Политика конфиденциальности

Polityka prywatności

POLITYKA
Consonance Therapy Institute sp. z o.o.
w zakresie przetwarzania danych osobowych

1. DEFINICJE

Administrator – Consonance Therapy Institute sp. z o.o. (dalej Administrator) z siedzibą w Warszawie (00-842) ul. Łucka 15/204, NIP: 5272950623, REGON: 38823095000000, KRS: 0000883650.

Dane osobowe – wszystkie informacje o osobie fizycznej zidentyfikowanej lub możliwej do zidentyfikowania poprzez jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej, w tym wizerunek, nagranie głosu, dane kontaktowe, dane o lokalizacji, informacje zawarte w korespondencji, informacje gromadzone za pośrednictwem sprzętu rejestrującego lub innej podobnej technologii.

Polityka – niniejsza Polityka strony internetowej consonance-therapy.com w zakresie przetwarzania danych osobowych.

Ustawa – Ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych.

RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 7 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Osoba, której dane dotyczą – każda osoba fizyczna, której dane osobowe przetwarzane są przez Administratora.

2. PRZETWARZANIE DANYCH PRZEZ ADMINISTRATORA

W związku z prowadzoną przez siebie działalnością gospodarczą Administrator zbiera i przetwarza dane osobowe zgodnie z właściwymi przepisami, w tym w szczególności z RODO i przewidzianymi w nich zasadami przetwarzania danych.

Administrator zapewnia przejrzystość przetwarzania danych, w szczególności zawsze informuje o przetwarzaniu danych w momencie ich zbierania, w tym o celu i podstawie prawnej przetwarzania. Administrator dba o to, by dane były zbierane tylko w zakresie niezbędnym do wskazanego celu i przetwarzane tylko przez okres, w jakim jest to niezbędne.

Przetwarzając dane, Administrator zapewnia ich bezpieczeństwo i poufność oraz dostęp do informacji o tym przetwarzaniu dla osób, których dane dotyczą. W przypadku, gdyby, pomimo stosowanych środków bezpieczeństwa, doszło do naruszenia ochrony danych osobowych (np. „wycieku” danych lub ich utraty), Administrator podejmie działania wynikające z przepisów prawa, w tym – o ile taki obowiązek z przepisów prawa wynika -poinformuje o takim zdarzeniu osoby, których dane dotyczą.

Administrator przetwarza dane osobowe:

  • pacjentów
  • członkowie grup terapeutycznych i edukacyjnych
  • potencjalnych pracowników

Dane osobowe przetwarzane przez Administratora gromadzone są w zbiorach danych.

Zbiory są prowadzone i przetwarzane przede wszystkim w formie cyfrowej tj. w plikach umiejscowionych na komputerach należących do Administratora oraz na serwerach stanowiących jego własność, jak również w formie papierowej w postaci:

  • dokumentacji medycznej oraz dokumentacji księgowej w przypadku zbioru danych pacjentów
  • książki korespondencyjnej, umów cywilnoprawnych oraz dokumentacji księgowej w przypadku zbioru danych dostawców
  • dokumentacji rekrutacyjnej w przypadku zbioru danych potencjalnych pracowników.

Wykaz poszczególnych zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych u Administratora do przetwarzania tych danych oraz lokalizacją baz danych i miejscami przetwarzania danych osobowych stanowi Załącznik nr 1 do niniejszej Polityki.

W przypadku planowania nowych czynności przetwarzania Administrator dokonuje analizy ich skutków dla ochrony danych osobowych oraz uwzględnia kwestie ochrony danych w fazie ich projektowania.

3. BEZPIECZEŃSTWO DANYCH OSOBOWYCH

W celu zapewnienia integralności i poufności danych, Administrator wdrożył wewnętrzne procedury umożliwiające dostęp do danych osobowych jedynie osobom przez niego upoważnionym i jedynie w zakresie, w jakim jest to niezbędne ze względu na wykonywane przez nie zadania. Administrator stosuje rozwiązania organizacyjne i techniczne w celu zapewnienia, aby wszystkie operacje na danych osobowych były rejestrowane i dokonywane tylko przez osoby uprawnione.

Rozwiązania organizacyjne

Administrator danych prowadzi rejestr czynności przetwarzania, który stanowi Załącznik nr 2 do niniejszej Polityki.

Administrator prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych, która stanowi Załącznik nr 3 do niniejszej Polityki.

Osoby upoważnione do przetwarzania danych przez Administratora są zaznajomione z przepisami dotyczącymi ochrony danych osobowych i zobowiązane do zachowania przetwarzanych danych w tajemnicy – osoby, o których mowa powyżej, przed dopuszczeniem do przetwarzania danych, powinny zobowiązać się do przestrzegania ww. przepisów i zachowania przetwarzanych danych w tajemnicy poprzez podpisanie oświadczenia użytkownika, stanowiącego Załącznik nr 4 do niniejszej Polityki.

