Wyciąg z zasad ochrony danych osobowych
Wyciąg z „Zasad ochrony danych osobowych” stosowanych w Cybina Spółka z ograniczoną odpowiedzialnością Sp. k.
§ 13
[Ogólne informacje o uprawnieniach właścicieli danych]
1. Właścicielowi danych przysługują następujące uprawnienia:
a) Prawo do uzyskania informacji,
b) Prawo dostępu do danych lub otrzymania kopii danych,
c) Prawo do sprostowania danych,
d) Prawo do usunięcia danych,
e) Prawo do ograniczenia przetwarzania,
f) Prawo do przenoszenia danych,
g) Prawo do sprzeciwu.
2. Realizacja uprawnień wskazanych w ust. 1 odbywa się na podstawie wniosku złożonego przez właściciela danych. Administrator umożliwia złożenie wniosku formie papierowej – złożenie wypełnionego formularza u administratora, lub w formie elektronicznej poprzez przesłanie scanu wypełnionego formularza na adres sklep@cybina.pl. Możliwe jest również złożenie wniosku za pośrednictwem ustnej np. podczas rozmowy z pracownikiem Administratora, po uprzednim wyrażeniu przez właściciela danych zgody na nagranie rozmowy.
3. W treści wniosku właściciel danych zobowiązany jest jednoznacznie określić zakres danych oraz jakich czynności wniosek dotyczy. Jeśli wniosek nie określa powyższych informacji, administrator jest zobowiązany zażądać od właściciela danych doprecyzowania zgłoszenia. Wniosek zostanie przez Administratora zrealizowane w sytuacji, gdy informacje określone w zgłoszeniu nie budzą wątpliwości.
4. Informacji, o których mowa w ust. 1 niniejszego paragrafu, udziela się na piśmie lub w formie elektronicznej, w zwięzłej i prostej formie, jasnym i zrozumiałym dla przeciętnego odbiorcy językiem, w języku polskim.
5. Administrator udziela odpowiedzi na zgłoszenia w terminie miesiąca od dnia wpływu zgłoszenia do Administratora. W szczególnie skomplikowanych sytuacjach, administrator może wydłużyć określony w poprzednim zdaniu termin na udzielenie odpowiedzi, jednak nie dłużej niż o kolejne dwa miesiące. Wówczas zobowiązany jest przesłać do osoby składającej zgłoszenie, z zachowaniem miesięcznego terminu, informację o wydłużeniu terminu oraz o przyczynach wydłużenia.
6. W przypadku gdy administrator nie uzna zgłoszenia złożonego przez właściciela, jest zobowiązany pisemnie poinformować właściciela danych o odmowie podjęcia żądanych działań, przyczynach takiej decyzji, możliwości złożenia skargi do organu nadzoru ochrony danych osobowych lub możliwości dochodzenia swoich praw przed sądem.
7. Udzielenie odpowiedzi na żądanie właściciela danych jest nieodpłatne. Jeżeli żądania właściciela danych są ewidentnie nieuzasadnione lub nadmierne, Administrator może pobrać opłatę, której wysokość nie może przekraczać kosztów udzielenia informacji lub podjęcia żądanych informacji lub też może odmówić wykonania żądanej czynności. Administrator jest zobowiązany wykazać, że żądanie właściciela danych było ewidentnie nieuzasadnione lub nadmierne.
8. Administrator może odmówić udzielenia informacji, stosując wymogi określone w ust. 5, gdy:
a) Właściciel danych żąda udzielenia informacji na niestosowanym przez Administratora nośniku,
b) Właściciel danych nie sprecyzował treści złożonego żądania,
c) Administrator nie mógł jednoznacznie ustalić tożsamości właściciela danych,
d) Właściciel danych nie uregulował należnej opłaty,
e) Udzielenie odpowiedzi spowodowałoby ujawnienie tajemnicy przedsiębiorstwa.
9. W przypadku wątpliwości co tożsamości osoby składającej zgłoszenie, Administrator może żądać ujawnienia dodatkowych informacji niezbędnych do potwierdzenia tożsamości. Niedostarczenie dodatkowych danych pozwalających na identyfikację właściciela danych powoduje pozostawienie zgłoszenia bez rozpoznania.
10. Czas na realizację żądania, o którym mowa w ust. 1 powyżej, biegnie ponownie od dnia ustalenia tożsamości osoby, której dane dotyczą, oraz wniesienia opłaty lub złożenia przez osobę, której dane dotyczą, wyjaśnień lub uzupełnienia żądania.
