Sporządzona na podstawie art. 25 oraz art. 32 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679
z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie
swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
celem zapewnienia, że dane osobowe są przetwarzane zgodnie z przepisami prawa poprzez wdrożenie odpowiednich
środków technicznych i organizacyjnych przygotowanych w celu skutecznej realizacji zasad ochrony danych, oraz w
celu nadania przetwarzaniu niezbędnych zabezpieczeń.
§ 1
Postanowienia ramowe
1.1. Administratorem Danych Osobowych jest PATRYK SZEWCZAK AKADEMIA PŁYWANIA SHARK z/s
w Lublinie (20-853), ul. Poturzyńska 5/55, NIP 7123383396, wpisany do Centralnej Ewidencji Organizatorów Turystyki
i Przedsiębiorców prowadzonego przez Marszałka Woj. Lubelskiego pod nr 353, tel. 513 958 480, e-mail:
infoap@shark.pl.
1.2. Polityka określa zasady przetwarzania oraz zabezpieczania danych osobowych, stanowi zbiór oraz podstawę
wdrażanych wymogów, procedur oraz zasad ochrony danych osobowych. Polityka zawiera w szczególności opis zasad
ochrony danych oraz instrukcji dotyczących przetwarzania danych osobowych, dotyczących poszczególnych obszarów
z zakresu ochrony danych osobowych; stanowiących załączniki do Polityki.
1.3. Polityka obowiązuje wszystkich pracowników oraz współpracowników Administratora. Za przestrzeganie
i utrzymanie postanowień Polityki odpowiedzialni są: Administrator oraz pracownicy.
1.4. Dla skutecznej realizacji Polityki, uwzględniając zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw
lub wolności osób fizycznych o różnym prawdopodobieństwie i wagę zagrożenia Administrator zapewnia:
a. wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających zgodność przetwarzania
danych osobowych z wymogami prawa oraz niezbędne zabezpieczenie przetwarzanych danych osobowych;
b. stałe monitorowanie zgodności przetwarzania danych osobowych z wymogami prawa, w tym bieżącemu
uaktualnianiu stosownie do zmieniających się przepisów prawa oraz zmian organizacyjnych;
c. kontrola i nadzór nad przetwarzaniem danych osobowych.
1.5. Nadzór nad przestrzeganiem postanowień Polityki zapewnia Administrator.
1.6. Administrator zapewnia zgodność postępowania kontrahentów, w tym w szczególności podmiotów przetwarzających
z postanowieniami Polityki w odpowiednim zakresie we wszystkich sytuacjach, w których dochodzi do przekazania tym
podmiotom danych osobowych do przetwarzania, w tym przechowywania.
1.7. Polityka jest przechowywana i udostępniana w wersji papierowej oraz elektronicznej w siedzibie Administratora
1.8. Politykę udostępnia się:
a. obligatoryjnie wszystkim osobom upoważnionym do przetwarzania danych osobowych, celem zapewnienia
osobom upoważnionym należytej wiedzy oraz informacji na temat zasad i wymogów dotyczących
przetwarzania danych osobowych;
b. osobom zainteresowanym, w szczególności osobom, których dane dotyczą, na ich wniosek.
§ 2
Definicje
2.1. Wykorzystane w Polityce definicje lub zwroty oznaczają:
Polityka – oznacza niniejszą Politykę Ochrony Danych Osobowych wraz ze wszystkimi ewentualnymi
Załącznikami;
dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej,
takie jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź
kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną,
kulturową lub społeczną tożsamość osoby fizycznej; o których mowa w art. 4 pkt 1 RODO;
RODO – oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie
ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu
takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L.
