POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH
w Centrum Szkoleniowo – Terapeutycznym SENS Wirginia Wrzesińska
1. Informacje ogólne
Celem niniejszego dokumentu jest opisanie zasad ochrony danych osobowych oraz dostarczenie podstawowej wiedzy z zakresu ich przetwarzania w Centrum Szkoleniowo-Terapeutyczne SENS Wirginia Wrzesińska, dalej jako Administrator.
W celu zwiększenia świadomości obowiązków i odpowiedzialności pracowników, a tym samym skuteczności ochrony przetwarzanych zasobów, w dokumencie opisano podstawy prawne przetwarzania danych osobowych oraz scharakteryzowano zagrożenia bezpieczeństwa, podając jednocześnie schematy postępowań na wypadek wystąpienia naruszenia bezpieczeństwa.
Dokument szczegółowo opisuje podstawowe zasady organizacji pracy przy czynnościach przetwarzania w formie tradycyjnej oraz w systemie informatycznym.
Wszelkie zestawienia uzupełniające treść dokumentu zebrano w postaci załączników.
Przepisy ochrony danych osobowych zawarte są w ustawie o ochronie danych osobowych oraz wydanych do niej aktach wykonawczych. Pełną listę aktów prawnych stanowią:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – RODO (Dz. Urz. UE 4.5.2016 PL L119);
- Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 poz. 1000).
2. Administrator danych osobowych
Administratorem danych osobowych zawartych w Centrum SENS jest Wirginia Wrzesińska prowadząca działalność gospodarczą pod firmą Centrum Szkoleniowo – Terapeutyczne SENS Wirginia Wrzesińska z siedzibą w 05-800 Pruszków, ul. Powstańców 9/70 ,NIP: 5342393554, REGON: 123186340 zwanej (dalej jako "Administrator")
3. Kontakt z Administratorem
We wszystkich sprawach związanych z przetwarzaniem danych osobowych możesz kontaktować się z Administratorem za pomocą poczty elektronicznej, pod adresem: biuro@centrumsens.pl lub telefonicznie pod numerem tel. +48 733 090 988.
4. Przetważanie danych
1. ZGODNOŚĆ PRZETWARZANIA Z PRAWEM
a) Administrator zgodnie z zasadą rozliczalności zapewnia, by dane osobowe przetwarzane były zgodnie z prawem, w sposób rzetelny i przejrzysty. Dane osobowe przetwarzane są w zakresie niezbędnym dla realizacji celów tego przetwarzania. Cele przetwarzania określane są w sposób wyraźny i konkretny, dalsze zaś przetwarzanie w sposób niezgodny z tymi celami jest zabronione za wyjątkiem przypadków wskazanych w przepisach obowiązującego prawa, bądź po uzyskaniu zgody na przetwarzanie danych osobowych dla nowych celów. Dane osobowe są aktualne i prawidłowe i w razie potrzeby uaktualniane.Dane osobowe przechowywane są przez oznaczony czas niezbędny dla zapewnienia realizacji celów przetwarzania lub do czasu przedawnienia ewentualnych roszczeń.- w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretneokoliczności przetwarzania danych osobowych;
- jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą;
- jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
2. PRZETWARZANIE ZWYKŁYCH DANYCH OSOBOWYCH
Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
- osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
- przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze;
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
- przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi;
- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub przez stronę trzecią,
z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
3. PRZETWARZANIE SZCZEGÓLNYCH KATEGORII DANYCH OSOBOWYCH
Przetwarzanie danych jest zabronione w przypadku danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
Przetwarzanie tych danych jest jednak dopuszczalne, jeżeli:
- osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu przetwarzania danych szczególnych;
- przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez Administratora lub osobę, której dane dotyczą,
w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą; - przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
- przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej
z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą; - przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
- przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub
w ramach sprawowania wymiaru sprawiedliwości przez sądy; - przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych
i przewidują odpowiednie i konkretne środki ochrony praw podstawowych
i interesów osoby, której dane dotyczą; - przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami
i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 9 ust. 3 Rozporządzenia; - przetwarzanie jest niezbędne ze względów związanych z interesem publicznym
w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową; - przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodniE z art. 89 ust. 1 Rozporządzenia, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą
4. UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH
- Do nadawania i anulowania upoważnień do przetwarzania danych osobowych zarówno w zbiorach papierowych jak i w systemach informatycznych uprawniony jest wyłącznie Administrator danych osobowych. Dane osobowe mogą być przetwarzane wyłącznie na jego polecenie bądź na podstawie przepisów obowiązującego prawa.
- Przed wydaniem upoważnienia do przetwarzania danych osobowych, osoba mająca takie upoważnienie uzyskać ma obowiązek zapoznania się z aktualną Polityką Ochrony Danych Osobowych.
- Upoważnienia nadaje się w zakresie czynności określonych w Rejestrze Czynności Przetwarzania.
- Upoważnienie wydane może być na czas określony lub do odwołania.
