Polityka Prywatności - Leitz Polska Sp. z o.o.
Stan na dzień 17.12.2021
1. Zakres stosowania
Niniejsza polityka prywatności dotyczy korzystania ze strony internetowej www.leitz.org i usług oferowanych za jej pośrednictwem.
Ochrona informacji dotyczących Użytkowników naszej strony www.leitz.org jest dla nas sprawą najwyższej wagi, w związku z tym dokładamy najwyższych starań, aby czuli się Państwo bezpiecznie powierzając nam swoje dane osobowe przy korzystaniu z naszych stron internetowych. Niniejsza polityka prywatności wyjaśnia zasady i zakres przetwarzania przez nas Państwa danych osobowych, przysługujące Państwu prawa i nasze obowiązki jako administratora danych.
Stosujemy najnowocześniejsze środki techniczne i rozwiązania organizacyjne zapewniające wysoki poziom ochrony przetwarzanych danych osobowych i zabezpieczenia ich przed dostępem osób nieupoważnionych.
Administratorem danych osobowych jest:
Leitz-Polska Spółka z o. o. z siedzibą w Radomsku (97-500), przy ulicy Duńskiej 4, email: ochronadanych@leitz.pl i należy do Leitz GmbH & Co. KG, Leitzstraße 2, 73447 Oberkochen/Deutschland, E-Mail leitz@leitz.org , która jest spółką macierzystą licznych spółek zależnych w Niemczech i za granicą. Każda ze spółek ma własną politykę prywatności i stosuje przepisy prawa obowiązujące w danym kraju.
2. Automatyczne gromadzenie i przetwarzanie danych przez przeglądarkę
Podobnie jak w przypadku każdej strony internetowej, nasz serwer automatycznie i tymczasowo gromadzi informacje w plikach dziennika serwera przesyłanych przez przeglądarkę, chyba że została ona dezaktywowana przez użytkownika. Jeśli chcecie Państwo przeglądać naszą stronę internetową, gromadzimy następujące dane, które są technicznie niezbędne do wyświetlenia Państwu naszej strony internetowej oraz do zapewnienia stabilności i bezpieczeństwa (podstawa prawna art. 6 ust. 1 lit. f) RODO):
- Adres IP komputera żądającego
- Zapytanie klienta
- Kod odpowiedzi http
- Stronę internetową, z której nas odwiedzasz (Referer URL),
- Czas żądania serwera
- Typ i wersja przeglądarki
- System operacyjny używany przez komputer wysyłający zapytanie.
Osobista identyfikacja plików dziennika serwera nie ma miejsca. Dane te nie mogą być w żadnym momencie przypisane przez dostawcę do konkretnych osób. Te dane nie są scalane z innymi źródłami danych.
3. Pliki cookie
Aby nasza strona internetowa była przyjazna dla użytkownika i optymalnie dostosowana do Państwa potrzeb, w niektórych obszarach używamy plików cookie. W ten sposób oferujemy atrakcyjną stronę internetową, co jest naszym uzasadnionym interesem. "Pliki cookie" to małe pliki, które przesyłamy na dysk twardy komputera za pomocą przeglądarki internetowej lub innych programów. Są one przechowywane lokalnie na dysku twardym komputera i przechowywane w gotowości do późniejszego pobrania. Umożliwiają one naszemu systemowi rozpoznanie Państwa przeglądarki i świadczenie określonych usług.
Niektóre z używanych przez nas plików cookie są usuwane po zakończeniu sesji przeglądarki, tj. po zamknięciu przeglądarki (tzw. sesyjne pliki cookie). Inne pliki cookie pozostają na Państwa urządzeniu i umożliwiają nam lub naszym firmom partnerskim rozpoznanie Państwa przeglądarki podczas następnej wizyty (trwałe pliki cookie). Możesz ustawić swoją przeglądarkę tak, abyś był informowany o ustawieniu plików cookie i indywidualnie decydował o ich akceptacji lub wykluczeniu akceptacji plików cookie w określonych przypadkach lub ogólnie (patrz poniżej zgoda lub odrzucenie plików cookie). Kiedy po raz pierwszy odwiedzasz naszą stronę internetową, będziesz mieć możliwość wyboru, na które pliki cookie chcesz zezwolić. W ustawieniach plików cookie w stopce strony internetowej możesz w każdej chwili przywołać lub dostosować swój wybór. Jeśli nie akceptujesz plików cookie, funkcjonalność naszej strony internetowej może być ograniczona.
