I DEFINICJE
1) „Dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
2) „Przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
3) „Profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
4) „Administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;
5) „Podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
6) „Odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;
7) „Zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
8) „Naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
9) „Dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;
10) „Transgraniczne przetwarzanie” oznacza:
a) przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności jednostek organizacyjnych w więcej, niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego w Unii posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim; albo
b) przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim;
11) „Organizacja międzynarodowa” oznacza organizację i organy jej podlegające działające na podstawie prawa międzynarodowego publicznego lub inny organ powołany w drodze umowy między co najmniej dwoma państwami lub na podstawie takiej umowy.
12) „RODO” Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
II ZASADY PRZETWARZANIA DANYCH OSOBOWYCH
1. Przetwarzając dane osobowe administrator kieruje się następującymi zasadami:
a) zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
2. Przetwarzanie danych osobowych odbywa się na podstawie przepisów prawa, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
3. Przetwarzanie danych osobowych szczególnych kategorii art. 9 RODO: ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby, jest zabronione. Przetwarzanie kategorii danych dotyczących stanu zdrowia odbywa się na podstawie art. 9 ust. 1 lit. h: przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3 RODO.
4. Przetwarzanie danych osobowych dotyczących stanu zdrowia oparte jest na podstawie art. 9 ust. 3 Ustawy o zawodzie fizjoterapeuty z dnia 25 września 2015 roku zgodnie z którym administrator zobowiązany jest zachowywać w tajemnicy informacje związane z pacjentem, uzyskane w związku z wykonywaniem zawodu zgodnie z przepisami ustawy z dnia 6 listopada 2008r. oprawach pacjenta i Rzeczniku Praw Pacjenta
5. Administrator nie przetwarza danych o których mowa w art. 10 RODO
6. Administrator danych osobowych prowadzi rejestr o którym mowa w art. 30 ust. 1 RODO wskazując odbiorców danych oraz współadministratorów, jak i podmioty przetwarzające dane osobowe na mocy art. 28 RODO
7. Administrator danych oświadcza, iż w przypadku przetwarzania danych osobowych przez osoby współpracujące z nim lub na jego polecenie przetwarzają dane w oparciu o stosowne polecenia przetwarzania danych osobowych zgodnie z art. 29 RODO
8. Administrator prowadzi rejestr udostępnień danych osobowych
III OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH
1. Na podstawie art. 24 RODO administrator wdrożył szczegółowe polityki i procedury przetwarzanych danych osobowych
2. Na podstawie art. 33 ust. 5 RODO Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze w prowadzonym rejestrze naruszeń
3. W przypadku dokonania oceny wagi naruszenia ochrony danych osobowych Administrator wdrożył procedurę oceny powagi naruszenia rekomendowaną przez Urząd Ochrony Danych Osobowych na podstawie metodologii przygotowanej przez Agencję Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA)
4. Administrator danych realizuje obowiązki informacyjne określone w art. 13 i 14 RODO każdorazowo zbierając dane osobowe
5. Administrator monitoruje konieczność realizacji ciążących obowiązków określonych w art. 35 RODO.
6. Zgodnie z art. 29 Ustawy z dnia 6 listopada 2008 roku o prawach pacjenta i Rzeczniku Praw Pacjenta Pani/Pana dane osobowe będą przetwarzane przez okres 20 lat (dane dotyczące stanu zdrowia), licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu, z wyjątkami wskazanymi w w/w przepisie, m.in.: zdjęcia rentgenowskie przez okres 10 lat. Przez okres 5 lat ze względu na przepisy podatkowe (art. 6 ust. 1 lit. c RODO) –dane związane z wystawieniem faktury, rachunku za usługi. Okres ten może zostać przedłużony ze względu na roszczenia, wówczas takie przetwarzanie (wydłużenie okresu) odbywać się będzie na podstawie art. 6 ust. 1 lit. f RODO.
IV REALIZACJA PRAW OSÓB FIZYCZNYCH
1. Prawo dostępu do danych osobowych na podstawie art. 15 RODO
1.1. Prawo dostępu do danych obejmuje:
a. prawo dostępu do danych;
b. prawo do informacji o:
• celu przetwarzania i kategorii przetwarzanych danych,
• okresie, przez który dane mają być przechowywane, a gdy podanie go nie będzie możliwe, kryteriach ustalania tego okresu,
• przysługujących podmiotowi danych uprawnieniach do żądania od Administratora sprostowania, usunięcia lub ograniczenia przetwarzania jej danych, wniesienia sprzeciwu wobec przetwarzania, a także wniesienia skargi do organu nadzorczego,
• źródle pozyskania danych osobowych danej osoby jeśli nie zostały zebrane od osoby, której dane dotyczą,
• prawo do informacji, czy Administrator podejmuje wobec podmiotu danych zautomatyzowane decyzje, w tym m.in. w oparciu o profilowanie, a jeśli tak, to również informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą,
• odbiorcach danych, w przypadku szczególnym, tj. gdy są one przekazywane do państwa trzeciego lub organizacji międzynarodowej, także o odpowiednich zabezpieczeniach związanych z ich przekazaniem,
• prawo do uzyskania kopii danych osobowych podlegających przetwarzaniu.
