REGULAMIN OCHRONY DANYCH OSOBOWYCH
W SPÓŁCE UNITED CONSULTING SP. Z O.O.
(uchwała Zarządu nr 01/05/2018 z dnia 21.05.2018 r.)

I.Wstęp

UNITED CONSULTING Spółka z ograniczoną odpowiedzialnością z siedzibą w ul. Krzywa 12, 60-118 Poznań (dalej: Spółka lub Administrator), mając na uwadze zachowanie jak najwyższych standardów w zakresie ochrony i przetwarzania Danych osobowych klientów, pracowników oraz innych osób, których Dane osobowe przetwarzane są przez Spółkę postanowiła o przyjęciu Regulaminu ochrony Danych osobowych w Spółce (dalej: Regulamin).

Niniejszy Regulamin ma charakter wewnętrzny i skierowany jest do Pracowników i współpracowników Spółki i ma na celu zapewnienie jego rzetelnego stosowania. Ponadto, zobowiązuje się Zarząd oraz wszystkich Pracowników i współpracowników do niezwłocznego informowania Spółki lub Inspektora Ochrony Danych (w przypadku jego wyznaczenia) o wszelkich nieprawidłowościach w stosowaniu niniejszej Regulaminu lub o konieczności zmiany Regulaminu, w szczególności z uwagi na pojawienie się zagrożeń lub ryzyka dla przetwarzania Danych osobowych.

Cele Regulaminu realizowane są w sposób ustalony Regulaminem, zgodnie z obowiązującymi przepisami, w szczególności w zgodzie z Rozporządzeniem o Ochronie Danych Osobowych Parlamentu Europejskiego i Rady (UE) 2016/679 (dalej: RODO) oraz w zgodzie ze zobowiązaniami umownymi Spółki. W zakresie hierarchizacji ważności zgodności wszystkie regulacje wewnętrzne Spółki muszą być zgodne z zasadami zawartymi w niniejszej Regulaminie.

W zakresie dostosowanym do możliwości finansowych, Spółka dąży do stałego rozwoju w zakresie ochrony Danych osobowych, w tym w szczególności:
– podejmuje niezbędne działania dla ochrony praw i usprawiedliwionych interesów osób fizycznych związane z bezpieczeństwem Danych osobowych,
– podnosi świadomość oraz kwalifikacje osób przetwarzających Dane osobowe,
– stale doskonali i rozwija metody Przetwarzania danych i środki ochrony tych danych tak, aby skutecznie zapobiegać zagrożeniom związanym z:
– nieautoryzowanym dostępem, wykradaniem bądź niszczeniem Danych osobowych przez wszelkiego rodzaju mechanizmy i programy szpiegujące, wirusy komputerowe, konie trojańskie i inne niepożądane oprogramowanie,
– atakami z sieci uniemożliwiającymi przetwarzanie Danych osobowych,
– działaniami mającymi na celu zaburzenie integralności Danych osobowych w celu uniemożliwienia ich przetwarzania,
– kradzieżą sprzętu lub nośników z danymi,
– kradzieżami tożsamości umożliwiającymi podszywanie się pod inną osobę,
– przekazywaniem niezabezpieczonego sprzętu komputerowego do serwisu zewnętrznego.
– prowadzi politykę kadrową zapewniając wykonanie czynności związanych z Przetwarzaniem Danych osobowych
– zapewnia stałe doszkalanie kadr

II.Definicje (artykuł 4 RODO)

Administrator Systemów Informatycznych(ASI) – Pracownik odpowiedzialny za nadzór, aktualizację i sprawne działanie Systemów informatycznych.
Bezpieczeństwo Systemu informatycznego -wdrożone przez Spółkę środki organizacyjne, prawne i techniczne w celu zabezpieczenia oraz ochrony Danych osobowych przed nieautoryzowanym Przetwarzaniem.
Dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Dane osobowe wrażliwe – Dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz Dane osobowe genetyczne i Dane biometryczne, a także Dane osobowe dotyczące zdrowia, seksualności lub orientacji seksualnej osoby.
Naruszenie ochrony Danych osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Osoba, której dane dotyczą – osoba fizyczna, która jest identyfikowalna bądź możliwa do zidentyfikowania na podstawie Danych osobowych, w szczególności Klient lub Pracownik.
Klient – oznacza osobę fizyczną:
– na rzecz której Administrator świadczy lub świadczył usługi, prowadzi lub prowadził inną współpracę handlową ,
– z którą zamierzał nawiązać współpracę lub świadczyć usługi;
– którą łączą ze Spółkę inne relacje, nie będącą Pracownikiem.
Jeżeli w Regulaminie używa się pojęcia „Klienta” rozumie się przez to również Osobę, której dane dotyczą.
Przetwarzanie – oznacza operację lub zestaw operacji wykonywanych na Danych osobowych lub zestawach Danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Pracownik – oznacza osobę zatrudnioną przez Spółkę na podstawie umowy o pracę, umowy zlecenia, umowy o dzieło lub umowy o świadczenie usług (tzw. umowa firma firma).
Podmiot przetwarzający – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza Dane osobowe w imieniu administratora.
Rozliczalność – możliwość udowodnienia bądź wykazania przez Administratora, iż stosuje on Regulamin oraz przestrzega obowiązujących przepisów prawnych, w tym RODO.
Regulamin – niniejsza Regulamin ochrony Danych osobowych.
RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem Danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Spółka lub Administrator – UNITED CONSULTING Sp. z o.o.
Obowiązek informacyjny – oznacza obowiązek Administratora określony w art. 13 lub 14 RODO.
Upoważnienie – dokument zezwalający Użytkownikowi danych na Przetwarzanie Danych osobowych. Upoważnienie nadawane jest przez Administratora lub przez osobę przez niego upoważnioną. Upoważnienie może mieć formę dokumentową w rozumieniu art. 77(3) Kodeksu cywilnego.
Uprawnienie – zapis dotyczący kompetencji Użytkownika danych do wykonania w Systemie informatycznym konkretnych operacji. Uprawnienia są nadawane, odbierane i rejestrowane przez ASI.
Przedsiębiorca – oznacza osobę fizyczną lub prawną prowadzącą działalność gospodarczą, niezależnie od formy prawnej, w tym spółki osobowe lub zrzeszenia prowadzące regularną działalność gospodarczą;
Pseudonimizacja – oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
System informatyczny – jakiekolwiek oprogramowanie lub program komputerowy, w którym Administrator Przetwarza Dane osobowe.
Użytkownik danych– każdy Pracownik, który wykonując czynności służbowe lub realizując umowę Przetwarza Dane osobowe, ma dostęp do Danych osobowych lub do Systemu informatycznego.
Zbiór danych – oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;