Dostęp do pomieszczeń, w których przechowywane i/lub przetwarzane są dane osobowe umożliwiany jest wyłącznie osobom upoważnionym do przetwarzania danych osobowych przez Administratora.

Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane, w tym stosowane są wygaszacze ekranów.

Rozwiązania techniczne

Wszystkie pomieszczenia, w których przechowuje się i/lub przetwarza dane osobowe są zamykane na klucz, w przypadku opuszczenia pomieszczenia przez ostatnią osobę upoważnioną do przetwarzania danych osobowych – także w godzinach pracy.

Pomieszczenia, w których przetwarzane są zbiory danych osobowych zabezpieczone są przed skutkami pożaru za pomocą wolnostojącej gaśnicy.

Dane osobowe przechowywane w wersji papierowej po zakończeniu pracy są przechowywane w zamykanych na klucz meblach biurowych; klucze od szafek przechowywane są w miejscu niedostępnym dla osób nieupoważnionych do przetwarzania danych osobowych.

Dane osobowe przechowywane w wersji elektronicznej (pamięć komputera, konta poczty elektronicznej, systemy informatyczne, w tym systemy internetowej komunikacji) są zabezpieczone hasłem dostępu do komputera, hasłem do konta poczty elektronicznej oraz hasłem do systemu informatycznego.

Każdy system IT zapewnia, że operacje na danych osobowych można powiązać z konkretnym użytkownikiem.

Na komputerach, na których przetwarzane są dane osobowe, stosowane są programy antywirusowe z zaporą antywłamaniową.

Administrator podejmuje ponadto wszelkie niezbędne działania, by także jego podwykonawcy i inne podmioty z nim współpracujące dawały gwarancję stosowania odpowiednich środków bezpieczeństwa w każdym przypadku, gdy przetwarzają dane osobowe na zlecenie Administratora.

Administrator na bieżąco prowadzi analizę ryzyka i monitoruje adekwatność stosowanych zabezpieczeń danych do identyfikowanych zagrożeń. W razie konieczności Administrator wdraża dodatkowe środki organizacyjne i techniczne służące zwiększeniu bezpieczeństwa danych.

4. CELE ORAZ PODSTAWY PRAWNE PRZETWARZANIA DANYCH PRZEZ ADMINISTRATORA

Korespondencja e-mailowa oraz tradycyjna

W przypadku kierowania do Administratora korespondencji e-mailowej lub drogą tradycyjną, niezwiązanej z realizacją umowy zawartej z nadawcą, dane osobowe zawarte w tej korespondencji są przetwarzane wyłącznie w celu komunikacji i załatwienia sprawy, której dotyczy ta korespondencja.

Podstawą prawną przetwarzania jest uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO), polegający na prowadzeniu korespondencji kierowanej do niego w związku z prowadzoną działalnością gospodarczą.

Administrator przetwarza jedynie dane osobowe odpowiednie dla sprawy, której dotyczy korespondencja. Całość korespondencji jest przechowywana w sposób zapewniający bezpieczeństwo zawartych w niej danych osobowych oraz innych informacji i ujawniana jedynie osobom upoważnionym.

Sklep internetowy przetwarza Pani/Pana dane osobowe w następujących celach:

przekazania Pani/Pana danych osobowych do mBank S.A. (dalej Bank) w związku z:

  • świadczeniem przez Bank na rzecz Sklepu internetowego usługi udostępnienia infrastruktury do obsługi płatności przez Internet (podstawa prawna: art. 6 ust. 1 lit. f) Rozporządzenia).
  • obsługą i rozliczaniem przez Bank płatności dokonywanych przez klientów Sklepu internetowego przez Internet przy użyciu instrumentów płatniczych (podstawa prawna: art. 6 ust. 1 lit. f) Rozporządzenia).
  • w celu weryfikacji przez Bank należytego wykonania umów zawartych ze Sklepem internetowym, w szczególności zapewnienia ochrony interesów płatników w związku ze składanymi przez nich reklamacjami (podstawa prawna: art. 6 ust. 1 lit. f) Rozporządzenia).

Kontakt telefoniczny

W przypadku kontaktowania się z Administratorem drogą telefoniczną w sprawach niezwiązanych z realizacją zawartej umowy, można żądać podania danych osobowych tylko wówczas, gdy będzie to niezbędne do obsługi sprawy, której dotyczy kontakt. Podstawą prawną jest w takim wypadku uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO), polegający na konieczności załatwienia zgłoszonej sprawy związanej z prowadzoną działalnością gospodarczą.

Rekrutacja

W ramach procesów rekrutacyjnych Administrator oczekuje przekazywania danych osobowych jedynie w zakresie określonym w przepisach prawa pracy. W związku z tym nie należy przekazywać informacji w szerszym zakresie. W razie, gdy przesłane aplikacje będą zawierać tego rodzaju dodatkowe dane, nie będą one wykorzystywane ani uwzględniane w procesie rekrutacyjnym.

