Regulamin przetwarzania i ochrony danych osobowych w bazach danych osobowych będących własnością sprzedawcy
Treść.
-
Ogólne pojęcia i zakres stosowania
-
Wykaz baz danych osobowych
-
Cel przetwarzania danych osobowych
-
Procedura przetwarzania danych osobowych: uzyskanie zgody, powiadomienie o prawach i działaniach z danymi osobowymi podmiotu danych osobowych
-
Lokalizacja bazy danych osobowych
-
Warunki ujawniania danych osobowych osobom trzecim
-
Ochrona danych osobowych: sposoby zabezpieczenia, osoba odpowiedzialna, pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem obowiązków służbowych, okres przechowywania danych osobowych
-
Prawa osoby, której dane dotyczą
-
Procedura obsługi wniosków podmiotów danych osobowych
1. Pojęcia ogólne i zakres stosowania
1.1. Definicje pojęć:
baza danych osobowych - nazwany zbiór zorganizowanych danych osobowych w formie elektronicznej i/lub w postaci zbiorów danych osobowych;
osoba odpowiedzialna - wyznaczona osoba, która organizuje prace związane z ochroną danych osobowych podczas ich przetwarzania zgodnie z przepisami prawa;
właściciel bazy danych osobowych - osoba fizyczna lub prawna, która jest upoważniona z mocy prawa lub za zgodą osoby, której dane osobowe dotyczą, do przetwarzania tych danych, zatwierdza cel przetwarzania danych osobowych w tej bazie, ustala skład tych danych oraz procedury ich przetwarzania, chyba że przepisy prawa stanowią inaczej;
Państwowy Rejestr Baz Danych Osobowych jest jednolitym państwowym systemem informacyjnym służącym do zbierania, gromadzenia i przetwarzania informacji o zarejestrowanych bazach danych osobowych;
publicznie dostępne źródła danych osobowych - spisy, książki adresowe, rejestry, listy, katalogi, inne usystematyzowane zbiory jawnych informacji zawierających dane osobowe, umieszczone i opublikowane za zgodą osoby, której dane dotyczą. Za publicznie dostępne źródła danych osobowych nie uważa się portali społecznościowych i zasobów internetowych, na których podmiot danych osobowych pozostawia swoje dane osobowe (chyba że podmiot danych osobowych wyraźnie zaznaczy, że dane osobowe zamieszcza w celu ich swobodnego rozpowszechniania i wykorzystywania);
zgoda podmiotu danych osobowych - każde udokumentowane, dobrowolne wyrażenie przez osobę fizyczną woli udzielenia zgody na przetwarzanie jej danych osobowych zgodnie z określonym celem ich przetwarzania;
depersonalizacja danych osobowych oznacza usunięcie informacji pozwalających na identyfikację osoby;
przetwarzanie danych osobowych - jakiekolwiek działanie lub zespół działań wykonywanych w całości lub w części w systemie informatycznym (zautomatyzowanym) i/lub w zbiorach danych osobowych, związanych z gromadzeniem, rejestracją, gromadzeniem, przechowywaniem, przystosowywaniem, modyfikowaniem, uaktualnianiem, wykorzystywaniem i rozpowszechnianiem (dystrybucją, sprzedażą, transferem), depersonalizacją, niszczeniem informacji o osobie fizycznej;
dane osobowe - informacja lub zbiór informacji o osobie fizycznej, która została zidentyfikowana lub może zostać zidentyfikowana w sposób szczególny;
administrator bazy danych osobowych - osoba fizyczna lub prawna, która została upoważniona przez właściciela bazy danych osobowych lub z mocy prawa do przetwarzania tych danych. Nie jest administratorem danych osobowych osoba, której właściciel i/lub administrator bazy danych osobowych powierzył wykonanie prac technicznych z bazą danych osobowych bez dostępu do treści danych osobowych;
podmiot danych osobowych - osoba fizyczna, w stosunku do której dane osobowe są przetwarzane zgodnie z przepisami prawa;
strona trzecia - każda osoba, z wyjątkiem osoby, której dane dotyczą, właściciela lub administratora bazy danych osobowych oraz upoważnionego organu państwowego do spraw ochrony danych osobowych, której właściciel lub administrator bazy danych osobowych przekazuje dane osobowe zgodnie z przepisami prawa;
szczególne kategorie danych - dane osobowe dotyczące pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub ideologicznych, przynależności do partii politycznych i związków zawodowych, a także dane dotyczące zdrowia lub życia seksualnego.
