RODO

Polityka przetwarzania i ochrony danych osobowychGrupy ENERGYNAT

Niniejszy Regulamin określa ogólne zasady oraz warunki prowadzenia sprzedaży przez Energynat spółka z ograniczoną odpowiedzialnością z siedzibą w Markach, za pośrednictwem sklepu internetowego dostępnego pod adresem https:// www.b2b.energynat.pl (zwanego dalej „Sklepem Internetowym”, a także reguluje zasady i warunki świadczenia usług drogą elektroniczną przez Energynat spółka z ograniczoną odpowiedzialnością z siedzibą w Markach.

I. Postanowienia ogólne

§1. Definicje

Użyte w Polityce określenia oznaczają:

Administrator danych – Spółka z Grupy Energynat, w przypadku gdy samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania Danych osobowych;
Aktywa – wszelkie zasoby: oprogramowanie, dane, sprzęt, zasoby administracyjne, fizyczne, komunikacyjne, osobowe, które mają dla Spółek z Grupy Energynat wartość, związane z przetwarzaniem Danych osobowych;
Analiza ryzyka – całościowa identyfikacja zagrożeń i podatności dla Aktywów związanych z przetwarzaniem Danych osobowych oraz określenie potrzeby ich kontrolowania lub akceptowania na wyznaczonym poziomie; celem Analizy ryzyka jest dostarczenie informacji niezbędnej do podejmowania decyzji o podjęciu środków przeciwdziałania zagrożeniom i/lub zmniejszania podatności;
Dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej (art. 4 pkt 1) RODO);
Grupa Energynat - grupa przedsiębiorstw w rozumieniu art. 4 pkt 19) RODO, którą tworzą następujące spółki: EN Group sp. z o.o. z siedzibą w Markach, Energynat sp. z o.o. z siedzibą w Markach, Energynat Solutions sp. z o.o. z siedzibą w Markach;
Inspektor Ochrony Danych (IOD) – osoba, mogąca zostać wyznaczona przez Spółki Grupy Energynat w drodze wielostronnego porozumienia, której zadaniem będzie pełnienie funkcji inspektora ochrony danych w rozumieniu art. 37 ust. 2 RODO dla Grupy Energynat;
Podatność – obejmuje słabość zasobu lub grupy zasobów, która może być wykorzystana przez zagrożenie oraz atrakcyjność aktywów informacyjnych;
Podmiot przetwarzający – Spółka z Grupy Energynat, w przypadku gdy przetwarza Dane osobowe w imieniu administratora danych;
Polityka – niniejsza polityka przetwarzania i ochrony danych osobowych w Grupie Energynat;
Poufność – właściwość danych polegająca na tym, że pozostają one niedostępne lub niejawne dla nieuprawnionych osób, procesów lub innych podmiotów;
Pracownik IT – pracownik lub współpracownik odpowiedzialny za obszar IT Grupie Energynat;
RCPD – rejestr czynności przetwarzania danych, o którym mowa w art. 30 RODO;
Rejestr Naruszeń – rejestr przypadków naruszeń ochrony Danych osobowych w Grupie Energynat;
RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
PUODO – Prezes Urzędu Ochrony Danych Osobowych;
System - zespół funkcjonalnie współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych, zastosowanych w celu przetwarzania danych w Grupie Energynat, w tym w szczególności systemu informatycznego, teleinformatycznego;
Ustawa – ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych wraz ze zmianami oraz z aktami wykonawczymi do tej ustawy;
Zabezpieczenia – mechanizmy techniczne i organizacyjne, których zastosowanie jest ukierunkowane na ograniczenie ryzyka; zabezpieczenia, stosowane w bezpieczeństwie informacji, obejmują procesy, polityki, urządzenia, praktyki lub inne działania, których zastosowanie modyfikuje ryzyko w bezpieczeństwie informacji;
Zagrożenia – przyczyny niepożądanych zdarzeń, których efektami są szkody w zakresie przetwarzania danych;
Zarządzanie ryzykiem – proces osiągnięcia i utrzymania stanu równowagi między zidentyfikowanymi zagrożeniami a stosownymi działaniami podjętymi w celu ochrony systemu przetwarzania danych; na proces zarządzania ryzykiem składa się Analiza ryzyka i wybór mechanizmów zabezpieczeń.

§2. Przedmiot regulacji

Polityka definiuje zasady przetwarzania i ochrony Danych osobowych w Grupie Energynat w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) oraz określa:
- 1) podstawowe zasady i wymagania związane z bezpieczeństwem przetwarzania danych osobowych;
- 2) role i obowiązki związane z utrzymaniem bezpieczeństwa
Przez przetwarzanie Danych osobowych rozumie się operację lub zestaw operacji wykonywanych na Danych osobowych lub zestawach Danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 4 pkt 2) RODO).
Za aktualizację Polityki pod względem formalno-prawnym oraz merytorycznym odpowiada Zarząd każdego z podmiotów z Grupy Energynat.
Przeglądy Polityki powinny się odbywać po wystąpieniu poważniejszego incydentu, po ujawnieniu znaczących podatności lub nowych form zagrożeń, a także po zmianach organizacyjnych. Należy również dokonywać przeglądów okresowych, nie rzadziej niż raz na trzy lata.
Spółki z Grupy Energynat mają prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach Grupy Energynat do wewnętrznych celów administracyjnych, co dotyczy w szczególności przetwarzania danych osobowych klientów pozostałych Spółek z Grupy Energynat (w tym ich pracowników, współpracowników, zleceniobiorców), wykonawców pozostałych podmiotów z Grupy Energynat (w tym ich pracowników, współpracowników, zleceniobiorców), dostawców produktów i usług na rzecz spółek z Grupy Energynat (w tym ich pracowników, współpracowników, zleceniobiorców).

§3. Regulacje

Spółka z Grupy Energynat, przy przetwarzaniu Danych osobowych, przestrzega wewnętrznych regulacji obowiązujących w Grupie Energynat oraz przepisów RODO i Ustawy oraz towarzyszących im aktów wykonawczych, a także innych powszechnie obowiązujących przepisów prawa związanych z wykonywaną przez tę spółkę działalnością.
Każda umowa zawarta przez Spółkę z Grupy Energynat powinna być zgodna z Polityką.