Dane osobowe są przetwarzane:

  • w celu wykonania obowiązków wynikających z przepisów prawa, związanych z procesem zatrudnienia, w tym przede wszystkim Kodeksu pracy – podstawą prawną przetwarzania jest obowiązek prawny ciążący na Administratorze (art. 6 ust. 1 lit c RODO w związku z przepisami Kodeksu pracy);
  • w celu przeprowadzenia procesu rekrutacji w zakresie danych nie wymaganych przepisami prawa, a także dla celów przyszłych procesów rekrutacyjnych – podstawą prawną przetwarzania jest zgoda (art. 6 ust. 1 lit a RODO);
  • w celu ustalenia lub dochodzenia ewentualnych roszczeń lub obrony przed takimi roszczeniami – podstawą prawną przetwarzania danych jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit f RODO).

Zbieranie danych w związku z wykonywaniem umów

W razie zbierania danych dla celów związanych z wykonaniem konkretnej umowy, Administrator przekazuje osobie, której dane dotyczą, szczegółowe informacje dotyczące przetwarzania jej danych osobowych.

W przypadku, gdy podanie przez Panią/Pana danych osobowych następuje w celu zawarcia umowy ze Sklepem internetowym, podanie przez Panią/Pana danych osobowych jest warunkiem zawarcia tej Umowy. Podanie danych osobowych w tej sytuacji jest dobrowolne, jednak konsekwencją niepodania tych danych będzie brak możliwości zawarcia umowy ze Sklepem internetowym.

W przypadku przekazania Pani/Pana danych osobowych do Banku w związku z obsługą i rozliczaniem płatności dokonywanych przez Panią/Pana płatności na rzecz Sklepu internetowego przez Internet przy użyciu instrumentów płatniczych, podanie danych jest wymagane w celu realizacji płatności i przekazania potwierdzenia jej dokonania przez Bank na rzecz Sklepu internetowego.

W przypadku przekazania Pani/Pana danych osobowych do Banku w celu weryfikacji przez Bank należytego wykonania umów zawartych ze Sklepem internetowym, w szczególności zapewnienia ochrony interesów płatników w związku ze składanymi przez nich reklamacjami podanie tych danych jest wymagane w celu umożliwienia realizacji umowy zawartej pomiędzy Sklepem internetowym a Bankiem.

Zakres przetwarzania danych osobowych

Administrator przetwarza dane osobowe takie jak:

  • Imię i Nazwisko
  • Adres zamieszkania (miasto)
  • Numer telefonu komórkowego
  • Adres email

W związku z przetwarzaniem danych osobowych w celach określonych w ust. 3 i 4, Pani/Pana dane osobowe mogą zostać udostępnione przez Sklep internetowy innym odbiorcom lub kategoriom odbiorców danych osobowych, którymi mogą być:

a) ING Bank Śląski S.A.

Zbieranie danych w innych przypadkach

W związku z prowadzoną działalnością Administrator zbiera dane osobowe także w innych przypadkach – np. podczas spotkań biznesowych, na imprezach targowych czy poprzez wymianę wizytówek – w celach związanych z nawiązywaniem i utrzymywaniem kontaktów biznesowych. Podstawą prawną przetwarzania jest w tym wypadku uzasadniony interes Administratora (art. 6 ust. 1 lit f RODO), polegający na tworzeniu sieci kontaktów w związku z prowadzoną działalnością. Dane osobowe zebrane w takich przypadkach przetwarzane są wyłącznie w celu, dla jakiego zostały zebrane, a Administrator zapewnia ich odpowiednią ochronę.

Wyrażenie zgody na przetwarzanie danych w formie zaznaczenia checkbox’ów (checkboxy nie mogą być domyślnie zaznaczone).

klient musi mieć możliwość wyrażenia zgody na przetwarzanie danych osobowych, np. w formie zaznaczenia opcji o treści:

“Akceptuję Regulamin i Politykę Prywatności”.

5. KONTAKT Z ADMINISTRATOREM

Kontakt z Administratorem w sprawach dotyczących przechowywania, przetwarzania i ochrony danych osobowych jest możliwy poprzez

  • adres e-mail poprzez formularz kontaktowy na stronie «Dane kontaktowe»;
  • drogą e-mailową na adres: admin@consonance-therapy.com;
  • pisemnie na adres: Consonance Therapy Institute sp. z o.o. ul. Łucka 15/204, 00-842 Warszawa, Polska.

6. OBOWIĄZKI I ODPOWIEDZIALNOŚĆ OSÓB UPOWAŻNIONYCH PRZEZ ADMINISTRATORA DO PRZETWARZANIA DANYCH OSOBOWYCH

Każdy osoba upoważniona przez Administratora do przetwarzania danych osobowych zobowiązana jest do:

  • zachowania w poufności danych osobowych, jak i sposobu ich zabezpieczenia,
  • zapoznania i stosowania się do zapisów niniejszej Polityki oraz dokumentów wewnętrznych wydanych na podstawie niniejszej Polityki,
  • pisemnego potwierdzenia zapoznania się z przepisami o ochronie danych osobowych i niniejszą Polityką,
  • przestrzegania przepisów o ochronie danych osobowych w szczególności Ustawy i RODO,
  • nieudostępniania (bez wyjątku nikomu) swoich haseł do systemów IT,
  • nieudostępniania lub nieumożliwiania dostępu do danych osobowych osobom nieupoważnionym,
  • zgłaszania każdego zauważonego incydentu naruszenia ochrony danych osobowych lub niniejszej Polityki Administratorowi lub osobie przez niego wskazanej,
  • zgłaszania Administratorowi lub osobie przez niego wskazanej wszelkich wątpliwości z zakresu przetwarzania danych osobowych.