1.2. Niniejsze rozporządzenie jest obowiązkowe dla osoby odpowiedzialnej i pracowników sprzedawcy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych.
2. Wykaz baz danych osobowych
2.1. Właścicielem takich baz danych osobowych jest Sprzedawca:
- baza danych osobowych kontrahentów.
3. Cel przetwarzania danych osobowych
3.1. Celem przetwarzania danych osobowych w systemie jest zapewnienie realizacji stosunków cywilnoprawnych, świadczenia, przyjmowania i rozliczania płatności za zakupione towary i usługi zgodnie z Ordynacją podatkową.
4. Procedura przetwarzania danych osobowych: uzyskanie zgody, powiadomienie o prawach i działaniach z danymi osobowymi osoby, której dane dotyczą
4.1 Zgoda osoby, której dane osobowe dotyczą, musi być dobrowolnym wyrazem woli tej osoby, aby zezwolić na przetwarzanie jej danych osobowych zgodnie z określonym celem ich przetwarzania.
4.2. Zgoda osoby, której dane osobowe dotyczą, może być wyrażona w następujących formach:
- dokument na papierze zawierający szczegóły umożliwiające identyfikację tego dokumentu i osoby fizycznej;
- dokument elektroniczny, który musi zawierać obowiązkowo dane pozwalające na identyfikację tego dokumentu i osoby fizycznej. Dobrowolne wyrażenie woli przez osobę fizyczną w zakresie udzielenia zgody na przetwarzanie jej danych osobowych powinno być poświadczone podpisem elektronicznym osoby, której dane dotyczą;
- oznaczeniem na stronie elektronicznej dokumentu lub w pliku elektronicznym przetwarzanym w systemie informatycznym na podstawie udokumentowanych rozwiązań programowych i sprzętowych.
4.3. Wyrażenie zgody przez osobę, której dane dotyczą, następuje podczas rejestracji stosunków cywilnoprawnych zgodnie z obowiązującymi przepisami prawa.
4.4. Powiadomienie osoby, której dane osobowe dotyczą, o umieszczeniu jej danych osobowych w zbiorze danych osobowych, o uprawnieniach wynikających z polskiej ustawy o ochronie danych osobowych, o celu zbierania danych oraz o osobach, którym przekazywane są jej dane osobowe, następuje w trakcie rejestracji stosunków cywilnoprawnych zgodnie z obowiązującym prawem.
4.5. Zabronione jest przetwarzanie danych osobowych dotyczących pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub ideologicznych, przynależności do partii politycznych i związków zawodowych, a także danych dotyczących zdrowia lub życia seksualnego (specjalne kategorie danych).
5. Lokalizacja bazy danych osobowych
5.1. Bazy danych osobowych określone w punkcie 2 niniejszego Regulaminu znajdują się pod adresem Sprzedawcy.
6. Warunki udostępniania danych osobowych osobom trzecim
6.1. Procedura dostępu do danych osobowych osób trzecich jest określona warunkami zgody osoby, której dane dotyczą, udzielonej administratorowi danych osobowych na przetwarzanie tych danych lub zgodnie z wymogami prawa.
6.2. Dostępu do danych osobowych nie udziela się osobie trzeciej, jeżeli osoba ta odmawia podjęcia obowiązków zapewnienia zgodności z wymogami ustawy "O ochronie danych osobowych" lub nie jest w stanie ich zapewnić.