- Upoważnienia określają zakres operacji na danych, jak również identyfikator upoważnianej osoby w systemie informatycznym. Upoważnienie wydawane jest jedynie w zakresie niezbędnym do wykonywania powierzonych przez Administratora czynności przetwarzania danych osobowych. Zmiana zakresu upoważnienie wymaga ponownego nadania upoważnienie.
- Wzór upoważnienia do przetwarzania danych osobowych stanowi załącznik nr 1 do niniejszej Polityki.
- Prowadzona jest również ewidencja nadanych upoważnień, której wzór stanowi załącznik nr 2.
- Za nadawanie upoważnień oraz prowadzenie ich ewidencji odpowiedzialny jest Właściciel.
5. Środki ochrony danych osobowych
Administrator stosuje nowoczesne zabezpieczenia organizacyjne i techniczne, aby zapewnić jak najlepszą ochronę Twoich danych osobowych oraz gwarantuje, że przetwarza je zgodnie z przepisami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: „RODO”), ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych oraz innymi przepisami o ochronie danych osobowych.
6. Cele i podstawy przetwarzania danych osobowych
Istotnym elementem Polityki Ochrony Danych, a także całego procesu zarzadzania danymi osobowymi przez Administratora Danych jest Rejestr Czynności Przetwarzania (RCP). Identyfikuje on wszystkie procesy dotyczące danych osobowych zachodzące na wszystkich zbiorach, pozwala na kontrolę nad tymi procesami oraz systemami używanymi do ich realizacji.
RCP stanowi formę dokumentowania czynności przetwarzania danych i jest jednym z kluczowych elementów umożliwiających realizację jednej z głównych zasad opisanych w RODO, czyli zasady rozliczalności.
Administrator Danych Osobowych prowadzi Rejestr Czynności Przetwarzania, w którym inwentaryzuje i monitoruje sposób, w jaki wykorzystuje dane osobowe. Rejestr czynności stanowi podstawowe narzędzie do rozliczenia wszystkich obowiązków ochrony danych.
Polityka niniejsza dotyczy przetwarzania wszystkich danych osobowych, przetwarzanych przez Centrum SENS we wszelkiego rodzaju kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych, a także w systemach informatycznych będących w dyspozycji Centrum SENS
Administrator przetwarza dane osobowe Użytkowników w następującym zakresie:
CEL PRZETWARZANIA |
RODZAJ PRZETWARZANYCH DANYCH |
PODSTAWA PRAWNA |
Promocja i reklama działalności, produktów i usług |
|
art. 6 ust. 1 lit. f RODO |
Zawarcie umowy realizacji usługi szkoleniowej |
|
art. 6 ust. 1 lit. f RODO |
Zawarcie umowy realizacji usługi poradnictwa psychologicznego, zajęć terapeutycznych |
|
art. 6 ust. 1 lit. f RODO |
wypełnienia obowiązków nałożonych na Centrum SENS przez odpowiednie przepisy, np. prawa podatkowego, ustawy o rachunkowości |
|
art. 6 ust. 1 lit. f RODO |
Wystawienie certyfikatu/zaświadczenia potwierdzającego ukończenia kursu/szkolenia |
|
art. 6 ust. 1 lit. f RODO |
Podanie danych osobowych przez Użytkowników jest dobrowolne, ale konieczne do zawarcia i realizacji umowy świadczenia usług.
7. Okres przechowywania danych
Dane osobowe Użytkowników będą przechowywane przez okres:
- W przypadku realizacji umowy - przez czas jej trwania i do czasu upływu terminu przedawnienia roszczeń wynikających z tej umowy
- W przypadku marketingu - do czasu wniesienia sprzeciwu wobec takiego przetwarzania
- W przypadku analiz i statystyk - do czasu wniesienia sprzeciwu wobec takiego
8. Powierzenie przetważania danych osobowych
Przy powierzaniu przetwarzania danych osobowych w imieniu Administratora, dokonuje on wyboru wyłącznie takich podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. W tym celu Administrator zawiera z podmiotami przetwarzającymi stosowne umowy powierzenia przetwarzania danych osobowych (art. 28 RODO).
Przetwarzanie danych osobowych przez podmioty przetwarzające odbywa się na podstawie udokumentowanego polecenia Administratora w postaci umowy powierzenia przetwarzania danych osobowych zawartej z podmiotem przetwarzającym.