III.Standardy działania Spółki w zakresie ochrony Danych osobowych – (artykuł 5 RODO)

– Administrator zobowiązany jest do stałego przestrzegania przepisów RODO i przepisów o ochronie Danych osobowych. Administrator zobowiązany jest Przetwarzać Dane osobowe w sposób pozwalający na stosowanie zasady Rozliczalności.
– Administrator zapewnia, że Przetwarzane Dane osobowe są prawidłowe i w razie potrzeby będą uaktualniane. Administrator podejmuje wszelkie rozsądne działania, aby niezwłocznie usunąć lub sprostować Dane osobowe, które są nieprawidłowe w świetle celów ich Przetwarzania.
– Administrator zapewnia przechowywanie Danych osobowych w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane. Dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów: archiwalnych w interesie publicznym, badań naukowych lub historycznych lub statystycznych na mocy art. 89 ust. 1 RODO z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy RODO w celu ochrony praw i wolności osób, których dane dotyczą.
– Administrator Przetwarza Dane osobowe w sposób zgodny z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą, w tym w stosunku do Klientów i Pracowników.
– Administrator zbiera Dane osobowe w konkretnych, wyraźnych i prawnie uzasadnionych celach oraz nie przetwarza tych Danych dalej w sposób niezgodny z tymi celami.
– Administrator przetwarza wyłącznie Dane osobowe, które są adekwatne oraz niezbędne do celów, w których są Przetwarzane. Administrator nie przetwarza Danych osobowych nadmiarowych lub zbędnych i nie żąda podawania takich danych przez Pracowników, Klientów lub od innych osób, których dane dotyczą.
– Administrator zapewnia, że przetwarzanie odbywać się będzie w sposób zapewniający odpowiednie bezpieczeństwo Danych osobowych, a w szczególności Danych osobowych wrażliwych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem Przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. W szczególności zapewnia się realizację tej zasady przez Bezpieczeństwo systemu informatycznego.
– Administrator wyznacza Pracownika odpowiedzialnego za stałe weryfikowanie czy Regulamin jest przestrzegana.

IV.Zakres Danych osobowych Klientów Przetwarzanych przez Administratora, cele i podstawy prawne Przetwarzania Danych osobowych (artykuł 7 RODO)

1.Dane osobowe przetwarzane w związku z działalnością (usługową/handlową) prowadzoną przez Spółkę

Administrator zbiera od Klientów jedynie Dane osobowe adekwatne i niezbędne do realizacji umowy tj:
1.imię i nazwisko Klienta,
2.adres zamieszkania Klienta,
3.kraj miejsca stałego zamieszkania,
4.informacje o zatrudnieniu i zarobkach.
5.Informacje o numerach osobistych jak PESEL i NIP

Administrator może żądać okazania (do wglądu) dowodu osobistego lub innego dokumentu potwierdzającego tożsamość Klientów. Pracownikom zabrania się kserowania lub skanowania dowodów osobistych lub innych dowodów tożsamości Klienta. W przypadku przekazania dowodu osobistego lub innego dokumentu potwierdzającego tożsamość Klienta należy postępować z nim w taki sposób, aby był on cały czas widoczny dla Klienta (np. nie wolno Pracownikowi zabrać dokumentów na zaplecze). Pracownikom zabrania się również zatrzymywania w/w dokumentów w zastaw lub depozyt.

Administrator ma prawo Przetwarzać Dane osobowe w celu dochodzenia roszczeń w stosunku do Klientów, w szczególności w związku z nieuregulowaniem zapłaty należnej Administratorowi. Administrator ma również prawo Przetwarzać Dane osobowe Klientów w celu obrony swoich interesów przed roszczeniami lub żądaniami Klientów.

Administrator może przetwarzać Dane osobowe Klienta związane z dokonaną przez Klientów zapłatą przelewem bankowym za świadczone przez Administratora usługi i dostarczone towary.

Administrator może przetwarzać Dane osobowe Klienta związane z dokonaną przez Klientów zapłatą kartą płatniczą za świadczone przez Administratora usługi i dostarczone towary. Dane te podlegają szczególnej ochronie.

Pracownikom nie wolno kserować lub skanować kart płatniczych lub kredytowych.

2.Dane osobowe przetwarzane na podstawie obowiązku wynikającego z przepisu prawa

W przypadku obowiązku wystawienia faktury VAT za świadczenie usług lub za dostarczone towary, Administrator w celu wystawienia faktury VAT żąda od osoby, której dane dotyczą podania następujących Danych osobowych:
1.imię i nazwisko,
2.nazwa nabywcy (nazwa firmy),
3.adres nabywcy(adres firmy),
4.numer NIP, względnie nr PESEL (dla osoby fizycznej nieprowadzącej działalności gospodarczej, jeżeli obowiązek umieszczenia tego numeru na fakturze wynika z przepisu prawa).

