Polityka prywatności

Regulamin przetwarzania i ochrony danych osobowych w bazach danych osobowych.

Spis treści

  1. Ogólne pojęcia i zakres zastosowania.
  2. Wykaz baz danych osobowych.
  3. Cel przetwarzania danych osobowych.
  4. Procedura przetwarzania danych osobowych: uzyskanie zgody, powiadomienie o prawach i czynnościach z danymi osobowymi podmiotu danych osobowych.
  5. Lokalizacja bazy danych osobowych.
  6. Warunki udostępniania informacji o danych osobowych podmiotom trzecim.
  7. Ochrona danych osobowych: sposoby ochrony, osoba odpowiedzialna, pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem obowiązków służbowych, okres przechowywania danych osobowych.
  8. Prawa podmiotu danych osobowych.
  9. Procedura obsługi wniosków podmiotu danych osobowych.
  10. Państwowa rejestracja bazy danych osobowych.

1. Ogólne pojęcia i zakres zastosowania.

1.1. Definicja pojęć:

baza danych osobowych — nazwany zbiór uporządkowanych danych osobowych w postaci elektronicznej i/lub w postaci zbiorów danych osobowych;

osoba odpowiedzialna – wyznaczona osoba, która zgodnie z przepisami prawa organizuje prace związane z ochroną danych osobowych podczas ich przetwarzania;

właścicielem bazy danych osobowych jest osoba fizyczna lub prawna, której ustawa przyznaje prawo do przetwarzania tych danych lub za zgodą podmiotu danych osobowych, która zatwierdza cel przetwarzania danych osobowych w tej bazie, ustala treść tych danych oraz sposobów ich przetwarzania, chyba że przepisy stanowią inaczej;

Państwowy Rejestr Baz Danych Osobowych to jedyny państwowy system informacyjny służący do gromadzenia i przetwarzania informacji o zarejestrowanych bazach danych osobowych;

publicznie dostępne źródła danych osobowych — spisy, książki adresowe, rejestry, wykazy, katalogi, inne usystematyzowane zbiory informacji, które zawierają dane osobowe, umieszczane i publikowane ze zgody przedmiotu danych osobowych.

Sieci społecznościowe i zasoby internetowe, w których podmiot danych osobowych pozostawia swoje dane osobowe, nie są uważane za publicznie dostępne źródła danych osobowych (chyba że podmiot danych osobowych wyraźnie oświadcza, że dane osobowe są zamieszczane w celu ich swobodnego rozpowszechniania i wykorzystywania);

zgoda podmiotu danych osobowych – każde udokumentowane, dobrowolne wyrażenie woli osoby fizycznej dotyczące wyrażenia zgody na przetwarzanie jej danych osobowych zgodnie z sformułowanym celem ich przetwarzania;

depersonalizacja danych osobowych — usunięcie informacji pozwalających na identyfikację osoby;

przetwarzanie danych osobowych – każda czynność lub zestaw czynności wykonywanych w całości lub w części w systemie informatycznym (zautomatyzowanym) i/lub w zbiorach danych osobowych, które są związane z gromadzeniem, rejestracją, przechowywaniem, adaptacją, zmianą, odnawianiem, wykorzystywaniem i rozpowszechnianiem (wdrażanie, realizacja, przekazywanie), depersonalizacją, usunięciem informacji o osobie fizycznej;

dane osobowe – informacja lub zestaw informacji o osobie fizycznej, która została zidentyfikowana lub którą można konkretnie zidentyfikować;

administratorem bazy danych osobowych jest osoba fizyczna lub prawna uprawniona do przetwarzania tych danych przez właściciela bazy danych osobowych lub na podstawie przepisów prawa.

