Polityka prywatności strony WWW
I. Podstawowe pojęcia
Użyte w niniejszej Polityce Prywatności pojęcia oznaczają:
„Administrator”
Aurelia Pikulska – Organ prowadzący Przedszkole Niepubliczne „ENART” w Piaskach
[ul. Drzęczewska 8, 63-820 Piaski] [RSPO: 54208, REGON: 302251145].
adres e-mail: przedszkole@enart.com.pl
adres www: enart.com.pl
„dane osobowe”
to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej np. imię i nazwisko, numer PESEL, NIP, REGON, telefon, dane o lokalizacji (w tym adres korespondencyjny, adres e-mail), identyfikator internetowy.
„Klient”
to podmiot, który zamierza skorzystać lub korzysta z usług oferowanych przez Administratora
„naruszenie ochrony danych osobowych”
to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
„odbiorca”
to podmiot, któremu ujawnia się dane osobowe.
„ograniczenie przetwarzania”
oznacza to, że dane osobowe, których przetwarzanie zostało ograniczone, można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego (art. 18 ust. 2 RODO).
„podmiot przetwarzający”
to podmiot, który przetwarza dane osobowe w imieniu Administratora.
„przetwarzanie danych osobowych”
to operacja lub zestaw operacji wykonywanych na danych osobowych, m.in. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, udostępnianie, ograniczanie, usuwanie.
„RODO”
to skrócona nazwa aktu prawnego regulującego zasady przetwarzania danych osobowych tj. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
„zgoda osoby, której dane dotyczą”
oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
II. Jak przetwarzane są dane osobowe?
1. zgodnie z prawem – przetwarzanie danych osobowych odbywa się wyłącznie w wyniku spełnienia jednej z poniższych przesłanek, zgodnie z art. 6 ust. 1 RODO:
a) zgoda Klienta na przetwarzanie danych osobowych w ściśle określonym celu (np. w celach marketingowych, w celu cyklicznego przesyłania korespondencji w formie newsletter).
b) przetwarzanie niezbędne do wykonania zawartej umowy (np. umowy sprzedaży produktów oferowanych na stronie www sklepu internetowego Administratora) lub podjęcia działań na żądanie Klienta przed zawarciem umowy (np. celem rejestracji na stronie www sklepu internetowego Administratora)
c) przetwarzanie niezbędne do wypełnienia obowiązków prawnych ciążących na Administratorze (np. dla celów księgowych i podatkowych),
d) przetwarzanie niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora (np. dochodzenia roszczeń wobec Klientów), z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. W tym celu Administrator bada jakie działania są wystarczające dla spełnienia potrzeb wynikających ze swych prawnie uzasadnionych interesów, a jednocześnie w minimalny sposób dotykają interesów lub praw podstawowymi i wolności osób, których dane dotyczą.
2. rzetelnie – oznacza to, że o zasadach przetwarzania danych osobowych Administrator informuje już w momencie zbierania danych. Dalszych informacji nt. przetwarzania danych, w razie gdy udostępniane informacje nie są wystarczające, należy poszukiwać w drodze bezpośredniego kontaktu z Administratorem poprzez kanały informacyjne wskazane w pkt I niniejszej Polityki.
3. w sposób przejrzysty dla Klienta – tj. tak, aby proste było uzyskanie wglądu do przekazanych danych oraz ich ewentualnej modyfikacji a także przekazanie w całości lub części innemu podmiotowi, zgodnie z żądaniem Klienta. Oznacza to także, że informacje, które dotyczą przetwarzania danych osobowych są przekazywane jasnym językiem, przejrzyście i zrozumiale.
4. w konkretnym, wyraźnym i prawnie uzasadnionym celu –dane osobowe są przetwarzane tylko w bardzo ograniczonym zakresie – niezbędnym dla realizacji umowy, chyba że wyrażono odrębną zgodę na przetwarzanie także w innym celu.