Administrator w celu spełnienia obowiązku statystycznego względem Głównego Urzędu Statystycznego może przetwarzać informacje dotyczące kraju stałego zamieszkania Klientów.

3.Dane osobowe przetwarzane na podstawie usprawiedliwionych celów Administratora
1.Uzasadniony cel Administratora – świadczenie usług/sprzedaż towarów
Powołując się na interes Administratora, jakim jest świadczenie usług lub sprzedaż towarów, Administrator może zbierać i przetwarzać następujące Dane osobowe Klientów:
a)numer telefonu Klienta, w szczególności do komunikacji z Klientem w zakresie świadczonych usług lub przy sprzedaży towarów;
b)adres e-mail Klienta, w szczególności do komunikacji z Klientem w zakresie świadczonych usług lub przy sprzedaży towarów oraz w celu spełnienia Obowiązku informacyjnego (pkt VI.2 Regulaminu), do przesłania faktury w formie elektronicznej,
c)rejestracja monitoringu godzin i daty wejść oraz wyjść Klientów z siedziby Spółki zbiera się w celu poprawienia jakości obsługi,
d)data urodzenia Klienta – zbierana w celach statystycznych oraz wykorzystywana do celów marketingowych, jeżeli Klient wyraził Zgodę na komunikację marketingową,
e)informacje o zawodzie Klienta – zbierane w celach statystycznych Administratora oraz wykorzystywane do celów marketingowych, jeżeli Klient wyraził Zgodę na komunikację marketingową,
f)adres zamieszkania Klienta, w szczególności do komunikacji z Klientem w celu świadczenia usług lub sprzedaży towarów oraz komunikacji odnośnie praw Klienta związanych z Przetwarzaniem Danych osobowych.

2.Uzasadniony cel Administratora- ocena jakości świadczonych usług
W ramach uzasadnionego interesu Administratora, jakim jest ocena jakości świadczonych usług, Administrator może prowadzić ankiety satysfakcji Klientów. Ankiety powinny być co do zasady anonimowe. Dopuszcza się dobrowolne podawanie Danych osobowych przez Klienta.
W sytuacji prowadzenia ankiet satysfakcji przez e-mail w każdej wiadomości e-mail z prośbą o wypełnienie ankiety przedstawia się następującą informację:
„Spółka UNITED CONSULTING Sp. z o.o. informuje, że ma Pani/Pan prawo do sprzeciwu dotyczącego przetwarzania Pani/Pana danych osobowych dla celów oceny jakości świadczonych usług/procesu sprzedaży towarów przez Spółkę. Wniesienie sprzeciwu powoduje, że Pani/Pana dane osobowe nie będą już przetwarzane w tym celu”.

W sytuacji wniesienia sprzeciwu przez Klienta, Administratorowi zabrania się dalszego prowadzenia ankiet satysfakcji względem tego Klienta.

3.Uzasadniony cel Administratora- zapewnienie bezpieczeństwa
Powołując się na uzasadniony interes Administratora, jakim jest zapewnienie bezpieczeństwa Klientom, Pracownikom oraz Administratorowi, Administrator może stosować monitoring wizyjny Siedziby. Administrator zamieszcza, w miejscach publicznie dostępnych i łatwo widocznych, następującą informację dotyczącą stosowania monitoringu wizyjnego:
„Obiekt monitorowany. Administratorem danych osobowych utrwalonych przez monitoring wizyjny jest UNITED CONSULTING Sp. z o.o. z siedzibą w Poznaniu (60-118), ul Krzywa 12”. Informację uzupełnia się o logo/grafikę przedstawiającą kamerę.

Administrator dla celów usprawnienia pracy może nadawać Klientowi lub dokonanej przez niego rezerwacji numery systemowe lub inne podobne oznaczenia, które jednak nie pozwalają na identyfikację Klienta przez inne podmioty niż Administrator. Oznaczeniom tym zabrania się nadawania ukrytych znaczeń.

4.Dane osobowe przetwarzane na podstawie Zgody

Na podstawie Zgody wyrażonej przez Klienta Administrator może zbierać i przetwarzać następujące Dane osobowe Klienta w następujących celach:
a)numer telefonu Klienta – zbierany w celach komunikacji marketingowej, w tym w celach marketingu bezpośredniego, a także w celu przesyłania Klientowi wiadomości tekstowych o charakterze reklamowym,
b)adres e-mail Klienta – zbierany w celach przesyłania Klientowi informacji handlowej, w tym w celach marketingu bezpośredniego,
c)wizerunek (zdjęcie) Klienta – zbierany w celach marketingowych, w tym w celu wykorzystania w materiałach promocyjnych i reklamowych.

Administrator zapewnia, że Zgoda wyrażona przez Klienta jest w każdym przypadku świadoma, konkretna, dobrowolna jednoznaczna.