Administratorem bazy danych osobowych nie jest osoba, której właściciel i/lub administrator bazy danych powierzył wykonanie prac technicznych z bazą danych osobowych bez dostępu do treści danych osobowych;

podmiot danych osobowych – osoba fizyczna, w stosunku do której zgodnie z przepisami prawa przetwarzane są jej dane osobowe;

osoba trzecia – każda osoba, z wyjątkiem podmiotu danych osobowych, właściciel lub zarządca bazy danych osobowych oraz uprawniony państwowy organ ochrony danych osobowych, której właściciel lub zarządca bazy danych osobowych przekazuje dane osobowe zgodnie z prawem;

szczególne kategorie danych — dane osobowe dotyczące pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub światopoglądowych, przynależności do partii politycznych i związków zawodowych, a także dane dotyczące zdrowia lub życia seksualnego.

1.2. Niniejszy Regulamin jest obowiązkowy do stosowania przez osobę odpowiedzialną i pracowników firmy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych.

2. Wykaz baz danych osobowych.

2.1. AXENTGROUP jest właścicielem poniższych baz danych osobowych: baza danych osobowych kontrahenta.

3. Cel przetwarzania danych osobowych.

3.1. Celem przetwarzania danych osobowych w systemie jest przechowywanie i utrzymywanie danych kontrahentów, zgodnie z ustawy Polska „O ochronie danych osobowych”.

3.2. Celem przetwarzania danych osobowych jest zapewnienie realizacji relacji cywilnoprawnych, dostawy/odbioru i rozliczenia zakupionych towarów/usług zgodnie z Kodeksem Podatkowym Polska.

4. Procedura przetwarzania danych osobowych: uzyskanie zgody, powiadomienie o prawach i czynnościach z danymi osobowymi podmiotu danych osobowych.

4.1. Zgoda podmiotu danych osobowych musi być dobrowolnym wyrażeniem przez osobę fizyczną zgody na przetwarzanie jej danych osobowych zgodnie z sformułowanym celem ich przetwarzania. Zgoda podmiotu danych osobowych może być wyrażona w następujących formach:

  • dokument papierowy wraz z załącznikami umożliwiającymi identyfikację tego dokumentu i osoby fizycznej;
  • dokument elektroniczny, który musi zawierać obowiązkowe dane umożliwiające identyfikację tego dokumentu oraz osoby fizycznej. Celowe jest poświadczenie dobrowolnego wyrażenia woli osoby fizycznej w zakresie wyrażenia zgody na przetwarzanie jej danych osobowych podpisem elektronicznym podmiotu danych osobowych.
  • adnotacja na stronie elektronicznej dokumentu lub w pliku elektronicznym przetwarzanym w systemie informatycznym opartym na udokumentowanym oprogramowaniu i rozwiązaniach technicznych.

4.2. Zgoda podmiotu danych osobowych jest wyrażana przy rejestracji stosunków cywilnoprawnych zgodnie z obowiązującymi przepisami prawa.

4.3. Powiadomienie podmiotu danych osobowych o umieszczeniu jego danych osobowych w bazie danych osobowych, prawach określonych w Ustawie Polska „O ochronie danych osobowych”, celu zbierania danych oraz osobach, którym dane osobowe zostają przekazane odbywa się w ramach rejestracji stosunków cywilnoprawnych zgodnie z obowiązującymi przepisami prawa.

4.4. Przetwarzanie danych osobowych dotyczących pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub światopoglądowych, przynależności do partii politycznych i związków zawodowych, a także danych dotyczących zdrowia lub życia seksualnego (szczególne kategorie danych) jest zabronione.

5. Lokalizacja bazy danych osobowych.

5.1. Baza danych osobowych, o której mowa w niniejszego Regulaminu, znajduje się pod adresem siedziby firmy.

6. Warunki udostępniania danych osobowych podmiotom trzecim.

6.1. Tryb dostępu do danych osobowych osób trzecich określają warunki zgody podmiotu danych osobowych udzielonej przez właściciela bazy danych osobowych na przetwarzanie tych danych lub zgodnie z wymogami prawa.

6.2. Dostęp do danych osobowych nie jest udzielany osobie trzeciej, jeżeli wskazana osoba odmawia podjęcia zobowiązań w celu zapewnienia spełnienia wymagań Ustawy Polska „O ochronie danych osobowych” lub nie jest w stanie ich zapewnić.

6.3. Podmiot relacji związanych z danymi osobowymi występuje z żądaniem dostępu (dalej – wniosek) do danych osobowych do właściciela bazy danych osobowych.