6.3. Podmiot stosunków związanych z danymi osobowymi składa wniosek o dostęp (zwany dalej wnioskiem) do danych osobowych do administratora danych osobowych.
6.4. Wniosek powinien zawierać:
- nazwisko, imię i patronimik, miejsce zamieszkania (miejsce pobytu) oraz dane z dokumentu poświadczającego osobę fizyczną składającą wniosek (w przypadku wnioskodawcy indywidualnego);
- nazwę, siedzibę osoby prawnej składającej wniosek, stanowisko, nazwisko, imię i patronimik osoby poświadczającej wniosek; potwierdzenie, że treść wniosku odpowiada uprawnieniom osoby prawnej (w przypadku osoby prawnej - wnioskodawcy);
- nazwisko, imię i patronimik, a także inne informacje pozwalające na identyfikację osoby fizycznej, w stosunku do której składany jest wniosek;
- informacje o zbiorze danych osobowych, w odniesieniu do których zgłaszane jest żądanie, lub informacje o właścicielu lub administratorze tego zbioru danych osobowych;
wykaz danych osobowych, których dotyczy wniosek; - cel i/lub podstawy prawne wniosku.
6.5. Termin rozpatrzenia wniosku o jego zaspokojenie nie może przekroczyć dziesięciu dni roboczych od daty jego otrzymania. W tym terminie właściciel bazy danych osobowych informuje osobę składającą wniosek, że wniosek zostanie spełniony lub że odpowiednie dane osobowe nie zostaną udostępnione, wskazując podstawy określone w odpowiednim regulacyjnym akcie prawnym. Żądanie zostanie spełnione w ciągu trzydziestu dni kalendarzowych od daty jego otrzymania, chyba że przepisy prawa stanowią inaczej.
6.6. Odroczenie dostępu do danych osobowych osób trzecich jest dopuszczalne, jeżeli niezbędne dane nie mogą być dostarczone w ciągu trzydziestu dni kalendarzowych od daty otrzymania wniosku. W takim przypadku łączny okres rozstrzygania kwestii poruszonych we wniosku nie może przekroczyć czterdziestu pięciu dni kalendarzowych.
6.7. Zawiadomienie o odroczeniu przekazywane jest osobie trzeciej, która złożyła wniosek, na piśmie wraz z wyjaśnieniem procedury odwołania się od takiej decyzji.
6.8. W zawiadomieniu o odroczeniu określa się:
- nazwisko, imię i patronimik urzędnika;
- data wysłania powiadomienia;
- powód opóźnienia;
- termin, w którym wniosek zostanie spełniony.
6.9. Odmowa dostępu do danych osobowych jest dopuszczalna, jeżeli dostęp do nich jest zabroniony przez prawo.
6.10. Zawiadomienie o odmowie powinno zawierać:
- nazwisko, imię, patronimik urzędnika, który odmawia dostępu;
- datę wysłania powiadomienia;
- powód odmowy.
6.11. Od decyzji o odroczeniu lub odmowie dostępu do danych osobowych przysługuje odwołanie do sądu.
7. Ochrona danych osobowych: metody ochrony, osoba odpowiedzialna, pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem obowiązków służbowych, okres przechowywania danych osobowych
7.1. Właściciel bazy danych osobowych wyposażony jest w środki systemowe, programowe i sprzętowe oraz komunikacyjne, które zapobiegają utracie, kradzieży, nieuprawnionemu niszczeniu, zniekształcaniu, fałszowaniu, kopiowaniu informacji oraz spełniają wymagania norm międzynarodowych i krajowych.
7.2. Osoba odpowiedzialna organizuje prace związane z ochroną danych osobowych w trakcie ich przetwarzania zgodnie z przepisami prawa. Osoba odpowiedzialna powoływana jest w drodze zarządzenia przez Właściciela bazy danych osobowych.
Zakres obowiązków osoby odpowiedzialnej w zakresie organizowania prac związanych z ochroną danych osobowych w trakcie ich przetwarzania określa opis stanowiska pracy.
