Polityka prywatności
Niniejsza polityka opisuje reguły i zasady ochrony danych osobowych przetwarzanych w ramach działalności gospodarczej prowadzonej przez Centrum Estetyki Ciała, ul. Kilińskiego 14/2, 87-800 Włocławek
Rozdział I
Postanowienia ogólne
§ 1
Celem niniejszej polityki jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych sposobu przetwarzania informacji zawierających dane osobowe, w tym zapewnienie ochrony danych osobowych przed wszelakiego rodzaju zagrożeniami, tak wewnętrznymi jak i zewnętrznymi, świadomymi lub nieświadomymi.
§ 2
Niniejsza polityka została wdrożona w związku z treścią art. 24 ust. 2 RODO jako dowód dołożenia należytej staranności w zakresie ochrony danych osobowych.
§ 3
Ochrona danych osobowych realizowana jest poprzez zabezpieczenia fizyczne, organizacyjne, oprogramowanie systemowe, aplikacje oraz samych użytkowników.
§ 4
- Utrzymanie bezpieczeństwa przetwarzanych danych osobowych rozumiane jest jako zapewnienie ich poufności, integralności, rozliczalności oraz dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest wielkość ryzyka związanego z ochroną danych osobowych.
- Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić:
- poufność danych – rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom,
- integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany
- rozliczalność danych – rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie
- integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej
- dostępność informacji – rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne
- zarządzanie ryzykiem – rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych.
§ 5
- Administratorem danych osobowych jest Centrum Estetyki Ciała, ul. Ki9lińskiego 14/2, 87-800 Włocławek.
- Administrator danych osobowych nie wyznaczył inspektora ochrony danych osobowych świadomie, stwierdzając, że nie ciąży na nim taki obowiązek na podstawie art. 37 RODO.
- Administrator danych osobowych nie wyznaczył administratora systemów informatycznych i wszelkie jego obowiązki wykonuje samodzielnie.
Rozdział II
Zakres stosowania
§ 6
Polityka bezpieczeństwa zawiera informacje dotyczące wprowadzonych zabezpieczeń technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych.
§ 7
Politykę bezpieczeństwa stosuje się w szczególności do:
- danych osobowych przetwarzanych w formie papierowej,
- danych osobowych przetwarzanych w systemach informatycznych,
- informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych,
- rejestru osób dopuszczonych do przetwarzania danych osobowych,
- innych dokumentów zawierających dane osobowe.
§ 8
- Zakresy ochrony danych osobowych określone przez niniejszą politykę mają zastosowanie do systemów informatycznych, w których są przetwarzane dane osobowe, a w szczególności do:
- wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych, w których przetwarzane są dane osobowe podlegające ochronie,
- wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie,
- wszystkich pracowników, zleceniobiorców, wykonawców umów o dzieło, wykonawców umów o świadczenie usług, praktykantów, stażystów i innych osób mających dostęp do informacji podlegających ochronie.
- Do stosowania zasad określonych przez Politykę bezpieczeństwa zobowiązani są wszyscy pracownicy, zleceniobiorcy, wykonawcy umów o dzieło, wykonawcy umów o świadczenie usług, praktykanci, stażyści i inne osoby mające dostęp do informacji podlegających ochronie.
- Polityka bezpieczeństwa nie dotyczy podmiotów zewnętrznych, które przetwarzają dane osobowe powierzone im do przetwarzania przez administratora danych osobowych na podstawie stosownych umów powierzenia. Podmioty te stosują własne procedury i środki bezpieczeństwa związane z ochroną danych osobowych wymagane przez przepisy prawa, do czego zobowiązały się w ramach zawartych umów powierzenia przetwarzania danych osobowych.
Rozdział III
Opis działalności administratora danych osobowych, obszar przetwarzania danych osobowych i sprzęt wykorzystywany do przetwarzania danych osobowych
§ 9
- Administrator danych osobowych prowadzi działalność gospodarczą, w związku z czym dochodzi do przetwarzania danych osobowych.
- Dane osobowe przetwarzane są zarówno w formie elektronicznej, jak i papierowej.
§ 10
- Dane osobowe przetwarzane są w obrębie siedziby administratora danych osobowych. Siedziba znajduje się pod następującym adresem: ul. Kilińskiego 14/2, 87-800 Włocławek.
- Dane osobowe w formie papierowej przechowywane są w obrębie siedziby administratora danych osobowych.