z 2016 r. Nr 119, str. 1 z późn. zm.);
osoba upoważniona – oznacza osobę upoważnioną przez Administratora do przetwarzania Danych osobowych
w danym zakresie;
przetwarzanie (przetwarzanie danych osobowych) – oznacza operację lub zestaw operacji wykonywanych na
danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany,
taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub
modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie
lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie, o
których mowa w art. 4 pkt 2 RODO;
zbiór danych – oznacza każdy uporządkowany zestaw Danych osobowych, dostępny według określonych
kryteriów;
podmiot przetwarzający – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot,
który przetwarza dane osobowe w imieniu innych podmiotów;
pracownicy – oznaczają zarówno osoby zatrudnione u Administratora na podstawie stosunku pracy, jak
również osoby fizyczne współpracujące na podstawie umowy cywilnoprawnej;
system – oznacza System ochrony danych osobowych u Administratora, o którym mowa w § 5 Polityki;
zgoda osoby, której dane dotyczą – oznacza dowolne, dowolnie określone, konkretne, świadome i
jednoznaczne wskazanie osoby, której dane dotyczą, za pomocą oświadczenia lub wyraźnego działania
potwierdzającego, wyrażającego zgodę na przetwarzanie danych osobowych z nim związanych. Zgoda musi być
udokumentowana we właściwy sposób, aby ją udowodnić;
ocena skutków w ochronie danych (ocena skutków przetwarzania) – to proces przeprowadzany przez
Administratora, jeśli jest wymagany przez obowiązujące prawo i, jeśli to konieczne, z uczestnictwem inspektora
ochrony danych, przed przetwarzaniem, w przypadku, gdy istnieje prawdopodobieństwo wysokiego ryzyka dla
praw i wolności osób fizycznych jako rodzaju przetwarzania danych osobowych i zachodzi wraz
z wykorzystaniem nowych technologii, biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania.
Proces ten musi ocenić wpływ planowanych operacji przetwarzania na ochronę danych osobowych;
odbiorca – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia
się dane osobowe, niezależnie od tego, czy jest stroną trzecią;
podmiot przetwarzający (procesor) to osoba fizyczna lub prawna, organ publiczny, agencja lub jakikolwiek
inny organ przetwarzający dane osobowe w imieniu Administratora;
pseudonimizacja – oznacza przetwarzanie danych osobowych w taki sposób (np. przez zastępowanie nazw
liczbami), że danych osobowych nie można już przypisać do określonego podmiotu danych bez użycia
dodatkowych informacji (np. listy referencyjnej nazwisk i numerów), pod warunkiem, że takie dodatkowe
informacje są przechowywane oddzielnie i podlegają środkom technicznym i organizacyjnym w celu
zapewnienia, że dane osobowe nie są przypisane do zidentyfikowanej lub możliwej do zidentyfikowania osoby
fizycznej;
profilowanie – jest dowolną forma zautomatyzowanego przetwarzania danych osobowych, która polega na
wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w
szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji
ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub
przemieszczania się;
naruszenie ochrony danych osobowych (naruszenie praw i wolności osób) – jest to przypadkowy lub
niezgodny z prawem incydent prowadzący do zniszczenia, utracenia, zmodyfikowania, nieuprawnionego
ujawnienia lub nieuprawnionego dostępu do danych osobowych;
rejestr czynności przetwarzania (danych osobowych) – podstawowa dokumentacja u Administratora,
związana z przetwarzaniem przez Administratora danych osobowych jako Administrator, zawierająca
informację o przetwarzanych danych osobowych.
§ 3 Dane osobowe
3.1. Administrator przetwarza Dane osobowe gromadzone w zbiorach danych.
3.2. Dane osobowe domyślnie przetwarzane są na obszarze obejmującym pomieszczenia biurowe Administratora
zlokalizowane w Lublinie, ul. ……………………………. . Dodatkowy obszar, w którym przetwarzane są dane
osobowe, stanowią wszystkie komputery przenośne oraz inne nośniki danych znajdujące się poza obszarem wskazanym
w zdaniu poprzedzającym.
§ 4
Podstawy ochrony danych osobowych
4.1. Administrator zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia
poufności, integralności, rozliczalności i ciągłości przetwarzanych danych. Administrator realizuje:
a. legalność – dba o ochronę prywatności i przetwarza dane osobowe zgodnie z wymogami prawa;
b. rozliczalność – zapewnia należyte udokumentowanie sposobu spełniania obowiązków w zakresie ochrony
danych osobowych.
c. bezpieczeństwo − zapewnia odpowiedni poziom bezpieczeństwa danych osobowych podejmując stale działania
w tym zakresie;
d. prawa jednostki − umożliwia osobom, których dane osobowe są przetwarza, wykonywanie swoich praw i prawa
te realizuje;
4.2. Osoby upoważnione oraz wszystkie inne osoby, którym udostępnia się dane osobowe zobowiązane są do
przetwarzania danych osobowych zgodnie z wymogami prawa oraz zgodnie z postanowieniami Polityki lub procedur
wewnętrznych związanych z przetwarzaniem danych osobowych.