7.3. Osoba odpowiedzialna jest zobowiązana do:
- znać polskie ustawodawstwo w zakresie ochrony danych osobowych;
- opracować procedury dostępu do danych osobowych pracowników zgodnie z ich obowiązkami zawodowymi lub służbowymi albo odpowiedzialnością za zatrudnienie;
- zapewnić przestrzeganie przez pracowników Administratora Danych Osobowych wymogów polskiego ustawodawstwa w zakresie ochrony danych osobowych oraz dokumentów wewnętrznych regulujących działalność Administratora Danych Osobowych w zakresie przetwarzania i ochrony danych osobowych w osobowych bazach danych;
- opracować procedurę (tryb) wewnętrznej kontroli przestrzegania wymogów polskiego prawa w zakresie ochrony danych osobowych oraz dokumentów wewnętrznych regulujących działalność Administratora Danych Osobowych w zakresie przetwarzania i ochrony danych osobowych w bazach danych osobowych, która w szczególności powinna zawierać zasady dotyczące częstotliwości takiej kontroli;
- powiadamiać Administratora Danych Osobowych o faktach naruszenia przez pracowników wymogów polskiego ustawodawstwa w zakresie ochrony danych osobowych oraz dokumentów wewnętrznych regulujących działalność Administratora Danych Osobowych w zakresie przetwarzania i ochrony danych osobowych w bazach danych osobowych w terminie jednego dnia roboczego od momentu stwierdzenia takich naruszeń;
- zapewnić przechowywanie dokumentów potwierdzających, że osoba, której dane osobowe dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych i powiadomiła tę osobę o przysługujących jej prawach.
7.4. W celu wykonywania swoich obowiązków osoba odpowiedzialna ma prawo do:
- odbierać niezbędne dokumenty, w tym zarządzenia i inne dokumenty administracyjne wydane przez Właściciela danych osobowych związane z przetwarzaniem danych osobowych;
- wykonywać kopie otrzymanych dokumentów, w tym kopie akt, wszelkich zapisów przechowywanych w lokalnych sieciach komputerowych i autonomicznych systemach komputerowych;
- uczestniczyć w omawianiu swoich obowiązków w zakresie organizacji prac związanych z ochroną danych osobowych w trakcie ich przetwarzania;
- zgłaszać propozycje usprawnienia działań i metod pracy, zgłaszać uwagi i warianty eliminacji stwierdzonych uchybień w procesie przetwarzania danych osobowych;
- przyjmowania wyjaśnień w sprawach związanych z przetwarzaniem danych osobowych;
podpisywania i zatwierdzania dokumentów w zakresie swoich kompetencji.
7.5. Pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem obowiązków służbowych (pracowniczych) są zobowiązani do przestrzegania wymogów prawa polskiego w zakresie ochrony danych osobowych oraz dokumentów wewnętrznych dotyczących przetwarzania i ochrony danych osobowych w bazach danych osobowych.
7.6. Pracownicy mający dostęp do danych osobowych, w tym przetwarzający je, są zobowiązani do zapobiegania ujawnianiu w jakikolwiek sposób danych osobowych powierzonych im lub które poznali w związku z wykonywaniem obowiązków zawodowych lub służbowych albo zatrudnieniem. Obowiązek ten obowiązuje po zaprzestaniu wykonywania przez nich czynności związanych z danymi osobowymi, z wyjątkiem przypadków określonych przepisami prawa.
7.7 Osoby mające dostęp do danych osobowych, w tym przetwarzające je, w przypadku naruszenia wymogów ustawy o ochronie danych osobowych ponoszą odpowiedzialność na podstawie prawa polskiego.
7.8. Dane osobowe nie są przechowywane dłużej niż jest to konieczne do realizacji celu, dla którego dane te są przechowywane, ale w każdym przypadku nie dłużej niż okres przechowywania danych określony zgodą osoby, której dane osobowe dotyczą, na przetwarzanie tych danych.