§ 14
[Prawo do uzyskania informacji]
1. Właściciel danych ma prawo do uzyskania, od Administratora danych, informacji określonych w art. 13 RODO, a w przypadku gdy Administrator pozyska dane osobowe nie od właściciela danych, informacji określonych w art. 14 RODO.
2. Wymagane informacje są przekazywane:
a) w chwili zebrania danych – w sytuacji pozyskania danych od właściciela danych,
b) w rozsądnym terminie, nie później jednak niż w ciągu miesiąca od pozyskania danych
c) najpóźniej podczas pierwszej komunikacji z właścicielem danych, jeżeli dane osobowe mają być stosowane do komunikacji z tą osobą – w sytuacji pozyskania danych nie od właściciela danych
3. Informacja, o której mowa w ust. 1 przekazywana jest w formie klauzuli informacyjnej dołączonej do dokumentów przekazywanych właścicielowi danych. Dopuszczalne jest również przekazanie wymaganych informacji w formie elektronicznej, poprzez przesłanie wiadomości mailowej na adres poczty elektronicznej właściciela danych. W przypadku przesłanie wymaganych informacji w formie wiadomości elektronicznej.
4. Administrator jest zwolniony z obowiązku udzielenie informacji w sytuacji gdy:
a) właściciel danych posiada już te informacje np. właściciel danych został poinformowany podczas dokonywania już wcześniej zakupów u Administratora,
b) udzielenie informacji właścicielowi danych jest niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku,
c) pozyskanie lub ujawnienie danych osoby, której dane są zebrane nie bezpośrednio od niej, uregulowane jest w przepisach prawa przewidujących ochronę prawnie uzasadnionych interesów osoby, której dane dotyczą
5. W przypadku zbierania danych osobowych, jak również w przypadku zmiany celów przetwarzania danych osobowych, Administrator dopełnia obowiązku informacyjnego.
§ 15
[Prawo dostępu oraz otrzymania kopii danych osobowych]
1. Właściciel danych ma prawo uzyskać potwierdzenie, czy Administrator przetwarza jego dane osobowe. W sytuacji gdy Administrator udzieli potwierdzenia, właściciel danych ma prawo uzyskania informacji o:
a) celu przetwarzania,
b) kategorii odnośnych danych,
c) odbiorcach lub kategoriach odbiorów danych, którym Administrator przekazał lub może przekazać dane osobowe właściciel danych,
d) okresie przewidywanego przechowywania danych osobowych lub kryterium jego określenia,
e) przysługującym uprawnieniu do żądania sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych oraz złożenia sprzeciwu wobec przetwarzania danych,
f) uprawnieniu do wniesienia skargi do organu nadzoru ochrony danych osobowych,
g) źródle pozyskania przez Administratora danych – w sytuacji pozyskania danych od osoby nie będącej ich właścicielem,
h) zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO.
2. Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, właściciel danych, ma prawo zostać poinformowany przez Administratora o odpowiednich zabezpieczeniach, o których mowa w art. 46 RODO, związanych z przekazaniem.
3. Celem uzyskania dostępu do danych, właściciel danych składa wniosek o udostępnienie kopii swoich danych przetwarzanych przez Administratora. Wniosek może zostać złożony w formie pisemnej lub elektronicznej, w sposób określony w § 13 ust. 2 przedmiotowego wyciągu z zasad. W treści wniosku właściciel jest zobowiązany wskazać zakres danych, które mają zostać mu udostępnione, sposób udostępnienia.
4. Właściciel danych ma prawo bezpłatnie uzyskać jedną kopię swoich danych. Administrator może pobrać opłatę, w wysokości równej wysokości kosztów udzielenia informacji, za każdą kolejna kopie danych.
§ 16
[Prawo do sprostowania oraz uzupełnienia danych]
1. Właściciel danych osobowych może żądać sprostowania lub uzupełnienia swoich danych w sytuacji, gdy są one nieprawidłowe lub niekompletne.
2. Złożenie żądania, o którym mowa w ust. 1 odbywa się w trybie określonym w § 13 ust. 2 przedmiotowego wyciągu z zasad.
§17
Prawo do usunięcia danych (prawo do bycia zapomnianym)
1. Właściciel danych osobowych może żądać usunięcia swoich danych ze zbioru danych Administratora. Właściciel danych składa wniosek zgodnie z § 13 ust. 2 przedmiotowego wyciągu z zasad. W treści wniosku właściciel wyraźnie wskazuje zakres danych podlegających usunięciu.