4.3. Przy zatrudnianiu pracowników oraz w toku zatrudnienia Administrator zapewnia, że:
a. pracownicy przed przystąpieniem do wykonywania obowiązków służbowych są zapoznawani z Polityką oraz
procedurami wewnętrznymi związanymi z przetwarzaniem danych osobowych oraz zobowiązują się do
przestrzegania zasad przetwarzania i ochrony danych osobowych;
b. każdy z pracowników zostaje upoważniony na piśmie do przetwarzania danych osobowych w niezbędnym
zakresie, zgodnie z wzorem stanowiącym Załączniki nr 2;
c. każdy z pracowników zostaje zobowiązany do zachowania poufności i integralności danych osobowych,
zgodnie z wzorem stanowiącym Załącznik nr 3 do Polityki, przy czym pracownicy zobowiązani są w
szczególności do przestrzegania zakresu upoważnienia; wymogów prawa oraz postanowień Polityki w zakresie
przetwarzania; zachowania w tajemnicy danych osobowych; niezwłocznego zgłaszania Administratorowi
wszelkich incydentów związanych z naruszeniem bezpieczeństwa danych osobowych.
4.4. Administrator zapewnia, aby dane osobowe były przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty
dla osoby, której dane dotyczą; zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane
dalej w sposób niezgodny z tymi celami; adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w
których są przetwarzane; prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby
dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub
sprostowane; przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy,
niż jest to niezbędne do celów, w których dane te są przetwarzane; przetwarzane w sposób zapewniający odpowiednie
bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem
oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub
organizacyjnych.
§ 5
System ochrony danych osobowych
5.1. Administrator zapewnia zgodność przetwarzania danych osobowych z wymogami prawa również poprzez
zaprojektowanie, wprowadzenie i utrzymywanie Systemu. Na System składają się środki organizacyjne oraz środki
techniczne ochrony, adekwatne do poziomu ryzyka zidentyfikowanego dla poszczególnych Zbiorów danych oraz
kategorii danych. Na System składają się w szczególności następujące środki:
a. zamykanie pomieszczeń tworzących obszar, o którym mowa w ust. 3.3 Polityki na czas nieobecności
pracowników, w sposób uniemożliwiający dostęp osobom trzecim;
b. zapewnienie zabezpieczenia obszaru, o którym mowa w ust. 3.3 Polityki przed czynnikami losowymi, takimi
jak pożar lub powódź;
c. wykorzystywanie zamykanych szafek, szuflad lub innych środków technicznych uniemożliwiających osobom
niepowołanym dostęp do przechowywanych w nich danych osobowych;
d. wdrożenie Polityki czystego biurka;
e. wdrożenie Procedury otwierania i zamykania budynków oraz pomieszczeń biurowych;
f. zapewnienie skutecznego usuwania lub niszczenia dokumentów zawierających dane osobowe, w sposób
uniemożliwiający ich późniejsze odtworzenie;
g. zapewnienie bezpieczeństwa sprzętowego i informatycznego, tak jak określono w Polityce Bezpieczeństwa
Systemu Informatycznego;
h. realizację standardów weryfikacji i doboru Podmiotów przetwarzających, jak również warunków powierzenia
Przetwarzania danych na rzecz poszczególnych Podmiotów przetwarzających.
§ 6
Rejestry
6.1. Administrator prowadzi Rejestr czynności przetwarzania danych osobowych.
6.2. Administrator prowadzi Rejestr naruszeń danych osobowych.
6.3. Za pośrednictwem Rejestru czynności przetwarzania danych osobowych Administrator dokumentuje czynności
przetwarzania danych osobowych oraz inwentaryzuje i monitoruje sposób, w jaki wykorzystuje dane osobowe.
6.4. Za pośrednictwem Rejestrów, w szczególności poprzez wskazanie w Rejestrach ogólnych środków ochrony danych
osobowych objętych wyodrębnioną czynnością przetwarzania, Administrator dąży również do wykazania zgodności
przetwarzania danych osobowych z wymogami prawa.
§ 7
Realizacja obowiązków wobec osób, których dane osobowe dotyczą
7.1. Administrator informuje osobę, której dane dotyczą o przetwarzaniu jej danych – przy kontakcie osobistym,
telefonicznym, mailowym i na stronie internetowej.
