Polityka Ochrony Danych Osobowych

obowiązująca w Main Partners Sp. z o.o. z siedzibą w Warszawie

§ 1. Podstawa prawna
  1. 1. Niniejsza Polityka Ochrony Danych Osobowych (dalej: „Polityka”) stanowi ogólną regulację zasad i wymogów dotyczących ochrony danych osobowych (dalej także: „ochrona danych”) obowiązujących u Administratora: Main Partners Sp. z o.o. z siedzibą w Warszawie, ul. Bieniewicka 26, 01-632 Warszawa, KRS: 0000597242, NIP: 5252643734, Regon 363544859, kapitał zakładowy 200 000zł, będąca dużym przedsiębiorstwem w rozumieniu rozporządzenia nr 651/2014 Komisji UE z dnia 17 czerwca 2014r. oraz ustawy Prawo Przedsiębiorców z dnia 6 marca 2018 r.
  2. Niniejsza Polityka, wraz z przywołanymi w niej dokumentami dotyczącymi ochrony danych, stanowi „politykę ochrony danych” w rozumieniu art. 24 Ogólnego Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. UE L 119, s. 1) (dalej: „RODO”).
  3. Szczegółowe zasady ochrony danych i przyjęte procedury zostały opisane w osobnej dokumentacji będącej integralną częścią niniejszej Polityki, stanowią dowody rozliczalności o których mowa w art. 5 ust. 2 RODO.
  4. Przez dane osobowe (dalej: „dane osobowe” lub „dane”) rozumie się, zgodnie z RODO, informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
  5. Zgodnie z urzędową interpretacją unijnej Grupy Roboczej Art. 29 (obecnej Europejskiej Rady Ochrony Danych Osobowych), za dane osobowe w rozumieniu RODO uważa się także dane osoby fizycznej prowadzącej działalność gospodarczą.
  6. Podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
  7. Zgoda w niniejszej Polityce rozumiana jest zgodnie z RODO, jako dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
  8. Przez transgraniczne przetwarzanie danych osobowych rozumie się:
    a) przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności jednostek organizacyjnych w więcej, niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego w Unii posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim; albo
    b) przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim.
  9. Przetwarzanie danych osobowych oznacza, zgodnie z RODO, operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
  10. Administrator nie przetwarza szczególnych kategorii danych osobowych (dawniej określanych jako „dane wrażliwe”), przez co rozumie się, zgodnie z RODO, dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne oraz dane dotyczące zdrowia, seksualności lub orientacji seksualnej. Przetwarzanie szczególnych danych jest dopuszczalne jedynie w ściśle określonych w przepisach celach i warunkach i dotyczy wyłącznie spraw kadrowych (akta osobowe) oraz gdy jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy albo do oceny zdolności pracownika do pracy.
  11. Przetwarzanie danych dotyczących wyroków skazujących jest niedopuszczalne.
§ 2. Podmioty odpowiedzialne

1. Osobami odpowiedzialnymi za wdrożenie i utrzymanie oraz nadzór i monitorowanie przestrzegania niniejszej Polityki oraz zasad ochrony danych osobowych jest Administrator: Main Partners Sp. z o.o. z siedzibą w Warszawie,
2. Za stosowanie Zbioru Polityk oraz zasad ochrony danych odpowiedzialni są wszyscy członkowie Personelu Spółki.
3. Za członków Personelu, w rozumieniu Zbioru Polityk, rozumie się następujące osoby pozostające w strukturach Administratora:
a. pracowników w rozumieniu prawa pracy
b. osoby zatrudnione na umowach cywilnoprawnych
c. współpracowników prowadzących działalność gospodarczą.
4. Członkowie Personelu określani są dalej w Zbiorze Polityk także jako „Pracownicy”/”Współpracownicy”

