- Co to są dane osobowe?
Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności poprzez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
- Kto jest odpowiedzialny za przetwarzanie danych osobowych i z kim można się skontaktować?
Administrator Danych Osobowych – firma Centrum Rozwoju Kapitału Sp. z o.o. reprezentowana przez zarząd: Tomasz Schmidt (prezes).
Administrator Bezpieczeństwa Informacji (ABI) – osoba odpowiedzialna za nadzór i kontrolę przestrzegania w Centrum Rozwoju Kapitału Sp. z o.o. zasad ochrony danych osobowych zgodnie z Ustawą o ochronie danych osobowych wraz z procedurami wewnętrznymi. W firmie Centrum Rozwoju Kapitału Sp. z o.o. funkcję Administratora Bezpieczeństwa Informacji pełni jeden z członków zarządu firmy – Pan Tomasz Schmidt.
Administrator Systemu Informatycznego (ASI) – osoba odpowiedzialna za poprawne funkcjonowanie systemu informatycznego i urządzeń wchodzących w jego skład, służących do przetwarzania danych osobowych.
- W jakim celu przetwarzamy Państwa dane osobowe i na jakiej podstawie prawnej?
Na zasadzie wyjątku dopuszczalne jest powierzenie przetwarzania danych. Decyzję o powierzeniu przetwarzania danych osobowych podejmuje Administrator Danych Osobowych po zasięgnięciu opinii ABI.
Powierzenie przetwarzania danych może mieć miejsce na podstawie pisemnej umowy określającej w szczególności zakres i cel przetwarzania danych. Umowa musi określać też zakres odpowiedzialności podmiotu, któremu powierzono przetwarzanie danych z tytułu niewykonania lub nienależytego wykonania umowy.
Powierzenie przetwarzania danych osobowych musi uwzględniać ponadto wymogi określone w art. 31 i nast. ustawy o ochronie danych osobowych. W szczególności podmiot zewnętrzny, któremu ma zostać powierzone przetwarzanie danych osobowych, jest obowiązany przed rozpoczęciem przetwarzania danych do podjęcia środków zabezpieczających zbiór danych, o których mowa w art. 36-39a ustawy o ochronie danych osobowych.
W umowach stanowiących podstawę powierzenia przetwarzania danych albo eksploatacji systemu informatycznego lub części infrastruktury należy umieścić zobowiązanie podmiotu zewnętrznego do przestrzegania Polityki Bezpieczeństwa, w tym zastosowanie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo i odpowiedni poziom ochrony danych.
Powierzenie przetwarzania danych osobowych nie oznacza zwolnienia z odpowiedzialności firmy za zgodne z prawem przetwarzanie powierzonych danych, co wymaga w umowach stanowiących podstawę powierzenia przetwarzania danych umieszczenia prawa firmy Centrum Rozwoju Kapitału Sp. z o.o. do kontroli wykonania przedmiotu umowy w siedzibie podmiotu zewnętrznego m. in. w zakresie przestrzegania Polityki Bezpieczeństwa i właściwych przepisów prawa.
Powierzenie przetwarzania danych uregulowane w § 20 Polityki Bezpieczeństwa Informacji nie ma zastosowania do przekazywania danych podmiotom upoważnionym do ich przetwarzania na mocy przepisów prawa, w tym ZUS, Prokuraturze oraz Policji.
Dane osobowe będą w głównej mierze przetwarzane w celach takich jak: zarządzanie zasobami ludzkimi, realizacja umów, marketing i komunikacja, zapewnienie zgodności i bezpieczeństwa, analiza i rozwój.
Podstawy prawne przetwarzania danych osobowych:
- Zgoda: Osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub kilku konkretnych celach.
- Umowa: Przetwarzanie jest niezbędne do wykonania umowy, w której osoba, której dane dotyczą, jest stroną, lub do podjęcia działań na żądanie tej osoby przed zawarciem umowy.
- Obowiązki prawne: Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze danych.
- Ochrona życiowych interesów: Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.
- Zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej: Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi danych.
- Prawidłowo uzasadnione interesy: Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora danych lub przez stronę trzecią, o ile nie przeważają nad nimi interesy lub prawa i wolności osoby, której dane dotyczą.
- Komu możemy przekazywać dane osobowe?
- Podmioty przetwarzające dane na zlecenie firmy: To mogą być dostawcy usług, tacy jak firmy IT, księgowi, firmy marketingowe, które przetwarzają dane w imieniu firmy.
- Podmioty uprawnione na mocy prawa: Organy państwowe, takie jak organy podatkowe, sądy, organy ścigania mogą wymagać dostępu do danych osobowych w ramach obowiązujących procedur prawnych.
- Partnerzy biznesowi i inne podmioty trzecie: Przy realizacji umów, które wymagają przekazywania danych, na przykład w celu dostarczenia towarów lub usług.
- Instytucje finansowe i banki: W kontekście transakcji finansowych, płatności, kredytowania.
- Ubezpieczyciele: W kontekście zawierania i realizacji umów ubezpieczeniowych.
- Organizacje międzynarodowe: W przypadku przetwarzania danych w kontekście międzynarodowym, z zachowaniem odpowiednich standardów ochrony danych.
- Podmioty w ramach grupy kapitałowej: Jeśli firma jest częścią większej grupy przedsiębiorstw, dane mogą być udostępniane w ramach tej grupy dla wewnętrznych celów administracyjnych.
- Odbiorca danych – każdy, komu udostępnia się dane osobowe, z wyłączeniem: osoby, której dane dotyczą, osoby upoważnionej do przetwarzania danych, podmiotu, któremu powierzono przetwarzanie danych oraz organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem.