7.2. Administrator wdraża metody zarządzania zgodami umożliwiające rejestrację i weryfikację posiadania zgody osoby
na przetwarzanie jej konkretnych danych w konkretnym celu, zgody na komunikację na odległość (email, telefon, sms)
oraz rejestrację odmowy zgody, cofnięcia zgody i podobnych czynności, takich jak zgłoszenie sprzeciwu lub
ograniczenie przetwarzania.
7.3. Administrator dba o czytelność i styl przekazywanych informacji i komunikacji z osobami, których dane osobowe
przetwarza.
7.4. Administrator publikuje na stronie internetowej: klauzulę informacyjną dla osób, których dane dotyczą oraz Politykę
Prywatności.
7.5. Administrator bez zbędnej zwłoki zawiadamia osobę o naruszeniu ochrony danych osobowych, jeżeli może ono
powodować wysokie lub średnie ryzyko naruszenia praw lub wolności tej osoby.
7.6. Administrator informuje osoby o przetwarzaniu danych niezidentyfikowanych, tam gdzie to jest możliwe.
§ 8
Minimalizacja danych
8.1. Administrator wdraża procedury służące realizacji zasady minimalizacji przetwarzanych danych osobowej pod
względem: adekwatności danych osobowych do celów przetwarzania, obejmujących ograniczenie ilości przetwarzanych
danych osobowych oraz zakresu przetwarzania do celu przetwarzania; ograniczenia dostępu do danych osobowych
wyłącznie do osób upoważnionych, dla których wykorzystanie danych osobowych w określonym zakresie jest niezbędne
dla prawidłowej realizacji obowiązków; ograniczenia czasu przechowywania danych osobowych do okresu, dla którego
przechowywanie danych osobowych jest niezbędne ze względu na realizację celu przetwarzania lub obowiązków
nałożonych na Administrator.
8.2. Minimalizacja dostępu – Administrator stosuje ograniczenia dostępu do danych osobowych poprzez wdrożenie:
a. zobowiązanie pracowników do zachowania poufności, w tym w zakresie danych osobowych;
b. weryfikację kręgu wewnętrznych odbiorców danych osobowych poprzez nadawanie poszczególnym
Pracownikom szczegółowych upoważnień co do przetwarzania danych osobowych;
c. wdrożenie logicznych środków technicznych ochrony danych osobowych poprzez ograniczenie dostępu do
systemów, oprogramowania oraz zasobów sieciowych wykorzystywanych w procesie przetwarzania danych
osobowych;
d. wdrożenie fizycznych środków technicznych ochrony danych osobowych;
e. aktualizacji uprawnień dostępowych przy zmianach w składzie personelu i zmianach ról osób, oraz zmianach
podmiotów przetwarzających;
f. okresowego przeglądu ustanowionych użytkowników systemów i aktualizuje ich nie rzadziej niż raz na rok.
8.3. Minimalizacja zakresu – Administrator zweryfikował zakres pozyskiwanych danych, zakres ich przetwarzania i
ilość przetwarzanych danych pod kątem adekwatności do celów przetwarzania w ramach wdrożenia RODO.
Administrator dokonuje okresowego przeglądu ilości przetwarzanych danych i zakresu ich przetwarzania nie rzadziej niż
raz na rok, do 30 stycznia roku następującego po roku objętym przeglądem. Administrator przeprowadza weryfikację
zmian co do ilości i zakresu przetwarzania danych w ramach procedur zarządzania zmianą (privacy by design).
8.4. Minimalizacja czasu – Administrator wdraża mechanizmy kontroli cyklu życia danych osobowych, w tym
weryfikacji dalszej przydatności danych względem terminów i punktów kontrolnych wskazanych w Rejestrze. Dane,
których zakres przydatności ulega ograniczeniu wraz z upływem czasu są usuwane z systemów, jak też z akt
podręcznych i głównych. Dane takie mogą być archiwizowane oraz znajdować się na kopiach zapasowych systemów i
informacji przetwarzanych przez Administrator. Procedury archiwizacji i korzystania z archiwów, tworzenia i
wykorzystania kopii zapasowych uwzględniają wymagania kontroli nad cyklem życia danych, a w tym wymogi
usuwania danych.
§ 9
Bezpieczeństwo danych osobowych
9.1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz
ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia
Administrator wdraża środki techniczne i organizacyjne zapewniające należyty stopień ochrony danych osobowych,
odpowiadający ryzyku naruszenia praw i wolności osób fizycznych wskutek przetwarzania danych osobowych przez
Administrator.