Administrator zapewnia, że:
a)Zgoda może zostać wyrażona w pisemnym lub elektronicznym oświadczeniu; jeżeli Zgoda jest udzielana ustnie Administrator musi być w stanie udokumentować jej udzielenie;
b)Zgoda nie może być dorozumiana z oświadczeń o innej treści, w szczególności regulaminów, umowy, ogólnych warunków umów lub dokumentów o podobnej treści,
c)Jeżeli Klient wyraża Zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o Zgodę powinno zostać przedstawione w sposób pozwalający wyraźnie odróżnić to zapytanie od pozostałych kwestii danego oświadczenia,
d)Okienka (checkbox) dotyczące Zgody zarówno na stronie internetowej, jak i w oświadczeniach pisemnych, nie mogą być domyślnie zaznaczone (np. ),
e)Klient zostaje każdorazowo poinformowany o możliwości wycofania Zgody,
f)Cel, w jakim udzielana zostaje Zgoda jest każdorazowo wyraźnie określony, a jeżeli Administrator ma zamiar pozyskać zgodę na różne cele, Administrator pozyskuje osobną Zgodę na każdy cel,
g)Klient zostaje każdorazowo możliwie dokładnie poinformowany o danych identyfikujących Administratora.

Administrator niezwłocznie zaprzestaje Przetwarzania Danych osobowych, w sytuacji gdy Klient wycofał Zgodę. W szczególności, w razie wycofania Zgody Administrator niezwłocznie usuwa Dane osobowe pozyskane od Klienta na podstawie Zgody:
1.ze wszystkich nośników informacji takich jak dokumenty w formie papierowej, dyski twarde, pendrive itp.,
2.ze wszystkich baz danych i Systemów informatycznych,

W razie potrzeby w usuwanie Danych osobowych angażuje się Pracowników działów: IT, marketingu, obsługi klienta.
Każdy z Pracowników poszczególnych działów odpowiada za usunięcie Danych osobowych Przetwarzanych przez ten dział, przy czym koordynację usuwania Danych osobowych zapewnia ASI.

V.Obowiązek informacyjny w stosunku do Klientów

Administrator zapewnia, aby Klienci byli szeroko i skrupulatnie informowani o zasadach i podstawach prawnych Przetwarzania ich Danych osobowych. Informacje przekazywane Klientom muszą być rzetelne oraz muszą być wyrażone jasnym i prostym językiem, w szczególności gdy kierowane są do dzieci. Administrator spełnia Obowiązek informacyjny w języku polskim.

1.Sposób spełnienia Obowiązku informacyjnego w stosunku do Klientów, od których Dane osobowe są pozyskiwane w siedzibie Spółki oraz podczas wizyt handlowych (artykuł 13 RODO)

Administrator zapewnia, że Obowiązek informacyjny przewidziany w art. 13 RODO w przypadku Klienta, od którego Dane osobowe pozyskiwane są w siedzibie Spółki lub podczas wizyt handlowych jest spełniany poprzez przekazanie Klientowi dokumentu zawierającą aktualną treść Obowiązku informacyjnego.

2.Sposób spełnienia Obowiązku informacyjnego w stosunku do Klientów, od których Dane osobowe pozyskiwane są przez stronę internetową

Administrator zapewnia, że Obowiązek informacyjny przewidziany w art. 13 RODO w przypadku Klienta, od którego Dane osobowe pozyskiwane są przez stronę internetową lube-mail jest spełniany poprzez wysłanie Klientowi Obowiązku informacyjnego w pierwszej wiadomości e-mail kierowanej na adres e-mail podany przez Klienta. Obowiązek informacyjny może być spełniany poprzez dołączenie pliku pdf.

3.Aktualizacja Obowiązku informacyjnego

Administrator dokonuje aktualizacji Obowiązku informacyjnego niezwłocznie, gdy z uwagi na otoczenie prawne lub faktyczne informacje przekazywane Klientowi w klauzuli informacyjnej ulegną zmianie. W takiej sytuacji Administrator:
1.wysyła wiadomość e-mail do wszystkich Klientów, których Dane osobowe przetwarza (w tym byłych Klientów) ze zaktualizowaną treścią Obowiązku informacyjnego,
2.wysyła wiadomość e-mail do innych osób, których Dane osobowe przetwarza ze zaktualizowaną treścią Obowiązku informacyjnego.

VI.Prawa Klientów związane z Przetwarzaniem Danych osobowych
1.Przejrzysta komunikacja

Administrator zapewnia, aby komunikacja dotycząca Danych osobowych Klientów była prowadzona w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. W tym celu regularnie szkoli Pracowników. Komunikacja prowadzona jest na piśmie lub w formie elektronicznej, w tym przez e-mail. Komunikacja prowadzona jest w języku polskim.

Na życzenie Klienta komunikacja może być prowadzona ustnie, pod warunkiem, że tożsamość Klienta nie będzie budziła wątpliwości.
W przypadku wątpliwości co do tożsamości Klienta, Pracownik może żądać dodatkowych informacji mających na celu zweryfikowanie tożsamości Klienta. Zasadę tę stosuje się do wszystkich praw opisanych w niniejszym pkt VII. Pracownik powinien powstrzymać się ze spełnieniem obowiązków określonych w niniejszym pkt VII. do czasu jednoznacznego ustalenia tożsamości Klienta.

Administrator udziela Klientowi wszelkich informacji zgodnych z art. 15-22 RODO bez zbędnej zwłoki, jednak nie później niż w terminie 1 miesiąca od dnia otrzymania żądania Klienta co do podjęcia konkretnych działań. W razie potrzeby Administrator może ten termin przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania Administrator informuje Klienta o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.
Jeżeli Klient przekazał swoje żądanie drogą elektroniczną, w tym przez e-mail, w miarę możliwości informacje przekazywane są również drogą elektroniczną, chyba że Klient zażądał innej formy komunikacji.

Jeżeli Administrator nie podejmuje działań w związku z żądaniem Klienta, to niezwłocznie – najpóźniej w terminie 1 miesiąca od otrzymania żądania – informuje Klienta o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.

