.      Administrator Danych Osobowych nie podlega obowiązkowi powołania Inspektora Ochrony Danych Osobowych. Samodzielnie wykonuje jego zadania, zgodnie z aktualnie obowiązującymi przepisami prawa.

6.      Pracownicy i współpracownicy Administratora Ochrony Danych Osobowychsą zobowiązani do zapoznania się z obowiązującymi procedurami i instrukcjami, a także postępowania zgodnie z nimi.

 

§2

DEFINICJE

 

1.    Administrator  Danych Osobowych lub Administrator – 

Instytut Shintai Day Spa
ul. Dobrego Pasterza 118/1
31- 416 Kraków

 

2.     Dane osobowe zwykłe– wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników, określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne, np.: imię, nazwisko, numer PESEL, adres e-mail, data urodzenia, adres zamieszkania.

3.     Dane osobowe wrażliwe – dane osobowe, ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, stan zdrowia i wszelkie informacje dotyczące zdrowia psychicznego lub fizycznego, kod genetyczny, dane genetyczne i biometryczne, nałogi lub życie seksualne, dotyczące skazań, orzeczeń o ukaraniu, mandatów karnych.

4.     System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji narzędzi programowych zastosowanych w celu przetwarzania danych

5.     Użytkownik – osoba upoważniona przez Administratora Danych do Przetwarzania danych osobowych. Użytkownikiem może być pracownik, osoba wykonująca pracę na podstawie umowy zlecenia lub innej umowy cywilnoprawnej.

6.     Identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innychjednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym (Użytkownika) w razie Przetwarzania danych osobowych w takim systemie

7.     Odbiorca danych – każdy, komu udostępnia się dane osobowe, z wyłączeniem:

·    Osoby, której dane dotyczą,

·    Osoby upoważnionej do przetwarzania danych,

·    Podmiotu, któremu powierzono przetwarzanie danych,

·    Organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem.

8.     Osoba upoważniona –osoba, która została upoważniona przez Administratora danych osobowych do przetwarzania danych w celu i w zakresie wskazanym w upoważnieniu. Może nią być osoba zatrudniona na podstawie umowy o pracę, umowy cywilnoprawnej, wolontariusz, stażysta, itp.

9.     Zbiór danych – każdy uporządkowany zestaw danych o charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego czy jest rozproszony, czy podzielony funkcjonalnie.

10.  Przetwarzanie danych – jakiekolwiek operacje wykonywane na Danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie w formie tradycyjnej oraz w systemach informatycznych. Zasady zawarte w niniejszej Polityce należy stosować przy każdej operacji na danych.

11.  Udostępnienie danych– przekazanie danych osobowych innemu administratorowi danych na podstawie właściwych przepisów prawa, np. sądowi, policji, prokuraturze.

12.  Powierzenie danych – przekazanie danych osobowych innemu podmiotowi w określonym celu i zakresie, na podstawie zawartej umowy i w ramach jej realizacji, np. umowy z biurem rachunkowym.

13.  Hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobieuprawnionej do pracy w systemie informatycznym (Użytkownikowi) w razie przetwarzania danych osobowych w takim systemie.

14.  Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanejtożsamości podmiotu (Użytkownika) w systemach informatycznych, najczęściej polegające na wpisaniu loginu i hasła użytkownika.

15.  RODO – oznacza Rozporządzenie Parlamentu Europejskiego i Rady EU 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne Rozporządzenie o Ochronie Danych).

 

§3

POSTANOWIENIA OGÓLNE I OBOWIĄZKI ADMINISTRATORA

 

1.     Polityka dotyczy wszystkich danych osobowych przetwarzanych w

Instytut Shintai Day Spa
ul. Dobrego Pasterza 118/1
31- 416 Kraków

niezależnie od formy ich przetwarzania (przetwarzane tradycyjnie zbiory ewidencyjne, systemy informatyczne) oraz od tego, czy dane są lub mogą być przetwarzane w zbiorach danych.

2.     Polityka jest przechowywana w wersji elektronicznej oraz w wersji papierowej w siedzibie Administratora.

3.     Polityka jest udostępniana do wglądu osobom posiadającym upoważnienie do przetwarzania danych osobowych na ich wniosek, a także osobom, którym ma zostać nadane upoważnienie do przetwarzania danych osobowych, celem zapoznania się z jej treścią.