9.2. Administrator wdraża środki zapewnienia ciągłości działania i zapobiegania skutkom katastrof, czyli zdolności do
szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub
technicznego.
9.3. Analizy ryzyka i adekwatności środków bezpieczeństwa
Administrator przeprowadza i dokumentuje analizy adekwatności środków bezpieczeństwa danych osobowych. W tym
celu Administrator:
a. zapewnia odpowiedni stan wiedzy o bezpieczeństwie informacji, cyberbezpieczeństwie i ciągłości działania −
wewnętrznie lub ze wsparciem podmiotów wyspecjalizowanych;
b. kategoryzuje dane oraz czynności przetwarzania pod kątem ryzyka, które przedstawiają;
c. przeprowadza analizy ryzyka naruszenia praw lub wolności osób fizycznych dla czynności przetwarzania
danych lub ich kategorii. Administrator analizuje możliwe sytuacje i scenariusze naruszenia ochrony danych
osobowych uwzględniając charakter, zakres, kontekst i cele przetwarzania, ryzyko naruszenia praw lub
wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia;
d. ustala możliwe do zastosowania organizacyjne i techniczne środki bezpieczeństwa i ocenia koszt ich wdrażania.
W tym Administrator ustala przydatność i stosuje takie środki i podejście jak: pseudonimizacja, szyfrowanie
danych osobowych, inne środki cyberbezpieczeństwa składające się na zdolność do ciągłego zapewnienia
poufności, integralności, dostępności i odporności systemów i usług przetwarzania, środki zapewnienia
ciągłości działania i zapobiegania skutkom katastrof, czyli zdolności do szybkiego przywrócenia dostępności
danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.
§ 10
Naruszenie ochrony danych osobowych
10.1. Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony danych osobowych uważa się w szczególności:
naruszenie bezpieczeństwa systemów informatycznych, w których przetwarzane są dane osobowe; udostępnienie danych
osobowych osobom nieupoważnionym; przetwarzanie danych osobowych niezgodnie z założonym zakresem i celem ich
przetwarzania; nieuprawnione lub przypadkowe uszkodzenie, utratę, zniszczenie lub zmianę danych osobowych.
10.2. W przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator dokonuje oceny, czy zaistniałe
naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych oraz szacuje skalę ryzyka.
10.3. W przypadku naruszenia ochrony danych osobowych, Administrator bez zbędnej zwłoki – w miarę możliwości, nie
później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu, chyba że
jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
10.4. Jeżeli ryzyko naruszenia praw i wolności osoby, której dane osobowe dotyczą jest wysokie lub średnie,
Administrator zawiadamia o incydencie także osobę, której danej dotyczą, chyba że Administrator wdroży odpowiednie
techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy
naruszenie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych; zastosuje
następnie środki eliminujące prawdopodobieństwo wysokiego lub średniego ryzyka naruszenia praw lub wolności osoby,
której dane dotyczą; lub wymagałoby to niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny
komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają
poinformowane w równie skuteczny sposób.
10.5. Niezależnie od obowiązków wskazanych powyżej, Administrator dokumentuje wszelkie naruszenia ochrony
danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania
zaradcze w Rejestrze naruszeń danych osobowych.
§ 11
Powierzenie przetwarzania
11.1. Administrator może powierzyć przetwarzanie danych osobowych podmiotowi przetwarzającemu wyłącznie w
drodze umowy zawartej w formie pisemnej, zgodnie z wymogami wskazanymi w art. 28 ust. 3 RODO.
11.2. Administrator korzysta wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające
gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi
niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. W celu weryfikacji spełnienia obowiązku,
o którym mowa w zdaniu poprzedzającym, Administrator przed powierzeniem przetwarzania potencjalnemu Podmiotowi
przetwarzającemu w miarę możliwości uzyskuje informacje o zasadach ochrony danych osobowych stosowanych przez
potencjalny podmiot przetwarzający, oraz o praktykach tego podmiotu dotyczących zabezpieczenia danych osobowych.
§ 12
Przekazywanie danych do Państwa trzeciego
12.1. Administrator nie przekazuje danych osobowych do państwa trzeciego położonego poza terytorium Unii
Europejskiej lub Europejskiego Obszaru Gospodarczego, poza sytuacjami, w których następuje to na wniosek osoby,
której dane osobowe dotyczą.