§4. Stosowanie i cele

Polityka odnosi się do wszelkich Aktywów wpływających na niezakłóconą realizację zadań statutowych Spółek z Grupy Energynat, rozpatrywanych w kontekście ich struktury organizacyjnej oraz posiadanych zasobów kadrowych
- 1) ograniczenie wpływu zagrożeń (systemy, ludzie, organizacja) do poziomu akceptowalnego i kontrolowanego;
- 2) zapewnienie wysokiego poziomu niezawodności i dostępności usług oferowanych przez Systemy, z możliwością tolerowania jedynie krótkotrwałych awarii;
- 3) utrzymywania wysokiego, adekwatnego do potrzeb, poziomu Poufności, integralności, dostępności, rozliczalności i jakości danych i informacji niezależnie od ich postaci (wersja papierowa, elektroniczna);
- 4) stworzenie skutecznych metod zapobiegania ujawnianiu informacji;
- 5) ograniczenie wpływu zagrożeń bezpieczeństwa informacji na realizację zobowiązań zewnętrznych, tj. wynikających z obowiązków sprawozdawczych lub zawartych umów;
Zadania w zakresie bezpieczeństwa polegają zarówno na realizowaniu jak i na udoskonalaniu stosowanego systemu bezpieczeństwa. W Grupie Energynat organami koordynującymi wszelkie działania dotyczące bezpieczeństwa są Zarządy każdej ze Spółek.
Zarząd Spółki dominującej koordynuje przestrzeganie zasad ochrony danych osobowych w pozostałych Spółkach z Grupy Energynat.

II. ORGANIZACJA PROCESU PRZETWARZANIA DANYCH

§5. Podmioty odpowiedzialne za organizację procesu przetwarzania danych

W celu efektywnego realizowania Polityki w zakresie bezpieczeństwa Danych osobowych Grupa Energynat może wyznaczyć:
- 1) Administratora Systemu Informatycznego (ASI) dla całej Grupy Energynat;
- 2) Inspektora Ochrony Danych (IOD) w rozumieniu art. 37 ust. 2 RODO, o ile można będzie łatwo nawiązać z nim kontakt z każdej ze Spółek z Grupy Energynat.
W przypadku braku wyznaczenia Administratora Systemu Informatycznego (ASI) lub Inspektora Ochrony Danych (IOD), zadania przewidziane dla powyższych osób w Polityce, w odpowiednim i adekwatnym zakresie, wykonują Zarządy poszczególnych Spółek lub wyznaczony podmiot trzeci.
Zadania przewidziane przez RODO lub Ustawę dla administratorów danych jak i podmiotów przetwarzających dane (w zależności od roli, jaką w danym procesie przetwarzania danych osobowych pełni konkretna Spółka z Grupy Energynat), wykonują Zarządy poszczególnych Spółek.
Bez uszczerbku dla uprawnień wynikających z ust. 1, Zarząd każdej ze Spółek z Grupy Energynat jest uprawniony do wyznaczenia osoby, której zadaniem będzie wsparcie Zarządu tej spółki w wypełnianiu zadań związanych z ochroną danych osobowych. Osoba ta może wywodzić się z Grupy Energynat lub być zewnętrznym konsultantem. W przypadku powołania takiej osoby, nazwa stanowiska, jej pozycja i zadania nie powinny wprowadzać w błąd, co do pełnienia przez nią funkcji inspektora ochrony danych w rozumieniu art. 37 RODO. W związku z powyższym Zarząd Spółki, który zdecydował się na jej wyznaczenie, zobowiązany jest do zapewniania, że taka osoba nie będzie postrzegana jako inspektor ochrony danych w rozumieniu art. 37 RODO, w szczególności poprzez podjęcie odpowiednich działań informacyjnych.
Wszelkie działania IOD w przypadku ich wyznaczenia, a także Spółek monitorowane są przez Zarząd Spółki dominującej tj. EN Group sp. z o.o., który podejmuje ostateczne decyzje w zakresie stosowanych metod bezpieczeństwa.

§6. Obowiązki Zarządu Spółki z Grupy ENERGYNAT (w przypadku braku wyznaczenia ASI i IOD)

Obowiązki Zarządu Spółki z Grupy Energynat, w zakresie ochrony danych osobowych w zarządzanej przez niego Spółce z Grupy Energynat, w przypadku braku wyznaczenia IOD obejmują m. in.
- 1) zapewnianie przestrzegania przepisów o ochronie Danych osobowych (RODO, Ustawa) w tej spółce:
  - a) sprawdzanie zgodności przetwarzania Danych osobowych z przepisami o ochronie danych osobowych;
  - b) nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych Danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, oraz przestrzegania zasad w niej określonych;
  - c) zapewnianie zapoznania osób upoważnionych do przetwarzania Danych osobowych z przepisami o ochronie danych osobowych;
  - d) prowadzenie w postaci elektronicznej RCPD oraz rejestru kategorii czynności przetwarzania;
- 2) weryfikację:
  - a) kompletności dokumentacji przetwarzania danych;
  - b) stanu faktycznego w zakresie przetwarzania Danych osobowych;
  - c) zgodności ze stanem faktycznym przewidzianych w dokumentacji przetwarzania danych środków technicznych i organizacyjnych służących przeciwdziałaniu zagrożeniom dla ochrony Danych osobowych;
  - d) przestrzegania zasad i obowiązków określonych w dokumentacji przetwarzania danych;
- 3) nadzór nad realizacją wytycznych Polityki i innych regulacji dotyczących przetwarzania Danych osobowych i dążenie do utrzymania osiągniętego stanu bezpieczeństwa;
- 4) zapewnienie szkoleń z zakresu ochrony Danych osobowych dla pracowników i współpracowników;
- 5) nadzór nad funkcjonowaniem mechanizmów kontroli dostępu do Systemów i jego urządzeń;
- 6) zapewnienia prawidłowego funkcjonowania procedur w przypadku wystąpienia incydentów bezpieczeństwa, w tym w szczególności naruszeń ochrony Danych osobowych;
- 7) monitorowanie skuteczności zabezpieczeń, sprawdzanie osiągnięcia celów w zakresie bezpieczeństwa;
- 8) określanie niezbędnych zasobów (ludzkich, finansowych, wiedzy) potrzebnych do wdrożenia i utrzymania stanu bezpieczeństwa;
- 9) nadzór nad rozważanymi nowymi rodzajami przetwarzania Danych osobowych oraz, w stosownych przypadkach, prowadzenie oceny skutków dla ochrony danych w trybie art. 35 RODO;
- 10) nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których przetwarzane są Dane osobowe oraz kontrola przebywających w nich osób;
- 11) nadzór nad obiegiem oraz przechowywaniem dokumentów zawierających Dane osobowe;
- 12) nadzór nad czynnościami w zakresie bezpieczeństwa informacji zleconymi podmiotom zewnętrznym;
- 13) sprawdzanie zgodności przetwarzania Danych osobowych (czynności mające na celu zweryfikowanie zgodności przetwarzania Danych osobowych z przepisami o ochronie Danych osobowych);
- 14) informowanie podmiotów przetwarzających oraz pracowników lub współpracowników, którzy przetwarzają Dane osobowe, o obowiązkach spoczywających na nich na mocy przepisów o ochronie danych osobowych, w tym w szczególności RODO i Ustawy;
- 15) współpraca z PUODO.
W przypadku wykrycia podczas weryfikacji nieprawidłowości Zarząd Spółki z Grupy Energynat:
- 1) podejmuje odpowiednie działania w celu wyeliminowania stwierdzonych nieprawidłowości;
- 2) zawiadamia Zarząd Spółki dominującej o nieaktualności dokumentacji przetwarzania danych;
- 3) poucza lub instruuje osobę nieprzestrzegającą zasad określonych w dokumentacji przetwarzania danych o prawidłowym sposobie ich realizacji.

