Polityka prywatności

POLITYKA OCHRONY DANYCH OSOBOWYCH
AKADEMII BLIŻEJ NATALIA KURZAWA zatwierdzona w dniu 25.05.2018 r.

I. Postanowienia ogólne

II. Zasady ochrony danych osobowych

III. Przekazywanie danych do państwa trzeciego

IV. Obowiązki informacyjne

V. Rejestr czynności przetwarzania danych

VI. Postanowienia końcowe

W związku z wejściem w dniu 25.05.2018 r. w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanego w dalszej treści  RODO, w celu zapewnienia pełnego stosowania, wynikających z powszechnie obowiązujących przepisów prawa, wymogów dotyczących zasad przetwarzania i zabezpieczania danych osobowych wprowadza się niniejszą Politykę Ochrony Danych Osobowych, zwaną w dalszej treści Polityką.

I. Postanowienie ogólne

Podstawowe definicje:

  1. Administrator danych –  Akademia Bliżej Natalia Kurzawa  z siedzibą
    w Rybniku, ul Gwarków 14, NIP 199-00-89-205, REGON 161517126.
  2. Dane osobowe – rozumie się przez to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczna, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
  3. Przetwarzanie danych – rozumie się przez to jakiekolwiek operacje lub zestawy operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany jak i niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie i modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
  4. Profilowanie – rozumie się przez to dowolną formę zautomatyzowanego przetwarzania danych osobowych, która polega na wykorzystywaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
  5. Pseudonimizacja – rozumie się przez to przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
  6. Zbiór danych – rozumie się przez to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozporoszony funkcjonalnie lub geograficznie.
  7. Administrator – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
  8. Podmiot przetwarzający – rozumie się przez to podmiot przetwarzający dane osobowe w imieniu Administratora.
  9. Odbiorca – rozumie się przez to podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią.

2. Odpowiedzialnym za wdrożenie i zapewnienie stosowania niniejszej Polityki jest Administrator danych

3.Odpowiedzialnym za nadzór i kontrolę nad przestrzeganiem Polityki jest Akademia Bliżej Natalia Kurzawa

4.Odpowiedzialnymi za stosowanie niniejszej Polityki są wszystkie komórki organizacyjne Administratora danych oraz pracownicy przetwarzający dane osobowe.

5. Kategorie danych osobowych:

  •  Dane zwykłe:
    • imiona i nazwisko
    • pseudonim
    • imiona i nazwiska rodziców
    • data i miejsce urodzenia
    • PESEL
    • NIP
    • seria i numer dokumentu tożsamości
    • adres zamieszkania
    • adres zameldowania
    • adres e – mail
    • adres skrytki pocztowej
    • adres IP
    • numer telefonu
    • ………………
  • Dane szczególne – dane przetwarzane zgodnie z art. 9 RODO obejmujące:
    • pochodzenie rasowe lub etniczne
    • poglądy polityczne
    • przekonania religijne lub światopoglądowe
    • przynależność do związków zawodowych
    • dane genetyczne
    • dane biometryczne
    • dane dotyczące zdrowia – dokumentacja medyczna, historie choroby
    • dane dotyczące seksualności lub orientacji seksualnej
  • Dane dzieci – dane osób, które nie ukończyły 18 roku życia, przetwarzane zgodnie z art. 8 RODO.
  • Dane karne – dane dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa, przetwarzane na podstawie art. 10 RODO
  • Dane nieustrukturyzowane zawierające potencjalne dane osobowe umieszczone w dokumentach tekstowych, prezentacjach, grafikach, korespondencji tradycyjnej i e – mail, wiadomościach SMS, plikach audio i video, na stronach www, komputerach pracowników, telefonach pracowników, nośnikach typu pendrive, przenośnych kartach pamięci itp.

