POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH OGÓLNE INFORMACJE
I. ADMINISTRATOR DANYCH OSOBOWYCH
Administratorem Danych osobowych jest BHP Consulting Agnieszka Brykała z siedzibą w Białej,
09-411, ul. Andrzeja Kmicica 28 wpisana do Centralnej Ewidencji Działalności Gospodarczej,
NIP 774-247-18-85, REGON 611423207 (dalej również jako: ADO).
II. PEŁNOMOCNIK DS. OCHRONY DANYCH OSOBOWYCH
Pełnomocnikiem ds. ochrony danych osobowych w BHP Consulting Agnieszka Brykała jest Iwona Sienicka: e-mail - info@pogotowiebhp.com.pl
III. ZASADY DOTYCZĄCE PRZETWARZANIA I OCHRONY DANYCH OSOBOWYCH
1. Administrator Danych Osobowych przetwarza dane osobowe zgodnie z przepisami prawa, w szczególności z przepisami r.o.d.o., w sposób rzetelny i przejrzysty dla osoby, której dane dotyczą ("zasada legalności, rzetelności i przejrzystości przetwarzania", zgodnie z art. 5 ust. 1 lit. a) oraz art. 6 r.o.d.o.).
2. Zasada przetwarzania danych zgodnie z prawem oznacza przede wszystkim, że ADO jest w stanie wykazać odpowiednią podstawę przetwarzania danych osobowych. Przetwarzanie danych osobowych jest zgodne z prawem, gdy spełnia przynajmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie danych jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą przed zawarciem takiej umowy;
c) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej;
d) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego, ciążącego na ADO, określonego w prawie Unii lub prawie państwa członkowskiego;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowanej władzy publicznej powierzonej ADO;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez ADO lub stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą jest dzieckiem (nie ma to zastosowania do przetwarzania danych dokonywanego przez organy publiczne, w ramach realizacji ich podstawowych zadań).
3. Przetwarzanie danych osobowych zgodnie z prawem oznacza również uwzględnienie w przetwarzaniu danych osobowych zasad współżycia społecznego oraz usprawiedliwionych interesów i rozsądnych oczekiwań osoby, której dane dotyczą.
4. Administrator Danych Osobowych zbiera dane osobowe i przetwarza je na podstawie zgody lub innej przesłanki wynikającej z przepisów prawa, w celu, w jakim zostały zebrane. Przetwarzanie danych osobowych niezgodnie z celem, w jakim zostały zebrane jest zabronione ("zasada ograniczenia celu", zgodnie z art. 5 ust. 1 lit. b)r.o.d.o.).
5. Cel przetwarzania danych osobowych musi być określony konkretnie, wyraźnie i realizować prawnie uzasadnione interesy Administratora Danych Osobowych lub osoby, której dane dotyczą. Najpóźniej w momencie rozpoczęcia przetwarzania danych osobowych powinien być on przekazany do wiadomości osoby, której dane dotyczą.
6. Administrator Danych Osobowych określa zakres i przetwarza jedynie te dane osobowe, które są niezbędne do realizacji celu przetwarzania, w którym dane zostały zebrane ("zasada minimalizacji danych", zgodnie z art. 5 lit. 1 pkt. c)r.o.d.o.). ADO zbiera jedynie te dane osobowe, których zakres jest adekwatny i odpowiedni, i bez których osiągnięcie celu przetwarzania byłoby niemożliwe.
7. Administrator Danych Osobowych, w zakresie swoich możliwości technicznych i organizacyjnych, uwzględniając niezbędne koszty, dba o poprawność, aktualność i kompletność przetwarzanych przez siebie danych osobowych ("zasada prawidłowości", zgodnie z art. 5 ust. 1 lit. d)r.o.d.o.). ADO odpowiada za stan przetwarzanych danych w zakresie, w jakim mógł z łatwością lub przy niewielkim nakładzie wysiłku zapewnić ich poprawność (zgodność ze stanem faktycznym), aktualność i kompletność, uwzględniając granice rozsądku podejmowanych działań.
8. Administrator Danych Osobowych przetwarza dane osobowe w formie umożliwiającej identyfikację osoby, której dane dotyczą, jedynie w czasie, gdy jest to uzasadnione realizacją celu, dla którego dane zostały zebrane ("zasada ograniczenia czasu przetwarzania", zgodnie z art. 5 ust. 1 lit. e)r.o.d.o.).