§7. Obowiązki IOD (w przypadku wyznaczenia)

Grupa Energynat może, w drodze wielostronnego porozumienia Spółek z Grupy Energynat, wyznaczyć jednego IOD, o ile można będzie łatwo nawiązać z nim kontakt z każdej Spółki z Grupy Energynat (art. 37 ust. 2 RODO).
IOD - w przypadku wyznaczenia - wykonuje swoje zadania dla całej Grupy Energynat.
Do zadań IOD, w odniesieniu do każdej ze Spółek z Grupy Energynat, należy w szczególności:
- 1) zapewnianie przestrzegania przepisów o ochronie Danych osobowych (RODO, Ustawa), w szczególności przez:
  - a) sprawdzanie zgodności przetwarzania Danych osobowych z przepisami o ochronie Danych osobowych oraz opracowanie dla danej Spółki z Grupy Energynat stosownego raportu – nie rzadziej niż raz na 3 lata;
  - b) nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych Danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, oraz przestrzegania zasad w niej określonych;
  - c) zapewnianie zapoznania osób upoważnionych do przetwarzania Danych osobowych z przepisami o ochronie danych osobowych;
  - d) prowadzenie w postaci papierowej oraz elektronicznej RCPD oraz rejestru kategorii czynności przetwarzania.
- 2) weryfikacja:
  - a) opracowania i kompletności dokumentacji przetwarzania danych;
  - b) zgodności dokumentacji przetwarzania danych z obowiązującymi przepisami prawa;
  - c) stanu faktycznego w zakresie przetwarzania Danych osobowych;
  - d) zgodności ze stanem faktycznym przewidzianych w dokumentacji przetwarzania danych środków technicznych i organizacyjnych służących przeciwdziałaniu zagrożeniom dla ochrony Danych osobowych;
  - e) przestrzeganie zasad i obowiązków określonych w dokumentacji przetwarzania danych
- 3) planowanie wszelkich przedsięwzięć związanych z określeniem potrzeb w zakresie bezpieczeństwa Danych osobowych (Analiza ryzyka), opracowanie stosownych koncepcji i projektów Zabezpieczeń,
- 4) nadzór nad realizacją wytycznych Polityki i dążenie do utrzymania osiągniętego stanu bezpieczeństwa
- 5) Analiza ryzyka i zarządzanie nim;
- 6) opracowywanie planów wdrożenia Zabezpieczeń
- 7) opracowywanie treści programów szkoleniowych i prowadzenie szkoleń z zakresu ochrony danych osobowych;
- 8) nadzór nad funkcjonowaniem mechanizmów kontroli dostępu do Systemu i jego urządzeń;
- 9) opracowywanie planów reakcji na incydenty, planów awaryjnych, regulaminów;
- 10) monitorowanie skuteczności zabezpieczeń, sprawdzanie osiągnięcia celów w zakresie bezpieczeństwa;
- 11) opracowywanie planów zabezpieczenia Systemów;
- 12) określanie niezbędnych zasobów (ludzkich, finansowych, wiedzy) potrzebnych do wdrożenia i utrzymania stanu bezpieczeństwa;
- 13) nadzór nad rozważanymi nowymi rodzajami przetwarzania Danych osobowych oraz, w stosownych przypadkach, prowadzenie oceny skutków dla ochrony danych w trybie art. 35 RODO;
- 14) nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których przetwarzane są Dane osobowe oraz kontrola przebywających w nich osób;
- 15) nadzór nad obiegiem oraz przechowywaniem dokumentów zawierających Dane osobowe;
- 16) nadzór nad czynnościami w zakresie bezpieczeństwa informacji zleconymi podmiotom zewnętrznym;
- 17) sprawdzanie zgodności przetwarzania Danych osobowych (czynności mające na celu zweryfikowanie zgodności przetwarzania Danych osobowych z przepisami o ochronie danych osobowych), dokonywane w trybie:
  - a) sprawdzenia planowego - według planu sprawdzeń,
  - b) sprawdzenia doraźnego - w przypadku nieprzewidzianym w planie sprawdzeń, w sytuacji powzięcia wiadomości o naruszeniu ochrony Danych osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia;
- 18) informowanie Administratora danych, podmiotu przetwarzającego oraz pracowników lub współpracowników, którzy przetwarzają Dane osobowe, o obowiązkach spoczywających na nich na mocy przepisów o ochronie danych osobowych, w tym w szczególności RODO i Ustawy oraz doradzanie im w tej sprawie;
- 19) współpraca z PUODO;
- 20) pełnienie funkcji punktu kontaktowego dla PUODO w kwestiach związanych z przetwarzaniem danych osobowych, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach;
- 21) prowadzenie Rejestru Naruszeń.
Plan sprawdzeń określa przedmiot, zakres oraz termin przeprowadzenia poszczególnych sprawdzeń oraz sposób i zakres ich dokumentowania
IOD dokumentuje czynności przeprowadzone w toku sprawdzenia, w zakresie niezbędnym do oceny zgodności przetwarzania Danych osobowych z przepisami o ochronie danych osobowych.
Po zakończeniu sprawdzenia IOD przygotowuje sprawozdanie dla Zarządu Spółki. Sprawozdanie jest sporządzane w postaci elektronicznej.
W przypadku wykrycia podczas weryfikacji nieprawidłowości IOD:
- 1) podejmuje odpowiednie działania w celu wyeliminowania stwierdzonych nieprawidłowości;
- 2) zawiadamia Zarząd Spółki z Grupy Energynat, której dotyczy wykryta nieprawidłowość o nieopracowaniu lub brakach w dokumentacji przetwarzania danych lub jej elementach oraz działaniach podjętych w celu doprowadzenia dokumentacji do wymaganego stanu;
- 3) zawiadamia Zarząd Spółki z Grupy Energynat, której dotyczy wykryta nieprawidłowość o nieaktualności dokumentacji przetwarzania danych;
- 4) poucza lub instruuje osobę nieprzestrzegającą zasad określonych w dokumentacji przetwarzania danych o prawidłowym sposobie ich realizacji lub zawiadamia Zarząd Spółki z Grupy Energynat, której dotyczy wykryta nieprawidłowość, wskazując osobę odpowiedzialną za naruszenie tych zasad oraz jego zakres.
W przypadku wystąpienia takiej potrzeby, Zarząd Spółki z Grupy Energynat może wyznaczyć osobę lub osoby, których zadaniem będzie wspieranie IOD w realizacji jego zadań.