2.Prawo dostępu Klienta do Danych osobowych

Klient ma prawo uzyskać od Administratora potwierdzenie, czy przetwarzane są Dane osobowe dotyczące Klienta. Jeżeli Dane osobowe dotyczące Klienta są przetwarzane, Klient jest uprawniony do uzyskania dostępu do tych Danych oraz do uzyskania następujących informacji:
1.o celach Przetwarzania Danych osobowych przez Administratora,
2.o kategoriach Danych osobowych,
3.o odbiorcach lub kategoriach odbiorców, którym Dane osobowe Klienta zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych (czyli między innymi o podmiotach przetwarzających, którym mogą zostać ujawniane Dane osobowe),
4.o okresie przechowywania Danych osobowych lub o kryteriach ustalania tego okresu,
5.o możliwości żądania od Administratora sprostowania, usunięcia lub ograniczenia Przetwarzania Danych osobowych Klienta oraz do wniesienia sprzeciwu wobec takiego Przetwarzania,
6.o prawie wniesienia skargi do organu nadzorczego,
7.o źródle pozyskania Danych osobowych;
8.o fakcie podejmowania przez Administratora w sposób zautomatyzowany decyzji, w tym dokonywania profilowania Klienta, o którym mowa w art. 22 ust. 1 i 4 RODO; jeżeli zautomatyzowane podejmowanie decyzji lub profilowanie jest dokonywane podaje się istotne informacje o zasadach podejmowania takich decyzji, a także o znaczeniu i przewidywanych konsekwencjach takiego Przetwarzania dla Klienta.

Administrator dostarcza Klientowi kopię Danych osobowych podlegających Przetwarzaniu. Kopię dostarcza się w formie pisemnej lub elektronicznej. Kopię generuje się z Systemu informatycznego, a w przypadku przetwarzania Danych osobowych w kilku Systemach informatycznych – z każdego z tych Systemów.

3.Prawo Klienta do sprostowania Danych osobowych

Administrator zapewnia, że Klient w każdej chwili może skutecznie sprostować dotyczące go Dane osobowe, które są nieprawidłowe. Z uwzględnieniem celów Przetwarzania, Klient ma prawo żądania uzupełnienia niekompletnych Danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia. Administrator umożliwia Klientowi przedstawienie takiego oświadczenia.

Wyznaczony Pracownik niezwłocznie aktualizuje lub poprawia Dane osobowe Klienta poprzez wprowadzenie aktualnych i poprawnych Danych osobowych Klienta do Systemów informatycznych oraz na inne nośniki informacji.
Wyznaczony Pracownik potwierdza Klientowi aktualizację lub poprawienie Danych osobowych Klienta.

4.Prawo Klienta do bycia zapomnianym

Klient ma prawo żądania od Administratora niezwłocznego usunięcia dotyczących Klienta Danych osobowych, a Administrator ma obowiązek bez zbędnej zwłoki usunąć Dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
1.Dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób Przetwarzane, w szczególności taka sytuacja ma miejsce gdy upłynął okres przedawnienia roszczeń w związku z świadczonymi usługami lub sprzedażą towarów;
2.Klient cofnął Zgodę, na której opierało się Przetwarzanie, a Administrator nie ma innej podstawy prawnej Przetwarzania, w szczególności taka sytuacja ma miejsce gdy Klient cofnął Zgodę na komunikację marketingową, przesyłanie informacji handlowych lub wykorzystanie wizerunku.
3.Klient wniósł sprzeciw na mocy art. 21 ust. 1 RODO i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub Klient wniósł sprzeciw na mocy art. 21 ust. 2 RODO,
4.Dane osobowe Klienta były Przetwarzane niezgodnie z prawem, w szczególności gdy Administrator nie miał podstawy prawnej do ich Przetwarzania lub Przetwarzał nadmiarowe, w stosunku do celu Dane osobowe.
5.Dane osobowe Klienta muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie polskim (np. Administrator został zobowiązany decyzją organu nadzoru do usunięcia Danych osobowych).
6.Dane osobowe Klienta będącego dzieckiem, które nie ukończyło 16 lat zostały zebrane w związku z oferowaniem mu usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1 RODO.

Wykonując prawo do bycia zapomnianym Administrator usuwa Dane osobowe:
1.ze wszystkich nośników informacji takich jak dokumenty w formie papierowej, dyski twarde, pendrive itp.,
2.ze wszystkich baz danych i Systemów informatycznych.

W razie potrzeby w usuwanie Danych osobowych angażuje się Pracowników działów: IT, marketingu, obsługi klienta.
Każdy z Pracowników poszczególnych działów odpowiada za usunięcie Danych osobowych Przetwarzanych przez ten dział, przy czym koordynację usuwania Danych osobowych zapewnia ASI.

Jeżeli Administrator upublicznił Dane osobowe Klienta, a ma obowiązek usunąć te Dane osobowe, zobowiązany jest do poinformowania innych administratorów takich jak: operatorów wyszukiwarek internetowych, usługodawców świadczących usługi social media itp. o konieczności usunięcia tych Danych osobowych. Wyznaczony przez Administratora Pracownik:
1.wyszukuje Dane osobowe podlegające usunięciu za pomocą publicznie dostępnych wyszukiwarek internetowych oraz wyszukiwarek social media (np. Facebook, Instagram, Twitter, etc.),
2.kontaktuje się z administratorami, w szczególności za pomocą stosownych formularzy kontaktowych, na których stronach internetowych upublicznione są Dane osobowe i informuje tych administratorów o konieczności usunięcia Danych osobowych,
3.w stosownych przypadkach – wysyła do administratorów list polecony z żądaniem usunięcia Danych osobowych,
4.z czynności z pkt 1 – 3 sporządza protokół. Protokół zawiera w szczególności:
a)imię i nazwisko Pracownika,
b)datę podjęcia czynności,
c)nazwę administratorów, u których zlokalizował Dane osobowe,
d)datę kontaktu z poszczególnymi administratorami,
e)kopię wiadomości przesłanych do administratorów,
f)kopię listu, o którym mowa w ust. 3.