12.2. W celu uniknięcia nieautoryzowanego eksportu danych w szczególności w związku z wykorzystaniem publicznie
dostępnych usług chmurowych, Administrator okresowo weryfikuje zachowania użytkowników oraz w miarę
możliwości udostępnia zgodne z prawem ochrony danych rozwiązania równoważne.
§ 13
Pliki cookies
13.1. Polityka cookies dostępna jest na stronie internetowej https://apshark.pl
§ 14
Obowiązki informacyjne i żądania
14.1. Administrator określa zgodne z prawem i efektywne sposoby wykonywania obowiązków informacyjnych.
14.2. Administrator informuje osobę: o
a. przetwarzaniu jej danych, przy pozyskiwaniu danych od tej osoby lub przy pozyskiwaniu danych o tej osobie
niebezpośrednio od niej;
b. przedłużeniu ponad jeden miesiąc terminu na rozpatrzenie żądania tej osoby;
c. planowanej zmianie celu przetwarzania danych;
d. prawie sprzeciwu względem przetwarzania danych najpóźniej przy pierwszym kontakcie z tą osobą.
14.3. Administrator określa sposób informowania osób o przetwarzaniu danych niezidentyfikowanych, tam gdzie to jest
możliwe.
14.4. Administrator informuje odbiorców danych o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych
(chyba że będzie to wymagało niewspółmiernie dużego wysiłku lub będzie niemożliwe).
14.5. Administrator bez zbędnej zwłoki zawiadamia osobę o naruszeniu ochrony danych osobowych, jeżeli może ono
powodować wysokie lub średnie ryzyko naruszenia praw lub wolności tej osoby.
14.6. Realizując prawa osób trzecich, których dane dotyczą, Administrator wprowadza proceduralne gwarancje ochrony
praw i wolności osób trzecich. W szczególności w przypadku powzięcia wiarygodnej wiadomości o tym, że
wykonanie żądania osoby o wydanie kopii danych lub prawa do przeniesienia danych może niekorzystnie wpłynąć
na prawa i wolności innych osób (np. prawa związane z ochroną danych innych osób, prawa własności
intelektualnej, tajemnicę handlową, dobra osobiste itp.), Administrator może zwrócić się do osoby w celu
wyjaśnienia wątpliwości lub podjąć inne prawem dozwolone kroki, łącznie z odmową zadośćuczynienia żądaniu.
14.7. Administrator informuje osobę o tym, że nie przetwarza danych jej dotyczących, jeśli taka osoba zgłosiła żądanie
dotyczące jej praw.
14.8. Administrator informuje osobę, w ciągu miesiąca od otrzymania żądania, o odmowie rozpatrzenia żądania
i o prawach osoby z tym związanych.
14.9. Na żądanie osoby dotyczące dostępu do jej danych, Administrator informuje osobę, czy przetwarza jej dane oraz
informuje osobę o szczegółach przetwarzania, zgodnie z art. 15 RODO (zakres odpowiada obowiązkowi
informacyjnemu przy zbieraniu danych), a także udziela osobie dostępu do danych jej dotyczących. Dostęp do
danych może być zrealizowany przez wydanie kopii danych, z zastrzeżeniem, że kopii danych wydanej w
wykonaniu prawa dostępu do danych Administrator nie uzna za pierwszą nieodpłatną kopię danych dla potrzeb
opłat za kopie danych
14.10. Na żądanie Administrator wydaje osobie kopię danych jej dotyczących i odnotowuje fakt wydania pierwszej
kopii danych. Administrator wprowadza i utrzymuje cennik kopii danych, zgodnie z którym pobiera opłaty za
kolejne kopie danych. Cena kopii danych skalkulowana jest w oparciu o oszacowany jednostkowy koszt obsługi
żądania wydania kopii danych.
14.11. Administrator dokonuje sprostowania nieprawidłowych danych na żądanie osoby. Administrator ma prawo
odmówić sprostowania danych, chyba że osoba w rozsądny sposób wykaże nieprawidłowości danych, których
sprostowania się domaga. W przypadku sprostowania danych Administrator informuje osobę o odbiorcach danych,
na żądanie tej osoby
14.12. Administrator uzupełnia i aktualizuje dane na żądanie osoby. Administrator ma prawo odmówić uzupełnienia
danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych. Administrator może polegać na
oświadczeniu osoby, co do uzupełnianych danych, chyba że będzie to niewystarczające w świetle przyjętych przez
Administrator procedur (np. co do pozyskiwania takich danych), prawa lub zaistnieją podstawy, aby uznać
oświadczenie za niewiarygodne.
