Polityka ochrony danych osobowych

I. Administrator danych osobowych oraz cel polityki ochrony prywatności

1. FHU „DANUTA” z siedzibą w Skoczów ul.Stalmacha 5 jest administratorem w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej "ogólne rozporządzenie o ochronie danych"), w odniesieniu do danych osobowych Użytkowników, będących osobami fizycznymi.

2. W sprawie ochrony danych osobowych należy kontaktować się z administratorem: e-mail donata076@gmail.com , tel. 504 796 638 Dane osobowe to wszelkie informacje, które mogą cię identyfikować, na przykład imię i nazwisko, numer telefonu, adres poczty elektronicznej lub adres zamieszkania.

3. Wszelkie działania podlegają przepisom prawa, które obowiązują w zakresie ochrony danych, na przykład ogólnego rozporządzenia o ochronie danych. Polityka Ochrony Prywatności podlega przepisom prawa polskiego i rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) - zwane dalej "RODO" lub "Rozporządzenie RODO".

4. Korzystanie z serwisu internetowego, w tym zawieranie umów jest dobrowolne. Podobnie związane z tym podanie danych osobowych przez korzystającego z serwisu internetowego Użytkownika jest dobrowolne. Podanie danych osobowych jest wymogiem ustawowym wynikającym z powszechnie obowiązujących przepisów prawa nakładających na Administratora obowiązek przetwarzania danych osobowych (np. przetwarzanie danych w celu prowadzenia ksiąg rachunkowych) i brak ich podania uniemożliwi Administratorowi wykonanie tychże obowiązków.

5. Administrator dokłada szczególnej staranności w celu ochrony interesów osób, których przetwarzane przez niego dane osobowe dotyczą, a w szczególności jest odpowiedzialny i zapewnia, że zbierane przez niego dane są: (1) przetwarzane zgodnie z prawem; (2) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami; (3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane; (4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania oraz (5) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

6. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać.

II. Podstawy i cele przetwarzania danych osobowych

Administrator uprawniony jest do przetwarzania danych osobowych w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków: (1) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych; (2) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; (3) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze; lub (4) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora.

Przetwarzanie danych osobowych przez Administratora wymaga każdorazowo zaistnienia co najmniej jednej z podstaw wskazanych powyżej.

Użytkownik kontaktuje się podając swoje dane osobowe (imię i nazwisko, numer telefonu, adres e-mail, ewentualnie nazwa firmy, NIP) oraz akceptuje Regulamin, jest to niezbędne do wykonania umowy w następującym zakresie:

  • umożliwienia świadczenia usługi drogą elektroniczną;
  • obsługi zgłoszeń (np. poprzez formularz na stronie);
  • kontaktowania się z Użytkownikiem, między innymi w celu doprecyzowania zapytania i świadczenia usług;
FHU „DANUTA” przetwarza dane osobowe na podstawie zgody ; Artykuł 6 ust. 1 lit. a rozporządzenie PE i KA 2016/679 z dnia 27.04.2016, ( RODO)
Jak długo przetwarza dane? Dane przechowywane są przez 12 miesięcy na wypadek ewentualnych roszczeń i sporów.
Dane nie będą wysyłane do państwa trzeciego!
Ze względu na małe rozmiary przedsiębiorstwa nie zostały utworzone instrukcje zarządzania RODO.

Instrukcja postępowania z incydentami

Zagrożeniem bezpieczeństwa informacji jest sytuacja, w której występuje zagrożenie zaistnienia incydentu. Przykładowy katalog zagrożeń:

  1. nieprzestrzeganie Polityki przez osoby przetwarzające dane, np. niezamykanie pomieszczeń, szaf, biurek, brak stosowania zasad ochrony haseł,
  2. niewłaściwe zabezpieczenie fizyczne dokumentów, urządzeń lub pomieszczeń,
  3. niewłaściwe zabezpieczenie oprogramowania lub sprzętu IT przed wyciekiem, kradzieżą lub utratą danych osobowych.

Postępowanie Administratora danych osobowych lub osoby przez niego upoważnionej w przypadku stwierdzenia wystąpienia zagrożenia:

  1. ustalenie zakresu i przyczyn zagrożenia oraz jego ewentualnych skutków,
  2. w miarę możliwości przywrócenie stanu zgodnego z zasadami ochrony danych osobowych, w razie konieczności zainicjowanie działań dyscyplinarnych,
  3. zarekomendowanie działań zapobiegawczych w kierunku wyeliminowania podobnych zagrożeń w przyszłości,
  4. udokumentowanie prowadzonego postępowania w rejestrze naruszeń bezpieczeństwa.

Incydentem jest sytuacja naruszenia bezpieczeństwa informacji ze względu na dostępność, integralność i poufność. Incydenty powinny być wykrywane, rejestrowane i monitorowane w celu zapobieżenia ich ponownemu wystąpieniu. Przykładowy katalog incydentów:

  1. losowe zdarzenie wewnętrzne, np. awaria komputera, serwera, twardego dysku, błąd użytkownika, informatyka, zgubienie danych,
  2. losowe zdarzenie zewnętrzne, np. klęski żywiołowe, zalanie, awaria zasilania, pożar,
  3. incydent umyślny, np. wyciek informacji, ujawnienie danych nieupoważnionym osobom, świadome zniszczenie danych, działanie wirusów komputerowych, włamanie do pomieszczeń lub systemu informatycznego (wewnętrzne i zewnętrzne).

Postępowanie Administratora/Inspektora Ochrony Danych lub właściwej osoby przez niego upoważnionej w przypadku stwierdzenia wystąpienia incydentu:

  1. ustalenie czasu zdarzenia będącego incydentem,
  2. ustalenie zakresu incydentu,
  3. i określenie przyczyn, skutków oraz szacowanych zaistniałych szkód,
  4. zabezpieczenie dowodów,
  5. ustalenie osób odpowiedzialnych za naruszenie,
  6. usunięcie skutków incydentu,
  7. ograniczenie szkód wywołanych incydentem,
  8. zainicjowanie działań dyscyplinarnych,
  9. zarekomendowanie działań zapobiegawczych w kierunku wyeliminowania podobnych zagrożeń w przyszłości,
  10. udokumentowanie prowadzonego postępowania w rejestrze naruszeń.

Postępowanie Upoważnionego w przypadku stwierdzenia wystąpienia zagrożenia do czasu przybycia Administratora lub upoważnionej przez niego osoby:

  1. powstrzymanie się od rozpoczęcia lub kontynuowania pracy, jak również od podejmowania jakichkolwiek czynności, mogących spowodować zatarcie śladów naruszenia bądź innych dowodów,
  2. zabezpieczenie elementów systemu informatycznego lub kartotek, przede wszystkim poprzez uniemożliwienie dostępu do nich osób nieupoważnionych,
  3. podjęcie, stosownie do zaistniałej sytuacji, wszelkich niezbędnych działań celem zapobieżenia dalszym zagrożeniom, które mogą skutkować utratą danych osobowych.