Polityka prywatności
Postanowienia ogólne
- Niniejszy dokument zatytułowany Polityka Prywatności (dalej: Polityka) ma za zadanie stanowić mapę wymogów, zasad i regulacji ochrony danych osobowych przez Administratora danych osobowych niezależnie od formy ich przetwarzania.
- Niniejszy dokument jest polityką ochrony danych w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s.1), dalej: RODO.
- Administratorem danych osobowych jest MH-INFO Spółka z ograniczoną odpowiedzialnością z siedzibą w Rzeszowie, przy Al. Tadeusza Rejtana 53A/113, 35-326 Rzeszów, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy w Rzeszowie, Wydział XII Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000775945, NIP: 8133807591, REGON: 382782133, kapitał zakładowy: 5.000,00 zł (dalej: Administrator).
- Dane kontaktowe Administratora:
- E-mail: bok@mh-info.pl
- Telefon: 17 77 07 220
- Za wdrożenie i utrzymanie Polityki, a także za nadzór i monitorowanie przestrzegania Polityki odpowiedzialny jest Administrator. Administrator zapewnia zgodność postępowania podmiotów przetwarzających i odbiorców danych osobowych z Polityką w odpowiednim zakresie, gdy dochodzi do przekazania im danych osobowych.
- Polityka jest przechowywana w wersji elektronicznej oraz w wersji papierowej w głównej jednostce organizacyjnej Administratora.
- Główną jednostką organizacyjną Administratora jest siedziba Administratora, zgodnie z informacjami udostępnionymi w rejestrze przedsiębiorców Krajowego Rejestru Sądowego.
Przetwarzanie danych osobowych
- Administrator przetwarza dane osobowe:
- w oparciu o podstawę prawną i zgodnie z prawem (legalizm);
- rzetelnie i uczciwie (rzetelność);
- w sposób przejrzysty dla osoby, której dane dotyczą (transparentność);
- w konkretnych celach i nie „na zapas” (minimalizacja);
- nie więcej niż potrzeba (adekwatność);
- z dbałością o prawidłowość danych (prawidłowość);
- nie dłużej niż potrzeba (czasowość);
- zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo).
- Administrator i jego personel zobowiązani są do przetwarzania danych osobowych zgodnie z obowiązującymi przepisami i zgodnie z Polityką oraz Instrukcją Zarządzania Systemem Informatycznym.
- Administrator przetwarza dane osobowe w celu:
- Zawierania i wykonywania umów w ramach prowadzonej działalności gospodarczej.
- Bieżącej obsługi kontrahentów, w szczególności tworzenia zgłoszeń i generowania raportów.
- Prowadzenia procesów rekrutacji pracowników i osób podejmujących na rzecz Administratora czynności na podstawie umów cywilnoprawnych.
- Realizacji obowiązków wynikających z przepisów prawa pracy.
- Podanie danych osobowych wymaganych przez Administratora jest konieczne dla realizowania przez Administratora celów opisanych w punkcie 10. Skutkiem odmowy podania danych może być odmowa zawarcia umowy lub nawiązania współpracy z osobą, której dane dotyczą przez Administratora.
- Administrator zapewnia odpowiedni poziom bezpieczeństwa danych, poprzez:
- procedurę analizy ryzyka dla czynności przetwarzania danych lub ich kategorii, zgodnie z formularzem analizy ryzyka.
- procedurę oceny skutków dla ochrony danych tam, gdzie ryzyko naruszenia praw i wolności osób jest wysokie, zgodnie z Formularzem oceny skutków dla ochrony danych.
- dostosowanie środków ochrony danych do ustalonego ryzyka;
- Administrator stosuje ograniczenia dostępu do danych osobowych:
- prawne (zobowiązania do poufności, zakresy upoważnień),
- fizyczne (strefy dostępu, zamykanie pomieszczeń),
- logiczne (ograniczenia uprawnień do systemów przetwarzających dane osobowe i zasobów sieciowych, w których rezydują dane osobowe).