9. Po osiągnięciu przez ADO celu, dla którego realizacji dane zostały zebrane, ADO może nadal przetwarzać te dane jedynie w sposób przewidziany przepisami prawa, zgodnie z zasadami obowiązującymi u ADO, lub pod warunkiem, że zostały one zanonimizowane. Anonimizacja danych oznacza pozbawienie tych danych cech umożliwiających identyfikację osoby, której dane dotyczą, w ten sposób chroniąc ją przed negatywnymi skutkami przetwarzania jej danych. Dane, które uległy anonimizacji nie są uznawane za dane osobowe w rozumieniu przepisów prawa powszechnie obowiązującego, w tym r.o.d.o.
10.Administrator Danych Osobowych przetwarza dane osobowe w sposób zapewniający odpowiednie bezpieczeństwo tych danych, w tym ochronę przed niedozwolonym, nieautoryzowanym lub niezgodnym z prawem przetwarzaniem tych danych, przypadkową utratą, zniszczeniem, modyfikacją lub uszkodzeniem danych ("zasada integralności i poufności", zgodnie z art. 5 ust. 1 lit. f)r.o.d.o.).
11.Administrator Danych Osobowych jest odpowiedzialny za wykazanie, w sposób bezsprzeczny, przestrzegania zasad opisanych w pkt. 10 niniejszego paragrafu, w szczególności wykazania przestrzegania przepisów prawa powszechnie obowiązującego w zakresie ochrony danych osobowych ("zasada rozliczalności", zgodnie z art. 5 ust. 2r.o.d.o.).
12. Administrator przy realizowaniu swoich zadań korzysta z usług innych podmiotów. W przypadku dokonywania zakupów w sklepie internetowym na stronie: https://sklep.pogotowiebhp.com.pl/ bądź zapisów na webinary na stronie: https://www.e-pogotowiebhp.com/ dane osobowe będą przekazywane innym podmiotom zewnętrznym:
1. home.pl S.A. z siedzibą w Szczecinie przy ul. Zbożowej 4, 70-653 Szczecin, KRS: 0000431335;
2. OVH Sp. z o.o. z siedzibą we Wrocławiu przy ul. Szkockiej 5 lok. 1, 54-402 Wrocław, KRS: 0000220286;
3. EventLabs Sp. z o.o. z siedzibą w Gdyni, Al. Zwycięstwa 96/98, 81-451 Gdynia
III. I. PRAWA OSOBY, KTÓREJ DANE DOTYCZĄ
1. Administrator Danych Osobowych współpracuje z osobą, której dane dotyczą, umożliwiając jej realizację przysługujących jej praw, w tym:
a) prawa do dostępu do własnych danych " osoba, której dane dotyczą ma prawo do uzyskania informacji od ADO, dotyczących jej danych osobowych oraz do uzyskania bezpłatnej kopii jego danych, którymi dysponuje ADO;
b) prawo do informacji " osoba, której dane dotyczą ma prawo do bycia poinformowaną również o prawach jej przysługujących, w tym prawie do wniesienia skargi do organu nadzorczego lub wszczęcia postępowania sądowego, jak również o źródle uzyskania danych, jeśli nie zostały one uzyskane bezpośrednio od zainteresowanego;
2. Administrator Danych Osobowych jest zobowiązany poinformować osobę, której dane dotyczą o przysługujących jej prawach, najpóźniej w momencie rozpoczęcia przetwarzania jej danych.
III. II. ZGODA OSOBY, KTÓREJ DANE DOTYCZĄ
1. Samodzielną podstawą przetwarzania danych osobowych jest zgoda osoby, której dane dotyczą na przetwarzanie jej danych w określonym celu i przez określonego ADO.
2. Zgoda osoby, której dane dotyczą, rozumiana jest jako dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą przyzwala na przetwarzanie jej danych. Może ona zostać złożona w formie oświadczenia lub wyraźnego działania potwierdzającego. Jedynie tak wyrażona zgoda stanowi podstawę przetwarzania danych osobowych.
3. Zgoda może być wyrażona w pisemnym oświadczeniu dotyczącym innych kwestii, jednak warunkiem jest skuteczności jest wyraźne zaznaczenie jej odrębności i wagi oraz skutków, jakie będzie wywoływało jej wyrażenie.
4. Administrator Danych Osobowych jest zobligowany do każdorazowego wykazania, że powyżej opisana zgoda na przetwarzanie danych osobowych została złożona.