Administrator przekazuje Klientowi, w terminach określonych w pkt VII.1 informacje o podjętych krokach w celu wykonania prawa do bycia zapomnianym.

Prawa do bycia zapomnianym Klient nie może wykonać skutecznie w zakresie, w jakim przetwarzanie jest niezbędne:
1.do korzystania z prawa do wolności wypowiedzi i informacji Administratora lub osób trzecich,
2.do wywiązania się z prawnego obowiązku wymagającego Przetwarzania na mocy powszechnie obowiązujących przepisów prawnych, w szczególności taka sytuacja ma miejsce w związku z obowiązkiem przechowywania dokumentacji rachunkowej lub podatkowej i na okres wymagany przez te przepisy,
3.z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) RODO,
4.do ustalenia, dochodzenia lub obrony roszczeń, w szczególności w sytuacji gdy okres przedawnienia potencjalnych roszczeń Administratora względem Klienta nie upłynął lub nie upłynął okres przedawnienia potencjalnych roszczeń Klienta względem Administratora.

Jeżeli Klient nie może skutecznie wykonać prawa do bycia zapomnianym, Administrator przekazuje, w terminach określonych w pkt VII.1, na piśmie lub w formie elektronicznej, informację o braku podstaw do wykonania prawa do bycia zapomnianym wraz z uzasadnieniem. Wzór informacji stanowi załącznik nr 4 do Regulaminu.

5.Prawo Klienta do ograniczenia Przetwarzania

Klient ma prawo żądania od Administratora ograniczenia przetwarzania w następujących przypadkach:
1.Klient kwestionuje prawidłowość Danych osobowych – na okres pozwalający Administratorowi sprawdzić prawidłowość tych Danych osobowych, w szczególności ma to zastosowanie w przypadkach opisanych w pkt VII.3 Regulaminu tj. gdy Klient żąda sprostowania lub aktualizacji Danych osobowych.
2.Przetwarzanie jest niezgodne z prawem, a Klient sprzeciwia się usunięciu Danych osobowych, żądając w zamian ograniczenia ich wykorzystywania, w szczególności taka sytuacja ma miejsce gdy Administrator przetwarza Dane osobowe zbędne lub nadmiarowe w stosunku do celu przetwarzania;
3.Administrator nie potrzebuje już Danych osobowych do celów przetwarzania, ale są one potrzebne Klientowi do ustalenia, dochodzenia lub obrony roszczeń, w szczególności taka sytuacja może mieć miejsce w sytuacji gdy okres przedawnienia roszczeń Klienta względem Administratora jest dłuższy niż okres przedawnienia roszczeń Administratora względem Klienta,
4.Klient wniósł sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie Administratora są nadrzędne wobec podstaw sprzeciwu Klienta.

Ciężar wykazania, że zachodzą przesłanki do ograniczenia Przetwarzania spoczywa na Kliencie. Administrator odmawia ograniczenia Przetwarzania, jeśli okaże się że:
1.wbrew stanowisku Klienta, jego dane są prawidłowe,
2.Administrator Przetwarza Dane osobowe na podstawie ważnej podstawy prawnej,
3.Klient nie wykazał, iż Dane osobowe są niepotrzebne do ustalenia, dochodzenia lub obrony roszczeń przez Klienta,
4.Sprzeciw Klienta był nieskuteczny.

W sytuacji wniesienia skutecznego wniosku o ograniczenie Przetwarzania, Administrator nie może wykonywać jakichkolwiek operacji Przetwarzania Danych osobowych za wyjątkiem ich przechowywania.
W przypadku ograniczenia Przetwarzania Danych osobowych nie można Przetwarzać w celu dla którego dane zostały zebrane.

W sytuacji wniesienia skutecznego wniosku o ograniczenie Przetwarzania Administrator oznacza w specjalny sposób Dane osobowe Klienta w celu ograniczenia ich przyszłego Przetwarzania. Oznaczenia Danych osobowych Klienta dokonuje się:
1.na wszystkich nośnikach informacji takich jak dokumenty w formie papierowej, dyski twarde, pendrive itp.,
2.we wszystkich bazach danych i Systemach informatycznych.

W razie potrzeby w przenoszenie Danych osobowych angażuje się Pracowników działów: IT, marketingu, obsługi klienta.

Dane osobowe Klienta, co do których ograniczono przetwarzanie, przenosi się z Systemu informatycznego, w którym były przetwarzane do innego Systemu informatycznego, do którego dostęp ma tylko ASI.

Administratorowi nie wolno usuwać Danych osobowych, co do których złożono wniosek o ograniczenie Przetwarzania.

Inne niż przechowywanie operacje na Danych osobowych Administrator może wykonywać wyłącznie:
1.na podstawie Zgody Klienta. Zgoda na Przetwarzanie Danych osobowych w sposób inny niż przechowywanie powinna zostać pozyskana od Klienta. Do pozyskania Zgody Klienta stosuje się pkt IV.4 Regulaminu,
2.w celu ustalenia, dochodzenia lub obrony roszczeń,
3.w celu ochrony praw innej osoby fizycznej lub prawnej, w tym ochrony praw Administratora lub
4.z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.
Jeżeli zastosowanie znajdą sytuacje z pkt 1-4 powyżej, Administrator może Przetwarzać Dane osobowe, tj. wykonywać operacje zgodnie z definicją z pkt III.3.