§8. Obowiązki Spółki z Grupy Energynat, jako Administratora danych

Administrator danych zapewnia, aby Dane osobowe były:
- 1) przetwarzane zgodnie z prawem, w szczególności z RODO oraz Ustawą i ich aktami wykonawczymi oraz z innymi przepisami prawa związanymi z prowadzoną przez konkretną Spółkę z Grupy Energynat działalnością, a także w sposób przejrzysty, dla osób których dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
- 2) zbierane w konkretnych i prawnie uzasadnionych celach związanych z prowadzaną przez konkretną Spółkę z Grupy Energynat działalnością („ograniczenie celu”);
- 3) adekwatne, stosowane oraz ograniczone do tego, co niezbędne dla realizacji celów, dla których zostały zebrane („minimalizacja”);
- 4) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, w szczególności poprzez dołożenie należytej staranności, aby Dane osobowe były zgodne z prawdą, kompletne i nie wykraczające poza potrzeby wynikające z celu ich zbierania („prawidłowość”);
- 5) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu ich przetwarzania („ograniczenie przechowywania”);
- 6) należycie zabezpieczone za pomocą odpowiednich środków technicznych oraz organizacyjnych przed zniszczeniem, zniekształceniem oraz ujawnieniem osobom nieuprawnionym („integralność i poufność”).
Administrator danych na bieżąco dokumentuje przestrzeganie zasad wskazanych w ust. 1 w szczególności poprzez regulacje wewnętrzne, RCPD, korespondencję z osobami, których dane dotyczą, Rejestr Naruszeń oraz sprawozdania ze sprawdzeń (w przypadku wyznaczenia IOD), w sposób umożliwiający wykazanie ich przestrzegania („rozliczalność”).

III. PRZETWARZANIE DANYCH OSOBOWYCH

§9. Przetwarzane Dane osobowe. Zasady zbierania Danych osobowych

Administrator danych przetwarza wyłącznie Dane osobowe, co do których posiada odpowiednie upoważnienie, wynikające z przepisów prawa lub oświadczenia osoby, której dane dotyczą.
Oświadczenie osoby, której dane dotyczą (zgoda na przetwarzanie Danych osobowych), nie może być domniemane lub wynikać dorozumianie z oświadczenia woli o innej treści. W przypadku wątpliwości co do zakresu zgody osoby na przetwarzanie Danych osobowych, wszelkie niejasności interpretowane są na jej korzyść.
Z zastrzeżeniem ust. 4 Administrator danych podczas pozyskiwania Danych osobowych, od osoby, której te dane dotyczą przekazuje tej osobie następujące informacje:
- 1) tożsamość, dane kontaktowe Administratora danych;
- 2) dane kontaktowe IOD (jeżeli został wyznaczony);
- 3) cele przetwarzania Danych osobowych wraz z podstawą prawną przetwarzania;
- 4) w przypadku, gdy przetwarzanie Danych osobowych odbywa się na podstawie art. 6 ust. 1 lit. f) RODO – informację o prawnie uzasadnionych interesach realizowanych przez Administratora danych lub przez stronę trzecią;
- 5) informacje o odbiorcach Danych osobowych lub kategoriach odbiorców (jeżeli istnieją);
- 6) w przypadku zamiaru przekazania Danych osobowych do państwa trzeciego lub organizacji międzynarodowej – informacje wskazane w art. 13 ust.1 lit f) RODO;
- 7) okres przechowywania Danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
- 8) informacje o prawie do żądania od Administratora danych dostępu do Danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
- 9) jeżeli przetwarzanie odbywa się za zgodą osoby, której dane dotyczą – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
- 10) informacje o prawie wniesienia skargi do PUODO;
- 11) informację, czy podanie Danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
- 12) informację o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą
Administrator danych może odstąpić od przekazywania informacji wymienionych w ust. 3 osobie, która posiada już te informacje i Administrator danych jest w stanie ten fakt wykazać.
W przypadku zmiany celu przetwarzania Danych osobowych przed dalszym ich przetwarzaniem Administrator danych informuje osobę, której dane dotyczą o nowym celu przetwarzania oraz udziela jej wszystkich innych stosownych informacji, o których mowa w ust. 3 pkt 7)-12) powyżej.
W przypadku pozyskiwania Danych osobowych, nie od osoby, której dane dotyczą Administrator danych przekazuje osobie, której dane dotyczą następujące informacje:
- 1) tożsamość, dane kontaktowe Administratora danych;
- 2) dane kontaktowe IOD (jeżeli został wyznaczony);
- 3) cele przetwarzania Danych osobowych wraz z podstawą prawną przetwarzania;
- 4) kategorie odnośnych Danych osobowych;
- 5) informacje o odbiorcach Danych osobowych lub kategoriach odbiorców (jeżeli istnieją);
- 6) w przypadku zamiaru przekazania Danych osobowych do państwa trzeciego lub organizacji międzynarodowej – informacje wskazane w art. 14 ust.1 lit f) RODO;
- 7) okres przechowywania Danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
- 8) w przypadku, gdy przetwarzanie Danych osobowych odbywa się na podstawie art. 6 ust. 1 lit. f) RODO – informację o prawnie uzasadnionych interesach realizowanych przez Administratora danych lub przez stronę trzecią;
- 9) informacje o prawie do żądania od Administratora danych dostępu do Danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
- 10) jeżeli przetwarzanie odbywa się za zgodą osoby, której dane dotyczą – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
- 11) informacje o prawie wniesienia skargi do PUODO;
- 12) źródło pochodzenia Danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;
- 13) informację o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Informacje, o których mowa w ust. 6, Administrator danych podaje osobie, której dane dotyczą w następujących terminach:
- 1) rozsądnym terminie po pozyskaniu Danych osobowych, jednakże nie później niż w terminie 1 miesiąca od ich pozyskania;
- 2) jeżeli Dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą - najpóźniej przy pierwszej takiej komunikacji z tą osobą;
- 3) jeżeli Dane osobowe będą przekazane innemu odbiorcy – najpóźniej przy ich ujawnieniu.
W sytuacji, o której mowa w ust. 6, w przypadku zmiany celu przetwarzania Danych osobowych przed dalszym ich przetwarzaniem Administrator danych informuje osobę, której dane dotyczą o nowym celu przetwarzania oraz udziela jej wszystkich innych stosownych informacji, o których mowa w ust. 6 pkt 7)-13) powyżej.