- Administrator nie przechowuje danych osobowych bezterminowo, dąży do skracania okresu ich przechowywania i do usuwania lub anonimizowania danych kiedy nie są już potrzebne. Administrator dostosowuje okres przechowywania danych do celów dla których zostały zebrane. Kryteriami ustalania okresu przechowywania danych osobowych są przepisy prawa powszechnie obowiązującego, np. przepisy prawa cywilnego dotyczące terminów przedawnienia. Administrator dopuszcza możliwość wydłużenia lub skrócenia okresu przechowywania danych osobowych ze względu na uzasadniony interes prawny np. w związku z toczącym się postępowaniem sądowym.
- Administrator nie przetwarza danych osobowych w sposób, który mógłby wiązać się z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób.
- Administrator nie przetwarza danych osobowych w sposób zautomatyzowany, ani w celach profilowania.
Rejestr Czynności Przetwarzania Danych Osobowych
- Administrator opracowuje, prowadzi i utrzymuje Rejestr Czynności Przetwarzania Danych Osobowych (dalej: Rejestr). Rejestr stanowi formę dokumentowania czynności przetwarzania danych, w którym Administrator inwentaryzuje i monitoruje sposób, w jaki przetwarza dane osobowe.
- W Rejestrze dla każdej czynności przetwarzania danych, którą Administrator uznał za odrębną dla potrzeb Rejestru, odnotowuje się co najmniej: (i) nazwę czynności, (ii) cel przetwarzania, (iii) opis kategorii osób, (iv) opis kategorii danych, (v) planowany termin usunięcia kategorii danych, (vi) opis kategorii odbiorców danych osobowych (w tym przetwarzających), (vii) opis technicznych i organizacyjnych środków bezpieczeństwa, (vii) informację o przekazaniu poza EU/EOG.
Prawa osób, których dane dotyczą
- Osoba, której dane dotyczą ma prawo żądania dostępu do danych osobowych jej dotyczących, ich sprostowania, usunięcia lub ograniczenia przetwarzania, wniesienia sprzeciwu wobec przetwarzania, a także przenoszenia tych danych. W celu realizacji któregokolwiek z wyżej wymienionych praw, osoba której dane dotyczą kontaktuje się bezpośrednio z Administratorem.
- Na żądanie osoby, której dane dotyczą Administrator usuwa jej dane osobowe, gdy:
- dane nie są niezbędne do celów, w których zostały zebrane, ani przetwarzane w innych zgodnych z prawem celach,
- zgoda na ich przetwarzanie została cofnięta, a nie ma innej podstawy prawnej przetwarzania,
- osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych,
- dane były przetwarzane niezgodnie z prawem,
- konieczność usunięcia wynika z obowiązku prawnego,
- żądanie dotyczy danych dziecka zebranych na podstawie zgody w celu świadczenia usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku (np. udział w konkursie na stronie internetowej).
- Administrator dokonuje ograniczenia przetwarzania danych na żądanie osoby, której dane dotyczą gdy:
- osoba kwestionuje prawidłowość danych – na okres pozwalający sprawdzić ich prawidłowość,
- przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,
- Administrator nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,
- osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia, czy po stronie Administratora zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu.
- W trakcie ograniczenia przetwarzania Administrator przechowuje dane, natomiast nie przetwarza ich (nie wykorzystuje, nie przekazuje), bez zgody osoby, której dane dotyczą, chyba że w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego.
- Administrator informuje osobę której dane dotyczą przed uchyleniem ograniczenia przetwarzania. W przypadku ograniczenia przetwarzania danych Administrator informuje osobę o odbiorcach danych osobowych, na żądanie tej osoby.
- Na żądanie osoby której dane dotyczą, Administrator wydaje w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego lub przekazuje innemu podmiotowi, jeśli jest to możliwe, dane dotyczące tej osoby, które dostarczyła ona Administratorowi, przetwarzane na podstawie zgody tej osoby lub w celu zawarcia lub wykonania umowy z nią zawartej w systemach informatycznych Administratora.
- Jeżeli osoba której dane dotyczą zgłosi umotywowany jej szczególną sytuacją sprzeciw względem przetwarzania jej danych, Administrator uwzględni sprzeciw, o ile nie zachodzą po stronie Administratora prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw, lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.
- Osoba której dane dotyczą ma prawo wnieść skargę do organu nadzorującego przetwarzanie danych osobowych.