5. adekwatnie i w sposób niezbędny do celów, w których są przetwarzane – żądane od Klientów dane osobowe stanowią niezbędne minimum, bez którego nie byłaby możliwa realizacja umowy.
6. w sposób prawidłowy i w aktualnej formie – Administrator zapewnia, że dane osobowe, które są z jakiegokolwiek względu przetwarzane nieprawidłowo (co do celu, co do treści itp.), zostaną niezwłocznie albo usunięte, albo sprostowane. Mechanizm usuwania lub prostowania danych osobowych ułatwia procedura zgłaszania nieaktualności lub błędności danych, o której mowa w IV niniejszej Polityki.
7. wyłącznie w czasie niezbędnym do realizacji celów, dla których dane są przetwarzane – dane Klientów, po wykonaniu umowy nie są dalej przetwarzane, chyba, że wyrażono zgodę na przetwarzanie danych do celów innych niż wykonanie umowy.
8. w sposób integralny i poufny – Administrator zapewnia odpowiednie środki bezpieczeństwa, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem, uszkodzeniem danych osobowych.
III. Jakie przysługują prawa w związku z przetwarzaniem danych osobowych?
Na podstawie art. 12 ust. 1 RODO informuję, że przysługują następujące prawa:
- Żądanie od Administratora udzielenia informacji o działaniach podjętych przez Administratora w związku z wykonywaniem praw (art. 12 ust. 3 RODO);
- Żądanie od Administratora potwierdzenia, czy Administrator przetwarza dane osobowe jej dotyczące (art. 15 RODO);
- Żądanie od Administratora udzielenia informacji o: celu przetwarzania, kategorii danych osobowych, o odbiorcach lub kategoriach odbiorców, którym udostępnia się dane, planowanym okresie przechowywania danych osobowych lub kryteriach ustalania tego okresu, o źródle danych osobowych – jeśli Administrator nie pozyskał ich bezpośrednio od osoby, której dane są przetwarzane (art. 15 RODO);
- Żądanie od Administratora sprostowania, usunięcia, ograniczenia przetwarzania danych osobowych (art. 16 – 18 RODO);
- Żądanie od Administratora wydania kopii przetwarzanych danych osobowych w wybranej formie za stosowną opłatą pobieraną przez Administratora i zależną od wybranego nośnika danych i objętości danych osobowych (art. 15 ust. 3 RODO);
- Żądanie od Administratora przekazania danych osobowych celem przesłania innemu administratorowi bądź żądania przekazania danych bezpośrednio innemu administratorowi (art. 20 RODO);
- Prawo sprzeciwu do Prezesa Urzędu Ochrony Danych Osobowych (art. 21 RODO) – tylko gdy podstawą przetwarzania danych jest realizacja prawnie uzasadnionych interesów realizowanych przez Administratora lub przez stronę trzecią (zobacz II.1.d. niniejszej Polityki).
- Prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych – jeśli osoba, które dane są przetwarzane sądzi, że przetwarzanie danych osobowych jej dotyczące narusza przepisy RODO (art. 77 RODO)
- Prawo do zwrócenia się do sądu o udzielenie ochrony prawnej, w szczególności do wytoczenia przeciwko Administratorowi bądź innemu podmiotowi przetwarzającemu dane osobowe powództwa o zaprzestanie naruszenia dóbr osobistych w związku z niezgodnym z prawem przetwarzaniem danych osobowych, zgodnie z przepisami Kodeksu cywilnego (art. 78 RODO). Sąd, do którego należy wnieść pozew, ustala się zgodnie z przepisami ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego (t.j. Dz. U. z 2019 r. poz. 1460 z późn. zm.)..
- Prawo do wytoczenia przeciwko Administratorowi powództwa o odszkodowanie, jeśli niezgodne z prawem przetwarzanie danych osobowych wywołało szkodę (art. 82 RODO). Sąd, do którego należy wnieść pozew, ustala się zgodnie z przepisami ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego (t.j. Dz. U. z 2019 r. poz. 1460 z późn. zm.)..