§ 3. Zasady ochrony danych

1. Zgodnie z przepisami RODO Administrator przetwarza dane osobowe w oparciu przede wszystkim o następujących zasady:
a. zasadę legalizmu – przetwarzanie danych odbywa się w oparciu o podstawę prawną, zgodnie z prawem oraz zachowaniem dbałości o ochronę prywatności;
b. zasadę bezpieczeństwa – zapewnienie odpowiedniego poziomu bezpieczeństwa przetwarzanym danym;
c. zasady prawidłowości, rzetelności oraz transparentności przetwarzania, dla osoby, której dane dotyczą
d. zasadę minimalizmu, co oznacza przetwarzanie:
(i) w konkretnych celach i nie więcej niż jest niezbędne dla realizacji tych celów (adekwatność)
(ii) nie dłużej niż jest to konieczne do realizacji celu (czasowość)
e. zasadę zapewnienia ochrony danych w fazie projektowania – wszelkie projekty już na etapie tworzenia winny uwzględniać obowiązek zapewnienia ochrony danych osobowych (kwestionariusze, zgody, aplikacje, itp.)
f. zasadę zapewnienia domyślnej ochrony danych – szczególnie w systemach informatycznych domyślnie przetwarzane powinny być wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia celu ich przetwarzania. Oznacza to zapewnienie ustawień zapewniających maksymalnie wysoką ochronę danych jako pierwotnych ustawień systemu informatycznego czy oprogramowania, a zmiana tych ustawień powinna następować jedynie na wyraźne żądanie Administratora.
2. Wszelkie działania dotyczące ochrony danych osobowych winny mieć na względzie sformułowaną w RODO zasadę rozliczalności, nakazującą dokumentowanie przez Administratora sposobu spełniania obowiązków tak, aby w każdej chwili móc wykazać zgodność z RODO.

§ 4. Upoważnienia do przetwarzania danych

1. Wszystkie osoby dokonujące przetwarzania danych osobowych mogą działać jedynie na podstawie oraz w granicach polecenia i upoważnienia wydanego przez Administratora.
2. Administrator prowadzi jest Rejestr Upoważnień.
3. Podmioty zewnętrzne (dalej: „Podmioty Przetwarzające”), a więc podmioty nie decydujące o celach i sposobach przetwarzania danych, dokonują przetwarzania danych osobowych jedynie na podstawie oraz w granicach umowy powierzenia danych osobowych zawartych z Administratorem.
4. Administrator prowadzi jest Rejestr Umów Powierzenia.

§ 5. Obowiązki dotyczące praw osoby fizycznej

1. Wszelkie informacje kierowane do osób, których dane są przetwarzane przez lub w imieniu Administratora, winny wskazywać podstawę prawną przetwarzania. Przepisy RODO dopuszczają możliwość przetwarzania danych osobowych jedynie w ściśle określonych przypadkach, spośród których w występują następujące (należy wybrać właściwe dla danego rodzaju działalności):
• gdy osoba, której dane dotyczą, wyraziła zgodę, np. do celów marketingowych;
• gdy przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
• gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze;
• gdy przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
• przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi;
• przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
2. Administrator spełnia względem osób, których dane przetwarza, obowiązek informacyjny – przekazuje wymagane prawem informacje przy zbieraniu danych (klauzule informacyjne).
3. Klauzuli informacyjnej nie należy unikać w sytuacjach, gdy przetwarzanie jest dopuszczalne z innego tytułu, zwłaszcza jako niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
4. O fakcie profilowania należy poinformować osobę, której dane są profilowane, jak również należy uzyskać wyraźną zgodę tej osoby na profilowanie. Przez „profilowanie” rozumie się dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu tych danych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
5. Osoba, której dane są przetwarzane, może w każdej chwili odwołać zgodę na przetwarzanie danych. Odwołanie zgody wywołuje wyłącznie skutki na przyszłość. W przypadku osób, które łączyła z Administratorem umowa, można przechowywać odpowiednio zabezpieczone dane w ilości niezbędnej do dochodzenia w przyszłości roszczeń z zawartej i realizowanej umowy, nie dłużej niż do czasu przedawnienia roszczeń lub odrębnych przepisów podatkowych.
6. W razie zajścia przypadku naruszenia ochrony danych osobowych polegającego w szczególności na:
• naruszeniu bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego prawem zniszczenia, utracenia albo zmodyfikowania danych osobowych;
• naruszeniu bezpieczeństwa prowadzącym do nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych obowiązuje ściśle określona w RODO procedura zgłaszania naruszenia danych oraz zawiadamiania osób, których dane dotyczą.
7. Osobie, której dane dotyczą, przysługuje prawo do bycia zapomnianą. Prawo to polega na:
• możliwości żądania przez osobę, której dane dotyczą, usunięcia jej danych osobowych przez Administratora,
• możliwości żądania, aby Administrator poinformował innych administratorów danych, którym udostępnił dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych lub ich kopie.
8. Osobie, której dane dotyczą, przysługuje prawo do przenoszenia danych. Prawo to polega na możliwości żądania:
• otrzymania przez osobę, której dane dotyczą, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, danych osobowych jej dotyczących, które dostarczyła Administratorowi
• prawo przesłania przez osobę, której dane dotyczą, danych osobowych jej dotyczących, które dostarczyła Administratorowi – innemu administratorowi, bez przeszkód ze strony Administratora.
9. Prawo do przenoszenia danych może być wykonane wyłącznie wtedy, gdy:
• przetwarzanie danych odbywa się na podstawie zgody lub w celu wykonania umowy oraz
• przetwarzanie danych odbywa się w sposób zautomatyzowany. Prawo do przenoszenia danych obejmuje tylko dane osobowe przetwarzane przy użyciu systemów informatycznych i nie obejmuje tradycyjnych, np. papierowych zbiorów danych.

§ 6. Okres przechowywania danych osobowych
  1. Jeżeli podstawą przetwarzania danych osobowych jest zgoda, dane osobowe mogą być przetwarzane tak długo, aż zgoda nie zostanie odwołana, chyba że szczegółowe polityki stanowią inaczej, w tym procedura usuwania oraz wytyczne dotyczące przechowywania danych osobowych archiwizacji i usuwania dokumentów zawierających dane osobowe
  2. Jeżeli podstawą przetwarzania danych osobowych jest wykonanie umowy, dane osobowe mogą być przetwarzane tak długo, jak jest to niezbędne do wykonania umowy, a po tym czasie przez okres wynikający z obowiązku przechowywania danych księgowych i rachunkowych (na podstawie obowiązujących przepisów) lub przez okres niezbędny do dochodzenia lub przedawnienia roszczeń, jakie może podnosić Administrator lub jakie mogą być podnoszone w stosunku do Administratora.
  3. W pozostałych kwestiach okres przechowywania danych uregulowany jest osobnymi przepisami, które są respektowane przez Administratora.
§7. Bezpieczeństwo danych osobowych
  1. Należy mieć na uwadze, że przepisy RODO nie wskazują konkretnych środków zabezpieczenia danych osobowych, jednakże wprowadzają zasadę, że dobór środków bezpieczeństwa powinien być oparty o:
  • stan wiedzy technicznej,
  • koszt wdrażania,
  • charakter, zakres, kontekst i cele przetwarzania,
  • ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.
  1. Administrator uwzględniając cel i kontekst przetwarzania danych osobowych, przeprowadził ocenę i analizę ryzyka jakie wiąże się z ich przetwarzaniem; na tej podstawie zastosował odpowiednie środki techniczne i organizacyjne zabezpieczające dane (w tym w szczególności procedury, polityki, środki kryptograficzne, pseudonimizację).
  2. Administrator wdrożył szereg procedur mających na celu realizację ciągłości działania zgodnych z RODO i obowiązującymi przepisami.

Z poważaniem:
Zarząd
Main Partners Sp. z o.o. w Warszawie