4.     Dokument Polityki, wraz z załącznikami, stanowi tajemnicę przedsiębiorstwa Administratora Danych Osobowych i jest klasyfikowany jako dokument wewnętrzny.

5.     Dla skutecznej realizacji Polityki Administrator Danych zapewnia:

a)  odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i rozwiązania organizacyjne,

b)  kontrolę i nadzór nad Przetwarzaniem danych osobowych,

c)  monitorowanie zastosowanych środków ochrony.

6.     Monitorowanie przez Administratora Danych zastosowanych środków ochrony obejmuje m.in. działania Użytkowników, naruszanie zasad dostępu do danych, zapewnienie integralności plików oraz ochronę przed atakami zewnętrznymi oraz wewnętrznymi.

7.     Administrator Danych zapewnia, że czynności wykonywane w związku z przetwarzaniem i zabezpieczeniem danych osobowych są zgodne z niniejszą polityką oraz odpowiednimi przepisami prawa.

8.     Każde naruszenie zasad Polityki może być uznane za poważne naruszenie podstawowych obowiązków pracowniczych lub wynikających z umów cywilnoprawnych o współpracy, i może skutkować konsekwencjami i odpowiedzialnością przewidzianymi w przepisach prawnych, takich jak m.in. ustawa Kodeks pracy, ustawa Kodeks cywilny, czy ustawa o Ochronie danych osobowych.

 

§4

DANE OSOBOWE PRZETWARZANE U ADMINISTRATORA DANYCH I OPIS STRUKTURY ZBIORÓW DANYCH

 

1.     Dane osobowe przetwarzane przez Administratora Danych gromadzone są w zbiorach danych.

2.     Administrator prowadzi opis struktury zbiorów danych osobowych w systemach informatycznych, jak poniżej:

 

 

3.     Administrator danych nie podejmuje czynności przetwarzania, które mogłyby się wiązać z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób. W przypadku planowania takiego działania Administrator wykona czynności określone w art. 35 i nast. RODO.

4.     W przypadku planowania nowych czynności przetwarzania Administrator dokonuje analizy ich skutków dla ochrony danych osobowych oraz uwzględnia kwestie ochrony danych w fazie ich projektowania.

 

 

§5

REJESTR CZYNNOŚCI PRZETWARZANIA

 

1.     Administrator Danych Osobowych prowadzi Rejestr czynności przetwarzania, ze względu na przetwarzanie szczególnych kategorii danych osobowych tzw. danych wrażliwych, np. dotyczących zdrowia psychicznego i fizycznego klientów salonu.

2.     Administrator każdorazowo weryfikuje podstawę prawną, cel oraz zakres utworzenia nowego zbioru danych, a następnie ustala, czy przetwarzanie danych jest legalne.

 

 

 

§6

PODSTAWOWE ZASADY PRZETWARZANIA DANYCH OSOBOWYCH

 

1.     Administratorprzetwarza dane osobowe wyłącznie, gdy jest to dopuszczone aktualnie obowiązującymi przepisami prawa.

2.     Dane osobowe mogą być przetwarzane wyłącznie w celu i zakresie, w jakim zostały zgromadzone, a także nie dłużej niż jest to niezbędne dla osiągnięcia tego celu.

3.     Dane osobowe po wykorzystaniu są niezwłocznie usuwane lub przechowywane wyłącznie w postaci uniemożliwiającej identyfikację osób, których dotyczą, o ile przepisy odrębnych ustaw nie podają określonego czasu przechowywania danych.

4.     Dane osobowe są przetwarzane przez Administratora, gdy:

a)   osoba, której dane dotyczą wyraziła na to zgodę, np. newsletter, karta zdrowia;

b)   jest to niezbędne do wykonania umowy, której strona jest osobą lub do podjęcia działań na żądanie osoby, której dane dotyczą przed zawarciem umowy, np. e-sklep, zawarcie umowy na usługę kosmetyczną;

c)   jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze Danych Osobowych, np. w związku z zatrudnieniem;

d)   jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub przez podmiot trzeci, np. marketing własnych produktów lub usług;

e)   przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, np. ochrona zdrowia lub życia.