6. Administrator danych przetwarza następujące kategorie danych: dane zwykłe, dane nieustrukturyzowane.

7. Polityka ma zastosowanie do wszystkich Danych osobowych przetwarzanych przez Administratora danych niezależnie od formy ich przetwarzania (papierowa, elektroniczna) oraz od tego czy dane są lub mogą być przetwarzane w zbiorach danych.

8. Administrator danych zapewnia, aby czynności wykonywane z przetwarzaniem danych były zgodne z niniejszą Polityką i powszechnie obowiązującymi przepisami prawa.

II. Zasady ochrony danych osobowych

Dane osobowe są:
Przetwarzane wyłącznie zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (zgodność z prawem, rzetelność i przejrzystość).
Zbierane w konkretnych, wyraźnych i prawem uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (ograniczenie celu).
Adekwatne, stosowane oraz ograniczone do tego co niezbędne do celów, w których są przetwarzane (minimalizacja danych).
Prawidłowe i w razie potrzeby uaktualniane, a w razie ich nieprawidłowości w świetle celów przetwarzania – niezwłocznie usunięte lub sprostowane (prawidłowość).
Przechowywane w formie umożliwiającej identyfikacje osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane (ograniczenie przechowywania).
Przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, przypadkową utratą, zniszczeniem, uszkodzeniem, za pomocą  odpowiednich środków technicznych lub organizacyjnych (integralność i poufność.

2. Przetwarzanie danych przez Administratora danych jest dopuszczalne wyłącznie w następujących przypadkach:

Osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w określonym celu;
Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze danych;
Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi danych.
Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora danych.

3. Administrator danych jest odpowiedzialny za przestrzeganie zapisów ust. 1 i 2 i podejmuje działania pozwalające na wykazanie ich przestrzeganie.

4. Administrator danych stosuje środki techniczne i organizacyjne niezbędne dla zagwarantowania ochrony przetwarzanych danych osobowych, w tym:

Dopuszcza do przetwarzania danych osobowych wyłącznie osoby przeszkolone i upoważnione przez Administratora, zobowiązane do zachowania danych osobowych w tajemnicy.
Powierza przetwarzanie danych innemu podmiotowi wyłącznie na podstawie umowy powierzenia przetwarzania danych osobowych.
Stosuje ograniczenia dostępu do pomieszczeń, w których przetwarzane są dane osobowe.
Stosuje fizyczne środki ochrony danych osobowych, w postaci zamykanych szaf, szafek i sejfów, w których składowane są dokumenty zawierające dane osobowe.
Stosuje adekwatne środki logiczne – hasła dostępu, identyfikatory, szyfrowanie – do komputerów stacjonarnych oraz wszystkich innych stacjonarnych, wirtualnych i przenośnych nośników danych.
Wykorzystuje niszczarki do papieru.
Chroni komputery lub sieć komputerową i internetową przed dostępem osób trzecich lub zainfekowaniem z zewnątrz stosując system antywirusowy i firewall.
Stosuje system zabezpieczeń poczty e – mail systemem antywirusowym i antyspamowym.
Wykonuje kopie zapasowe.
Zabezpiecza nośniki danych z kopiami archiwalnymi przed dostępem do nich osób nieupoważnionych, przed zniszczeniem lub kradzieżą

5. Administratora danych prowadzi analizę ryzyka przetwarzania danych osobowych i zapewnia stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych wskutek przetwarzania danych osobowych przez Administratora.

6. Administrator danych w przypadku naruszenia ochrony danych osobowych, bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin od stwierdzonego naruszenia – zgłasza ten fakt organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw i wolności osób fizycznych. Administrator danych każdorazowo dokonuje analizy i oceny stwierdzonego naruszenia ochrony danych osobowych w celu określenia ryzyka i stwierdzenia prawdopodobieństwa, czy naruszenia ochrony danych osobowych mogło spowodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator  zawiadamia o naruszeniu także osobę, której dane dotyczą.