2. Uprawnienie, o którym mowa w ust. 1 przysługuje właścicielowi gdy:
a) dane osobowe nie są już niezbędne do realizacji celów, w których zostały zebrane,
b) właściciel danych cofnął udzielona wcześniej zgoda na przetwarzanie danych osobowych i stanowił ona jedyna podstawę przetwarzania danych,
c) właściciel danych wniósł sprzeciw wobec przetwarzania swoich danych i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania,
d) dane były przetwarzane niezgodnie z prawem,
e) dane musza zostać usunięte w celu wywiązania się z obowiązku prawnego,
f) dane zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.
3. Administrator może nie zrealizować żądania usunięcia danych w wyniku cofnięcia zgody na przetwarzanie, jeśli:
a) dane są również przetwarzane na inne podstawie prawnej np. realizacji umowy,
b) występują prawnie uzasadnione podstawy przetwarzania danych, nadrzędne w stosunku do prawa właściciela danych do sprzeciwu: - zapewnienie ochrony i odporności systemów informatycznych na przypadkowe zdarzenia albo niezgodne z prawem lub nieprzyjazne działania naruszające dostępność, autentyczność, integralność i poufność przechowywanych lub przesyłanych danych osobowych oraz zapewnienia bezpieczeństwa związanych z nimi usług oferowanych lub udostępnianych poprzez te systemy informatyczne, - ciągłego i niezakłóconego prowadzenia działalności poprzez zapewnienie integralności kopii zarchiwizowanych/zapasowych/awaryjnych od momentu ich utworzenia aż do likwidacji, - marketingu bezpośredniego.
c) jest to niezbędne w celu wywiązywania się z obowiązku prawnego, realizowania zadania w interesie publicznym, dla celów statystycznych lub do dochodzeniu, a także ochrony przed ewentualnymi roszczeniami.
3. Administrator, po zrealizowaniu wniosku, przechowuje informacje o złożonym wniosku wraz z wszelkimi danymi wskazanymi w treści wniosku.
4. Usunięcie danych następuje poprzez ich zniszczenie lub anonimizację.
§ 18
[Prawo do ograniczenia przetwarzania danych osobowych]
1. Właściciel danych osobowych może złożyć wniosek o ograniczenie przetwarzania swoich danych. Właściciel danych składa wniosek zgodnie z § 13 ust. 2. przedmiotowego wyciągu z zasad. Złożenie wniosku przez właściciela danych, wywołuje obowiązek kontroli prawidłowości przetwarzania danych. Z przeprowadzonej kontroli Administrator zobowiązany jest sporządzić stosowny protokół.
2. Ograniczenie przetwarzania danych Administrator może realizować w szczególności poprzez ich pseudonimizację.
3. Administrator może dodatkowo, w celu ograniczenia przetwarzania danych osobowych, w szczególności:
a) Uniemożliwić użytkownikom dostęp do wybranych danych,
b) Czasowo usunąć ze strony internetowej opublikowane dane,
c) Ograniczyć środkami technicznymi przetwarzanie w zautomatyzowanych zbiorach danych w taki sposób, by dane osobowe nie podlegały dalszemu przetwarzaniu ani nie mogły być zmieniane.
4. Złożenie wniosku o ograniczenie przetwarzania danych nie powoduje obowiązku usunięcia danych.
§ 19
[Obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania]
1. Na wniosek właściciela danych, Administrator powiadamia go o podmiotach, którym udostępnił jego dane. Administrator jest zobowiązany powiadomić każdego odbiorcę, któremu udostępnił dane osobowe właściciela danych, o złożeniu wniosku o sprostowanie, usunięcie danych osobowych lub ograniczenie przetwarzania. Powyższego obowiązku nie musi spełniać w sytuacji, gdy:
a) zawiadomienie okaże się niemożliwe lub wymagać będzie nadmiernie dużego wysiłku,
b) wnioskowana zmiana nie jest widoczna do odbiorcy danych,
c) odbiorca danych zakończył swoją działalność,
d) odbiorca danych zakończył przetwarzanie danych.
2. Administrator jest zobowiązany udokumentować niemożność realizacji obowiązku powiadomienia odbiorców danych o złożeniu wniosku przez właściciela danych, o którym mowa w ust. 1.
§ 20
[Prawo do przenoszenia danych]
1. Właściciel danych może złożyć wniosek o doręczenia jego danych osobowych przetwarzanych przez Administratora oraz przeniesienia jego danych do innego administratora danych. Złożenie wniosku następuje w trybie określonym w § 13 ust. 2. przedmiotowego wyciągu z zasad .
2. Administrator doręcza właścicielowi, jego dane osobowe w ustrukturyzowanym formacie nadającym się do odczytu maszynowego. Administrator przekazuje dane w formacie wskazanym przez właściciela danych w treści wniosku, z tym że dostępne formaty to: PDF, xml. Dane przekazywane są w strukturze, która zapewnia możliwość współdziałania różnych administratorów w celu umożliwienia właścicielowi danych realizacji prawa do przeniesienia danych. Dane, na wyraźne żądanie właściciela danych przekazywane są bezpośrednio na prywatne urządzenie wnioskodawcy.
3. Administrator może przenieść, na wniosek właściciela danych, tylko te dane osobowe, które:
a) przetwarzane są na podstawie zgody lub w celu realizacji umowy,
b) przetwarzane są w sposób zautomatyzowany,
c) zostały doręczone przez właściciela danych,
d) zostały wygenerowane przez działanie właściciela danych.
4. Przenoszeniu nie podlegają dane:
a) przetwarzane w formie papierowej,
b) przekazane przez osoby trzecie.
5. Administrator udzielając odpowiedzi na wniosek o udostępnienie danych, przekazuje właścicielowi danych zalecenia dotyczące zastosowania odpowiednich środków ochrony przekazanych danych.
6. Na wniosek właściciela danych, Administrator może przesłać wskazane we wniosku dane osobowe bezpośrednio do wybranego administratora danych. W przypadku braku możliwości technicznych bezpośredniego przekazania danych do wybranego administratora, Administrator przekazuje wskazane dane osobowe wnioskodawcy, zgodnie z ust. 2.
7. Składając wniosek o przeniesienie danych, właściciel jest zobowiązany udzielić zgodę na przeniesienie jego danych. Brak tej zgody uniemożliwia realizacje wniosku, w efekcie czego Administrator przekazuje dane właścicielowi.
8. Administrator przesyłając dane do wskazanego administratora stosuje odpowiednie środki techniczne w celu należytego zabezpieczenia danych np. szyfrowanie danych.
§ 21
[Prawo do sprzeciwu]
1. Właściciel danych ma prawo złożyć, w dowolnym momencie, sprzeciw wobec przetwarzania jego danych osobowych przez Administratora. Właściciel danych może złożyć sprzeciw, w sposób określony w § 13 ust. 2 przedmiotowego wyciągu z zasad, za każdym razem z zachowaniem wymogów bezpieczeństwa oraz potwierdzenia tożsamości właściciela danych. Jeśli Administrator przetwarza dane osobowe w większej liczbie celów, właściciel danych, składając sprzeciw zobowiązany jest wskazać wobec jakiego celu przetwarzania jego danych sprzeciw jest wnoszony oraz umotywować swoją szczególną sytuację.
2. Po otrzymaniu sprzeciwu Administrator przeprowadza analizę dopuszczalności złożenia sprzeciwu w kontekście prawnych podstaw przetwarzania jego danych osobowych. W okresie niezbędnym do przeprowadzenia analizy, Administrator na żądanie właściciela danych wyrażone w treści złożonego sprzeciwu, może ograniczyć przetwarzanie danych. Na podstawie analizy, Administrator uwzględnia sprzeciw lub odmawia jego uwzględnienia, wskazując jednocześnie powody nie uznania wyższości praw właściciela danych nad posiadaną przez Administratora podstawą prawną, do przetwarzania danych.
3. W przypadku przetwarzania danych dla celu marketingu bezpośredniego, złożenie sprzeciwu powoduje konieczność zaprzestania przetwarzania danych dla tego celu. Administrator nie ma obowiązku przeprowadzenia analizy, o której mowa w ust. 2.
4. W przypadku przetwarzania danych do celów statystycznych, dla skuteczności złożenia sprzeciwu niezbędne jest wskazanie przez właściciela danych, na czym polega jego szczególna sytuacja i jakie prawa są zagrożone w związku z przetwarzaniem jego danych. Po przeprowadzonej analizie, Administrator może odmówić uwzględnia sprzeciwu, gdy dane są niezbędne do realizacji zadania wykonywanego w interesie publicznym. Administrator zobowiązany jest wyjaśnić właścicielowi danych przyczynę odmowy uwzględnienia sprzeciwu w jasny i zrozumiały sposób.
5. Informacja o uznaniu sprzeciwu lub odmowie jego uznania, Administrator przekazuje właścicielowi danych w formie zgodnej z treścią żądania właściciela danych.