Polityka prywatności

POLITYKA OCHRONY DANYCH OSOBOWYCH

 

PREAMBUŁA

Niniejszy dokument zatytułowany „Polityka ochrony danych osobowych” (dalej: Polityka) ma za zadanie stanowić mapę wymogów zasad i regulacji ochrony danych osobowych w Fundacji Fabryka Handballu z siedzibą w Zawierciu przy ul. Mylnej 12/10 (dalej: Administrator danych lub Administrator).

 

  • 1

Postanowienia ogólne. Zakres stosowania Polityki

 

  1. Polityka reguluje:
    1. zasady przetwarzania danych osobowych u Administratora;
    2. bezpieczeństwo przetwarzania danych osobowych u Administratora;
    3. zasady i bezpieczeństwo przetwarzania danych osobowych w systemie informatycznym Administratora;
    4. procedury związane z naruszeniem ochrony danych osobowych u Administratora;
    5. zasady odpowiedzialności za wykonanie i naruszenie Polityki;
  2. Politykę stosuje się do wszelkich czynności związanych z przetwarzaniem danych osobowych
    u Administratora, w tym w szczególności do przetwarzania danych osobowych:

    1. uzyskanych w związku wykonywaniem działań statutowych;
    2. fundatorów,
    3. osób zatrudnionych na podstawie umowy o pracę przez Administratora danych;
    4. osób, z którymi Administrator danych współpracuje;
    5. młodocianych, praktykantów.

 

  • 2

Zasady przetwarzania danych osobowych

 

  1. Dane osobowe u Administratora przetwarzane są zgodnie z obowiązującymi regulacjami prawnymi oraz Polityką.
  2. Dane osobowe u Administratora są:
    1. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (zgodność z prawem, rzetelność i przejrzystość);
    2. zbieranie w konkretnych, wyraźnych i prawnie uzasadnionych celach
      i nieprzetwarzane dalej w sposób niezgodny z celami (ograniczenie celu);
    3. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (minimalizacja danych);
    4. prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane (prawidłowość);
    5. przechowywane w formie umożliwiających identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane (ograniczenie przechowywania);
    6. przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych,
      w tym ochronę przez niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (integralność i poufność).
  3. Jeżeli przetwarzane u Administratora dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, Administrator danych realizuje wobec niej obowiązek informacyjny w zakresie określonym w art. 13 RODO.
  4. Jeżeli dane przetwarzanych u Administratora danych osobowych nie pozyskano od osoby, której dane dotyczą, Administrator danych realizuje wobec tej osoby obowiązek informacyjny w zakresie określonym w art. 14 RODO.
  5. Jeżeli w związku z przetwarzaniem danych osobowych u Administratora osoba, której dane dotyczą, zgłasza zamiar realizacji któregokolwiek prawa lub wolności przewidzianego
    w RODO, Administrator danych podejmuje decyzję co do uwzględnienia tego żądania, mając na uwadze RODO i inne obowiązujące przepisu prawa. Jeżeli żądanie zostanie zgłoszone innej osobie niż Administratorowi danych, wówczas osoba ta niezwłocznie przekazuje je Administratorowi.
  6. Administrator może powierzyć przetwarzanie danych osobowych podmiotowi niedziałającemu
    w ramach działalności Administratora, o ile nie sprzeciwiają się temu obowiązujące przepisy prawa. W takim przypadku Administrator danych zawiera z podmiotem przetwarzającym umowę
    o powierzenie przetwarzania danych osobowych zgodnie z wymaganiami określonymi w art. 28 RODO. Do powierzenia przetwarzania danych osobowych nie jest uprawniona inna osoba poza Administratorem.
  7. Administrator danych nie przekazuje danych osobowych przetwarzanych
    u Administratora do państw trzecich ani organizacji międzynarodowych w rozumieniu RODO. Jeżeli jednak okaże się to absolutnie konieczne, wówczas przekazanie danych osobowych następuje zgodnie z postanowieniami rozdziału V RODO.