14.13. Na żądanie osoby, Administrator usuwa dane, gdy: dane nie są niezbędne do celów, w których zostały zebrane
ani przetwarzane w innych celach, zgoda na ich przetwarzanie została cofnięta, a nie ma innej podstawy prawnej
przetwarzania, osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych, dane były przetwarzane
niezgodnie z prawem lub konieczność usunięcia wynika z obowiązku prawnego.
14.14. Administrator określa sposób obsługi prawa do usunięcia danych w taki sposób, aby zapewnić efektywną
realizację tego prawa przy poszanowaniu wszystkich zasad ochrony danych, w tym bezpieczeństwa, a także
weryfikację, czy nie zachodzą wyjątki, o których mowa w art. 17. ust. 3 RODO.
14.15. Jeżeli dane podlegające usunięciu zostały upublicznione przez Administrator, Administrator podejmuje rozsądne
działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe,
o potrzebie usunięcia danych i dostępu do nich.
14.16. W przypadku usunięcia danych, Administrator informuje osobę o odbiorcach danych, na żądanie tej osoby.
14.17. Administrator dokonuje ograniczenia przetwarzania danych na żądanie osoby, gdy: osoba kwestionuje
prawidłowość danych – na okres pozwalający sprawdzić ich prawidłowość, przetwarzanie jest niezgodne z prawem,
a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich
wykorzystywania, Administrator nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane
dotyczą, do ustalenia, dochodzenia lub obrony roszczeń, osoba wniosła sprzeciw względem przetwarzania z
przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia, czy po stronie Administratora zachodzą
prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu. W trakcie ograniczenia przetwarzania
Administrator przechowuje dane, natomiast nie przetwarza ich (nie wykorzystuje, nie przekazuje), bez zgody osoby,
której dane dotyczą, chyba że w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej
osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego. W przypadku ograniczenia
przetwarzania danych, Administrator informuje osobę o odbiorcach danych, na żądanie tej osoby.
14.18. Na żądanie osoby Administrator wydaje w ustrukturyzowanym, powszechnie używanym formacie nadającym
się do odczytu maszynowego lub przekazuje innemu podmiotowi, jeśli jest to możliwe, dane dotyczące tej osoby,
które dostarczyła ona do Administratora, przetwarzane na podstawie zgody tej osoby lub w celu zawarcia lub
wykonania umowy z nią zawartej, w systemach informatycznych Administratora.
14.19. Jeżeli osoba zgłosi umotywowany jej szczególną sytuacją sprzeciw względem przetwarzania jej danych, a dane
przetwarzane są przez Administrator w oparciu o uzasadniony interes Administratora lub o powierzone
Administratorowi zadanie w interesie publicznym, Administrator uwzględni sprzeciw, o ile nie zachodzą po stronie
Administratora ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i
wolności osoby zgłaszającej sprzeciw, lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.
§ 15
Postanowienia końcowe
15.1. W sprawach nieuregulowanych w Polityce odpowiednie zastosowanie znajdują postanowienia RODO oraz
powszechnie obowiązujące przepisy prawa polskiego i europejskiego.
15.2. Wszelkie zmiany lub uzupełnienia do Polityki wymagają formy pisemnej pod rygorem nieważności.
15.3. Do Polityki dołączono następujące załączniki, stanowiące integralną część Polityki:
Załącznik nr 1 – Zbiory danych osobowych.
Załącznik nr 2 – Ewidencja osób upoważnionych do przetwarzania danych osobowych.
Załącznik nr 3 – Wzór upoważnienia do przetwarzania danych osobowych.
Załącznik nr 4 – Wzór zobowiązania do zachowania poufności.
Załącznik nr 5 – Polityka czystego biurka.
Załącznik nr 6 – Procedura usuwania danych osobowych.
Załącznik nr 7 – Rejestr naruszeń danych osobowych.
Załącznik nr 8 – Procedura postępowania w przypadku naruszeń ochrony danych osobowych wraz z załącznikami.
Załącznik nr 9 – Rejestr Czynności Przetwarzania Danych Osobowych.
Załącznik nr 10 – Rejestr Kategorii Czynności Przetwarzania Danych osobowych.