1.2. W przypadku osób fizycznych, których dane Administrator przetwarza – prawo dostępu do danych realizowane jest poprzez przekazanie żądanych informacji na piśmie lub drogą elektroniczną. W przypadku przekazywania informacji drogą elektroniczną Pracownicy zobowiązani są do zapewnienia, że przesyłane dane będą zabezpieczone w odpowiedni sposób zapewniający bezpieczeństwo.
1.3. Pracownicy Administratora zobowiązani za do zapewnienia, że podczas obsługi realizacji praw związanych z dostępem do danych, nie naruszą praw innych osób, w tym tajemnic handlowych, własności intelektualnej oraz praw autorskich chroniących oprogramowanie.
2. Prawo do sprostowania danych na podstawie art. 16 RODO
2.1. Prawo do sprostowania danych obejmuje:
a. żądanie poprawienia nieprawidłowych danych,
b. żądanie uzupełnienia niekompletnych danych (np. w formie dodatkowego oświadczenia),
c. żądanie aktualizacji danych.
2.2. Pracownicy Administratora weryfikują, czy żądanie sprostowania danych nie prowadzi do ujawnienia danych nieprawidłowych lub nie prowadzi do nadmierności zbieranych danych – w takim przypadku Administrator może odmówić spełnienia żądania.
2.3. W przypadku uwzględnienia wniosku o sprostowanie danych Administrator poinformuje o tym odbiorców danych, którym ujawnił dane osobowe, chyba że okaże się to niemożliwe lub wymagać będzie niewspółmiernie dużego wysiłku.
3. Prawo do usunięcia danych („bycia zapomnianym”) na podstawie art. 17 RODO
3.1. Prawo do usunięcia danych obejmuje:
a. prawo do żądania usunięcia danych,
b. prawo do bycia zapomnianym – w przypadku upublicznienia danych przez Administratora.
3.2. Osoba, której dane dotyczą ma prawo żądać usunięcia danych jeżeli:
3.2.1. dane są niekompletne, nieaktualne, nieprawdziwe,
3.2.2. dane nie są już niezbędne do realizacji celu, w którym zostały zebrane,
3.2.3. cofnęła zgodę, na podstawie której opierało się przetwarzanie i nie ma innej podstawy do tego, aby dane te dalej przetwarzać,
3.2.4. wniosła sprzeciw wobec przetwarzania prowadzonego na potrzeby marketingu bezpośredniego, przetwarzania, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym bądź przetwarzania na podstawie prawnie uzasadnionego interesu realizowanego przez Administratora lub stronę trzecią,
3.2.5. dane osobowe były przetwarzane niezgodnie z prawem,
3.2.6. dane osobowe musza zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii Europejskiej lub prawie państwa członkowskiego, któremu podlega Administrator,
3.2.7. dane zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego w stosunku do dziecka.
3.3. Administrator, który upublicznił dane osobowe, w przypadku żądania osoby usunięcia danych, której dotyczą, informuje administratorów, którzy przetwarzają takie dane, że osoba której dane dotyczą, żąda by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych bądź ich replikacje.
3.4. Administrator może odmówić spełnienia żądania realizacji prawa do usunięcia danych, w szczególności:
3.4.1. gdy przetwarzania danych jest niezbędne do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii Europejskiej lub prawa krajowego (np. w zakresie przetwarzania dokumentów pracowniczych),
3.4.2. gdy przetwarzanie jest niezbędne z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego (np. medycyna pracy),
3.4.3. gdy przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń.
4. Prawo do ograniczenia przetwarzania na podstawie art. 18 RODO
4.1. Korzystanie z prawa żądania ograniczenia przetwarzania możliwe jest gdy:
4.1.1. osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający Administratorowi sprawdzić prawidłowość tych danych;
4.1.2. przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
4.1.3. Administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
4.1.4. osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
4.2. W przypadku uwzględnienia żądania ograniczenia przetwarzania Administrator zapewnia, że dane osobowe, w odniesieniu do których ograniczono przetwarzanie, zostaną zabezpieczone, w taki sposób, że użytkownicy systemu nie będą mieli do tych danych dostępu, oraz że nie będą podlegały dalszemu przetwarzaniu ani modyfikacjom.