5.     Administrator Danych nie przetwarza danych na teranie państwa trzeciego, ani nie powierza danych innym podmiotom poza obszarem Europejskiego Obszaru Gospodarczego.

6.     Administrator Danych przetwarza szczególne kategorie danych,tzw. dane wrażliwe, gdy:

a)  jest to niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez Administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone przepisami prawa,

b)  osoba, której dane dotyczą wyraziła na to zgodę, np. w przypadku wywiadu – uzupełnienia karty zdrowia przed zabiegiem,

c)  jest to niezbędne do ustalenia, dochodzenia lub obrony roszczeń, związanych z udzielonymi usługami w ramach wykonywanej przez Administratora działalności gospodarczej.

7.     W przypadku gdy dane osobowe są niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy lub są zbędne do realizacji celu, dla którego zostały zebrane, Administrator jest zobowiązany do ich uzupełnienia, uaktualnienia, sprostowania lub usunięcia.

8.     Administrator stosuje ogólne zasady przetwarzania danych osobowych zawarte w RODO, w szczególności w art. 5 RODO.

 

 

§7

OBOWIĄZKI I ODPOWIEDZIALNOŚĆ W ZAKRESIE ZARZĄDZANIA BEZPIECZEŃSTWEM DANYCH

 

Wszystkie osoby zobowiązane są do przetwarzania danych osobowych zgodnie z obowiązującymi przepisami i zgodnie z ustaloną przez Administratora Danych Polityką Bezpieczeństwa, Instrukcją Zarządzania Systemem Informatycznym, a także innymi dokumentami wewnętrznymi i procedurami związanymi z przetwarzaniem danych osobowych w

Instytut Shintai Day Spa
ul. Dobrego Pasterza 118/1
31- 416 Kraków

2.     Wszystkie dane osobowe u Administratora są przetwarzane z poszanowaniem zasad przetwarzania przewidzianych przez przepisy prawa:

a)  W każdym wypadku występuje chociaż jedna z przewidzianych przepisami prawa podstaw dla przetwarzania danych,

b)  Dane przetwarzane są rzetelnie i w sposób przejrzysty,

c)  Dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami,

d)  Dane osobowe są przetwarzane jedynie w takim zakresie, jaki jest niezbędny dla osiągnięcia celu przetwarzania danych,

e)  Dane osobowe są prawidłowe i w razie potrzeby uaktualniane,

f)    Czas przechowywania danych jest ograniczony do okresu ich przydatności do celów, do których zostały zebrane, a po tym okresie są one anonimizowane bądź usuwane,

g)  Wobec osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny zgodnie z treścią art. 13 i 14 RODO,

h)  Dane są zabezpieczone przed naruszeniami zasad ich ochrony.

3.     Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony Danych osobowych uważa się w szczególności:

a)  naruszenie bezpieczeństwa Systemów informatycznych, w których przetwarzane są dane osobowe, w razie ich przetwarzania w takich systemach;

b)  udostępnianie lub umożliwienie udostępniania danych osobom lub podmiotom do tego nieupoważnionym;

c)  zaniechanie, choćby nieumyślne, dopełnienia obowiązku zapewnienia danym osobowym ochrony;

d)  niedopełnienie obowiązku zachowania w tajemnicy Danych osobowych oraz sposobów ich zabezpieczenia;

e)  przetwarzanie Danych osobowych niezgodnie z założonym zakresem i celem ich zbierania;

f)   spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnione kopiowanie Danych osobowych;

g)  naruszenie praw osób, których dane są przetwarzane.

4.     W przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych osobowych Użytkownik zobowiązany jest do podjęcia wszystkich niezbędnych kroków, mających na celu ograniczenie skutków naruszenia i do niezwłocznego powiadomienia Administratora Danych.

5.     Do obowiązków Administratora Danych w zakresie zatrudniania, zakończenia lub zmiany warunków zatrudnienia pracowników lub współpracowników (osób podejmujących czynności na rzecz Administratora Danych na podstawie innych umów cywilnoprawnych) należy dopilnowanie, aby:

a)  pracownicy byli odpowiednio przygotowani do wykonywania swoich obowiązków,

b)  każdy z przetwarzających Dane osobowe był pisemnie upoważniony do przetwarzania zgodnie z „Upoważnieniem do przetwarzania danych osobowych”

 

c)każdy pracownik zobowiązał się do zachowania danych osobowych przetwarzanych u Administratora w tajemnicy poprzez podpisanie „Oświadczenia o poufności”.