Wnioski, o których mowa w pkt. 1-6, można składać w formie tradycyjnej na adres korespondencyjny Administratora bądź drogą elektroniczną na adres e-mail. Administrator udziela odpowiedzi na te wnioski w formie wybranej przez Klienta.
Administrator udziela informacji o statusie rozpatrzenia wniosków, o których mowa w pkt. 1-6, w terminie miesiąca od ich otrzymania. W razie potrzeby Administrator może ten termin przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. O przedłużeniu terminu Administrator informuje w terminie miesiąca od otrzymania wniosku.
Podkreśla się, że udzielenie informacji oraz podjęcie działań przez Administratora na wniosek Klienta, jest co do zasady wolne od opłat, chyba że wyraźnie wskazano, że jest inaczej. Jednakże kierowanie wniosków, o których mowa w pkt. 1-6, w częstotliwości większej niż raz na miesiąc powoduje konieczność naliczenia przez Administratora opłat związanych z udzieleniem informacji bądź podjęciem działań. W skrajnych przypadkach, gdy żądanie Klienta ma ewidentnie nieuzasadniony lub nadmierny charakter, Administrator ma prawo odmówić udzielenia informacji bądź podjęcia działań, którą to decyzję ma obowiązek uzasadnić.
IV. Jakie wdrożono środki techniczne i organizacyjne ochrony praw związanych z przetwarzaniem danych osobowych?
Celem ochrony praw związanych z przetwarzaniem danych osobowych:
a) wprowadza się niniejszą Politykę Prywatności, uznając ją za wiążącą tak Administratora, jak i Klientów;
b) wszelkie czynności są w bezpieczny sposób archiwizowane celem ewentualnego późniejszego udostępnienia Klientom bądź organowi nadzoru;
V. Jakie wdrożono środki w związku z ochroną danych osobowych w fazie projektowania oraz domyślną ochrona danych?
1. Administrator zapewnia, że system przetwarzania danych jest tak zaprojektowany, aby minimalizować ryzyko naruszenia danych osobowych Klientów (privacy by design). W tym celu:
a) nie przechowuje danych osobowych na serwerach, które nie zapewniają wiarygodnych środków ochrony danych oraz nie przekazuje się danych osobowych podmiotom, które nie korzystają z serwerów zapewniających zapewniają wiarygodnych środków ochrony danych. Serwery, z których korzysta Administrator oraz podmioty, którym Administrator przekazuje dane osobowe lub powierza im przetwarzanie danych osobowych są opatrzone protokołem SSL, który gwarantuje poufność i integralność transmisji danych.
b) korzysta z licencjonowanego i skutecznego systemu antywirusowego ESET Internet Security, ESET, spol. s r. o. z siedzibą w Bratysławie (Słowacja) – celem zminimalizowania ryzyka przypadkowej utraty danych bądź uzyskania danych osobowych przez osoby nieuprawnione.
c) zbiera minimalny zakres danych, jedynie w zakresie niezbędnym do realizacji celu.
Realizację tego celu umożliwia odpowiednie sformułowanie formularzy wykorzystywanych na stronie www sklepu internetowego Administratora, które nie wymagają wskazania danych osobowych nieistotnych z punktu widzenia celu przetwarzania.
VI. Postanowienia końcowe
1. Podkreśla się, że niniejsza Polityka Prywatności obowiązuje w relacji między Administratorem a Klientem, co oznacza, że nie obejmuje ona relacji pomiędzy Klientami a podmiotami, które są wskazywane na stronie internetowej Administratora, w formie linków bezpośrednich bądź innej. Sposób ochrony danych osobowych w relacjach z ww. podmiotami określają odrębne regulacje ustanowione przez ww. podmioty.
2. Zmiany niniejszej Polityki Prywatności mogą wynikać ze zmiany przepisów prawnych, a także z postępu technologicznego. W razie dokonania jakichkolwiek zmian w zakresie regulacji ochrony danych osobowych, zmiany zostaną niezwłocznie wskazane w widoczny sposób na stronie internetowej Administratora.