O prawie Administratora do Przetwarzania Danych osobowych w sytuacjach z pkt 1-4 powyżej Administrator informuje Klienta wskazując podstawę prawną do dalszego Przetwarzania Danych osobowych.
Jeżeli Administrator usunął wcześniej Dane osobowe Klienta, ograniczenie Przetwarzania nie będzie mogło być skutecznie zrealizowane. Administrator informuje Klienta o usunięciu Danych osobowych.

Klient może cofnąć wniosek o ograniczenie Przetwarzania. W takiej sytuacji Administrator może znów Przetwarzać Dane osobowe (jeżeli dysponuje ważną podstawą prawną do Przetwarzania).

Jeżeli Administrator dokonał sprostowania Danych osobowych, ograniczenie Przetwarzania Danych osobowych zostaje uchylone. Przed uchyleniem ograniczenia przetwarzania Administrator informuje Klienta, który zażądał ograniczenia Przetwarzania.

6.Obowiązek powiadomienia o sprostowaniu lub usunięciu Danych osobowych lub o ograniczeniu Przetwarzania

Administrator informuje o sprostowaniu lub usunięciu Danych osobowych lub ograniczeniu Przetwarzania, których dokonał zgodnie z art. 16, art. 17 ust. 1 i art. 18 RODO każdego odbiorcę, któremu ujawniono Dane osobowe Klienta, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.
Przyjmuje się, że nie wymaga niewspółmiernie dużego wysiłku informowanie odbiorców Danych osobowych, którym Administrator ujawnia Dane osobowe w sposób zautomatyzowany, w szczególności z wykorzystaniem technologii API. Ponadto, przyjmuje się, że nie wymaga niewspółmiernie dużego wysiłku informowanie odbiorców Danych osobowych, z którymi Administrator współpracuje na podstawie stałej umowy.

Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.

7.Prawo Klienta do przenoszenia Danych osobowych

Klient ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego Dane osobowe go dotyczące, które dostarczył Administratorowi, jeżeli:
1.Przetwarzanie odbywa się na podstawie Zgody (pkt IV.4 i pkt IV.5 Regulaminu) lub na podstawie umowy (pkt IV.1 Regulaminu) oraz
2.Przetwarzanie odbywa się w sposób zautomatyzowany.
Klient ma również prawo przesłać te Dane osobowe innemu administratorowi bez przeszkód ze strony Administratora.

Prawa do przenoszenia Danych osobowych nie wykonuje się w stosunku do Danych osobowych przetwarzanych na innych niż wyżej wymienione podstawach prawnych, w szczególności Danych osobowych przetwarzanych na podstawie obowiązku prawnego (pkt IV.2 Regulaminu) oraz na podstawie usprawiedliwionego interesu Administratora (pkt IV.3 Regulaminu).

W przypadku wystąpienia przez Klienta z wnioskiem o przeniesienie Danych osobowych, wyznaczony przez Administratora Pracownik:
1.Generuje z Systemu informatycznego wszelkie Dane osobowe Klienta, które zostały dostarczone przez Klienta;
2.Zapisuje wygenerowane Dane osobowe w formacie .csv, .rtf, .txt lub .xml wedle życzenia Klienta,
3.Przesyła Dane osobowe wybranemu przez Klienta administratorowi w formie elektronicznej.

Prawo do przenoszenia Danych osobowych nie może negatywnie wpływać na prawa i wolności innych osób. Wykonując prawo do Przenoszenia Danych osobowych Administrator ocenia, czy przeniesienie Danych osobowych Klienta nie spowoduje negatywnych skutków dla innych osób, w szczególności dokonuje oceny pod kątem naruszenia dóbr osobistych innych osób. Ponadto, ocenia się czy wykonanie prawa do Przenoszenia Danych osobowych nie uniemożliwi innym osobom realizacji ich praw jako osób, których dane dotyczą na mocy RODO, w szczególności praw do uzyskania informacji o przetwarzaniu ich Danych osobowych.

8.Prawo Klienta do wniesienia sprzeciwu

Klient lub osoba, której dane dotyczą ma w każdym momencie prawo do wniesienia sprzeciwu, jeżeli Przetwarzanie Danych osobowych Klienta odbywa się na podstawie usprawiedliwionych interesów Administratora (pkt IV.3 Regulaminu) i jest to uzasadnione szczególną sytuacją Klienta.
Przez szczególną sytuację Klienta lub osoby, której dane dotyczą na potrzeby Regulaminu rozumie się, w szczególności:
1.sytuację, która nie istniała w momencie zbierania Danych osobowych lub sytuację, która istniała w momencie zbierania Danych osobowych, ale nie była znana Administratorowi (np. sytuacja rodzinna czy zdrowotna Klienta, która uległa zmianie lub nie była znana Administratorowi),
2.istnienie tej sytuacji powoduje zachwianie praw Administratora i Klienta powodując faworyzowanie pozycji Administratora.
Fakt wykazania szczególnej sytuacji spoczywa na Kliencie.

Wniesienie sprzeciwu powoduje, że Administratorowi nie wolno już przetwarzać Danych osobowych Klienta, których Przetwarzanie odbywało się na podstawie usprawiedliwionych interesów Administratora, chyba że:
1.Administrator wykaże, że cele Administratora są nadrzędne w stosunku do interesów, praw i wolności Klienta lub,
2.Administrator wykaże, że Przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń.
Fakt wykazania powyższych przesłanek spoczywa na Administratorze.

Jeżeli zajdzie jedna z sytuacji opisanych w pkt 1 lub 2 powyżej, Administrator niezwłocznie, nie później jednak niż w terminach określonych w pkt VII.1 Regulaminu, informuje o tym Klienta wskazując na podstawy dalszego Przetwarzania. Informację przekazuje się na piśmie lub w formie elektronicznej.