 

 

6.    Pracownicy zobowiązani są do:

a)  ścisłego przestrzegania zakresu nadanego upoważnienia;

b)  przetwarzania i ochrony danych osobowych zgodnie z przepisami;

c)  zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;

d)  zgłaszania incydentów związanych z naruszeniem bezpieczeństwa danych oraz niewłaściwym funkcjonowaniem systemu.

7.      Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby, które posiadają imienne upoważnienie nadane przez Administratora Danych Osobowych.

8.      Upoważnienie wydawane jest przed rozpoczęciem o przetwarzania danych osobowych na czas trwania umowy o pracę lub innej umowy cywilnoprawnej, a także na czas wykonania określonego zadania, które związane jest z przetwarzaniem danych, w celu i zakresie wynikającym z zadań i obowiązków służbowych.

9.      Osoba upoważniona do przetwarzania danych osobowych składa pisemne oświadczenia o zobowiązaniu do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia.

10.   Administrator Danych Osobowych prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych.

 

 

11.   Administrator Danych Osobowych aktualizuje ewidencję osób upoważnionych za każdym razem, gdy upoważnia do przetwarzania nowe osoby, zmienia zakres i cel nadanego już upoważnienia lub, gdy osoba upoważniona zakończy z nim współpracę.

12.   Osoba upoważniona do przetwarzania danych jest zobowiązana do:

a)  przetwarzania danych osobowych zgodnie z upoważnieniem wydanym przez Administratora Danych Osobowych;

b)  stosowania się do instrukcji i procedur przetwarzania danych osobowych, zawartych w politykach wewnętrznych wydanych przez Administratora Danych Osobowych;

c)  stosowania wprowadzonych środków organizacyjnych i technicznych, zapewniających ochronę przetwarzania danych, w szczególności przed ich udostępnieniem, kradzieżą, uszkodzeniem lub zniszczeniem przez osoby nieupoważnione;

d)  umożliwienia przeprowadzenia czynności w toku sprawdzenia planowanego lub doraźnego prowadzonego przez Administratora Danych Osobowych lub na jego zlecenie;

e)  sprawowania nadzoru nad obiegiem oraz przechowywaniem i zabezpieczeniem dokumentów zawierających dane osobowe, do których ma dostęp w chwili wykonywania czynności służbowych;

f)   każdorazowego niezwłocznego informowania Administratora Danych Osobowych w sytuacji naruszenia ochrony danych osobowych lub uzasadnionego podejrzenia takiego naruszenia.

 

§8

OBOWIĄZEK INFORMACYJNY REALIZOWANY PRZEZ ADMINISTRATORA

 

1.      Administrator Danych Osobowych respektuje prawa, które przysługują każdej osobie, której dane dotyczą, w szczególności prawo do kontroli przetwarzania danych.

2.      Administrator Danych informuje osoby, których dane dotyczą, o swoich danych, adresie, siedzibie, celu zbierania danych, obowiązku lub dobrowolności ich podania, a także przekazuje inne informacje, które mogą być wymagane aktualnie obowiązującymi przepisami prawa.

3.      Obowiązek informacyjny w przypadku pozyskiwania danych bezpośrednio od osoby, której dane dotyczą wykonywany jest przed rozpoczęciem ich gromadzenia.

4.      Osobę, której dane dotyczą informuje się o:

a)   dokładnej nazwie i adresie swojej siedziby;

b)   celu zbierania danych;

c)   dobrowolności lub obowiązku podania danych, a jeżeli taki obowiązek istnieje o jego podstawie prawnej;

d)   prawie wglądu do treści swoich danych oraz możliwości ich poprawiania;

e)   innych informacjach, wynikających z aktualnych przepisów prawa, w szczególności o:

·    celu przetwarzania danych na podstawie interesu prawnego administratora danych,

·    zamiarze przekazania danych do państwa trzeciego,

·    okresie przez który dane będą przetwarzane, a gdy nie jest możliwe jego ustalenie to o kryteriach ustalenia tego okresu,

·    prawie do żądania sprostowania, usunięcia lub ograniczenia przetwarzania,

·    prawie do wniesienia sprzeciwu wobec przetwarzania,

·    prawie do przenoszenia danych (jeśli przetwarzanie odbywa się na podstawie umowy lub zgody),

·    prawie do cofnięcia zgody w dowolnym momencie (jeśli przetwarzanie odbywa się na podstawie zgody osoby), bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,

·    prawie wniesienia skargi do organu nadzorczego,

·    profilowaniu i jego konsekwencjach, jeśli jest to zasadne.

5.     Powyższych informacji nie udziela się jeśli osoba dysponuje już tymi informacjami, a Administrator będzie w stanie to wykazać lub, gdy obowiązek ich ujawnienia wynika z prawa UE lub prawa krajowego.

6.     W przypadku zbierania danych osobowych nie bezpośrednio od osoby, której one dotyczą, osobę tę należy w rozsądnym terminie po pozyskaniu danych osobowych - najpóźniej w ciągu miesiąca - mając na uwadze konkretne okoliczności przetwarzania danych osobowych – poinformować dodatkowo o:

a)  źródle danych;

b)  innych uprawnieniach wynikających z aktualnie obowiązujących przepisów.

7.      Administrator ma również na uwadze, że każda osoba, której dane dotyczą, może wystąpić z wnioskiem o otrzymanie informacji o jej danych, które są przetwarzane w zbiorze u Administratora, zgodnie z obowiązującymi przepisami. Odpowiedź na zapytanie osoby, której dane dotyczą, jest udzielana na piśmie w terminie nieprzekraczającym miesiąca od daty wpłynięcia wniosku.

8.      Wyłączenie obowiązku udzielenia odpowiedzi następuje wyłącznie w przypadkach, określonych aktualnie obowiązującymi przepisami prawa.

9.      Obowiązek informacyjny realizowany jest poprzez podanie niezbędnych informacji na formularzach, umowach, w regulaminie lub kwestionariuszach osobowych.

10.   Administrator, celem ochrony tzw. danych wrażliwych,które przetwarza, głównie danych o zdrowiu, oraz w celu zapewnienia realizacji praw podmiotów danych, wprowadza i przestrzega u siebie „Procedurę realizacji praw podmiotów danych zgodnie z RODO”.

 

 

§9

UDOSTĘPNIANIE DANYCH OSOBOWYCH

 

1.      Administrator Danych udostępnia dane osobowe przetwarzane w zbiorach danych wyłącznie osobom lub podmiotom uprawnionym do ich otrzymania na podstawie aktualnych przepisów prawnych.

2.      Dane osobowe mogą być udostępniane na podstawie:

a)   wniosku od podmiotu uprawnionego do otrzymywania danych osobowych na podstawie przepisów prawa, w szczególności wniosku sądu, prokuratury, policji, komornika, ZUS, Urzędu Skarbowego, itp.,

b)   wniosku innej osoby lub podmiotu, na zasadach określonych w przepisach prawa;

3.      Wszystkie osoby upoważnione, które otrzymają wniosek o udostępnienie danych, zobowiązane są do przekazywania go bezpośrednio do Administratora, który podejmuje decyzję o udostępnieniu lub odmowie udostępnienia.

 

ZOBACZ: Procedura realizacji praw podmiotów danych zgodnie z RODO

 

 

§10

OBSZAR PRZETWARZANIA DANYCH OSOBOWYCH

 

Obszar, w którym przetwarzane są Dane osobowe na terenie:

Instytut Shintai Day Spa
ul. Dobrego Pasterza 118/1
31- 416 Kraków

1.  Dodatkowo obszar, w którym przetwarzane są Dane osobowe, stanowią wszystkie komputery przenośne oraz inne nośniki danych (np. pendrive’y, kalendarze, telefony komórkowe) znajdujące się poza obszarem wskazanym powyżej, na których przechowuje się nośniki informacji zawierające dane osobowe.