4.3. Środki technicznego zabezpieczenia przetwarzania zostaną także zastosowane w przypadku, gdy organ nadzorczy, w ramach swoich uprawnień naprawczych zobowiąże Administratora do ograniczenia przetwarzania określonych danych osobowych (czasowego lub całkowitego).
4.4. W przypadku ograniczenia przetwarzania dane osobowe będą wyłącznie przechowywane.
4.5. Przetwarzanie danych w innym celu jest wyłącznie możliwe:
4.5.1. gdy osoba fizyczna wyrazi zgodę na inny cel przetwarzania,
4.5.2. w celu ustalenia, dochodzenia lub obrony roszczeń,
4.5.3. w celu ochrony praw innej osoby fizycznej lub prawnej,
4.5.4. z uwagi na ważne względy interesu publicznego Unii Europejskiej lub państwa członkowskiego.
5. Prawo do przenoszenia danych na podstawie art. 20 RODO
5.1. Prawo do przenoszenia danych obejmuje:
5.1.1. prawo do otrzymania danych od Administratora,
5.1.2. prawo do przesłania danych bez utrudnień ze strony Administratora,
5.1.3. prawo do przesłania danych bezpośrednio pomiędzy administratorami, bez pośrednictwa osoby, której dane dotyczą (o ile jest to technicznie możliwe).
5.2. Prawo do przenoszenia danych przysługuje jedynie w przypadku, gdy przetwarzanie danych odbywa się na podstawie zgody osoby fizycznej lub umowy oraz w sposób zautomatyzowany.
5.3. W przypadku uwzględnienia wniosku dot. przeniesienia danych, dane zostaną udostępnione w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego.
6. Prawo do sprzeciwu wobec przetwarzania danych osobowych na podstawie art. 21 RODO
6.1. Osoba fizyczna ma prawo do sprzeciwu wobec przetwarzania danych osobowych, gdy Administrator przetwarza dane na podstawie przesłanki prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f) RODO) w tym profilowania.
6.2. Administrator może odmówić zaprzestania przetwarzania danych osobowych, powołując się na:
6.2.1. istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania danych, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą,
6.2.2. istnienie podstaw do ustalenia, dochodzenia lub obrony roszczeń.
6.3. W przypadku zgłoszenia sprzeciwu wobec przetwarzania danych w celach marketingu bezpośredniego, w tym profilowania w zakresie w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim, żądanie osoby fizycznej podlega niezwłocznemu uwzględnieniu. Administrator zapewnia, że dane osobowe nie będą już przetwarzane w tym w tym celu.
7. Prawo do wycofania zgody na podstawie art. 7 RODO
7.1. W przypadku, gdy podstawą przetwarzania danych osobowych jest zgoda osoby fizycznej, osoba fizyczna ma prawo w dowolnym momencie wycofać zgodę na przetwarzanie danych osobowych.
7.2. Cofnięcie zgody nie wpływa na wcześniejszą zgodność z prawem przetwarzania danych.
8. Prawo do niepodleganiu do podejmowania decyzji w sposób zautomatyzowany, w tym profilowaniu na podstawie art. 22
8.1. Osoba fizyczna ma prawo, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu i wywołuje wobec danej osoby, której dane dotyczą, skutki prawne lub w podobny sposób istotnie na nią wpływa.
8.2. Prawo do niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu nie ma zastosowania w szczególności, jeżeli ta decyzja:
8.2.1. jest niezbędna do zawarcia lub wykonania umowy między osobą której dane dotyczą a Administratorem,
8.2.2. jest dozwolona prawem Unii Europejskiej lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą,
8.2.3. opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
8.3. Administrator zapewnia, że wdrożył właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, ponadto osoba ta ma prawo do wyrażenia własnego stanowiska oraz do zakwestionowania tej decyzji
9. Prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych
9.1. Jeżeli uzna Pani/Pan, że przetwarzanie Pani/Pana danych narusza zasady określone w RODO, przysługuje Pani/Panu prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych z siedzibą w Warszawie, przy ulicy Stawki 2 (więcej na ten temat na stronie Organu: www.uodo.gov.pl)
10. Każda osoba fizyczna ma prawo do informacji na temat administratora i zasad przetwarzania przez niego danych osobowych, a także czytelnej/zrozumiałej komunikacji w tym zakresie na podstawie art. 12-14 RODO.