Wzór umowy powierzenia przetwarzania danych osobowych stanowi załącznik nr 3.
a) Odbiorcami danych osobowych Użytkowników mogą być:
- podmioty przetwarzające dane na zlecenie Administratora, np. dostawcy usług IT, agencje marketingowe
- firma hostingowa
- dostawca domen
- firmy dostarczające narzędzia służące do analizy aktywności na Platformie i kierowania marketingu bezpośredniego do osób z niego korzystających (m.in. Google Analytics)
- biuro rachunkowe
Ponadto, dane osobowe mogą zostać przekazane również podmiotom publicznym lub prywatnym, jeśli taki obowiązek będzie wynikał z powszechnie obowiązujących przepisów prawa, prawomocnego wyroku sądu lub prawomocnej decyzji administracyjnej.
b) Dane osobowe przetwarzane w systemach informatycznych przechowywane są na serwerach udostępnianych Centrum SENS przez podmiot świadcząc usługę informatyczną.
c) W odniesieniu do danych osobowych pracowników i współpracowników Centrum SENS ich przetwarzanie może być prowadzone – na podstawie odrębnej umowy o powierzenie przetwarzania danych osobowych – z wykorzystaniem specjalistycznego oprogramowania będącego w dyspozycji wyspecjalizowanej firmy, która na zlecenie Centrum SENS prowadzi obsługę rachunkowo-księgową Centrum SENS.
9. Prawa Użytkowników
Użytkownikom przysługują następujące prawa związane z przetwarzaniem danych osobowych:
- Prawo dostępu do swoich danych oraz otrzymania ich kopii
- Prawo do sprostowania (poprawiania) swoich danych
- Prawo do usunięcia danych
- Prawo do ograniczenia przetwarzania danych
- Prawo do wniesienia sprzeciwu wobec przetwarzania danych
- Prawo do przenoszenia danych
- Prawo do wniesienia skargi do organu nadzorczego (Prezes Urzędu Ochrony Danych Osobowych
Administrator danych osobowych zobowiązany jest do udzielania osobom, których dane dotyczą, informacji wskazanych w art. 13 i 14 RODO, a także odpowiadać na wnioski
i żądania podmiotów danych w zakresie realizacji ich praw przewidzianych w art. 15-22 RODO.
Administrator przy kontakcie z podmiotem danych dokłada wszelkich starań, by komunikacja prowadzona z podmiotem danych była prowadzona w zwięzłej, przejrzystej, zrozumiałej oraz łatwo dostępnej formie, jasnym i prostym językiem.
Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Dopuszcza się możliwość udzielenia informacji ustnie w sytuacji, w której osoba wnioskująca tego zażąda, ale tylko po zweryfikowaniu jej tożsamości.
W przypadku otrzymania wniosku lub żądania Administrator każdorazowo weryfikuje tożsamość osoby, która skierowała wniosek lub żądanie.
Administrator ewidencjonuje każde żądanie/wniosek podmiotu danych. Wzór rejestru realizacji żądań podmiotu danych stanowi załącznik nr 6.
Administrator udziela podmiotowi danych informacji o działaniach podjętych w związku
z żądaniem na podstawie art. 15-22 bez zbędnej zwłoki, a w każdym razie w terminie miesiąca od otrzymania żądania.
Termin udzielenia informacji w razie potrzeby może zostać przedłużony o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczby żądań. W omawianym przypadku Administrator w terminie miesiąca od otrzymania żądania informuje osobę, której dane dotyczą, o takim przedłużeniu oraz wskazuje przyczyny opóźnienia.
10. Informacja o dobrowolności podania danych
Podanie danych osobowych jest dobrowolne, ale może być niezbędne do korzystania z usług Centrum SENS lub realizacji umowy.
11. Prawa Użytkowników
W związku z przetwarzaniem danych osobowych, Użytkownikom przysługują następujące uprawnienia:
- prawo dostępu do swoich danych osobowych, uzyskania ich kopii oraz informacji m.in. o celach ich przetwarzania, kategoriach, odbiorcach i okresie przechowywania tych danych;
- prawo do żądania usunięcia swoich danych w określonych sytuacjach, w tym w przypadku gdy przetwarzanie danych jest niezgodne z prawem, nie jest już niezbędne do celów, dla których dane zostały zebrane lub w przypadku zgłoszenia sprzeciwu i braku innych podstaw prawnych przetwarzania danych;
- prawo do żądania ograniczenia przetwarzania swoich danych osobowych w określonych sytuacjach,
- prawo do zgłoszenia sprzeciwu wobec przetwarzania swoich danych, jeśli odbywa się ono w celu wykonania zadania realizowanego w interesie publicznym lub w celu realizacji prawnie uzasadnionych interesów Administratora – z przyczyn związanych ze szczególną sytuacją osoby;
- prawo do zgłoszenia sprzeciwu wobec przetwarzania danych, jeśli odbywa się ono w celach prowadzenia marketingu bezpośredniego;
- prawo do tego, by złożyć skargę do organu nadzorczego (Prezes Urzędu Ochrony Danych Osobowych) w przypadku uznania, że przetwarzanie przez nas danych osobowych jest niezgodne z obowiązującymi przepisami.
12. Zmiany w Polityce Prywatności
Administrator zastrzega sobie prawo do zmiany niniejszej Polityki Prywatności. O wszelkich zmianach Użytkownicy będą informowani poprzez publikację aktualizacji na stronie Serwisu.
13. Kontakt
W sprawach związanych z danymi osobowymi prosimy o kontakt pod adresem e-mail: biuro@centrumsens.pl lub telefonicznie: +48 733 090 988.