Naruszenie ochrony danych osobowych
- Za naruszenie ochrony danych osobowych uważa się w szczególności:
- naruszenie bezpieczeństwa systemu informatycznego, w razie przetwarzania danych osobowych w takim systemie,
- udostępnianie lub umożliwienie udostępniania danych osobowych podmiotom do tego nieupoważnionym,
- zaniechanie dopełnienia obowiązku zapewnienia danym osobowym ochrony,
- przetwarzanie danych osobowych niezgodnie z założonym zakresem i celem ich zbierania,
- spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnione kopiowanie danych osobowych,
- naruszenie praw osób których dane dotyczą.
- W przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator dokonuje oceny czy zaistniałe naruszenie mogło spowodować ryzyko naruszenia praw lub wolności osób fizycznych.
- W każdej sytuacji, gdy naruszenie mogło spowodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator zgłasza fakt naruszenia zasad ochrony danych organowi nadzorującemu przetwarzanie danych osobowych bez zbędnej zwłoki – jeżeli to wykonalne – nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
- Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator zawiadamia o incydencie także osobę, której dane dotyczą.
Odbiorcy danych osobowych, powierzenie przetwarzania, poufność przetwarzania
- Administrator współpracuje z następującymi kategoriami odbiorców danych osobowych:
- Przedsiębiorcy z branży IT świadczący usługi typu cloud (dalej: chmura) w zakresie obsługi infrastruktury IT Administratora.
- Obsługą kadrowo – płacowa, świadcząca usługi w zakresie prowadzenia dokumentacji pracowniczej.
- Przedsiębiorcą z branży ochroniarskiej, świadcząca usługi w zakresie ochrony osób oraz monitoringu Głównej Jednostki Organizacyjnej Administratora,
- Przedsiębiorcą świadczącym usługi księgowe.
- Szczegółowe informacje dotyczące odbiorców danych osobowych są przekazywane przez Administratora osobie, której dane dotyczą na jej żądanie.
- Administrator może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie z wymogami wskazanymi dla takich umów w art. 28 RODO.
- Przed powierzeniem przetwarzania danych osobowych Administrator uzyskuje informacje o zabezpieczeniach danych osobowych stosowanych przez podmiot przetwarzający.
- Administrator przyjął minimalne wymagania co do umowy powierzenia przetwarzania danych osobowych.
- Administrator nie przekazuje danych osobowych do państw trzecich, z wyjątkiem odbiorców danych osobowych opisanych w pkt. 31 ppkt. a.
- W przypadku zatrudniania pracowników, zakończenia lub zmiany warunków zatrudnienia pracowników lub osób podejmujących na rzecz Administratora czynności na podstawie umów cywilnoprawnych, do Administratora należy dopilnowanie, by osoby te były:
- odpowiednio przygotowane do wykonywania swoich obowiązków,
- pisemnie upoważnione do przetwarzania danych osobowych.
- zobowiązały się do zachowania danych osobowych przetwarzanych w poufności.
Monitoring
- Administrator dopuszcza możliwość stosowania wobec pracowników i osób podejmujących na rzecz Administratora czynności na podstawie umów cywilnoprawnych:
- Monitoringu wizyjnego głównej jednostki organizacyjnej Administratora celem zapewnienia bezpieczeństwa, ochrony mienia i zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić Administratora na szkodę.
- Monitoringu poczty elektronicznej i oprogramowania urządzeń elektronicznych udostępnionych przez Administratora pracownikom i osobom podejmującym na rzecz Administratora czynności na podstawie umów cywilnoprawnych, celem zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych narzędzi pracy.
- Administrator realizuje obowiązek informacyjny w zakresie monitoringu, wobec podmiotów wymienionych w pkt. 38 poprzez:
- oznaczenie pomieszczeń i terenu monitorowanego w sposób widoczny i czytelny, za pomocą odpowiednich znaków.
- przekazanie podmiotom wymienionym w pkt. 38 przed dopuszczeniem do pracy pisemnej informacji na temat celów, zakresu oraz sposób zastosowania monitoringu.
Postanowienia końcowe
- Administrator zastrzega możliwość zmiany Polityki. Polityka był ostatnio aktualizowana 1 lipca 2019.