7. ODBIORCY DANYCH

W związku z prowadzeniem działalności wymagającej przetwarzania danych osobowych, dane te są ujawniane zewnętrznym podmiotom, w tym w szczególności dostawcom odpowiedzialnym za obsługę systemów informatycznych i sprzętu, podmiotom świadczącym usługi prawne lub księgowe, kurierom, agencjom marketingowym czy rekrutacyjnym.

Administrator zastrzega sobie prawo ujawnienia wybranych informacji dotyczących osoby, której dane dotyczą, właściwym organom bądź osobom trzecim, które zgłoszą żądanie udzielenia takich informacji, w oparciu o odpowiednią podstawę prawną oraz zgodnie z przepisami obowiązującego prawa.

8. OKRES PRZETWARZANIA DANYCH OSOBOWYCH

Okres przetwarzania danych przez Administratora zależy od celu i zakresu przetwarzania. Okres przetwarzania danych może także wynikać z przepisów w sytuacji, gdy stanowią one podstawę przetwarzania.

W przypadku przetwarzania danych na podstawie uzasadnionego interesu Administratora, dane przetwarzane są przez okres umożliwiający jego realizację lub do zgłoszenia skutecznego sprzeciwu względem przetwarzania danych.

Jeśli przetwarzanie odbywa się na podstawie zgody, dane przetwarzane są do jej wycofania.

W przypadku, gdy podstawę przetwarzania stanowi niezbędność do zawarcia i wykonania umowy, dane będą przetwarzane do momentu jej wygaśnięcia lub rozwiązania.

Okres przetwarzania danych może być przedłużony w przypadku, gdy przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony przed ewentualnymi roszczeniami, a po tym okresie – jedynie w przypadku i w zakresie, w jakim będą wymagać tego przepisy prawa. Po upływie okresu przetwarzania dane są nieodwracalnie usuwane lub anonimizowane.

9. UPRAWNIENIA ZWIĄZANE Z PRZETWARZANIEM DANYCH OSOBOWYCH

Prawa osób, których dane dotyczą

Osobom, których dane dotyczą, przysługują następujące prawa:

Prawo do informacji o przetwarzaniu danych osobowych

Na tej podstawie osobie zgłaszającej takie żądanie Administrator przekazuje informację o: przetwarzaniu danych, w tym przede wszystkim o celach i podstawach prawnych przetwarzania, zakresie posiadanych danych, podmiotach, którym są ujawniane i planowanym terminie ich usunięcia.

Prawo uzyskania kopii danych

Na tej podstawie Administrator przekazuje kopię przetwarzanych danych dotyczących osoby zgłaszającej żądanie.

Prawo do sprostowania

Na tej podstawie można żądać od Administratora usunięcia ewentualnych niezgodności lub błędów przetwarzanych danych osobowych, a także uzupełnienia ich, jeśli są niekompletne.

Prawo do usunięcia danych

Użytkownik w każdej chwili ma prawo wglądu i zmiany swoich danych osobowych, a także żądania od Administratora niezwłocznego ich usunięcia („prawo do zapomnienia”).

Prawo do ograniczenia przetwarzania

W razie zgłoszenia takiego żądania Administrator zaprzestaje dokonywania operacji na danych osobowych, z wyjątkiem operacji, na które wyraziła zgodę osoba, której dane dotyczą, oraz ich przechowywania.

Prawo do przenoszenia danych

Na tej podstawie, w zakresie, w jakim dane są przetwarzane w związku z zawartą umową lub wyrażoną zgodą, Administrator wyda dane dostarczone przez osobę, której one dotyczą, w formacie pozwalającym na ich odczyt przez komputer. Możliwe jest także zażądanie przesłania tych danych innemu podmiotowi – jednak pod warunkiem, że istnieją w tym zakresie techniczne możliwości zarówno po stronie Administratora, jak i tego innego podmiotu.

Prawo sprzeciwu wobec przetwarzania danych w innych celach

Osoba, której dane dotyczą, może w każdym czasie wnieść sprzeciw wobec przetwarzania danych osobowych z przyczyn związanych z jej szczególną sytuacją, w przypadkach, gdy przetwarzanie odbywa się na podstawie uzasadnionego interesu Administratora. Sprzeciw w tym zakresie powinien zawierać uzasadnienie.

Prawo wycofania zgody

Jeśli dane przetwarzane są na podstawie wyrażonej zgody, osoba, której dane dotyczą, ma prawo ją wycofać w dowolnym momencie, co jednak nie wpływa na zgodność z prawem przetwarzania dokonanego przed wycofaniem tej zgody.