 

  • 3

Bezpieczeństwo przetwarzania danych osobowych

 

  1. Administrator danych zapewnia środki organizacyjne i techniczne w celu skutecznej realizacji ochrony danych osobowych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymagania wynikające z RODO i z innych przepisów prawa oraz chronić prawa i wolności osób, których dane dotyczą. Stosowanie zabezpieczenia ochrony danych osobowych odpowiadają możliwemu ryzyku naruszeniu praw osób, których dane dotyczą.
  2. Administrator danych zapewnia minimalizację przetwarzanych danych osobowych,
    w szczególności poprzez:

    1. ograniczenie zakresu i ilości przetwarzanych danych osobowych w stopniu adekwatnym do celów przetwarzania;
    2. ograniczenie dostępności do danych osobowych wyłącznie do osób posiadających upoważnienie od Administratora danych oraz zobowiązanych do zachowania poufności;
    3. ograniczenie miejsc, w których dokonywane są czynności przetwarzania danych osobowych;
    4. ograniczenie czasu przetwarzania danych osobowych wyłącznie do czasu wymaganego przepisami RODO oraz innymi przepisami prawa.
  3. Dane osobowe powinny być przetwarzane u Administratora pod adresem ul. Mylna 12/10, 42-400 Zawiercie i to wyłącznie w miejscu, do których nie mają dostępu osoby nieupoważnione przez Administratora do czynności przetwarzania danych osobowych.
  4. Przetwarzanie danych osobowych w formie elektronicznej dopuszczalne jest wyłącznie na przeznaczonych do tego komputerach administrowanych przez Administratora.
  5. Dostęp do formy elektronicznej danych osobowych posiadają wyłącznie osoby zatrudnione przez Administratora lub z nim współpracujące, które zostały pisemnie upoważnione do elektronicznego przetwarzania danych osobowych.
  6. Administrator danych zapewnia bezpieczeństwo przetwarzanych elektronicznie danych osobowych poprzez zabezpieczenie dostępu do nich przez hasło.

 

  • 4

Poczta elektroniczna

  1. Do przesyłania oraz odbierania korespondencji e-mail zawierających dane osobowe, których nadawcą lub odbiorcą jest Administrator, użytkownicy mogą używać jedynie kont Administratora.
  2. Użytkownicy zobowiązani są do szczególnej dbałości o to, aby wiadomości e-mail zawierające dane osobowe kierowane były wyłącznie do osób do tego uprawnionych. Na końcu każdej wysłanej wiadomości e-mail jest ustawiona domyślnie informacja:

„Niniejsza korespondencja może zawierać informacje o charakterze poufnym bądź kierowane tylko do określonego adresata i jest przeznaczona wyłącznie do użytku podmiotu lub osoby, do której jest adresowana. Jeżeli nie są zatem Państwo adresatem tej korespondencji, informujemy, że ujawnianie, wykorzystanie, kopiowanie, rozpowszechnianie lub inne postępowanie dotyczące zarówno samej wiadomości, jak również stanowiących jej integralną część załączników jest niedozwolone i może zostać uznane jako działanie naruszające przepisy prawa. Tym samym, w sytuacji otrzymania przez Państwa tej korespondencji, zwracamy się z prośbą o niezwłoczne poinformowanie nadawcy o tym fakcie poprzez wysłanie odpowiedzi zwrotnej oraz trwałe usunięcie tej wiadomości wraz z załącznikami z pamięci swojego komputera.”

  1. Należy zachować szczególną ostrożność przy odbiorze wiadomości od nieznanych adresatów.
    W razie podejrzenia, że otrzymana wiadomość może zawierać złośliwe oprogramowanie (wirus), przed jej otwarciem należy skontaktować się z Aministratorem.
  2. Na stronie internetowej Administratora w zakładce „kontkat” powinna być umieszczona następująca informacja:

Administratorem Pana/Pani danych osobowych jest Fundacja Fabryka Handballu
z siedzibą w Zawierciu przy ul. Mylnej 12/10. Fundacja przetwarza Pana/Pani dane wyłącznie w celu udzielenia odpowiedzi na pytanie zawarte w formularzu kontaktowym (podstawa przetwarzania danych to realizacja naszych prawnie uzasadnionych interesów administratora w postaci komunikacji
z użytkownikami strony). Pana/Pani dane będą przetwarzane nie dłużej, niż jest to konieczne do udzielenia Panu/Pani odpowiedzi. Po tym czasie przekazane przez Pana/Panią dane mogą być przetwarzane przez okres przedawnienia ewentualnych roszczeń. Podanie przez Pana/Panią danych jest dobrowolne, ale konieczne do tego, żeby odpowiedzieć na Twoje pytanie. Ma Pan/Pani prawo do żądania dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania, a także prawo do przenoszenia swoich danych oraz wniesienia skargi do organu nadzorczego”.