- Dane osobowe w formie elektronicznej przetwarzane są w obrębie siedziby administratora danych osobowych, ale mogą być przetwarzane z dowolnego miejsca i w dowolnym czasie, ponieważ przetwarzanie odbywa się z wykorzystaniem komputerów oraz innych urządzeń przenośnych. Ponadto, przetwarzanie odbywa się w ramach systemów informatycznych, do których dostęp następuje on-line, a systemy te nie są zainstalowane lokalnie na komputerach.
- Ponieważ administrator danych osobowych powierza przetwarzanie danych osobowych podmiotom trzecim, do przetwarzania danych osobowych dochodzi również w innych lokalizacjach, ale w tym zakresie czynności przetwarzania dokonuje podmiot trzeci lub ewentualnie podmioty do tego przez niego upoważnione. Administrator danych osobowych nie ma szczegółowej wiedzy na temat lokalizacji, w obrębie których dochodzi do przetwarzania danych przez podmioty, którym powierzył przetwarzanie danych osobowych, ale podmioty te zobowiązały się do stosowania odpowiednich środków ochrony i bezpieczeństwa danych osobowych wymaganych przez przepisy prawa.
- Odpowiednie środki ochrony danych osobowych zostały wdrożone w lokalizacji, o której mowa w ust. 1 powyżej oraz na urządzeniach wykorzystywanych do przetwarzania danych osobowych. Jeżeli chodzi o podmioty, którym administrator powierzył przetwarzanie danych osobowych, oświadczyły one, że wdrożyły odpowiednie środki ochrony i bezpieczeństwa danych osobowych wymagane przez przepisy prawa i zobowiązały się je utrzymywać przez okres powierzenia przetwarzania danych.
§ 11
- Dane osobowe przetwarzane są przy wykorzystaniu komputerów przenośnych oraz smartfonów.
- Przetwarzanie danych przy wykorzystaniu wskazanych powyżej urządzeń polega na tym, że następuje z nich logowanie do systemów, w ramach których przetwarzane są dane osobowe. Dane są również przechowywane na dyskach komputerów.
Rozdział IV
Środki techniczne i organizacyjne zabezpieczenia danych
§ 12
- W celu zapewnienia odpowiedniego poziomu ochrony danych osobowych wprowadzono zabezpieczenia organizacyjne i techniczne.
- Zabezpieczenia organizacyjne:
- sporządzono i wdrożono politykę ochrony danych osobowych,
- sporządzono i wdrożono instrukcję zarządzania systemami informatycznymi,
- do przetwarzania danych osobowych zostały dopuszczone wyłącznie osoby posiadające upoważnienia nadane przez administratora danych osobowych,
- osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz w zakresie zabezpieczeń systemu informatycznego,
- osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy,
- dane osobowe przetwarzane są w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych,
- dane osobowe w formie papierowej przechowywane są w zamkniętej, niemetalowej szafie,
- dokumenty zawierające dane osobowe są po ustaniu przydatności niszczone z wykorzystaniem niszczarek,
- lokalizacja, w której przechowywane są zbiory danych osobowych w formie papierowej zabezpieczona jest na wypadek pożaru poprzez wyposażenie pomieszczenia w gaśnice,
- monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane.
- kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej niemetalowej szafie.
- Zabezpieczenia techniczne – zastosowano środki zabezpieczające wskazane w załączniku do niniejszej polityki.
- Wskazane powyżej środki techniczne i organizacyjne zabezpieczenia danych dotyczą wyłącznie środków wdrożonych bezpośrednio przez administratora danych osobowych. W zakresie, w jakim administrator danych osobowych powierzył przetwarzanie danych osobowych innym podmiotom, podmioty te zobowiązały się utrzymywać odpowiednie środki ochrony danych osobowych wymagane przez przepisy prawa.
Rozdział V
Zadania administratora danych osobowych jako administratora systemu informatycznego
§ 13
- Do najważniejszych obowiązków administratora danych osobowych należy:
- organizacja bezpieczeństwa i ochrony danych osobowych zgodnie z wymogami obowiązujących przepisów prawa,
- zapewnienie przetwarzania danych zgodnie z uregulowaniami niniejszej polityki,
- wydawanie i anulowanie upoważnień do przetwarzania danych osobowych,
- prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,
- prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych i zgłoszenie faktu naruszenia organowi nadzorczemu oraz zawiadomienie o tym osobę, której dane dotyczą,
- nadzór nad bezpieczeństwem danych osobowych,
- inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych,
- przeprowadzanie szkoleń użytkowników zgodnie z ust. 2, 3, 4, 5 poniżej.