§10. Szczegółowe zasady przetwarzania Danych osobowych

Administrator danych przetwarza Dane osobowe tylko zgodnie z celem, w jakim zostały zebrane. Przetwarzanie Danych osobowych w innych celach jest zabronione.
Administrator danych przetwarza Dane osobowe, w szczególności, gdy:
- 1) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań, której dane dotyczą przed zawarciem umowy;
- 2) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze danych, wynikającego z obowiązujących Administratora danych przepisów prawa;
- 3) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora danych lub stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony Danych osobowych, w szczególności, gdy osoba, której dane dotyczą jest dzieckiem;
- 4) na podstawie zgody na przetwarzanie danych osobowych – w sytuacji, gdy Administrator danych nie wykazuje się inną podstawą przetwarzania danych.
Dane osobowe przetwarzane są w Systemach, a także w sposób tradycyjny.

§11. Przetwarzanie szczególnych kategorii Danych osobowych

Administrator danych osobowych nie może przetwarzać Danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osób fizycznych lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby, chyba że został spełniony w szczególności jeden z warunków określonych w art. 9 ust. 2 RODO, w szczególności gdy:
- 1) osoba, której dane dotyczą wyraziła wyraźną zgodę na przetwarzanie tych Danych osobowych w jedynym lub kilku konkretnych celach, chyba że przepisy powszechnie obowiązującego prawa, w tym prawa unijnego przewidują, że osoba, której dane dotyczą, nie może uchylić zakazu przetwarzania Danych osobowych, wskazanych powyżej;
- 2) przetwarzanie jest niezbędne do wypełniania obowiązków i wykonywania szczególnych praw przez Administratora danych lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone obowiązującymi przepisami prawa;
- 3) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
- 4) przetwarzanie dotyczy Danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą.

§12. Osoby przetwarzające Dane osobowe

Osobami uprawnionymi do przetwarzania Danych osobowych, są pracownicy i współpracownicy Spółki z Grupy Energynat oraz inne osoby, którym powierzono przetwarzanie Danych osobowych, którzy:
- 1) posiadają upoważnienie wydane przez Administratora danych („Upoważnienie”);
- 2) przyjęli zakres czynności;
- 3) złożyli oświadczenie o zachowaniu poufności i tajemnicy dotyczącej przetwarzanych Danych osobowych („Oświadczenie o zachowaniu poufności i tajemnicy dotyczącej przetwarzanych Danych osobowych”).
Zabrania się przetwarzania Danych osobowych:
- 1) osobie, która nie posiada Upoważnienia wydanego przez Administratora danych;
- 2) osobie, który posiada Upoważnienie Administratora danych, ale przetwarzanie przez nią Danych osobowych w danym momencie jest nieuzasadnione.
W przypadku wątpliwości co do uprawnienia do przetwarzania Danych osobowych, każdy jest zobowiązany przed rozpoczęciem przetwarzania zasięgnąć opinii właściwego Zarządu Spółki z Grupy Energynat (a IOD w przypadku wyznaczenia), który rozstrzyga o uprawnieniach do przetwarzania Danych osobowych.
Nadawane przez Zarząd Spółki z Grupy Energynat (a IOD w przypadku wyznaczenia) Upoważnienie określa poziom przetwarzania Danych osobowych adekwatny do zajmowanego stanowiska lub wykonywanych czynności przez osobę upoważnioną w danej Spółce z Grupy Energynat.
Dla potrzeb nadawanych upoważnień, poziomy dostępu do Danych osobowych przetwarzanych przez Spółki z Grupy Energynat, należy dodatkowo poprzedzić odpowiednim skrótem:
- 1) EN Group sp. z o.o. – [ENG],
- 2) Energynat sp. z o.o. – [ENT],
- 3) Energynat Solutions sp. z o.o. – [ENS].
Wzór Upoważnienia oraz Oświadczenia o zachowaniu poufności i tajemnicy dotyczącej przetwarzania Danych osobowych stanowi Załącznik do Polityki.
Zarząd Spółki z Grupy Energynat (a IOD w przypadku wyznaczenia) prowadzi rejestr osób upoważnionych do przetwarzania Danych osobowych.

§13. Osoby odpowiedzialne za przetwarzanie Danych osobowych

Osobami odpowiedzialnymi za przetwarzanie Danych osobowych są osoby przetwarzające dane oraz przełożeni tych osób.
O jakichkolwiek nieprawidłowościach powstałych przy przetwarzaniu danych, należy poinformować Zarząd Spółki z Grupy Energynat (a IOD w przypadku wyznaczenia), który dokonuje oceny stanu faktycznego i w razie konieczności stosuje odpowiednie środki zapobiegawcze.
Wszyscy pracownicy i współpracownicy Spółek z Grupy Energynat oraz każda inna osoba przetwarzająca Dane osobowe, powinni postępować zgodnie z Polityką i regulacjami im towarzyszącymi, a także z obowiązującymi w tym zakresie przepisami prawa, w szczególności RODO i Ustawy.