Prawo do skargi

Jeśli osoba, której dane dotyczą uzna, że przetwarzanie danych osobowych narusza przepisy RODO lub inne przepisy dotyczące ochrony danych osobowych, może złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych.

Zgłaszanie żądań związanych z realizacją praw w zakresie danych osobowych

W celu skorzystania z któregokolwiek z uprawnień związanych z przetwarzaniem danych osobowych, osoba, której dane dotyczą, składa stosowny wniosek:

  • w formie pisemnej na adres: Consonance Therapy Institute sp. z o.o. ul. Łucka 15/204, 00-842 Warszawa, Polska
  • drogą e-mailową na adres: admin@consonance-therapy.com

Wniosek powinien, w miarę możliwości, precyzyjnie wskazywać, czego dotyczy żądanie, tj. w szczególności:

  • z jakiego uprawnienia chce skorzystać osoba składająca wniosek;
  • jakiego procesu przetwarzania dotyczy żądanie;
  • jakich celów przetwarzania dotyczy żądanie.

Jeżeli Administrator nie będzie w stanie ustalić treści żądania lub zidentyfikować osoby składającej wniosek w oparciu o dokonane zgłoszenie, zwróci się do wnioskodawcy o dodatkowe informacje.

Odpowiedź na złożony wniosek powinna być udzielona w ciągu miesiąca od jego otrzymania. W razie konieczności przedłużenia tego terminu Administrator informuje wnioskodawcę o przyczynach takiego przedłużenia.

Odpowiedź udzielana jest w formie pisemnej, chyba że wniosek został złożony drogą e-mailową lub zażądano w nim przekazania odpowiedzi w formie elektronicznej.

Postępowanie w sprawie składanych wniosków jest nieodpłatne.

10. ZMIANY POLITYKI PRZETWARZANIA DANYCH OSOBOWYCH

Polityka jest na bieżąco weryfikowana i w razie potrzeby aktualizowana.

ПОЛИТИКА
Consonance Therapy Institute sp. z o.o.
относительно обработки персональных данных

1. OПРЕДЕЛЕНИЯ

Администратор – Consonance Therapy Institute sp. z o.o. (далее Администратор) с юридическим адресом ul. Łucka 15/204, 00-842 Warszawa, Polska; NIP: 5272950623.

Персональные данные – вся информация о физическом лице, идентифицированная или идентифицируемая одним или несколькими конкретными факторами, определяющими физическую, физиологическую, генетическую, психическую, экономическую, культурную или социальную идентичность физического лица, включая изображение, запись голоса, контактные данные, данные о местоположении информация, содержащаяся в корреспонденции, информация, собранная с помощью записывающего оборудования или других подобных технологий.

Политика – правила сайта consonance-therapy.com, касающаяся обработки персональных данных.

Основание – Закон от 10 мая 2018 года о защите персональных данных.

GDPR – Регламент (EU) 2016/679 Европейского парламента и Совета от 7 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95/46 / EC.

Субъект данных – любое физическое лицо, персональные данные которого обрабатываются Администратором.

2. ОБРАБОТКА ДАННЫХ АДМИНИСТРАТОРОМ

В связи со своей предпринимательской деятельностью Администратор собирает и обрабатывает персональные данные в соответствии с соответствующими положениями, в частности с GDPR и принципами обработки данных, содержащимися в нем.

Администратор обеспечивает прозрачность обработки данных, в частности, всегда информирует об обработке данных во время сбора, в том числе о целях и правовых основах обработки. Администратор обеспечивает сбор данных только в объеме, необходимом для указанной цели, и обработку только в течение периода, в котором это необходимо.

При обработке данных Администратор обеспечивает их безопасность и конфиденциальность, а также доступ к информации об этой обработке для субъектов данных. В случае, если, несмотря на принятые меры безопасности, имеет место нарушение защиты личных данных (например, «утечка» или потеря данных), Администратор примет меры в соответствии с законом, в том числе – если возникнет такое обязательство по закону – он сообщит об этом событии людям, которых это касается.

Администратор обрабатывает персональные данные:

  • пациентов/клиентов
  • участников терапевтических и учебных групп
  • потенциальных сотрудников

Персональные данные, обрабатываемые Администратором, собираются в наборы данных.

Коллекции хранятся и обрабатываются в основном в цифровом виде, то есть в файлах, находящихся на компьютерах, принадлежащих Администратору, и на принадлежащих ему серверах, а также в бумажном виде в виде:

  • медицинские записи и учетные записи для наборов данных пациентов
  • переписка, гражданско-правовые договоры и бухгалтерская документация в случае набора данных поставщиков
  • кадровая документация в случае набора данных потенциальных сотрудников.

Список отдельных наборов персональных данных вместе с указанием программ, используемых Администратором для обработки этих данных, а также расположения баз данных и мест обработки персональных данных, прилагается в Приложении 1 к настоящей Политике.