6.4. We wniosku umieszczone są:

  • nazwisko, imię, imię odojcowskie, miejsce zamieszkania (miejsce pobytu) oraz dane dokumentu poświadczającego osobę fizyczną składającą wniosek (w przypadku osoby fizycznej – wnioskodawca);
  • nazwa, lokalizacja osoby prawnej składającej wniosek, stanowisko, nazwisko, imię, nazwisko, imię odojcowskie osoby poświadczającej wniosek;
  • potwierdzenie, że treść wniosku jest zgodna z uprawnieniami osoby prawnej (w przypadku osoby prawnej – wnioskodawca);
  • imię, nazwisko, imię odojcowskie, a także inne informacje umożliwiające identyfikację osoby fizycznej, której dotyczy żądanie; informacje o bazie danych osobowych, której dotyczy wniosek lub informacje o właścicielu lub zarządcy tej bazy;
  • informacje o bazie danych osobowych, której dotyczy wniosek lub informacje o właścicielu lub zarządcy tej bazy;
  • wykaz żądanych danych osobowych;
  • cel wniosku.

6.5. Termin rozpatrzenia wniosku nie może przekroczyć dziesięciu dni roboczych od dnia jego otrzymania.

W tym okresie właściciel bazy danych osobowych informuje osobę składającą wniosek, że wniosek zostanie rozpatrzony lub odwołany, wskazując przyczyny określone we właściwym akcie prawnym.

Wniosek jest realizowany w ciągu trzydziestu dni kalendarzowych od dnia jego otrzymania, chyba że przepisy mówią inaczej.

6.6. Wszyscy pracownicy właściciela bazy danych osobowych są zobowiązani do przestrzegania wymogów zachowania poufności danych osobowych oraz informacji dotyczących rachunków w papierach wartościowych i obrotu papierami wartościowymi.

6.7. Opóźnienie rozpatrywania wniosku jest dozwolone, jeżeli niezbędne dane nie mogą zostać dostarczone w ciągu trzydziestu dni kalendarzowych od daty otrzymania wniosku. Jednocześnie łączny termin rozpatrywania wniosku nie może przekroczyć czterdziestu pięciu dni kalendarzowych.

6.8. O opóźnieniu zawiadamia się osobę trzecią, która złożyła pisemny wniosek wraz z wyjaśnieniem procedury odwołania okreslonej decyzji.

6.9. W zawiadomieniu o opóźnienie są wskazane:

  • nazwisko, imię, imię odojcowskie urzędnika;
  • datę wysłania wiadomości;
  • powód opóźnienia;
  • okres, w którym wniosek zostanie rozpatrzony.

6.10. Odmowa dostępu do danych osobowych jest dozwolona, jeżeli dostęp do nich jest prawnie zabroniony.

6.11. W zawiadomieniu o odmowie podano:

  • nazwisko, imię, imię odojcowskie urzędnika odmawiającego dostępu;
  • datę wysłania wiadomości;
  • powód odmowy.

6.12. Decyzja o opóźnieniu lub odmowie dostępu do danych osobowych może zostać oskarżona w uprawnionym państwowym organie ochrony danych osobowych, innych organach państwowych i organach samorządu terytorialnego, do których kompetencji należy ochrona danych osobowych, lub w sądzie.

7. Ochrona danych osobowych: sposoby ochrony, osoba odpowiedzialna, pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem obowiązków służbowych, okres przechowywania danych osobowych.

7.1. Właściciel bazy danych osobowych jest wyposażony w system i oprogramowanie oraz narzędzia komunikacyjne, które zapobiegają utracie, kradzieży, nieuprawnionemu zniszczeniu, zniekształceniu, fałszerstwu, kopiowaniu informacji i spełniają wymagania standardów międzynarodowych i krajowych.

7.2. Osoba odpowiedzialna organizuje prace związane z ochroną danych osobowych podczas ich przetwarzania, zgodnie z przepisami prawa. Osobę odpowiedzialną ustala rozporządzeniem Właściciela bazy danych osobowych.