§14. Wątpliwości

W przypadku wątpliwości co do legalności przetwarzania albo przekazywania Danych osobowych, pracownik lub współpracownik Spółki z Grupy Energynat zwraca się do Zarządu odpowiedniej dla niego Spółki z Grupy Energynat (a IOD w przypadku wyznaczenia) o zajęcie stanowiska. Do czasu rozstrzygnięcia sprawy, Dane osobowe nie mogą być przetwarzane ani przekazywane.

§15. Archiwizowanie Danych osobowych

Dane osobowe są przechowywane do momentu osiągnięcia celu, dla którego były przetwarzane zgodnie z okresami wskazanymi w RCPD dla danej kategorii danych.
Dane osobowe, co do których ustał cel ich przetwarzania, są usuwane w sposób trwały.

IV. REJESTROWANIE CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH

§16. RCPD i Rejestr kategorii czynności przetwarzania

Każda ze Spółek z Grupy Energynat, jako Administrator danych prowadzi RCPD.
W RCPD zamieszcza się co najmniej:
- 1) nazwę Administratora danych, wszelkich współadministratorów (oraz ich dane kontaktowe (także IOD w przypadku wyznaczenia);
- 2) cele przetwarzania;
- 3) opis kategorii osób, których dane dotyczą, oraz kategorii Danych osobowych;
- 4) kategorie odbiorców, którym Dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
- 5) gdy ma to zastosowanie, informacje o przekazaniu danych do państwa trzeciego lub organizacji międzynarodowej poprzez wskazanie nazwy tego państwa lub organizacji międzynarodowej, a w przypadku, o którym mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń;
- 6) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
- 7) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.
Każda ze Spółek z Grupy Energynat, jako Podmiot przetwarzający prowadzi rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora danych.
W rejestrze kategorii czynności przetwarzania danych zamieszcza się co najmniej:
- 1) nazwę oraz dane kontaktowe Podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa Podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora (oraz IOD jeśli został wyznaczony);
- 2) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów danych;
- 3) gdy ma to zastosowanie – informacje dotyczące przekazania Danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń;
- 4) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.
Rejestry, o których mowa wyżej mają formę pisemną, w tym formę elektroniczną.
W przypadku aktualizacji RCPD lub rejestru kategorii czynności przetwarzania przechowuje się wszystkie poprzednie ich wersje
Za prowadzenie, aktualizację oraz archiwizację RCPD lub rejestru kategorii czynności przetwarzania odpowiada Zarząd danej Spółki z Grupy Energynat (a IOD w przypadku wyznaczenia).
Spółka z Grupy Energynat działając jako Administrator danych lub Podmiot przetwarzający udostępnia odpowiedni rejestr na żądanie organu nadzorczego.

V. UDOSTĘPNIENIE ORAZ POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

§17. Udostępnianie Danych osobowych

Przed udostępnieniem Danych osobowych, Administrator danych bada zasadność żądania oraz cel, dla jakiego będą Dane osobowe przetwarzane przez ubiegającego się o udostępnienie Danych osobowych.

§18. Powierzenie przetwarzania Danych osobowych

Administrator danych może powierzyć innemu podmiotowi w drodze umowy sporządzonej w formie pisemnej, w tym w formie elektronicznej, podlegającej prawu Unii Europejskiej lub prawu polskiemu przetwarzanie danych (umowa powierzenia przetwarzania danych). Administrator danych korzysta wyłącznie z usług takich podmiotów przetwarzających, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO oraz Ustawy i chroniło prawa osób, których dane dotyczą.
Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.
Umowa określa przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj Danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa Administratora danych. Umowa stanowi w szczególności, że podmiot przetwarzający:
- 1) przetwarza Dane osobowe wyłącznie na udokumentowane polecenie Administratora danych – co dotyczy też przekazywania Danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje Administratora danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
- 2) zapewnia, by osoby upoważnione do przetwarzania Danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
- 3) podejmuje wszelkie środki wymagane na mocy art. 32 RODO;
- 4) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w art. 28 ust. 2 i 4 RODO;
- 5) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga Administratorowi danych poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO (§ 22 Polityki);
- 6) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Administratorowi danych wywiązać się z obowiązków określonych w art. 32–36 RODO;
- 7) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji Administratora danych usuwa lub zwraca mu wszelkie Dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii Europejskiej lub prawo polskie nakazują przechowywanie Danych osobowych;
- 8) udostępnia Administratorowi danych wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym paragrafie oraz umożliwia Administratorowi danych lub audytorowi upoważnionemu przez Administratora danych przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich;
- 9) informuje Administratora danych, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów Unii Europejskiej lub prawa polskiego o ochronie danych.
Jeżeli do wykonania w imieniu Administratora danych konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy – te same obowiązki ochrony danych jak w umowie pomiędzy Administratorem danych a podmiotem przetwarzającym, o których to obowiązkach mowa w ust. 3, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora danych za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym.
Administrator danych zapewnia zgodność postępowania podmiotów przetwarzających dane, o których mowa w art. 4 pkt 8 RODO (podmiot przetwarzający) działających na zlecenie Administratora danych zgodnie z postanowieniami Polityki.

VI. KOMUNIKACJA Z OSOBAMI, KTÓRYCH DANE SĄ PRZETWARZANE

§19. Zasady komunikacji z osobami, których dane są przetwarzane

Administrator danych podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w § 11 oraz prowadzić z nią wszelką komunikację.
Administrator danych udziela informacji na piśmie lub w inny sposób zaakceptowany lub wnioskowany przez osobę, której dane dotyczą, w tym elektronicznie.
Jeżeli osoba, której dane dotyczą, tego zażąda, Administrator danych możne udzielić informacji ustnie, o ile innymi sposobami potwierdzi tożsamość osoby, której dane dotyczą.
Każda komunikacja z osobą, której dane są przetwarzane dotycząca przetwarzania jej Danych osobowych jest dokumentowana.