При планировании новых операций обработки Администратор анализирует их влияние на защиту персональных данных и учитывает проблемы защиты данных на этапе проектирования.

3. БЕЗОПАСНОСТЬ ЛИЧНЫХ ДАННЫХ

В целях обеспечения целостности и конфиденциальности данных Администратор внедрил внутренние процедуры, обеспечивающие доступ к персональным данным только уполномоченным им лицам и только в той мере, в которой это необходимо в связи с выполняемыми ими задачами. Администратор применяет организационные и технические решения для обеспечения того, чтобы все операции с персональными данными регистрировались и выполнялись только уполномоченными лицами.

Организационные решения

Администратор данных ведет реестр операций по обработке, который составляет Приложение 2 к настоящей Политике.

Администратор ведет реестр лиц, уполномоченных обрабатывать персональные данные, что составляет Приложение 3 к настоящей Политике.

Лица, уполномоченные Администратором обрабатывать данные, знакомы с положениями о защите персональных данных и обязаны хранить обработанные данные в тайне. Лица, упомянутые выше, прежде чем разрешить обрабатывать данные, должны взять на себя обязательство соблюдать вышеизложенное. обеспечение секретности обработанных данных путем подписания заявления пользователя, составляющего Приложение 4 к настоящей Политике.

Доступ в комнаты, в которых хранятся и / или обрабатываются личные данные, разрешен только лицам, уполномоченным Администратором обрабатывать личные данные.

Компьютерные мониторы, на которых обрабатываются персональные данные, настроены таким образом, чтобы предотвратить несанкционированное представление обработанных данных, включая экранные заставки.

Технические решения

Все комнаты, в которых хранятся и / или обрабатываются личные данные, блокируются, если последний человек, уполномоченный обрабатывать персональные данные, покидает комнату – также в рабочее время.

Помещения, в которых обрабатываются файлы личных данных, защищены от воздействия огня с помощью отдельно стоящего огнетушителя.

Персональные данные, хранящиеся на бумаге после работы, хранятся в запираемой офисной мебели; ключи от шкафчика хранятся в месте, недоступном для лиц, не уполномоченных обрабатывать личные данные.

Персональные данные, хранящиеся в электронной версии (память компьютера, учетные записи электронной почты, ИТ-системы, включая системы интернет-связи), защищены паролем доступа к компьютеру, паролем к учетной записи электронной почты и паролем к ИТ-системе.

Каждая ИТ-система гарантирует, что операции с личными данными могут быть связаны с конкретным пользователем.

Антивирусные программы с брандмауэром используются на компьютерах, на которых обрабатываются личные данные.

Администратор также предпринимает все необходимые действия, чтобы его субподрядчики и другие организации, сотрудничающие с ним, гарантировали применение соответствующих мер безопасности всякий раз, когда они обрабатывают личные данные по запросу Администратора.

Администратор проводит анализ рисков на постоянной основе и следит за адекватностью примененной защиты данных выявленным угрозам. При необходимости Администратор принимает дополнительные организационные и технические меры для повышения безопасности данных.

4. ЗАДАЧИ И ПРАВОВАЯ ОСНОВА ДЛЯ ОБРАБОТКИ ДАННЫХ АДМИНИСТРАТОРОМ

Электронная почта и традиционная переписка

В случае отправки по электронной почте корреспонденции Администратору или традиционными способами, не связанными с выполнением договора, заключенного с отправителем, личные данные, содержащиеся в этой корреспонденции, обрабатываются исключительно для целей связи и решения вопросов, к которым относится эта переписка.

Правовой основой для обработки является законный интерес Администратора (ст.6 п. 1 лит. РОДО), заключающийся в ведении корреспонденции, адресованной ему в связи с осуществляемой предпринимательской деятельностью.

Администратор обрабатывает только личные данные, относящиеся к делу, к которому относится корреспонденция. Вся корреспонденция хранится таким образом, что обеспечивает безопасность личных данных и другой информации, содержащейся в них и раскрываемой только уполномоченным лицам.

Интернет-магазин обрабатывает ваши персональные данные в следующих целях:

предоставить свои личные данные в mBank S.A. (далее Банк) в отношении:

  • предоставление Банком Интернет-магазину услуги по предоставлению доступа к инфраструктуре для обработки платежей через Интернет (правовое основание: статья 6 (1) (f) Регламента).
  • обслуживание и расчет Банком платежей, совершаемых клиентами Интернет-магазина через Интернет с использованием платежных инструментов (правовое основание: статья 6 (1) (f)
  • для того, чтобы Банк мог проверить надлежащее исполнение договоров, заключенных с Интернет-магазином, в частности, для обеспечения защиты интересов плательщиков в связи с их жалобами (правовое основание: статья 6 (1) (f) Регламента).

Телефонный контакт

Если вы связываетесь с Администратором по телефону по вопросам, не связанным с выполнением договора, вы можете запросить личные данные только в том случае, если это необходимо для рассмотрения дела, к которому вы обращаетесь. В таком случае правовым основанием является законный интерес Администратора (ст.6 п. 1 лит. RODO), заключающийся в необходимости урегулирования заявленного дела, связанного с проводимой предпринимательской деятельностью.