7. Administrator danych dokumentuje wszelkie incydenty naruszenia ochrony danych osobowych, w tym okoliczności naruszenia danych osobowych, ich skutki oraz podjęte działania zaradcze.

III. Przekazywanie danych do państwa trzeciego.

Administrator danych nie będzie przekazywał danych osobowych do państwa trzeciego.

IV. Obowiązki informacyjne


Administrator danych zgodnie z art. 12 RODO w sposób zwięzły, przejrzysty, zrozumiały i w łatwo dostępnej formie, jasnym i prostym językiem, udziela osobie, której dane osobowe są przetwarzanie, wszelkich informacji, o których mowa w art. 13 i 14 RODO oraz prowadzi z nią komunikację  na mocy art. 15 – 22 i 34 RODO w sprawie przetwarzania danych osobowych. Informacje udzielane są na piśmie, w tym w stosownych przypadkach również elektronicznie, a na żądane osoby, której dane dotyczą – również ustnie, jeżeli jest możliwe potwierdzenie tożsamości osoby, której dane dotyczą.
Administrator danych bez zbędnej zwłoki, nie dłużej jednak niż w terminie 1 miesiąca od otrzymania żądania, udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem osoby, której dane dotyczą, w zakresie wynikającym z:
art. 15 RODO, dotyczącym potwierdzenia czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, odnośnie prawa dostępu do danych i informacji;
art. 16 RODO, dotyczącym prawa do sprostowania danych zgodnie;
art. 17 RODO, dotyczącym prawa do bycia zapomnianym;
art. 18 RODO, dotyczącym prawa do ograniczenia przetwarzania;
art. 19 RODO, dotyczącym obowiązku powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania;
art. 20 RODO, dotyczącym prawa do przenoszenia danych;
art. 21 RODO, dotyczącym prawa do sprzeciwu;
art. 22 RODO, dotyczącym zautomatyzowanego przetwarzania.

3. W razie potrzeby, termin wskazany w ust. 2 może zostać przedłużony o kolejne 2 miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W takim wypadku Administrator danych zobowiązany jest poinformować osobę, której dane dotyczą o takim przedłużeniu terminu wraz z podaniem przyczyny opóźnienia w terminie 1 miesiąca od otrzymania żądania.

4. Jeżeli Administrator danych nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie – najpóźniej w terminie 1 miesiąca od otrzymania żądania – informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.

5. Administratora danych podaje informacje o przetwarzaniu danych niezidentyfikowanych w miejscach, w których istnieje możliwość pozyskania tego rodzaju danych osobowych.

V. Rejestr czynności przetwarzania danych

Administratora danych prowadzi monitorowanie sposobu i zakresu przetwarzania danych osobowych prowadząc w tym zakresie Rejestr Czynności Przetwarzania Danych Osobowych zwany dalej Rejestrem.
Rejestr może być prowadzony w formie papierowej lub elektronicznej.
Rejestr zawiera co najmniej:
Czynność przetwarzania;
Cel przetwarzania;
Podstawę prawna przetwarzania;
Komórka organizacyjna lub osoba przetwarzająca;
Kategorię osób, których dane dotyczą;
Kategorię danych osobowych;
Kategorię odbiorów, którym dane zostały ujawnione;
Sposób pozyskania danych;
Sposób przetwarzania;
Okres przechowywania danych;
Informację o przekazywaniu danych poza EU/EOG;
Zastosowane techniczne i organizacyjne środki ochrony danych osobowych

4. Wzór  Rejestru stanowi załącznik do niniejszej Polityki.

VI. Postanowienia końcowe

Niniejsza Polityka wchodzi w życie z dniem 25.05.2018 r.
Integralną część Polityki stanowią:
Rejestr czynności przetwarzania danych osobowych
Wzór upoważnienia do przetwarzania danych osobowych dla pracownika
Umowa powierzenia przetwarzania danych osobowych
Wzór zgłoszenia naruszenia zasady ochrony danych osobowych

Administrator Danych Osobowych