- Każdy użytkownik, za wyjątkiem administratora danych osobowych, przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami danych osobowych w wersji papierowej winien być poddany przeszkoleniu w zakresie ochrony danych osobowych w zbiorach elektronicznych i papierowych.
- Zakres szkolenia powinien obejmować zaznajomienie użytkownika z obowiązującymi przepisami prawa w zakresie ochrony danych osobowych oraz z instrukcjami obowiązującymi u administratora danych osobowych.
Rozdział VI
Zgłaszanie i zawiadamianie o naruszeniu ochrony danych osobowych
§ 14
- Każde naruszenie ochrony danych osobowych powinno być niezwłocznie zgłaszane przez użytkowników administratorowi danych osobowych. Szczegóły w zakresie postępowania w związku ze stwierdzonym naruszeniem ochrony danych osobowych przy korzystaniu z systemów informatycznych opisane zostały w Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych.
- Administrator danych osobowych dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia, jego skutki oraz podjęte środki zaradcze. Dokumentacja odbywa się z wykorzystaniem zestawienia incydentów naruszenia ochrony danych osobowych.
- W przypadku naruszenia ochrony danych osobowych, na administratorze danych osobowych ciąży obowiązek zgłoszenia tego faktu do organu nadzorczego zgodnie z postanowieniami art. 33 RODO oraz zawiadomienia osoby, której dane dotyczą, zgodnie z postanowieniami art. 34 RODO.
Rozdział VII
Polityka Cookies
- Pliki cookies to pliki tekstowe, które są przechowywane w urządzeniu końcowym Użytkownika serwisu. Zawierają nazwę domeny serwisu internetowego, z którego pochodzą, czas przechowywania ich na urządzeniu końcowym oraz unikalny numer. Nie służą do identyfikacji użytkownika i na ich podstawie nie jest ustalana tożsamość użytkownika.
- Przeglądarki internetowe domyślnie przechowują pliki cookies w urządzeniach użytkownika. Użytkownik może zawsze wprowadzić zmiany ustawień przeglądarki dotyczące „ciasteczek”, np. tak, żeby przeglądarka zablokowała automatyczną obsługę cookies czy każdorazowo informowała o zamieszczanym pliku cookie. Każda z przeglądarek szczegółowo informuje o sposobach obsługi plików cookies.
- Pliki cookies są zamieszczane w serwisie cec.wloclawek.pl w celu jak najlepszego dostosowania zawartości serwisu do potrzeb Użytkownika, tworzenia statystyk oglądalności, emisji reklam, utrzymania sesji oraz świadczenia pozostałych usług.
- Rodzaje plików cookie, jakie są zamieszczane poprzez serwis:
- niezbędne – umożliwiają korzystanie z usług świadczonych przez serwis, np. uwierzytelniają pliki cookies,
- zabezpieczające – umożliwiają zapewnienie bezpiecznego korzystania z serwisu, np. służą do wykrywania nadużyć w zakresie uwierzytelniania,
- wydajnościowe – umożliwiają zbieranie informacji o sposobie korzystania ze stron serwisu,
- funkcjonalne – umożliwiają zapamiętanie ustawień Użytkownika i personalizację interfejsu Użytkownika,
- reklamowe – umożliwiają dostarczanie Użytkownikom treści reklamowych bardziej dostosowanych do ich zainteresowań,
- statystyczne – służące do zliczana statystyk dotyczących stron serwisu.
- Zablokowanie plików cookies zamieszczanych poprzez serwis cec.wloclawek.pl może mieć wpływ na niektóre ze świadczonych przy ich pomocy usług.
- Podmiotem zamieszczającym w serwisie cec.wloclawek.pl informacje w formie plików cookies (ciasteczek) na urządzeniu Użytkownika (komputer, laptop) jest firma Centrum Estetyki Ciała, która ma również dostęp do tych danych.
- Poprzez serwis cec.wloclawek.pl pliki cookies mogą być ponadto zamieszczane przez podmioty współpracujące z serwisem, np. agencje reklamowe, reklamodawcy, firmy obsługujące systemy statystyczne i inne.
Rozdział VIII
Postanowienia końcowe
§ 15
- Administrator danych osobowych ma obowiązek zapoznać z treścią niniejszej polityki każdego użytkownika.
- Użytkownicy zobowiązani są do stosowania przy przetwarzaniu danych osobowych postanowień zawartych w niniejszej polityce.