5. Zgoda osoby, której dane dotyczą nie jest wymagana do przetwarzania jej danych jedynie w przypadku, gdy przetwarzanie tych danych osobowych:
a) jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą przed zawarciem takiej umowy;
b) jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej;
c) jest niezbędne do wypełnienia obowiązku prawnego ciążącego na ADO lub wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowanej władzy publicznej powierzonej ADO lub jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez ADO lub stronę trzecią, w granicach określonych przepisami prawa powszechnie obowiązującego;
6. Zgoda osoby, której dane dotyczą na przetwarzanie danych osobowych szczególnie chronionych nie jest wymagana jedynie w przypadku, gdy przetwarzanie tych danych:
a) służy ochronie osoby, której dane dotyczą oraz jej żywotnych interesów lub służy ochronie innej osoby fizycznej, jak również w przypadku, gdy osoba, której dane dotyczą jest niezdolna do prawnie wiążącego wyrażenia zgody;
b) jest niezbędne dla wykonania zadań ADO lub organizacji statutowych non-profit o charakterze fundacji, stowarzyszeń lub innych instytucji o charakterze niezarobkowym;
c) ze względu na ważny interes publiczny, na podstawie prawa Unii lub państwa członkowskiego, w oparciu o przepisy ustaw szczególnych oraz w celach medycznych i dla interesu publicznego, w tym w celach profilaktyki zdrowotnej, medycyny pracy, oceny zdolności pracownika do pracy oraz w dziedzinie zdrowia publicznego;
d) w celu prowadzenia postępowań przed sądem, w tym ustalenia, dochodzenia lub obrony roszczeń w ramach sprawowania wymiaru sprawiedliwości przez sądy;
e) gdy przetwarzane dane zostały uprzednio upublicznione w sposób oczywisty przez osobę, której dotyczą.
7. Zgoda na przetwarzanie danych osobowych może być wycofana w dowolnym momencie, również przed rozpoczęciem przetwarzania danych na jej podstawie oraz przed osiągnięciem celu, dla którego została wyrażona. Cofnięcie zgody nie wpływa na operacje przetwarzania danych dokonane przed wycofaniem zgody. ADO zapewnia możliwość wycofania zgody w sposób równie łatwy, co jej wyrażenie.
INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH OGÓLNE INFORMACJE
Celem sporządzenia Instrukcji zarządzania systemem informatycznym, służącej do przetwarzania danych osobowych (dalej jako: Instrukcja Zarządzania) w BHP Consulting Agnieszka Brykała,
09-411 Biała, ul. Andrzeja Kmicica 28, zwane dalej BHP Consulting jest zapewnienie bezpieczeństwa danych i zgodności ich przetwarzania w systemach informatycznych wykorzystywanych przez BHP Consulting z powszechnie obowiązującymi przepisami prawa dotyczącymi danych osobowych, w szczególności z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej jako: r.o.d.o.).
Instrukcja Zarządzania stanowi, wraz z Polityką bezpieczeństwa danych osobowych (dalej jako: Polityka Bezpieczeństwa), dokumentację z zakresu ochrony danych osobowych i została opracowana w celu zapewnienia prawidłowości wdrożenia i zabezpieczenia procesu przetwarzania danych osobowych w BHP Consulting oraz kompleksowości rozwiązań w przedmiotowym obszarze.
Dane osobowe przetwarzane w systemach informatycznych są chronione zgodnie z przepisami prawa powszechnie obowiązującego, w szczególności r.o.d.o. oraz unormowaniami Instrukcji Zarządzania. Systemy informatyczne, które przechowują dane są chronione odpowiednimi środkami technicznymi gwarantującymi poufność, integralność i dostępność przetwarzanych danych. Opracowane procedury określają obowiązki Użytkownika oraz zasady korzystania z systemów informatycznych.
Instrukcja ma zastosowanie na wszystkich stanowiskach pracy oraz do wszystkich danych osobowych, w tym danych szczególnie chronionych, danych genetycznych, biometrycznych oraz danych o stanie zdrowia, niezależnie od narzędzi ich przetwarzania, sprzętu komputerowego, systemów operacyjnych i informatycznych oraz pomieszczeń, w których odbywa się proces przetwarzania.
W przypadku powierzenia przez Administratora Danych Osobowych przetwarzania danych osobowych, zgodnie z art. 28 r.o.d.o., podmioty, którym te dane powierzono są obowiązane prowadzić własną dokumentację, w tym są zobowiązane opracować własną instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.