 

  • 5

Procedury związane z naruszeniem ochrony danych osobowych

 

  1. Administrator danych i wszystkie osoby przetwarzające dane osobowe na polecenie Administratora zobowiązują się podejmować wszelkie zgodne z prawem środki zaradcze, w tym w szczególności przestrzegać warunków określonych w Polityce, aby nie dopuścić do naruszenia ochrony danych osobowych.
  2. Przez naruszenie ochrony danych osobowych należy rozumieć naruszenie bezpieczeństwa prowadzącego do przypadku lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
  3. W przypadku wykrycia naruszenia ochrony danych osobowych, jak również
    w przypadku próby lub ryzyka takiego naruszenia, sobą przetwarzająca dane osobowe jest zobowiązana do natychmiastowego podjęcia niezbędnych działań zaradczych oraz do zawiadomienia Administratora danych, nie później niż w ciągu 24 godzin od wykrycia naruszenia albo próby lub ryzyka takiego naruszenia.
  4. W przypadku naruszenia ochrony danych osobowych Administrator danych bez zbędnej zwłoki –
    w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
  5. Jeżeli naruszenie ochrony danych osobowych może powodować duże ryzyko naruszenia praw lub wolności osób, których dane dotyczą, Administrator danych bez zbędnej zwłoki, zawiadamia osobę, której dane dotyczą, o takim naruszeniu, chyba że zachodzą okoliczności określone w art. 34 ust. 3
    i 4 RODO lub w innych przepisach prawa.
  6. Administrator danych prowadzi w formie pisemnej rejestr naruszeń ochrony danych osobowych,
    w którym szczegółowo opisuje:

    1. okoliczności naruszenia danych osobowych,
    2. skutki naruszenia ochrony danych osobowych,
    3. podjęte działania zaradcze.

 

  • 6

Odpowiedzialność za wykonanie Polityki

 

  1. Administrator danych ponosi odpowiedzialność za przetwarzane dane osobowe
    w jego siedzibie oraz za wdrożenie i przestrzeganie Polityki i Instrukcji.
  2. Administrator danych zapewnia, że osoby dokonujące czynności przetwarzania danych osobowych u Administratora:
    1. zapoznały się z Polityką oraz posiadały informacje na temat ochrony danych osobowych,
    2. zostały pisemnie upoważnione do przetwarzania danych osobowych i dokonują tego wyłącznie na polecenia Administratora;
    3. pisemnie zobowiązały się do zachowania w tajemnicy przetwarzanych danych osobowych;
    4. pisemnie zobowiązały się do przestrzegania Polityki, RODO oraz innych przepisów prawa
      w zakresie ochrony danych osobowych.
  3. Administrator danych udziela upoważnienia do przetwarzania danych osobowych wyłącznie osobom zatrudnionym przez Administrator danych na podstawie umowy o pracę, osobom z którymi Administrator zawarł pisemną umowę cywilnoprawną, osobom współpracującym które pisemnie upoważniono do przetwarzania danych osobowych.
  4. Za naruszenie Polityki osoby przetwarzające dane osobowe mogą ponosić odpowiedzialność na zasadach określonych w odrębnych przepisach. W szczególności naruszenie Polityki może stanowić:
    1. przyczynę uzasadniającą wypowiedzenie umowy o pracę,
    2. ciężkie naruszenie podstawowych obowiązków pracowniczych uzasadniające rozwiązanie umowy o prace bez wypowiedzenia z winy pracownika,
    3. ważny powód wypowiedzenia umowy zlecenia lub umowy o świadczenie usług.

 

  • 7

Postanowienia końcowe

 

  1. W sprawach nieuregulowanych w Polityce stosuje się powszechnie obowiązujące przepisy prawa,
    w tym w szczególności przepisy RODO.
  2. Polityka została sporządzona w formie pisemnej w jednym egzemplarzu. Podpisany oryginał Polityki przechowywany jest w siedzibie Administratora, natomiast jego skan jest udostępniony osobom upoważnionym przez Administratora.
  3. Polityka wchodzi w życie z dniem 7 września 2018 r.
  4. Polityka obowiązuje do czasu jej zmiany lub uchylenia. W razie potrzeby, nie rzadziej niż raz do roku, Administrator dokonuje przeglądu Polityki, uwzględniając w szczególności analizę skutków jej obowiązywania dla ochrony danych osobowych oraz ochrony praw i wolności osób, których dane dotyczą. Administrator dokona zmiany Polityki w szczególności w przypadku, gdy zmianie ulegną obowiązujące regulacje prawne w zakresie ochrony danych osobowych.