W sytuacji, gdy Administrator przetwarza Dane osobowe Klienta w celach marketingu bezpośredniego, w tym profilowania, w oparciu o usprawiedliwione interesy Administratora, wniesienie sprzeciwu ma charakter bezwzględny i zobowiązuje Administratora do zaprzestania Przetwarzania Danych osobowych w tym celu.
Niezwłocznie po wniesieniu sprzeciwu Administrator usuwa Dane osobowe, które były Przetwarzane w celach marketingu bezpośredniego:
1.ze wszystkich nośników informacji takich jak dokumenty w formie papierowej, dyski twarde, pendrive itp.,
2.ze wszystkich baz danych i Systemów informatycznych.
W razie potrzeby w usuwanie Danych osobowych angażuje się Pracowników działów IT, marketingu, obsługi klienta.
Każdy z Pracowników poszczególnych działów odpowiada za usunięcie Danych osobowych Przetwarzanych przez ten dział, przy czym koordynację usuwania Danych osobowych zapewnia ASI.

VII.Retencja Danych osobowych

1.Retencja Danych osobowych Klientów

Wprowadza się zasadę ograniczenia przechowywania Danych osobowych Klientów. Przechowywanie Danych osobowych nie może być dłuższe, niż jest to niezbędne dla celów Przetwarzania – cele przetwarzania określa się zgodnie z pkt IV Regulaminu. W związku z powyższym Dane osobowe Klientów zebrane na karcie meldunkowej/rejestracyjnej lub w inny sposób przechowuje się:
1.W zakresie niezbędnym do wykazania prawidłowości naliczania i odprowadzania podatków, w szczególności VAT i CIT, Dane osobowe Klienta przechowuje się w formie umożliwiającej identyfikację Klienta przez okres przedawnienia zobowiązań podatkowych, tj. co do zasady 5 lat od końca roku podatkowego, w którym powstał obowiązek podatkowy,
2.W zakresie niezbędnym do obrony przed ewentualnymi roszczeniami Klienta podnoszonymi względem Administratora w związku z świadczonymi usługami lub sprzedażą towarów, Dane osobowe Klienta przechowuje się w formie umożliwiającej identyfikację Klienta przez okres przedawnienia roszczeń Klienta w stosunku do Administratora wynikający z Kodeksu cywilnego, tj. 10 lat od daty wymagalności roszczenia Klienta względem Administratora.
3.W zakresie niezbędnym do obrony przed ewentualnymi roszczeniami Klienta podnoszonymi względem Administratora w związku z czynem niedozwolonym wyrządzonym Klientowi przez Administratora, Dane osobowe Klienta przechowuje się w formie umożliwiającej identyfikację Klienta przez okres przedawnienia roszczeń Klienta w stosunku do Administratora wynikający z Kodeksu cywilnego tj. 3 lata od dnia, w którym Klient dowiedział się albo przy zachowaniu należytej staranności mógł się dowiedzieć o szkodzie i o osobie obowiązanej do jej naprawienia. Jednakże okres przechowywania Danych osobowych Klienta nie może być dłuższy niż 10 lat od dnia, w którym nastąpiło zdarzenie wywołujące szkodę po stronie Klienta.
4.W sytuacji wszczęcia przez Klienta lub Administratora postępowania sądowego lub innego podobnego regulowanego przez ustawę, przechowuje się Dane osobowe przez cały okres takiego postępowania, nawet jeżeli termin z pkt 1-3 już upłynął.

2.Retencja Danych osobowych kandydatów do pracy w Spółce

Wprowadza się zasadę ograniczenia przechowywania Danych osobowych kandydatów do pracy w Spółce. Okres przechowywania Danych osobowych kandydatów do pracy musi odpowiadać celowi jakim jest prowadzenie procesu rekrutacyjnego. W związku z powyższym Dane osobowe kandydatów do pracy w Spółce przechowuje się przez cały okres postępowania rekrutacyjnego oraz przez 1 rok od dnia zakończenia postępowania rekrutacyjnego.
O okresie przechowywania Danych osobowych informuje się w ogłoszeniach o pracę.

3.Retencja Danych osobowych Pracowników zatrudnionych na umowę o pracę

Wprowadza się zasadę ograniczenia przechowywania Danych osobowych, przy czym dla potrzeb niniejszego punktu za „Pracowników” rozumie się osoby zatrudnione na umowę o pracę w Spółce.
1.Akta osobowe Pracowników w zakresie listy płac, kart wynagrodzeń, umów o pracę oraz innych dokumentów, na podstawie których następuje ustalenie podstawy wymiaru emerytury lub renty przechowuje się przez 50 lat od dnia zakończenia przez Pracownika pracy w Spółce.
2.Inne, niż w pkt 1 dokumenty Pracowników przechowuje się przez okres 3 lat licząc od ostatniego dnia roku kalendarzowego, w którym dany dokument został wygenerowany.

VIII.Rejestr czynności przetwarzania

Spółka prowadzi rejestr czynności przetwarzania.
W rejestrze czynności przetwarzania zamieszcza się wszystkie następujące informacje:
a) dane kontaktowe administratora oraz wszelkich współadministratorów;
b) cele przetwarzania;
c) opis kategorii osób, których dane dotyczą, oraz kategorii Danych osobowych;
d) kategorie odbiorców, którym Dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
e) gdy ma to zastosowanie, przekazania Danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń;
f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.
Rejestr czynności przetwarzania prowadzi się w formie elektronicznej. Spółka wyznacza osobę odpowiedzialną za prowadzenie rejestru.