§20. Realizacja żądań osób, których dane są przetwarzane

Administrator danych realizuje w szczególności następujące żądania osób, których dane przetwarza:
- 1) żądanie dostępu do danych – poprzez zapewnienie osobie, której dane dotyczą dostępu do następujących informacji:
  - a) celów przetwarzania;
  - b) kategorii odnośnych Danych osobowych;
  - c) o odbiorcach lub kategoriach odbiorców, którym Dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
  - d) w miarę możliwości planowany okres przechowywania Danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  - e) o prawie do żądania od Administratora danych sprostowania, usunięcia lub ograniczenia przetwarzania Danych osobowych dotyczących osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
  - f) o prawie wniesienia skargi do PUODO;
  - g) jeżeli Dane osobowe nie zostały zebrane od osoby, której dane dotyczą - wszelkie dostępne informacje o ich źródle;
  - h) o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
  - - dane udostępniane są w formie papierowej lub w formie elektronicznej, jeżeli osoba, której dane dotyczą składa żądanie drogą elektroniczną i nie zaznaczy inaczej lub wnosi o przekazanie danych w formie elektronicznej;
- 2) żądanie sprostowania danych – poprzez sprostowanie lub uzupełnienie danych zgodnie z żądaniem;
- 3) żądanie usunięcia danych (prawo do bycia zapomnianym) – poprzez niezwłoczne usunięcie danych dotyczących osoby składającej żądanie, jeżeli zachodzi jedna z następujących okoliczności:
  - a) Dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
  - b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania;
  - c) osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania z przyczyn związanych z jej szczególną sytuacją i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania na potrzeby marketingu bezpośredniego;
  - d) Dane osobowe były przetwarzane niezgodnie z prawem;
  - e) Dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii Europejskiej lub prawie polskim;
- 4) żądanie ograniczenia przetwarzania – poprzez ograniczenie przetwarzania danych w następujących przypadkach;
  - a) osoba, której dane dotyczą, kwestionuje prawidłowość Danych osobowych – na okres pozwalający Administratorowi danych sprawdzić prawidłowość tych danych;
  - b) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu Danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
  - c) Administrator danych nie potrzebuje już Danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
  - d) osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie Administratora danych są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą;
- 5) żądanie powiadomienia o sprostowaniu, usunięciu lub ograniczeniu przetwarzania – poprzez powiadomienie osoby, której dane dotyczą o odbiorcach danych, którym przekazano informację o sprostowaniu, usunięciu Danych osobowych lub ograniczeniu przetwarzania;
- 6) żądanie przeniesienia danych – poprzez udostępnienie osobie, której dane dotyczą lub wskazanemu przez tą osobę innemu administratorowi danych tej osoby w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego;
- 7) sprzeciw wobec przetwarzania danych, na podstawie wskazanej w art. 21 ust. 1 RODO, z przyczyn związanych ze szczególną sytuacją osoby, której dane dotyczą – poprzez zaprzestanie przetwarzania danych, jeżeli nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;
- 8) sprzeciw wobec przetwarzania danych w celu marketingu bezpośredniego – poprzez zaprzestanie przetwarzania danych w celach marketingu bezpośredniego.
Administrator danych niezwłocznie, jednak w terminie nie dłuższym niż miesiąc od otrzymania żądania, udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku ze złożonym przez nią żądaniem.
W razie potrzeby termin, o którym mowa w ust. 2 może ulec przedłużeniu o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań, o czym Administrator danych informuje osobę, której dane dotyczą wraz z podaniem przyczyn opóźnienia nie później niż terminie wskazanym w ust. 2.
Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.
Jeżeli tożsamość osoby zgłaszającej żądanie budzi wątpliwości Administrator danych może odmówić realizacji żądania z wyjątkiem zaprzestania przewarzania Danych osobowych do celów marketingowych.

VII. POSTĘPOWANIE W PRZYPADKU NARUSZENIA OCHRONY DANYCH OSOBOWYCH

§21. Przykłady naruszenia i podejrzenia naruszenia ochrony Danych osobowych

Naruszenie ochrony Danych osobowych lub uzasadnione podejrzenie naruszenia ochrony Danych osobowych następuje w szczególności w przypadkach:

zniszczenia pomieszczeń, w których przetwarzane są Dane osobowe, na skutek zalania, pożaru, wybuchu gazu, wybuchu bomby, sabotażu lub z innych przyczyn;
celowego lub nieświadomego przekazania zbioru Danych osobowych lub jego części osobie nieuprawnionej do ich otrzymania;
niedopełnienia obowiązku ochrony Danych osobowych poprzez umożliwienie dostępu do danych osobie nieuprawnionej - np. poprzez pozostawienie dokumentu lub jego kopii zawierającego Dane osobowe w miejscu ogólnodostępnym lub brak nadzoru nad osobami nieuprawnionymi, przebywającymi w pomieszczeniach, w których przetwarza się Dane osobowe;
nieuprawnionego dostępu lub próby dostępu do pomieszczeń, w których przetwarza się Dane osobowe;
wykonania nieuprawnionych kopii Danych osobowych;
niewłaściwego niszczenia lub usuwania dokumentów zawierających Dane osobowe;
stwierdzenia naruszenia zabezpieczenia Systemów z Danymi osobowymi;
naruszenia zabezpieczeń fizycznych pomieszczeń lub sprzętu, nietypowy stan urządzenia, naruszenia zawartości zbioru Danych osobowych, ujawnienia metod pracy, sposobu działania programu mogącego wskazywać na naruszenie Zabezpieczeń tych danych;
ataku hackerskiego;
związanych z siłą wyższą (np. z wybuchem gazu, wybuchem bomby, sabotażem czy zamachem terrorystycznym, czy innym zniszczeniem pomieszczeń, w których przechowywane są Dane osobowe).