4. Media społecznościowe
Przyciski mediów społecznościowych na naszej stronie internetowej nie są wtyczkami. Za przyciskami znajduje się przekierowanie do odpowiedniej platformy. W tym celu nie przechowujemy plików cookie na Państwa komputerze, a Państwa dane nie będą przez nas przesyłane.
W przypadku dalszych działań na tych stronach obowiązuje polityka prywatności odpowiedniej platformy mediów społecznościowych:
“Facebook” i "Instagram" (Facebook Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland)
https://www.facebook.com/privacy/explanation
„Twitter“ (Twitter, Inc. 1355 Market St, Suite 900, San Francisco, CA 94103, USA),
https://twitter.com/privacy?lang=de
„Xing“ (XING AG, Dammtorstraße 30, 20354 Hamburg, Deutschland)
https://privacy.xing.com/de/datenschutzerklaerung
„LinkedIn“ (LinkedIn Corporation, 2029 Stierlin Court, Mountain View, CA 94043, USA),
https://www.linkedin.com/legal/privacy-policy
Kiedy odwiedzacie Państwo nasze strony internetowe, które zawierają taki przycisk, Państwa przeglądarka nie nawiązuje połączenia z serwerami danej usługi, chyba że klikniecie dany przycisk. W związku z tym informacje o wizycie na naszej stronie internetowej nie są przekazywane do danej usługi.
Jeśli jesteście Państwo zalogowani do danej usługi w tym samym czasie za pośrednictwem osobistego konta użytkownika podczas wizyty na naszej stronie internetowej (np.za pośrednictwem innej sesji przeglądarki) i klikniecie przyciski, Państwa wizyta na naszej stronie internetowej może zostać przypisana do danego konta.
W celu zapobiegania takiemu przesyłaniu danych, należy wylogować się ze swojego konta użytkownika danej usługi lub nie korzystać z linków przed odwiedzeniem naszych stron internetowych. Zakres i cel gromadzenia danych przez daną usługę, a także dalsze przetwarzanie i wykorzystywanie danych można znaleźć w informacjach o ochronie danych bezpośrednio ze strony internetowej usługi. Znajdują się tam również dalsze informacje na temat odpowiednich praw do ochrony danych i opcji ustawień w celu ochrony prywatności.
5. reCAPTCHA
Na naszej stronie internetowej wykorzystujemy narzędzie reCAPTCHA oferowaną przez GOOGLE Ireland Limited, Gordon House, 4 Barrow St, Dublin, D04 E5W5, Irlandia („Google”). Podstawowym zadaniem tego narzędzia jest sprawdzenie, czy Użytkownikiem jest osoba fizyczna, czy też korzystanie ze strony odbywa się w sposób maszynowy i zautomatyzowany. Usługa ta polega na przesłaniu adresu IP itp. do usługi reCAPTCHA Google i tym samym dane osobowe mogą zostać udostępnione serwerowi Google LLC w Stanach Zjednoczonych Ameryki. W takim przypadku GOOGLE LLC otrzymało odpowiedni certyfikat, zobowiązujący je do zapewnienia bezpieczeństwa na poziomie wymaganym w Unii Europejskiej. Link do aktualnego certyfikatu poniżej:
https://www.privacyshield.gov/list
Więcej informacji dot. Google reCAPTCHA oraz polityki prywatności Google pod adresem:
https://policies.google.com/privacy?hl=de
6. Wykorzystywanie filmów video YouTube
Na naszej stronie wykorzystujemy filmy You-Tube, wykorzystując usługę oferowaną przez Google Inc., Amphitheatre Parkway, Mountain View, CA 94043, USA.