Obowiązki osoby odpowiedzialnej w zakresie organizacji pracy związanej z ochroną danych osobowych podczas ich przetwarzania są określone w opisie stanowiska.

7.3. Osoba odpowiedzialna jest zobowiązana:

  • znać ustawodawstwo Polska w zakresie ochrony danych osobowych;
  • opracować procedury dostępu do danych osobowych pracowników zgodnie z ich obowiązkami zawodowymi lub służbowymi lub pracowniczymi;
  • zapewnić przestrzegania przez pracowników Właściciela bazy danych osobowych wymagań ustawodawstwa Polska w zakresie ochrony danych osobowych oraz dokumentów wewnętrznych regulujących działalność Właściciela bazy danych osobowych w zakresie przetwarzania i ochrony danych osobowych w bazach danych osobowych;
  • opracować procedurę kontroli wewnętrznej spełniania wymagań ustawodawstwa Polska w zakresie ochrony danych osobowych oraz dokumentów wewnętrznych regulujących działalność Właściciela bazy danych osobowych w zakresie przetwarzania i ochrony danych osobowych w bazie danych osobowych, które w szczególności powinny zawierać normy dotyczące częstotliwości przeprowadzania określonej kontroli;
  • powiadomić Właściciela bazy danych osobowych o faktach naruszenia przez pracowników wymagań ustawodawstwa Polska w zakresie ochrony danych osobowych oraz dokumentów wewnętrznych regulujących działalność Właściciela bazy danych osobowych w zakresie przetwarzania i ochrony danych osobowych w bazach danych osobowych nie później niż jeden dzień roboczy od momentu wykrycia takich naruszeń;
  • zapewnić przechowywanie dokumentów potwierdzających udzielenie przez podmiot danych osobowych zgody na przetwarzanie jego danych osobowych oraz poinformowanie wskazanego podmiotu o jego prawach.

7.4. W celu wypełnienia swoich obowiązków osoba odpowiedzialna ma prawo do:

  • otrzymania niezbędnych dokumentów, w tym rozporządzeń i innych dokumentów administracyjnych wystawionych przez Właściciela bazy danych osobowych, związanych z przetwarzaniem danych osobowych;
  • wykonywania kopii otrzymanych dokumentów, w tym kopii plików, wszelkich zapisów przechowywanych w lokalnych sieciach komputerowych i autonomicznych systemach informatycznych;
  • brać udział w omówieniu jego obowiązków w zakresie organizacji pracy związanej z ochroną danych osobowych podczas ich przetwarzania;
  • zgłaszać do rozpatrzenia propozycje usprawnienia działań i metod pracy, zgłaszać uwagi i warianty usunięcia stwierdzonych uchybień w procesie przetwarzania danych osobowych;
  • otrzymania wyjaśnień dotyczących przetwarzania danych osobowych;
  • do podpisywania i poświadczania dokumentów w ramach swoich kompetencji.

7.5. Pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych (pracowniczych), są zobowiązani do przestrzegania wymogów ustawodawstwa Polska w zakresie ochrony danych osobowych oraz dokumentów wewnętrznych, dotyczących przetwarzania i ochrony danych osobowych w bazach danych osobowych.

7.6. Pracownicy, którzy mają dostęp do danych osobowych, w tym przetwarzający, zobowiązani są do niedopuszczenia ujawnienia w jakikolwiek sposób powierzonych im danych osobowych lub o których uzyskali wiedzę w związku z wykonywaniem obowiązków zawodowych lub urzędowych lub pracowniczych. Obowiązek taki jest skuteczny po zaprzestaniu przez nich czynności związanych z danymi osobowymi, za wyjątkiem przypadków przewidzianych przepisami prawa.

7.7.Osoby, które mają dostęp do danych osobowych, w tym te, które je przetwarzają w przypadku naruszenia wymogów Ustawy Polska „O ochronie danych osobowych”, ponoszą odpowiedzialność zgodnie z ustawodawstwem Polska.

7.8. Dane osobowe nie powinny być przechowywane dłużej, niż jest to niezbędne do celu, w jakim dane te są przechowywane, ale w żadnym wypadku nie dłużej niż okres przechowywania danych określony zgodą podmiotu danych osobowych na przetwarzanie tych danych.