Poufność – zapewnienie, że informacja jest dostępna tylko dla osób do tego upoważnionych.
Informacje zawierające dane osobowe są przekazywane uprawnionym podmiotom:
- listem poleconym za potwierdzeniem odbioru,
- w drodze teletransmisji danych, zgodnie z procedurami ochrony danych,
- osobiście za potwierdzeniem odbioru,
- w inny sposób określony przepisami prawa lub umową.
Udostępnianie danych osobowych w trybie uregulowanym w § 21 Polityki Bezpieczeństwa Informacji nie ma zastosowania do przekazywania danych podmiotom upoważnionym do ich przetwarzania na mocy przepisów prawa, którym dane są udostępniane w związku z prowadzonym postępowaniem, w tym w szczególności ZUS, Prokuraturze, Policji, a także nie ma zastosowania do udostępniania danych osobom, których te dane dotyczą.
- Czy Państwa dane osobowe zostaną przesłane do państwa trzeciego (poza Unię Europejską)?
Dane są przekazywane do odbiorców w krajach spoza Unii Europejskiej („państwa trzecie”) wyłącznie, jeżeli jest to niezbędne do wykonania umowy zawartej pomiędzy Państwem a Centrum Rozwoju Kapitału Sp. z o.o. do realizacji zleceń. Jakiekolwiek inne przekazanie danych do państwa trzeciego może mieć miejsce po uzyskaniu Państwa zgody.
Kopię danych osobowych przekazywanych od państwa trzeciego mogą Państwo uzyskać po zgłoszeniu takiej prośby do Inspektora Danych Osobowych.
- Jak długo będziemy przetwarzać (przechowywać) Państwa dane?
Według RODO, możemy przechowywać dane osobowe tylko przez okres niezbędny do osiągnięcia celów, dla których dane zostały zebrane:
- w zakresie realizacji zawartej umowy – do czasu zakończenia jej realizacji, a po tym czasie przez okres wymagany przez przepisy prawa lub dla realizacji ewentualnych roszczeń;
- w zakresie wypełniania zobowiązań prawnych ciążących w związku z prowadzeniem działalności i realizacją zawartych umów – do czasu wypełnienia tych obowiązków ;
- w zakresie marketingu bezpośredniego realizowanego w oparciu o zgodę do czasu wycofania zgody na takie przetwarzanie;
- do czasu wypełnienia prawnie uzasadnionych interesów stanowiących podstawę tego przetwarzania lub do czasu wniesienia przez Państwa sprzeciwu wobec takiego przetwarzania, o ile nie występują prawnie uzasadnione podstawy dalszego przetwarzania danych.
- Jakie prawa przysługują Państwu w związku z danymi osobowymi?
- żądania dostępu do swoich danych osobowych oraz prawo do ich sprostowania, ograniczenia przetwarzania danych osobowych lub do ich usunięcia;
- w zakresie, w jakim podstawą przetwarzania danych osobowych jest zgoda, mają Państwo prawo wycofania w dowolnym momencie udzielonej wcześniej zgody na przetwarzanie danych osobowych;
- wniesienia w dowolnym momencie sprzeciwu wobec przetwarzania danych osobowych:
- z przyczyn związanych z Państwa szczególną sytuacją, gdy przetwarzamy dane do celów wynikających z prawnie uzasadnionych interesów (art. 21 ust. 1 RODO),
- w celach związanych z marketingiem bezpośrednim, w tym wobec profilowania w celach marketingowych w zakresie, w jakim przetwarzanie Państwa danych jest związane z marketingiem bezpośrednim (art. 21 ust. 2 RODO);
- żądania przeniesienia danych osobowych, przetwarzanych w celu zawarcia i wykonywania umowy lub przetwarzanych na podstawie zgody. Przeniesienie polega na otrzymaniu od nas Państwa danych osobowych, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego i przesłaniu takich danych innemu administratorowi danych.
- wniesienia skargi do organu nadzorczego, tj. do Prezesa Urzędu Ochrony Danych Osobowych, w przypadku uznania, iż przetwarzanie Państwa danych osobowych narusza przepisy RODO.
- Skąd pozyskujemy Państwa dane osobowe i jakie są ich kategorie?
Przede wszystkim gromadzone przez nas dane osobowe pochodzą bezpośrednio od Państwa. Przetwarzamy także pewne kategorie danych osobowych, które nie zostały uzyskane bezpośrednio od Państwa. Dane osobowe mogą zostać pozyskane m.in. z:
- osoby reprezentujące Panią/Pana na podstawie udzielonego pełnomocnictwa;
- podmioty, którym Pan/Pani udzielił(-a) zgody na ich przekazanie;
- w ramach zawierania i realizacji umowy, gdy dane są niezbędne do jej wykonania.
- na podstawie obowiązujących przepisów prawa, które wymagają przetwarzania danych osobowych.
- w oparciu o uzasadniony interes realizowany przez administratora danych, np. marketing bezpośredni, jednak nie może to naruszać praw i wolności osób, których dane dotyczą.
Zachowujemy transparentność procesu zbierania danych, informujemy osoby, których dane dotyczą, o celu i sposobie ich przetwarzania.
- W jakim stopniu korzystamy z automatycznego podejmowania decyzji, w tym profilowania?
Centrum Rozwoju Kapitału sp. z o.o. nie profiluje danych osobowych klientów oraz nie podejmuje zautomatyzowanego podejmowania decyzji.