Набор персонала

В рамках процесса набора персонала Администратор ожидает передачу персональных данных только в той степени, которая указана в трудовом законодательстве. Поэтому информация не должна предоставляться более широко. Если поданные заявки содержат такие дополнительные данные, они не будут использованы или включены в процесс найма.

Персональные данные обрабатываются:

для выполнения обязательств, вытекающих из правовых положений, связанных с процессом трудоустройства, включая, в частности, Трудовой кодекс, – правовой основой для обработки является юридическое обязательство, возложенное на Администратора (статья 6 (1) (c) GDPR в связи с положениями Трудового кодекса);

для того, чтобы выполнить процесс набора в объеме данных, не требующихся по закону, а также в целях будущих процессов набора персонала – согласие является правовой основой для обработки (ст. 6, п. 1, лит. a RODO);

для определения или утверждения любых претензий или защиты от таких претензий – правовая основа для обработки данных является законным интересом Администратора (пункт 1 статьи 6 пункта В ГДП).

Сбор данных в связи с выполнением договоров

В случае сбора данных для целей, связанных с исполнением конкретного контракта, Администратор предоставляет субъекту данных подробную информацию, касающуюся обработки его личных данных.

Если вы предоставляете свои личные данные для заключения договора с Интернет-магазином, предоставление ваших личных данных является условием для заключения настоящего Соглашения. Предоставление персональных данных в этой ситуации является добровольным, однако последствием непредоставления этих данных будет невозможность заключить соглашение с Интернет-магазином.

Если вы предоставляете свои персональные данные Банку в связи с обработкой и расчетом платежей, произведенных вами, в Интернет-магазине с использованием платежных инструментов, необходимо предоставить данные для осуществления платежа и предоставить подтверждение его платежа Банком для Интернет-магазин.

Если вы предоставляете свои персональные данные Банку с целью проверки Банком надлежащего исполнения договоров, заключенных с Интернет-магазином, в частности, для обеспечения защиты интересов плательщиков в связи с их жалобами, предоставление этих данных необходимо для того, чтобы обеспечить возможность выполнения договора, заключенного между Интернет-магазином. и банком.

Объем обработки персональных данных

Администратор обрабатывает личные данные, такие как:

  • Имя и фамилия
  • Домашний адрес (город)
  • Мобильный номер
  • Электронный адрес

В связи с обработкой персональных данных для целей, изложенных в пункте 3 и 4, ваши личные данные могут быть предоставлены Интернет-магазином другим получателям или категориям получателей личных данных, которые могут быть:

а) ING Bank Śląski S.A.

Сбор данных в других случаях

В связи со своей деятельностью Администратор также собирает личные данные в других случаях – например, во время деловых встреч, на рыночных мероприятиях или путем обмена визитными карточками – для целей, связанных с установлением и поддержанием деловых контактов. В этом случае правовой основой для обработки является законный интерес Администратора (статья 6, пункт 1, буква f GDPR), заключающийся в создании сети контактов в связи с бизнесом. Личные данные, собранные в таких случаях, обрабатываются только для той цели, для которой они были собраны, и Администратор обеспечивает их надлежащую защиту.

Согласие на обработку данных в виде флажков (флажки не могут быть выбраны по умолчанию).

клиент должен иметь возможность дать согласие на обработку персональных данных, например, в форме проверки следующих параметров:

«Я принимаю Правила и Политику конфиденциальности».

5. СВЯЗЬ С АДМИНИСТРАТОРОМ

Связаться с Администратором по вопросам, связанным с хранением, обработкой и защитой персональных данных, можно:

  • по электронной почте biuro@consonance-therapy.com;
  • через контактную форму на сайте consonance-therapy.com;
  • письменно по адресу: Consonance Therapy Institute sp. z o.o. ul. Łucka 15/204, 00-842 Warszawa, Polska

6. ОБЯЗАННОСТИ И ОТВЕТСТВЕННОСТЬ ЛИЦ, УТВЕРЖДЕННЫХ АДМИНИСТРАТОРОМ ДЛЯ ОБРАБОТКИ ЛИЧНЫХ ДАННЫХ

Каждое лицо, уполномоченное Администратором на обработку персональных данных, обязано:

  • сохранять конфиденциальность личных данных, а также способы их защиты,
  • читать и соблюдать положения настоящей Политики и внутренних документов, выпущенных на основании настоящей Политики,
  • письменно подтвердить прочтение положений о защите персональных данных и настоящей Политики,
  • соблюдать положение о защите персональных данных, в частности закона и GDPR,
  • не передавать (без исключения кому-либо) свои пароли для ИТ-систем,
  • не предоставлять или не разрешать доступ к персональным данным посторонним лицам,
  • сообщать о любых замеченных случаях нарушения защиты личных данных или настоящей Политики Администратору или назначенному им лицу,
  • сообщать Администратору или указанному им лицу любые сомнения относительно обработки персональных данных.