8. Prawa podmiotu danych osobowych.

8.1. Podmiot danych osobowych ma prawo do:

  • znać lokalizację bazy danych osobowych, która zawiera jego dane osobowe, jej cel i nazwę, lokalizację i/lub miejsce zamieszkania właściciela lub zarządcy tej bazy lub wydać odpowiednie instrukcje w celu uzyskania określonych informacji osobom przez niego upoważnionym, z wyjątkiem przypadków określonych przez prawo;
  • otrzymania informacji o warunkach udostępniania danych osobowych, w szczególności informacji o osobach trzecich, którym przekazywane są jego dane osobowe zawarte we właściwej bazie danych osobowych;
  • dostępu do swoich danych osobowych zawartych we właściwej bazie danych osobowych;
  • do otrzymania nie później niż trzydzieści dni kalendarzowych od dnia otrzymania wniosku, z wyjątkiem przypadków przewidzianych przez prawo, odpowiedzi, czy jego dane osobowe są przechowywane we właściwej bazie danych osobowych, a także do otrzymania przechowywanych treści jego danych osobowych;
  • wnioskować wobec przetwarzania swoich danych osobowych do organów państwowych, organów samorządu terytorialnego w ramach wykonywania ich uprawnień przewidzianych przepisami prawa;
  • wnioskować o wniesienie zmian lub zniszczenia swoich danych osobowych przez dowolnego właściciela i administratora tej bazy, jeżeli dane te są przetwarzane niezgodnie z prawem lub są niewiarygodne;
  • ochrony swoich danych osobowych przed niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem, uszkodzeniem w wyniku umyślnego zatajenia, nieudostępnienia lub nieterminowego ich dostarczenia, a także do ochrony przed udzieleniem informacji nierzetelnych lub uwłaczających honorowi, godności i reputacji biznesowej osoby fizycznej;
  • występowania o ochronę swoich praw dotyczących danych osobowych do organów państwowych, organów samorządu terytorialnego, do których kompetencji należy ochrona danych osobowych;
  • skorzystania ze środków ochrony prawnej w przypadku naruszenia przepisów o ochronie danych osobowych.

9. Procedura rozpatrywania wniosków podmiotu danych osobowych.

9.1. Podmiot danych osobowych ma prawo do otrzymywania wszelkich informacji o sobie od dowolnego podmiotu stosunków związanych z danymi osobowymi, bez określania celu żądania, z wyjątkiem przypadków określonych przez prawo.

9.2. Dostęp podmiotu danych osobowych do danych o sobie jest bezpłatny.

9.3. Podmiot danych osobowych występuje z wnioskiem o dostęp (dalej – wniosek) do danych osobowych do właściciela bazy danych osobowych.

We wniosku zawiera się:

  • nazwisko, imię, imię odojcowskie, miejsce zamieszkania (miejsce pobytu) oraz dane dokumentu potwierdzającego tożsamość podmiotu danych osobowych;
  • inne informacje umożliwiające identyfikację osoby, której dane dotyczą;
  • informacje o bazie danych osobowych, której dotyczy wniosek lub informacje o właścicielu lub zarządcy tej bazy;
  • wykaz wnioskowanych danych osobowych.

9.4. Termin rozpatrzenia wniosku nie może przekroczyć dziesięciu dni roboczych od dnia jego otrzymania.

9.5. W tym okresie właściciel bazy danych osobowych zawiadamia osobę, której dane dotyczą, o udostępnienie lub nieudostępnienie odpowiednich danych osobowych, wskazując przyczyny określone we właściwym akcie prawnym.

9.6. Wniosek jest rozpatrywany w ciągu trzydziestu dni kalendarzowych od dnia jego otrzymania, chyba że przepisy prawa stanowią inaczej.

10. Państwowa rejestracja bazy danych osobowych.

10.1. Państwowa rejestracja baz danych osobowych prowadzona jest zgodnie z Ustawy Polska „O ochronie danych osobowych”.

Udział: