Polityka prywatności i cookies

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
W GRAYOGA GRAŻYNA ADAMIEC, UL. KROTOSZYŃSKA 9/1 01-805 WARSZAWA wg ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Opracowała Administratorka Danych Osobowych w GraYOGA: Grażyna Adamiec; Data i miejsce sporządzenia dokumentu: 01.09.2019 Warszawa

INFORMACJE OGÓLNE
1. Głównym celem wprowadzenia Polityki Bezpieczeństwa jest zapewnienie zgodności działania i procedur w firmie GraYOGA z przepisami o ochronie danych osobowych oraz jej rozporządzeniami wykonawczymi.
2. Dokument Polityki Bezpieczeństwa opisuje zasady i procedury przetwarzania danych osobowych i ich zabezpieczenia przed nieuprawnionym dostępem.
MIEJSCE PRZETWARZANIA, ZAKRES ORAZ STRUKTURA DANYCH OBJĘTYCH POLITYKĄ BEZPIECZEŃSTWA
1. Dane osobowe gromadzone przez firmę są przechowywane i przetwarzane w lokalizacji: 01-805 Warszawa, ul. Krotoszyńska 9/1
2. Zbiory danych osobowych: dane klientów zajęć jogi (rejestr klientów – joga załącznik nr 1)
3. Powyższy załącznik zawiera strukturę danych zbioru, miejsce przechowywania oraz sposoby zabezpieczenia.
OSOBY ODPOWIEDZIALNE ZA OCHRONĘ DANYCH OSOBOWYCH
1. Administratorem Danych Osobowych (ADO) w firmie GraYOGA jest jej właściciel Grażyna Adamiec.
2. ADO odpowiedzialny jest za:
  - nadzorowanie procesów przepływu i gromadzenia danych osobowych,
  - nadzorowanie procedur zabezpieczania danych osobowych,
  - nadzorowanie procedur usuwania danych osobowych,
  - szkolenie i udzielanie upoważnień pracownikom firmy,
  - nadzorowanie procedur powierzenia dostępu i przetwarzania danych osobowych podmiotom trzecim.
UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH
1. Do przetwarzania danych osobowych w GraYOGA upoważnieni są pracownicy zatrudnieni w firmie, którzy:
  - przeszli szkolenie w zakresie procedur ochrony danych osobowych w firmie prowadzone przez ADO,
  - uzyskali upoważnienie do przetwarzania danych od ADO.
2. Aktualny wykaz pracowników oraz zakres ich uprawnień zawiera załącznik nr 2.
3. Aktualne oświadczenia o ukończeniu szkolenia oraz upoważnienia do przetwarzania danych przechowywane są razem z Polityką Bezpieczeństwa w lokalu GraYOGA, 01-805 Warszawa, ul. Krotoszyńska 9/1
UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
1. ADO może powierzyć dostęp do danych osobowych oraz ich przetwarzania podmiotom trzecim.
2. W takim wypadku ADO podpisuje umowę powierzenia.
3. Aktualny wykaz podmiotów z którymi ADO zawarł umowę powierzenia zawiera załącznik nr 3.
4. Aktualne umowy powierzenia przechowywane są razem z Polityką Bezpieczeństwa lokalu przy ul. Krotoszyńska 9/1, 01-805 Warszawa
OGÓLNE ZASADY BEZPIECZEŃSTWA OBOWIĄZUJĄCE PRZY PRZETWARZANIU DANYCH OSOBOWYCH
1. Za bezpieczeństwo przetwarzania danych osobowych w określonym zbiorze, indywidualną odpowiedzialność ponosi przede wszystkim każdy pracownik mający dostęp do danych oraz osoby współpracujące, którym powierzono przetwarzanie danych w ramach stosownych umów.
2. Pracownicy mający dostęp do danych osobowych oraz osoby współpracujące, którym powierzono przetwarzanie danych w ramach stosownych umów nie mogą ich ujawniać zarówno w miejscu pracy, jak i poza nim, w sposób wykraczający poza czynności związane z ich przetwarzaniem w zakresie obowiązków służbowych, w ramach udzielonego upoważnienia do przetwarzania danych.
3. W miejscu przetwarzania danych osobowych utrwalonych w formie papierowej pracownicy zobowiązani są do stosowania zasady tzw. „czystego biurka”. Zasada ta oznacza nie pozostawianie materiałów zawierających dane osobowe w miejscu umożliwiającym fizyczny dostęp do nich osobom nieuprawnionym. Za realizację powyższej zasady odpowiedzialny jest na swym stanowisku każdy z pracowników oraz osób współpracujących którym powierzono przetwarzanie danych w ramach stosownych umów.
4. Niszczenie brudnopisów, błędnych lub zbędnych kopii materiałów zawierających dane osobowe musi odbywać się w sposób uniemożliwiający odczytanie zawartej w nich treści, np. z wykorzystaniem niszczarek.
5. Niedopuszczalne jest wynoszenie materiałów zawierających dane osobowe poza obszar ich przetwarzania bez związku z wykonywaniem czynności służbowych. Za bezpieczeństwo i zwrot materiałów zawierających dane osobowe odpowiada w tym przypadku osoba dokonująca ich wyniesienia.
6. Pracownicy oraz osoby współpracujące, którym powierzono przetwarzanie danych w ramach stosownych umów zobowiązani są do zamykania na klucz wszelkich pomieszczeń lub budynków wchodzących w skład obszarów, w których przetwarzane są dane osobowe w czasie ich chwilowej nieobecności w pomieszczeniu pracy, jak i po jej zakończeniu, a klucze nie mogą być pozostawione w zamku w drzwiach. Pracownicy oraz osoby współpracujące, którym powierzono przetwarzanie danych w ramach stosownych umów zobowiązani są do dołożenia należytej staranności w celu zabezpieczenia posiadanych kluczy przed nieuprawnionym dostępem.
KONTROLA PRZETWARZANIA I STANU ZABEZPIECZENIA DANYCH OSOBOWYCH
1. Nadzór i kontrolę procesów przetwarzania danych i stanu zabezpieczenia danych osobowych sprawuje ADO Grażyna Adamiec.
2. Raz do roku wykonuje on wewnętrzny audyt, którego wyniki przechowywane są wraz z Polityką Bezpieczeństwa w lokalu przy ul. Krotoszyńska 9/1, 01-805 Warszawa
3. W wyniku wykrycia uchybień ADO zobowiązany jest do wdrożenia procedur naprawczych i ponowienia szkolenia pracowników i weryfikacji umów powierzenia.
STRUKTURA PRZEPŁYWU DANYCH OSOBOWYCH KLIENTÓW W GraYOGA
1. Typy działalności gospodarczej GraYOGA realizuje jeden typ działalności gospodarczej, dla realizacji którego gromadzi i przetwarza dane osobowe:
  1. usługi z zakresu organizacji zajęć rekreacji ruchowej (zajęć jogi) opisane w pkt. 8.2
2. Organizacja zajęć jogi
  1. Rodzaj gromadzonych danych klientów w ramach usług organizacji zajęć rekreacji ruchowej (zajęcia jogi) GraYOGA gromadzi poniższe dane klienta:
    1. imię i nazwisko,
    2. adres e-mail,
    3. adres zamieszkania (opcjonalnie do wystawienia faktury)
  2. Forma pozyskania danych klientów oraz zgody klientów
    1. GraYOGA gromadzi dane klientów bezpośrednio w lokalu GraYOGA – klienci podają dane w formularzu rejestracyjnym w formie papierowej,
    2. Osoby podające powyższe dane wyrażają zgodę na przetwarzanie danych w związku z realizacją usługi.
    3. Osoby podające powyższe dane wyrażają zgodę na otrzymywanie treści informacyjnych drogą mailową lub telefoniczną. Osoby podające powyższe dane potwierdzają, iż zapoznały się z regulaminem zajęć w GraYOGA.
3. Przetwarzanie i archiwizacja danych klientów gromadzonych w formie papierowej
  1. Pracownik odbierający od klienta wypełniony formularz w formie papierowej jest zobowiązany do niezwłocznego schowania go do szuflady znajdującej się na recepcji lokalu przy ul. Krotoszyńska 9/1, 01-805 Warszawa
  2. Dane klientów wymienione w pkt. 8.2.1. wprowadzane są do excelowej bazy danych oraz w programie pocztowym na komputerze ADO.
  3. Dane pozyskane w formie papierowej są przechowywane w GraYOGA, ul. Krotoszyńska 9/1, 01-805 Warszawa w szufladzie przez okres 1 miesiąca kalendarzowego i są wpisywane do bazy mailingowej. W tym momencie usuwane są trwale z formularza wszelkie dane kontaktowe:
    - adres e-mail,
    - adres zamieszkania
  4. Z danych pozyskanych w formie papierowej pozostaje tylko imię i nazwisko oraz potwierdzenie zapoznania się z regulaminem.
ŚRODKI TECHNICZNE NIEZBĘDNE DLA ZAPEWNIENIA POUFNOŚCI I BEZPIECZEŃSTWA DANYCH OSOBOWYCH
1. Lokal przy ul. Krotoszyńskiej 9/1, 01-805 Warszawa
  - W celu zapewnienia poufności i bezpieczeństwa gromadzonych i przetwarzanych danych osobowych w powyższym lokalu:
    - formularze papierowe z zapisanymi danymi przechowywane są w szufladzie
    - dostęp do systemu komputerowego obsługującego system sprzedażowy zabezpieczony jest hasłem którego wpisanie konieczne jest po 1 min bezczynności.
  - Dane pracowników oraz dane kontrahentów w tym umowy powierzenia i oświadczenia przechowywane są w szufladzie.
2. Komputer ADO – W celu zapewnienia poufności i bezpieczeństwa gromadzonych i przetwarzanych danych osobowych na komputerze ADO: hasło dostępu
  1. dostęp do systemu jest zabezpieczony hasłem,
  2. system komputera jest chroniony przez program antywirusowy.
3. Telefon służbowy Samsung, w którym znajdują się numery kontaktowe do klientów oraz kontrahentów GraYOGA zabezpieczony jest hasłem.
4. Serwery zewnętrzne – Zbiory danych przechowywane na serwerach zewnętrznych w systemach strony internetowej www.grayoga.pl zabezpieczone są hasłami. Dostawcy usług nie mają dostępu do baz danych.
USUWANIE DANYCH OSOBOWYCH
1. W przypadku zgłoszenia przez klienta żądania usunięcia danych osobowych ADO dokonuje przeglądu baz i archiwów w celu identyfikacji obecności danych klienta.
2. ADO usuwa dane klienta z baz i archiwów
3. W rejestrach firmy pozostaje tylko papierowa forma oświadczenia klienta o zapoznaniu się z regulaminem zajęć jogi zawierające imię nazwisko oraz podpis. Oświadczenie to GraYOGA przechowuje na wypadek roszczeń odszkodowawczych ze strony klienta. Dane te nie są w jakikolwiek sposób przetwarzane.
INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH
1. Każda osoba, która poweźmie wiadomość w zakresie naruszenia bezpieczeństwa danych przez osobę przetwarzającą dane osobowe bądź posiada informacje mogące mieć wpływ na bezpieczeństwo danych osobowych, jest zobowiązana fakt ten niezwłocznie zgłosić ADO – Grażyna Adamiec.
2. Po otrzymaniu zgłoszenia naruszenia bezpieczeństwa danych ADO jest zobowiązany:
  - zapoznać się z zaistniałą sytuacją i dokonać wyboru metod dalszego postępowania
  - wysłuchać relacji osoby zgłaszającej z zaistniałego naruszenia, jak również relacji każdej innej osoby, która może posiadać informacje związane z zaistniałym naruszeniem,
  - niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków, a następnie ustalić przyczyny, lub sprawców zaistniałego zdarzenia, jeżeli jest to możliwe,
  - udokumentować zaistniałe naruszenie.
3. ADO dokumentuje zaistniały przypadek naruszenia oraz sporządza raport – „Rejestr incydentów” (wzór w załączniku nr 4). Raport przechowywany jest wraz z Polityką Bezpieczeństwa w lokalu przy ul. Krotoszyńskiej 9/1, 01-805 Warszawa.
4. ADO podejmuje decyzję o zgłoszeniu incydentu do GIODO.
5. Po wyczerpaniu niezbędnych środków doraźnych po zaistniałym naruszeniu, ADO zasięga niezbędnych opinii i proponuje postępowanie naprawcze (w tym ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń) i zarządza termin wznowienia przetwarzania danych.
ZAWIADAMIANIE OSOBY, KTÓREJ DANE DOTYCZĄ, O NARUSZENIU OCHRONY DANYCH OSOBOWYCH
1. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator (ADO) bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
2. Zawiadomienie, jasnym i prostym językiem powinno opisywać charakter naruszenia ochrony danych osobowych oraz zawierać przynajmniej niżej wymienione informacje;
  - imię i nazwisko oraz dane kontaktowe lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
  - opisywać możliwe konsekwencje naruszenia ochrony danych osobowych,
  - opisywać środki zastosowane lub proponowane przez ADO w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
3. Zawiadomienie nie jest wymagane w następujących przypadkach:
  1. ADO wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych,
  2. Administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w pkt. 12.3.1,
  3. Wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób. Jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, wymienionych wyżej.
4. Wzór zawiadomienia stanowi załącznik nr 5.
OBOWIĄZEK INFORMACYJNY – POLITYKA PRYWATNOŚCI
1. ADO zamieszcza na stronie internetowej GraYOGA ogólnodostępny dokument „Polityka prywatności” określający zasady przetwarzania i ochrony danych, które przekazują osoby korzystające ze strony www.grayoga.pl.

Polityka plików cookies

Cookies – nasz Serwis internetowy wykorzystuje technologię Cookies w celu dostosowania jego funkcjonowania do Twoich indywidualnych potrzeb. Możesz zgodzić się na to, aby wpisane przez Ciebie dane zostały zapamiętane, dzięki czemu będziesz mógł bez powtórnego wpisywania korzystać z nich przy następnych odwiedzinach na stronach internetowych Serwisu. Właściciele innych witryn nie będą mieli dostępu do tych danych. Jeżeli natomiast nie zgadzasz się na personalizowanie Serwisu, proponujemy wyłączenie obsługi Cookies w opcjach przeglądarki internetowe