7. ПОЛУЧАТЕЛИ ДАННЫХ

В связи с проведением мероприятий, требующих обработки персональных данных, эти данные передаются сторонним организациям, включая, в частности, поставщиков, ответственных за эксплуатацию ИТ-систем и оборудования, организации, предоставляющие юридические или бухгалтерские услуги, курьеров, маркетинговые или кадровые агентства.

Администратор оставляет за собой право раскрывать выбранную информацию о данных субъекту компетентным органам или третьим сторонам, которые подают запрос на такую ​​информацию, на основе соответствующей правовой основы и в соответствии с применимым законодательством.

8. ПЕРИОД ОБРАБОТКИ ЛИЧНЫХ ДАННЫХ

Период обработки данных администратором зависит от цели и объема обработки. Период обработки данных также может быть обусловлен положениями, когда они составляют основу для обработки.

В случае обработки данных на основе законного интереса Администратора, данные обрабатываются в течение периода, позволяющего их реализовать или вызвать эффективное возражение против обработки данных.

Если обработка основана на согласии, данные обрабатываются до момента их отзыва.

В случае если для обработки и заключения договора необходима основа обработки, данные будут обрабатываться до истечения срока его действия или расторжения.

Период обработки данных может быть продлен, если обработка необходима для установления, расследования или защиты от возможных претензий, а по истечении этого периода – только в том случае, если это предусмотрено законодательством. После окончания периода обработки данные необратимо удаляются или анонимизируются.

9. ПРАВА, СВЯЗАННЫЕ С ОБРАБОТКОЙ ЛИЧНЫХ ДАННЫХ

Субъекты данных имеют следующие права:

Право на информацию об обработке персональных данных

Исходя из этого, лицу, подающему такой запрос, Администратор предоставляет информацию о: обработке данных, в том числе прежде всего о целях и правовых основаниях для обработки, объеме хранимых данных, субъектах, которым они раскрываются, и планируемой дате их удаления.

Право на получение копий данных

На этом основании Администратор предоставляет копию обработанных данных, касающихся лица, отправляющего запрос.

Право на исправление данных

Исходя из этого, вы можете обратиться к администратору с просьбой устранить любые несовместимости или ошибки обрабатываемых персональных данных, а также дополнить их, если они являются неполными.

Право на удаление данных

Пользователь имеет право просматривать и изменять свои персональные данные в любое время, а также запрашивать у Администратора их немедленное удаление («право на забвение»).

Право на ограничение обработки

В случае такого запроса Администратор прекращает выполнение операций с личными данными, за исключением операций, на которые согласился субъект данных, и их хранения.

Право на перенос данных

Исходя из этого, в той степени, в которой данные обрабатываются в связи с заключенным договором или согласием, Администратор выдаст данные, предоставленные лицом, к которому они относятся, в формате, который может быть прочитан компьютером. Можно также запросить, чтобы данные были отправлены другому объекту, однако при условии, что в этом отношении имеются технические возможности как со стороны Администратора, так и этого другого объекта.

Право на возражение против обработки данных для других целей

Субъект данных может возражать против обработки персональных данных в любое время по причинам, связанным с его конкретной ситуацией, в случаях, когда обработка основана на обоснованном интересе Администратора. Возражение в этом отношении должно содержать обоснование.

Право на отзыв согласия

Если данные обрабатываются на основе выраженного согласия, субъект данных имеет право отозвать их в любое время, что, однако, не влияет на законность обработки, выполненной до отзыва этого согласия.

Право жаловаться

Если субъект данных считает, что обработка персональных данных нарушает положения GDPR или другие положения, касающиеся защиты персональных данных, он может подать жалобу президенту Управления по защите персональных данных.

Подача запросов, связанных с осуществлением прав в области персональных данных

Для реализации любого из прав, связанных с обработкой персональных данных, субъект данных подает соответствующее заявление:

  • письменно по следующему адресу: Consonance Therapy Institute sp. z o.o. ul. Łucka 15/204, 00-842 Warszawa, Polska
  • по электронной почте: biuro@consonance-therapy.com

Заявка должна, насколько это возможно, точно указывать, что касается запроса, то есть, в частности:

  • какое право лицо, подающее заявку, хочет использовать;
  • для чего обрабатывается запрос;
  • к каким целям обработки относится запрос.

Если администратор не может определить содержание запроса или определить лицо, подающее заявку, на основании заявления, он запросит у заявителя дополнительную информацию.

Ответ на заявку должен быть дан в течение одного месяца с момента получения. Если необходимо продлить этот срок, Администратор должен сообщить заявителю причины такого продления.

Ответ должен быть дан в письменном виде, если заявка не была подана по электронной почте или не было запрошено предоставить ответ в электронной форме.

Процедура подачи заявок является бесплатной.

10. ИЗМЕНЕНИЯ В ПОЛИТИКЕ ОБРАБОТКИ ЛИЧНЫХ ДАННЫХ

Политика пересматривается на постоянной основе и обновляется по мере необходимости.