Podczas uruchamiania filmów zostaje udostępniony Państwa adres IP. Nie jest możliwa jego identyfikacja, chyba że jesteście Państwo zalogowani do tej usługi.
W trakcie oglądania filmów You-Tube nie są pozyskiwane ani gromadzone żadne dane osobowe, aktywne są tylko pliki Cookies, które zbierają dane statystyczne liczby wyświetleń. Można je wyłączyć w ustawieniach przeglądarki.
6.1. Przetwarzając dane osobowe używamy certyfikatu SSL z najwyższym poziomem zabezpieczeń, który jest wspierany przez Państwa przeglądarkę. O prawidłowym działaniu tego certyfikatu świadczy symbol zamkniętej, zielonej kłódki w Państwa przeglądarce.
7. Hiperłącza do innych stron internetowych
Na naszej stronie znajdują się hiperłącza do stron internetowych innych usługodawców. Używając ich zostajecie Państwo przekierowani bezpośrednio na jego stronę. Zmieni się wówczas adres URL. Nasza firma nie ponosi odpowiedzialności za to, w jaki sposób Państwa dane osobowe będą przetwarzane na tych stronach i czy przestrzegane będą tam obowiązujące zasady danych osobowych. Wszelkich informacji na temat przetwarzania danych osobowych na tych stronach należ poszukiwać na tych stronach.
8. Gromadzenie i przetwarzanie danych przekazywanych dobrowolnie (na podstawie zgody)
Dane osobowe udostępnione nam poprzez e-mail lub stronę internetową (imię, nazwisko, dane kontaktowe itp.) przetwarzane są na podstawie zgody. Takie dane przetwarzane są w celu obsługi Państwa zapytań i są przekazywane w zaszyfrowanej postaci do odbiorcy w naszej firmie.
Dane osobowe przetwarzane na podstawie zgody nie są udostępniane osobom trzecim w celach reklamowych i marketingowych. Dane te są usuwane, jeśli przetwarzanie ich nie jest już niezbędne do wyznaczonego celu. Jeśli ciąży na nas prawny obowiązek dłuższego przetwarzania danych ograniczamy ich przetwarzanie zgodnie z wymogami prawa.
9. Okres przechowywania danych osobowych
Państwa dane osobowe są przetwarzane tylko i wyłącznie do zakończenia celu, w którym były pozyskane, chyba że istniejące przepisy prawa zobowiązują administratora danych osobowych do dłuższego przetwarzania.
10. Informacje handlowe - Newsletter
Macie Państwo możliwość subskrybowania naszego newslettera, poprzez podanie adresu e-mail i wyrażenie zgody na przetwarzanie Państwa danych osobowych w celu przesyłania informacji handlowych oraz marketingowych drogą mailową. Poprzez newslettera informujemy Państwa o naszych nowościach i aktualnych wydarzeniach.
10.1 Podstawa prawna przetwarzania danych do newslettera
Podstawą prawną przetwarzania Państwa danych osobowych w kontekście wysyłania newslettera jest art. 6 ust. 1 lit. a RODO UE, jeśli wyrazili Państwo na to zgodę. W związku z wysyłką newslettera Państwa dane nie będą przekazywane osobom trzecim. Do wysyłki newslettera stosujemy tzw. procedurę double opt-in, tj. wyślemy Państwu newsletter tylko wtedy, gdy najpierw potwierdzicie swoją rejestrację za pomocą wiadomości e-mail z potwierdzeniem wysłanej do Ciebie w tym celu za pośrednictwem zawartego w nim linku. W ten sposób chcemy mieć pewność, że tylko Państwo jako właściciel podanego adresu e-mail możecie zapisać się do newslettera. Potwierdzenie w tym zakresie musi zostać dokonane niezwłocznie po otrzymaniu wiadomości e-mail z potwierdzeniem, w przeciwnym razie rejestracja biuletynu zostanie automatycznie usunięta z naszej bazy danych.
10.2. Cel przetwarzania danych
Zbieranie Państwa danych osobowych (co najmniej adresu e-mail) służy do wysyłania newslettera. Celem przetwarzania Państwa danych osobowych w kontekście wysyłania newslettera są bieżące informacje na istotne tematy związane z przetwórstwem drewna i tworzyw sztucznych, zaawansowanymi materiałami i rozwojem korporacyjnym.