2.  Dostęp do pomieszczenia, w którym dane osobowe są przetwarzane mogą mieć wyłącznie osoby upoważnione. Inne osoby mogą przebywać w obszarze przetwarzania danych wyłącznie pod nadzorem osoby upoważnionej.

3.  Gdy nie jest możliwe nadzorowanie pracy osób nieupoważnionych w obszarze przetwarzania danych osobowych, Administrator zapewnia zabezpieczenie danych osobowych, znajdujących się w danym pomieszczeniu, w taki sposób, aby nie było możliwe zabranie, zniszczenie lub jakikolwiek dostęp do tych danych.

 

§11

SPOSÓB PRZEPŁYWU DANYCH POMIĘDZY SYSTEMAMI

 

1.      Administrator danych nie prowadzi opisu sposobu przepływu danych pomiędzy systemami służących do przetwarzania danych osobowych, gdyż dane te przetwarzane są bez użycia systemu informatycznego / w jednym systemie informatycznym/ w kilku systemach, ale nie zachodzi między nimi przepływ danych. 

2.     Administrator danych osobowych prowadzi opis sposobu przepływu danych pomiędzy systemami, służących do przetwarzania danych osobowych i na bieżąco go aktualizuje, jeśli zachodzą jakiekolwiek zmiany.

 

 

 

 

§12

 

OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH

 

1.     Administrator Danych zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, rozliczalności i ciągłości Przetwarzanych danych.

2.     Zastosowane środki ochrony (techniczne i organizacyjne) powinny być adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych. Środki obejmują w szczególności:

a)  Ograniczenie dostępu do pomieszczeń, w których przetwarzane są dane osobowe, jedynie do osób odpowiednio upoważnionych. Inne osoby mogą przebywać w pomieszczeniach wykorzystywanych do przetwarzania danych jedynie w towarzystwie osoby upoważnionej.

b)  Zamykanie pomieszczeń tworzących obszar Przetwarzania danych osobowych określony w §10 na czas nieobecności pracowników, w sposób uniemożliwiający dostęp do nich osób trzecich.

b)  Wykorzystanie zamykanych szafek i/lub sejfów do zabezpieczenia dokumentów.

c)  Wykorzystanie niszczarki do skutecznego usuwania dokumentów zawierających dane osobowe.

d)  Ochronę sieci lokalnej przed działaniami inicjowanymi z zewnątrz przy użyciu sieci firewall.

e)  Ochronę sprzętu komputerowego wykorzystywanego u Administratora przed złośliwym oprogramowaniem.

f)   Zabezpieczenie dostępu do urządzeń salonu przy pomocy haseł dostępu.

g)  Wykorzystanie szyfrowania danych przy ich transmisji.

 

 

§13

NARUSZENIA ZASAD OCHRONY DANYCH OSOBOWYCH

 

1.     W przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.

2.     W każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator zgłasza fakt naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki – jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.

3.     Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator zawiadamia o incydencie także osobę, której dane dotyczą.

4.     Poinformowania o naruszeniu organu nadzorczego i osoby, której dane dotyczą nie stosuje się, jeśli przepisy prawa krajowego wyłączają odpowiedzialność Administratora w tym zakresie.

5.     Naruszenia nie zgłasza się organowi nadzorczemu, ani osobie, której dane dotyczą, jeśli Administrator jest w stanie wykazać małe prawdopodobieństwo naruszenia praw lub wolności osób fizycznych.

6.     Wszystkie osoby upoważnione do przetwarzania danych osobowych są zobowiązane poinformować Administratora o ewentualnych naruszeniach bezpieczeństwa ochrony danych osobowych lub uzasadnionych podejrzeniach wystąpienia takiego naruszenia.

7.     W przypadku jakiegokolwiek naruszenia ochrony danych osobowych Administrator sprawdza, dlaczego doszło do naruszenia i jakie środki zapobiegawcze wprowadzić.

8.     Szczegółowe zasady postępowania zawierają:

 

§14

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

 

1.     Administrator Danych Osobowych może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej zgodnie z wymogami wskazanymi dla takich umów w art. 28 RODO, lub poprzez akceptację regulaminu świadczonej usługi pomiędzy Administratorem a podmiotem trzecim, któremu dane się powierza w celu i w zakresie wykonania konkretnej czynności w imieniu Administratora.