V BEZPIECZEŃSTWO DANYCH OSOBOWYCH
1. Administrator danych osobowych mając na uwadze bezpieczeństwo przetwarzania danych dokonał analizy ryzyka danych na podstawie art. 32 RODO.
2. Administrator wprowadził plan ciągłości działania oraz politykę zarzadzania ryzykiem.
3. Administrator prowadzi rejestr naruszeń o którym mowa w art. 33 ust. 5 RODO
4. Administrator danych mając na uwadze zasadę integralności i poufności prowadzi rejestr udostępnień danych osobowych oraz w przypadku zawieranych powierzeń przetwarzania danych osobowych stosuje umowy o których mowa w art. 28 RODO
5. Wszystkie osoby, podmioty które uzyskują dostęp do Pani/Pana danych osobowych działają na polecenie administratora zgodnie z art. 29 RODO i na podstawie przepisów określonych w art. 6 lub 9 RODO.
6. Administrator nie przetwarza danych osobowych poza europejskim obszarem gospodarczym, ani nie przekazuje danych osobowych Organizacjom Międzynarodowym.
VI WSPÓŁADMINISTRACJA
1. Na podstawie art. 26 RODO: Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z niniejszego rozporządzenia, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14, chyba że przypadające im obowiązki i ich zakres określa prawo Unii lub prawo państwa członkowskiego, któremu administratorzy ci podlegają. W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą
2. Administrator danych współadministruje Pani/Pana danymi osobowymi z Booksy International Sp. z o.o. z siedzibą w (02-722) Warszawie przy Al. Komisji Edukacji Narodowej 105 lok. U4
3. Współadministracja ta oparta jest o realizację wspólnych celów, którymi to będą:
3.1. zawarcie i wykonanie umowy na korzystanie z serwisu Booksy i korzystanie z usług Partnerów, w tym informowania o umówionej wizycie lub jej odwołaniu – ponieważ przetwarzanie jest niezbędne do realizacji umowy (art. 6 ust. 1 lit. b RODO);
3.2. marketing bezpośredni produktów lub usług, w tym prowadzenia analiz, obejmujących profilowanie (tj. korzystanie z danych osobowych do tworzenia Twojego profilu, zwłaszcza pod kątem produktów lub usług, którymi możesz być zainteresowany/a) – ponieważ przetwarzanie jest niezbędne do realizacji prawnie uzasadnionego interesu (art. 6 ust.1 lit. F RODO), którym jest możliwość realizacji marketingu bezpośredniego oraz na podstawie zgody (art. 6 ust. 1 lit. a RODO);
3.3. badanie preferencji w zakresie zapotrzebowania na usługi Partnerów – ponieważ przetwarzanie jest niezbędne do realizacji naszego prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO), którym jest możliwość ustalenia katalogu produktów i usług Cię interesujących oraz na podstawie zgody (art. 6 ust. 1 lit. a RODO);
3.4. ustalenie, dochodzenia lub obrony przed roszczeniami, związanymi z zawartą umową lub z przetwarzaniem Twoich danych osobowych – ponieważ przetwarzanie jest niezbędne do realizacji prawnie uzasadnionego interesu (art. 6 ust.1 lit. f RODO),którym jest możliwość ustalenia, dochodzenia lub obrony przed roszczeniami;
3.5. spełnienie ciążących na nas obowiązków prawnych wynikających z właściwych przepisów prawa – ponieważ przetwarzanie w tym przypadku jest niezbędne do wypełnienia wymogów prawnych, którym podlegamy (art. 6 ust. 1 lit. c RODO);
3.6. tworzenie zestawień, analiz, statystyk na nasze wewnętrzne potrzeby, w tym raportowanie, planowanie rozwoju usług, prace rozwojowe w systemie Booksy, tworzenie modeli statystycznych – ponieważ przetwarzanie jest niezbędne do realizacji naszego prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO),którym jest analiza i rozwój naszej działalności.
4. Więcej na temat sposobu przetwarzania danych
VII POSTANOWIENIA KOŃCOWE
1. Niniejsza polityka ochrony danych osobowych obowiązuje od dnia 2.02.2019
2. Administrator zastrzega sobie prawo do jej aktualizowania
3. Ze względu na poufny charakter stosowanych zabezpieczeń, nie zostały one szczegółowo opisane w niniejszym dokumencie.
4. Wszelka korespondencja (zadane pytania) prowadzona za pośrednictwem strony www.arturholodniuk.pl tych danych osobowych odbywać się będzie na podstawie art. 6 ust. 1 lit. b i f RODO
Administrator Danych Artur Hołodniuk