10.3. Okres przechowywania
Państwa dane osobowe zostaną usunięte, gdy tylko nie będą już niezbędne do osiągnięcia celu, dla którego zostały zebrane. Państwa dane osobowe będą zatem przechowywane tak długo, jak długo aktywna jest subskrypcja biuletynu.
10.4. Możliwość sprzeciwu i usunięcia
W każdej chwili można zrezygnować z subskrypcji newslettera poprzez kliknięcie odpowiedniego linku znajdującego się w każdym newsletterze lub poprzez wysłanie emaila: ochronadanych@leitz.pl
11. Formularz kontaktowy
11.1. Kategorie i zakres przetwarzanych danych osobowych
Na naszej stronie internetowej macie Państwo możliwość skorzystania z formularza kontaktowego w celu wysłania zapytania do naszej firmy. Korzystając z naszego formularza kontaktowego podajecie Państwo dane osobowe niezbędne do odpowiedzi na zapytanie, są to:
- Zwrot grzecznościowy (Pan/Pani)
- Imię, nazwisko
- Kraj
- Kod pocztowy, miejscowość
- Adres email
- Dane kontaktowe
Adres email jest niezbędny, aby odpowiedzieć na Państwa zapytanie. Państwa dane osobowe z formularza kontaktowego nie są udostępniane osobom trzecim. Dodatkowe dane dotyczące firmy, adresu i numeru telefonu można podać dobrowolnie w celu ułatwienia odpowiedzi na zapytanie.
11.2. Okres przetwarzania danych
Państwa dane osobowe podane w formularzu kontaktowym zostaną usunięte natychmiast po zakończeniu korespondencji dotyczącej tego konkretnego zapytania. Dłuższe przetwarzanie danych osobowych jest możliwe tylko w przypadku obowiązujących przepisów prawa.
11.3. Podstawa prawna przetwarzania
Podstawą prawną przetwarzania danych osobowych w celu obsługi formularza kontaktowego jest Art. 6, ust. 1 f RODO.
12. Rekrutacja przez stronę internetową
12.1. Sposób i zakres przetwarzania danych osobowych
Jeśli będą Państwo brać udział w procesie rekrutacji w odpowiedzi na zamieszczane przez nas na stronie ogłoszenia o pracę, możecie Państwo wysłać dokumenty rekrutacyjne na adres mailowy: rekrutacja@leitz.pl. Przekazane dane będą przetwarzane tylko i wyłącznie w celu przeprowadzenia procesu rekrutacji.
12.2. Podstawa prawna
Dane osobowe przekazane nam w procesie rekrutacji są przetwarzane na podstawie art. 6, ust. 1 b RODO.
12.3. Okres przetwarzania danych
Dane osobowe przekazane nam w procesie rekrutacji, będą przetwarzane przez okres 6 miesięcy po zakończeniu procesu rekrutacji na dane stanowisko.
12.4. Udostępnianie i przekazywanie danych osobowych osobom trzecim
Dane osobowe nie są udostępniane ani przekazywane osobom trzecim, chyba że przekazywanie danych osobowych odbywa się:
- W ramach udzielonej zgody, przy czym dane odbiorcy lub kategorie odbiorców zostaną Państwu podane do wiadomości.
- W ramach opracowywania Państwa zapytań, zamówień oraz w razie konieczności zlecenia naszych usług zleceniodawcom, którzy otrzymają tylko niezbędne do realizacji Państwa zamówienia dane osobowe.
- W ramach powierzenia przetwarzania danych na podstawie art. 28 RODO podmiotom zewnętrznym, które są przez nas starannie wybierane i zobowiązane do przestrzegania regulacji dotyczących ochrony danych osobowych na podstawie rozporządzenie RODO i podlegają naszej kontroli.
- W ramach realizacji zobowiązań prawnych w stosunku do uprawnionych organów i urzędów.
13. Prawa osób, których dane dotyczą
W związku z przetwarzaniem przez nas Państwa danych osobowych przysługują Państwu następujące prawa:
13.1. W każdej chwili można wycofać swoją zgodę - bez podawania przyczyny. Żądanie może dotyczyć wskazanego przez Państwa celu przetwarzania, ale też może dotyczyć wszystkich celów przetwarzania. Wycofanie zgody nie wpłynie na dotychczas dokonane czynności.
13.2. W każdej chwili można żądać abyśmy usunęli Państwa dane – bez podawania przyczyny. Żądanie usunięcia danych nie wpłynie na dotychczas dokonane czynności.
13.3. W każdej chwili można wyrazić sprzeciw przeciwko przetwarzaniu Państwa danych zarówno w całości jak i we wskazanym przez Państwa celu. Sprzeciw nie wpłynie na już dokonane czynności.
13.4. Można zażądać abyśmy ograniczyli przetwarzanie Państwa danych osobowych czy to przez określony czas czy w określonym zakresie – postąpimy zgodnie z Państwa decyzją. Żądanie to nie wpłynie na dotychczas dokonane czynności.
13.5. W każdej chwili można zażądać abyśmy poprawili bądź sprostowali Państwa dane osobowe. Można to też zrobić wysyłając wiadomość na adres mailowy: ochronadanych@leitz.pl lub pocztą na adres: Leitz-Polska Spółka z o. o., ul. Duńska 4, 97-500 Radomsko z dopiskiem „Ochrona danych”.
13.6. W każdej chwili można zażądać od nas informacji o zakresie przetwarzania przez nas Państwa danych osobowych.
Mamy obowiązek poinformować Państwa nie później niż w ciągu miesiąca od otrzymania każdego z żądań o podjętych przez nas działaniach.
Polityka Ochrony Danych Osobowych - Leitz Polska Sp. z o.o.
Stan na dzień 07.02.2022
1. Podstawa prawna
1.1. Niniejsza Polityka Ochrony Danych Osobowych (dalej: „Polityka”) stanowi ogólną regulację zasad i wymogów dotyczących ochrony danych osobowych (dalej także: „ochrona danych”) obowiązujących u Administratora: Leitz - Polska Sp. z o.o. z siedzibą: 97-500 Radomsko, ul. Duńska 4; wpisana do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla Łodzi Śródmieścia, XX Wydział Gospodarczy pod numerem KRS: 000008094, nr NIP: 7721787755, REGON: 590571866, wysokość kapitału zakładowego i kapitału wpłaconego 400.000,00zł, tel. 044 683 03 88, e-mail: leitz@leitz.pl. (dalej „Administrator”, lub „Leitz Polska”)
1.2. Niniejsza Polityka, wraz z przywołanymi w niej dokumentami dotyczącymi ochrony danych, stanowi „politykę ochrony danych” w rozumieniu art. 24 Ogólnego Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. UE L 119, s. 1) (dalej: „RODO”).
1.3. Szczegółowe zasady ochrony danych i przyjęte procedury zostały opisane w osobnej dokumentacji będącej integralną częścią niniejszej Polityki, stanowią dowody rozliczalności o których mowa w art. 5 ust. 2 RODO.
1.4. Przez dane osobowe (dalej: „dane osobowe” lub „dane”) rozumie się, zgodnie z RODO, informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
1.5. Zgodnie z urzędową interpretacją unijnej Grupy Roboczej Art. 29 (obecnej Europejskiej Rady Ochrony Danych Osobowych), za dane osobowe w rozumieniu RODO uważa się także dane osoby fizycznej prowadzącej działalność gospodarczą.
1.6. Podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
1.7. Zgoda w niniejszej Polityce rozumiana jest zgodnie z RODO, jako dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
1.8. Przez transgraniczne przetwarzanie danych osobowych rozumie się:
- przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności jednostek organizacyjnych w więcej, niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego w Unii posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim; albo
- przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim.
1.9. Przetwarzanie danych osobowych oznacza, zgodnie z RODO, operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
1.10. Administrator nie przetwarza szczególnych kategorii danych osobowych, przez co rozumie się, zgodnie z RODO, dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne oraz dane dotyczące zdrowia, seksualności lub orientacji seksualnej. Przetwarzanie szczególnych danych jest dopuszczalne jedynie w ściśle określonych w przepisach celach i warunkach i dotyczy wyłącznie spraw kadrowych (akta osobowe) oraz gdy jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy albo do oceny zdolności pracownika do pracy.
1.11. Przetwarzanie danych dotyczących wyroków skazujących jest niedopuszczalne.
2. Podmioty odpowiedzialne
2.1. Osobami odpowiedzialnymi za wdrożenie i utrzymanie oraz nadzór i monitorowanie przestrzegania niniejszej Polityki oraz zasad ochrony danych osobowych jest Administrator: Leitz Polska sp. z o.o., Inspektor Ochrony Danych i inni członkowie personelu, zgodnie z opisanymi procedurami.
2.2. Za stosowanie Polityk oraz zasad ochrony danych odpowiedzialni są wszyscy członkowie Personelu Spółki.
2.3. Za członków Personelu, w rozumieniu niniejszej Polityki, rozumie się następujące osoby pozostające w strukturach Administratora:
- pracowników w rozumieniu prawa pracy
- osoby zatrudnione na umowach cywilnoprawnych
- współpracowników prowadzących działalność gospodarczą.
2.4. Członkowie Personelu określani są dalej w niniejszej Polityce także jako „Pracownicy”/”Współpracownicy”.
3. Zasady ochrony danych
3.1. Zgodnie z przepisami RODO Administrator przetwarza dane osobowe w oparciu przede wszystkim o następujących zasady:
- zasadę legalizmu – przetwarzanie danych odbywa się w oparciu o podstawę prawną, zgodnie z prawem oraz zachowaniem dbałości o ochronę prywatności;
- zasadę bezpieczeństwa - zapewnienie odpowiedniego poziomu bezpieczeństwa przetwarzanym danym;
- zasady prawidłowości, rzetelności oraz transparentności przetwarzania, dla osoby, której dane dotyczą
- zasadę minimalizmu, co oznacza przetwarzanie:
(i) w konkretnych celach i nie więcej niż jest niezbędne dla realizacji tych celów (adekwatność)
(ii) nie dłużej niż jest to konieczne do realizacji celu (czasowość)
- zasadę zapewnienia ochrony danych w fazie projektowania - wszelkie projekty już na etapie tworzenia winny uwzględniać obowiązek zapewnienia ochrony danych osobowych (kwestionariusze, zgody, aplikacje, itp.)
- zasadę zapewnienia domyślnej ochrony danych - szczególnie w systemach informatycznych domyślnie przetwarzane powinny być wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia celu ich przetwarzania. Oznacza to zapewnienie ustawień zapewniających maksymalnie wysoką ochronę danych jako pierwotnych ustawień systemu informatycznego czy oprogramowania, a zmiana tych ustawień powinna następować jedynie na wyraźne żądanie Administratora.
3.2. Wszelkie działania dotyczące ochrony danych osobowych winny mieć na względzie sformułowaną w RODO zasadę rozliczalności, nakazującą dokumentowanie przez Administratora sposobu spełniania obowiązków tak, aby w każdej chwili móc wykazać zgodność z RODO.
3.3. Przetwarzanie danych osobowych w Spółce oparte jest także na:
- Znajomości dokumentacji przetwarzania danych osobowych – każda osoba upoważniona do przetwarzania danych osobowych powinna zostać zapoznana z przyjętymi dokumentami stanowiącymi politykę ochrony danych przyjętą w Leitz Polska;
- Przywilejach koniecznych – każda osoba upoważniona do przetwarzania danych posiada dostęp do danych osobowych ograniczony wyłącznie do tych danych, które są konieczne do wykonywania powierzonych jej zadań;
- Usługach koniecznych – systemy informatyczne świadczą tylko takie usługi, które są konieczne do realizacji zadań biznesowych i operacyjnych.
3.4. Administrator deklaruje pełne zaangażowanie i determinację celem zapewnienia bezpieczeństwa przetwarzania danych osobowych, a także prawidłowego zabezpieczenia systemu informatycznego służącego do przetwarzania danych osobowych, jak i zabezpieczenia danych przetwarzanych w wersji papierowej.
3.5. Administrator w szczególności zapewnia:
(1) środki techniczne i organizacyjne niezbędne dla zapewnienia bezpiecznego przetwarzania danych w pomieszczeniach do tego przeznaczonych;
(2) system i sprzęt informatyczny umożliwiający bezpieczne przetwarzanie danych;
(3) że do przetwarzania danych osobowych zostały dopuszczone wyłącznie osoby posiadające upoważnienie do przetwarzania danych osobowych, wydane zgodnie z art. 29 RODO;
(4) zapoznanie z przepisami o ochronie danych osobowych każdej osoby upoważnionej do przetwarzania danych osobowych;
(5) uwzględnienie ochrony danych w fazie projektowania oraz uwzględnienie mechanizmów domyślnej ochrony zgodnie z art. 25 RODO;
(6) korzystanie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniło wymogi RODO i chroniło prawa osób, których dane dotyczą, zgodnie z art. 28 RODO;
(7) należyte i terminowe udzielanie informacji na wniosek osób, których dane są przetwarzane, w związku z realizacją ich praw wskazanych w art. 12-23 RODO;
(8) kontrolę nad tym jakie dane, kiedy i przez kogo zostały do zbiorów Administratora wprowadzone, ze zbiorów usunięte oraz komu i przez kogo przekazane, zgodnie z wymaganiami bezpieczeństwa wskazanymi w art. 32 RODO;
(9) zgłaszanie naruszeń ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych, zgodnie z art. 33 RODO oraz zawiadamianie osób, których dane dotyczą, zgodnie z art. 34 RODO
(10) prowadzenie rejestru czynności przetwarzania danych lub / i rejestru kategorii czynności przetwarzania danych, w przypadku gdy Administrator jest do tego zobowiązany, zgodnie z art. 30 RODO;
(11) dokonywanie oceny skutków dla ochrony danych (DPIA) zgodnie z art. 35 RODO, w przypadku gdy Administrator jest do tego zobowiązany;
(12) wyznaczenie Inspektora ochrony danych, zgodnie z art. 37 RODO, w przypadku, gdy Administrator jest do tego zobowiązany.
4. Upoważnienia do przetwarzania danych
4.1. Wszystkie osoby dokonujące przetwarzania danych osobowych mogą działać jedynie na podstawie oraz w granicach polecenia i upoważnienia wydanego przez Administratora.
4.2. Administrator prowadzi jest Rejestr Upoważnień.
4.3. Podmioty zewnętrzne (dalej: „Podmioty Przetwarzające”), a więc podmioty nie decydujące o celach i sposobach przetwarzania danych, dokonują przetwarzania danych osobowych jedynie na podstawie oraz w granicach umowy powierzenia danych osobowych zawartych z Administratorem.
4.4. Administrator prowadzi Rejestr Umów Powierzenia.
5. Obowiązki dotyczące praw osoby fizycznej
5.1. Wszelkie informacje kierowane do osób, których dane są przetwarzane przez lub w imieniu Administratora, winny wskazywać podstawę prawną przetwarzania. Przepisy RODO dopuszczają możliwość przetwarzania danych osobowych jedynie w ściśle określonych przypadkach, spośród których w występują następujące:
- gdy osoba, której dane dotyczą, wyraziła zgodę, np. do celów marketingowych;
- gdy przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
- gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze;
- gdy przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
5.2. Administrator spełnia względem osób, których dane przetwarza, obowiązek informacyjny - przekazuje wymagane prawem informacje przy zbieraniu danych („klauzule informacyjne”).
5.3. „Klauzuli informacyjnej” nie należy unikać w sytuacjach, gdy przetwarzanie jest dopuszczalne z innego tytułu, zwłaszcza jako niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
5.4. O fakcie profilowania należy poinformować osobę, której dane są profilowane, jak również należy uzyskać wyraźną zgodę tej osoby na profilowanie. Przez „profilowanie" rozumie się dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu tych danych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
5.5. Osoba, której dane są przetwarzane, może w każdej chwili odwołać zgodę na przetwarzanie danych. Odwołanie zgody wywołuje wyłącznie skutki na przyszłość. W przypadku osób, które łączyła z Administratorem umowa, można przechowywać odpowiednio zabezpieczone dane w ilości niezbędnej do dochodzenia w przyszłości roszczeń z zawartej i realizowanej umowy, nie dłużej niż do czasu przedawnienia roszczeń lub odrębnych przepisów podatkowych.
5.6. W razie zajścia przypadku naruszenia ochrony danych osobowych polegającego w szczególności na:
- naruszeniu bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego prawem zniszczenia, utracenia albo zmodyfikowania danych osobowych;
- naruszeniu bezpieczeństwa prowadzącym do nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych obowiązuje ściśle określona w RODO procedura zgłaszania naruszenia danych oraz zawiadamiania osób, których dane dotyczą.
5.7. Osobie, której dane dotyczą, przysługuje prawo do bycia zapomnianą. Prawo to polega na:
- możliwości żądania przez osobę, której dane dotyczą, usunięcia jej danych osobowych przez Administratora,
- możliwości żądania, aby Administrator poinformował innych administratorów danych, którym udostępnił dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych lub ich kopie.
5.8. Osobie, której dane dotyczą, przysługuje prawo do przenoszenia danych. Prawo to polega na możliwości żądania:
- otrzymania przez osobę, której dane dotyczą, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, danych osobowych jej dotyczących, które dostarczyła Administratorowi
- prawo przesłania przez osobę, której dane dotyczą, danych osobowych jej dotyczących, które dostarczyła Administratorowi - innemu administratorowi, bez przeszkód ze strony Administratora.
5.9. Prawo do przenoszenia danych może być wykonane wyłącznie wtedy, gdy:
- przetwarzanie danych odbywa się na podstawie zgody lub w celu wykonania umowy oraz
- przetwarzanie danych odbywa się w sposób zautomatyzowany. Prawo do przenoszenia danych obejmuje tylko dane osobowe przetwarzane przy użyciu systemów informatycznych i nie obejmuje tradycyjnych, np. papierowych zbiorów danych.
6. Okres przechowywania danych osobowych
6.1. Jeżeli podstawą przetwarzania danych osobowych jest zgoda, dane osobowe mogą być przetwarzane tak długo, aż zgoda nie zostanie odwołana, chyba że szczegółowe polityki stanowią inaczej, w tym procedura usuwania oraz wytyczne dotyczące przechowywania danych osobowych archiwizacji i usuwania dokumentów zawierających dane osobowe
6.2. Jeżeli podstawą przetwarzania danych osobowych jest wykonanie umowy, dane osobowe mogą być przetwarzane tak długo, jak jest to niezbędne do wykonania umowy, a po tym czasie przez okres wynikający z obowiązku przechowywania danych księgowych i rachunkowych (na podstawie obowiązujących przepisów) lub przez okres niezbędny do dochodzenia lub przedawnienia roszczeń, jakie może podnosić Administrator lub jakie mogą być podnoszone w stosunku do Administratora.
6.3. W pozostałych kwestiach okres przechowywania danych uregulowany jest osobnymi przepisami, które są respektowane przez Administratora.
7. Bezpieczeństwo danych osobowych
7.1. Należy mieć na uwadze, że przepisy RODO nie wskazują konkretnych środków zabezpieczenia danych osobowych, jednakże wprowadzają zasadę, że dobór środków bezpieczeństwa powinien być oparty o:
- stan wiedzy technicznej,
- koszt wdrażania,
- charakter, zakres, kontekst i cele przetwarzania,
- ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.
7.2. Administrator uwzględniając cel i kontekst przetwarzania danych osobowych, przeprowadził ocenę i analizę ryzyka jakie wiąże się z ich przetwarzaniem; na tej podstawie zastosował odpowiednie środki techniczne i organizacyjne zabezpieczające dane (w tym w szczególności procedury, polityki, środki kryptograficzne, pseudonimizację).