8. Prawa podmiotu danych osobowych
8.1. Osoba, której dane osobowe dotyczą ma prawo do:
- wiedzieć o lokalizacji bazy danych osobowych zawierającej jego dane osobowe, jej przeznaczeniu oraz nazwie, lokalizacji i/lub miejscu zamieszkania (pobytu) właściciela lub zarządcy tej bazy danych lub wydać odpowiednie polecenie uzyskania tych informacji osobom przez niego upoważnionym, z wyjątkiem przypadków określonych przepisami prawa;
- otrzymania informacji o warunkach przyznawania dostępu do danych osobowych, w tym informacji o osobach trzecich, którym przekazywane są jego dane osobowe zawarte w odpowiedniej bazie danych osobowych;
- do uzyskania dostępu do swoich danych osobowych zawartych w odpowiedniej bazie danych osobowych;
- otrzymania odpowiedzi, czy jego dane osobowe są przechowywane w odpowiedniej bazie danych osobowych nie później niż w terminie trzydziestu dni kalendarzowych od dnia otrzymania wniosku, z wyjątkiem przypadków przewidzianych prawem, a także otrzymania treści jego danych osobowych, które są przechowywane;
- wniesienia umotywowanego żądania wraz ze sprzeciwem wobec przetwarzania jego danych osobowych przez organy państwowe, organy samorządu terytorialnego w ramach realizacji ich uprawnień przewidzianych prawem;
- złożenia umotywowanego żądania zmiany lub zniszczenia swoich danych osobowych przez każdego właściciela i zarządcę tej bazy danych, jeżeli dane te są przetwarzane niezgodnie z prawem lub są nierzetelne;
- do ochrony swoich danych osobowych przed ich bezprawnym przetwarzaniem oraz przypadkową utratą, zniszczeniem, uszkodzeniem wskutek celowego zatajenia, nieudostępnienia lub nieterminowego udostępnienia, a także do ochrony przed udostępnieniem informacji nieprawdziwych lub zniesławiających honor, godność i reputację biznesową osoby fizycznej;
- występowania o ochronę swoich praw dotyczących danych osobowych do organów państwowych i organów samorządu terytorialnego uprawnionych do ochrony danych osobowych;
- korzystania ze środków ochrony prawnej w przypadku naruszenia przepisów o ochronie danych osobowych.
9. Procedura rozpatrywania wniosków osób, których dane osobowe dotyczą
9.1. Osoba, której dane osobowe dotyczą, ma prawo otrzymać od każdego podmiotu stosunków związanych z danymi osobowymi wszelkie informacje o sobie, bez określania celu żądania, z wyjątkiem przypadków ustanowionych przez prawo.
9.2. Dostęp podmiotu danych osobowych do danych o sobie jest bezpłatny.
9.3. Osoba, której dane osobowe dotyczą, składa wniosek o dostęp (dalej - wniosek) do danych osobowych do właściciela bazy danych osobowych.
Wniosek powinien zawierać:
- nazwisko, imię i patronimik, miejsce zamieszkania (miejsce pobytu) oraz dane z dokumentu tożsamości osoby, której dane osobowe dotyczą;
- inne informacje pozwalające na identyfikację osoby, której dane osobowe dotyczą;
- informacje o bazie danych osobowych, w odniesieniu do której składany jest wniosek, lub informacje o właścicielu lub administratorze tej bazy;
- wykaz danych osobowych, których dotyczy wniosek.
9.4. Termin rozpatrzenia wniosku o jego zaspokojenie nie może przekroczyć dziesięciu dni roboczych od daty jego otrzymania. W tym okresie właściciel bazy danych osobowych zawiadamia osobę, której dane dotyczą, o tym, że żądanie zostanie spełnione lub że odpowiednie dane osobowe nie zostaną udostępnione, wskazując na podstawy określone w odpowiednim regulacyjnym akcie prawnym.
9.5. Spełnienie żądania następuje w terminie trzydziestu dni kalendarzowych od dnia jego otrzymania, chyba że przepisy prawa stanowią inaczej.