2.     Przed powierzeniem przetwarzania danych osobowych Administrator w miarę możliwości uzyskuje informacje o dotychczasowych praktykach procesora dotyczących zabezpieczenia danych osobowych.

3.     Administrator powierza przetwarzane dane osobowe osób fizycznych, w szczególności w celu:

a)  Prowadzenia obsługi w zakresie BHP,

b)  Prowadzenia obsługi księgowej,

c)  Serwisu i konserwacji urządzeń, na których znajdują się dane osobowe,

d)  Usługi IT, administrowanie serwerem, hosting,

e)  Usługa chmurowa,

f)   Utrzymywania bazy danych subskrybentów w zewnętrznych bazach mailingowych i systemach do obsługi newslettera,

4.     Umowa powierzenia określa w szczególności cel i zakres powierzenia przetwarzania danych osobowych.

5.     Administrator sprawuje kontrolę nad tym w jakim zakresie i w jakim celu powierza dane osobowe. Prowadzi w tym celu ewidencję podmiotów, którym dane zostały powierzone do przetwarzania.

6.     Administrator powierza dane osobowe tylko tym podmiotom, które gwarantują zastosowanie środków organizacyjnych i technicznych, zabezpieczających dane przed dostępem osób nieupoważnionych na zasadach określonych w przepisach prawa.

 

§15

PRZEKAZYWANIE DANYCH DO PAŃSTWA TRZECIEGO

 

Administrator Danych Osobowych nie będzie przekazywał danych osobowych do państwa trzeciego, poza sytuacjami w których następuje to na wniosek osoby, której dane dotyczą.

 

§16

POSTANOWIENIA KOŃCOWE

 

1.     Wszyscy pracownicy, współpracownicy i osoby upoważnione do przetwarzania danych osobowych w imieniu Administratora są zobowiązani do zapoznania się i przestrzegania zasad, instrukcji i procedur wprowadzonej dokumentacji przetwarzania danych osobowych.

2.     Za niedopełnienie obowiązków wynikających z niniejszego dokumentu osoby wymienione w ust. 1 ponoszą odpowiedzialność na podstawie Kodeksu pracy, Przepisów o ochronie danych osobowych, ustawy Kodeks karny oraz innych przepisów.

3.     Dopuszcza się dokonywanie zmian w niniejszym dokumencie oraz dokumentach powiązanych tylko przez osoby upoważnione.

4.     Zmiany w dokumencie Polityki oraz w załącznikach wprowadzane są w chwili pojawienia się ważnych okoliczności lub nowych przepisów prawnych, istotnych dla spójności i aktualności Polityki, bądź aktualizacji dotychczasowych przepisów dotyczących ochrony lub przetwarzania danych osobowych. Zmiany zatwierdzane są przez Administratora i podawane do wiadomości osób uczestniczących w przetwarzaniu danych osobowych poprzez publikację w intranecie lub dokumentach formalnych udostępnianych w ustalony wewnętrznie sposób.

5.     Integralną część niniejszej Polityki są wymienione w jej treści dokumenty i wzory, a także inne dokumenty mające na celu ochronę danych osobowych a wdrożone przez Administratora.

 

Informacje o ciasteczkach

Ciasteczka (ang. cookies) – to niewielkie informacje tekstowe, wysyłane przez serwer WWW i zapisywane po stronie użytkownika (na twardym dysku, miejsce zapisu ustalane jest przez przeglądarkę internetową).

Parametry ciasteczek pozwalają na odczytanie informacji w nich zawartych jedynie serwerowi, który je utworzył. Komputer będzie udostępniał informacje zawarte w „cookies” wyłącznie stronie internetowej, z której one pochodzą.

Ciasteczka mają na celu umożliwienie zapamiętania przez serwer poszczególnych informacji o sesji połączenia internetowego. Stosowanie plików cookies i podobnych technologii ma na celu również dostosowanie serwisu do potrzeb użytkowników oraz w celach statystycznych.

Jak wyłączyć ciasteczka?

Jeśli korzystasz z urządzenia przenośnego (telefon, smartfon, tablet), zapoznaj się z opcjami dotyczącymi ochrony prywatności w dokumentacji na stronie internetowej producenta Twojego urządzenia.