§22. Zasady postępowania w przypadku naruszenia lub podejrzenia naruszenia ochrony Danych osobowych

Osoba przetwarzająca Dane osobowe, która uzyskała informację lub sama stwierdziła naruszenie zabezpieczenia Danych osobowych, zobowiązana jest niezwłocznie powiadomić o tym Zarząd Spółki z Grupy Energynat, przetwarzającej Dane osobowe, których dotyczy naruszenie lub upoważnioną przez niego osobę (a IOD w przypadku jego wyznaczenia).
Każda osoba przetwarzająca Dane osobowe, która stwierdzi lub podejrzewa naruszenie zabezpieczenia ochrony Danych osobowych w Systemie, powinna niezwłocznie poinformować Zarząd Spółki z Grupy Energynat, przetwarzającej Dane osobowe, których dotyczy naruszenie lub upoważnioną przez niego osobę (a ASI w przypadku wyznaczenia), o zaistniałym zdarzeniu.
W każdym z przypadków wymienionych w §22, jak również w każdej innej sytuacji, w której naruszono lub zaistniało podejrzenie naruszenia ochrony Danych osobowych („incydent”), osoba, która wykryła incydent lub uzyskała o nim informacje, informuje o tym Zarząd Spółki z Grupy Energynat przetwarzającej Dane osobowe, których dotyczy incydent lub upoważnioną przez niego osobę (a IOD w przypadku jego wyznaczenia), oraz swojego bezpośredniego przełożonego.
W przypadku naruszenia istniejących Zabezpieczeń, w tym stosowanych w Systemie, każda osoba przetwarzająca Dane osobowe, zobowiązana jest do niezwłocznego podjęcia kroków, w ramach posiadanych kompetencji, zmierzających do:
- 1) usunięcia przyczyn zaistniałego zdarzenia;
- 2) rejestracji zdarzenia;
- 3) zminimalizowania skutków naruszenia Zabezpieczeń;
- 4) usunięcia skutków naruszenia;
- 5) przeanalizowania przyczyn i sformułowania wniosków;
- 6) poprawy istniejących Zabezpieczeń lub przedłożenia propozycji w tym zakresie.
W przypadku naruszenia lub podejrzenia naruszenia ochrony Danych osobowych w ramach Systemu niezwłocznie należy podjąć odpowiednie kroki w celu powstrzymania lub ograniczenia dostępu do danych osoby niepowołanej, zminimalizowania szkód i zabezpieczenia przed usunięciem śladów jej ingerencji, szczególnie przez:
- 1) fizyczne odłączenie urządzeń i segmentów sieci, które mogły umożliwić dostęp do bazy danych osobie nieupoważnionej;
- 2) wylogowanie użytkownika podejrzanego o naruszenie Zabezpieczenia ochrony danych;
- 3) zmianę hasła do konta administratora i użytkownika, poprzez które uzyskano nielegalny dostęp w celu uniknięcia ponownej próby włamania.
Po wyeliminowaniu bezpośredniego zagrożenia należy przeprowadzić wstępną analizę stanu Systemu w celu potwierdzenia lub wykluczenia faktu naruszenia ochrony Danych osobowych w Systemie.
Zarząd Spółki z Grupy Energynat, przetwarzającej Dane osobowe, których dotyczy incydent lub upoważniona przez niego osoba (a IOD w przypadku wyznaczania) powinna w pierwszej kolejności:
- 1) zapisać wszelkie informacje związane z danym zdarzeniem, a szczególnie: dokładny czas uzyskania informacji o naruszeniu zabezpieczenia Danych osobowych i czas samodzielnego wykrycia tego faktu;
- 2) zawiadomić ASI (w przypadku wyznaczenia);
- 3) na bieżąco wygenerować i wydrukować (jeżeli zasoby Systemu na to pozwalają) wszystkie możliwe dokumenty i raporty, które mogą pomóc w ustaleniu okoliczności zdarzenia, opatrzyć je datą i podpisem;
- 4) przystąpić do zidentyfikowania rodzaju zaistniałego zdarzenia, zwłaszcza do określenia skali zniszczeń i metody dostępu do danych osoby niepowołanej;
- 5) poinformować Zarząd Spółki o naruszeniu bezpieczeństwa oraz skali zniszczeń;
- 6) dokonać wszelkich innych powiadomień wymaganych przepisami powszechnie obowiązującego prawa.
Zarząd Spółki z Grupy Energynat lub upoważnione przez niego osoby (a ASI w przypadku wyznaczenia) powinny:
- 1) sprawdzić stan urządzeń wykorzystywanych do przetwarzania Danych osobowych;
- 2) sprawdzić sposób działania Systemu;
- 3) wykluczyć możliwość obecności wirusów komputerowych.
Po dokonaniu powyższych czynności - Zarząd Spółki z Grupy Energynat lub upoważnione przez niego osoby (a ASI w przypadku wyznaczenia) powinien przeprowadzić szczegółową analizę stanu Systemu obejmującego identyfikację:
- 1) rodzaju zaistniałego zdarzenia;
- 2) metody dostępu do danych osoby nieupoważnionej;
- 3) skali zniszczeń.
Po identyfikacji niezwłocznie należy przywrócić normalny stan działania Systemu, przy czym, jeżeli nastąpiło uszkodzenie bazy danych, niezbędne jest odtworzenie jej z ostatniej kopii awaryjnej z zachowaniem wszelkich środków ostrożności, mających na celu uniknięcie ponownego uzyskania dostępu tą samą drogą przez osobę niepowołaną.
Po przywróceniu prawidłowego stanu bazy danych osobowych należy przeprowadzić szczegółową analizę w celu określenia przyczyny naruszenia ochrony Danych osobowych oraz przedsięwziąć kroki mające na celu wyeliminowanie podobnych zdarzeń w przyszłości oraz
- 1) jeżeli przyczyną zdarzenia był błąd osoby pracującej przy przetwarzaniu Danych osobowych w Systemie - należy przeprowadzić dodatkowe (ponadprogramowe) szkolenie wszystkich osób biorących udział przy przetwarzaniu danych;
- 2) jeżeli przyczyną zdarzenia było uaktywnienie wirusa - należy ustalić źródło jego pochodzenia oraz zweryfikować zabezpieczenia antywirusowe;
- 3) jeżeli przyczyną zdarzenia było zaniedbanie ze strony osoby pracującej przy przetwarzaniu Danych osobowych - należy wyciągnąć odpowiednie konsekwencje wobec tej osoby;
- 4) jeżeli przyczyną zdarzenia było włamanie w celu pozyskania bazy danych osobowych - należy dokonać szczegółowej analizy wdrożonych środków zabezpieczających w celu zapewnienia skuteczniejszej ochrony bazy danych;
- 5) jeżeli przyczyną zdarzenia był zły stan urządzenia lub sposób działania Systemu - należy wówczas niezwłocznie przeprowadzić kontrolne czynności serwisowe.
Zarząd Spółki z Grupy Energynat, przetwarzającej Dane osobowe, których dotyczy naruszenie (a IOD w przypadku wyznaczenia), prowadzi Rejestr Naruszeń (dołączając ewentualne kopie dowodów dokumentujących to zdarzenie).

§23. Zgłaszanie naruszenia ochrony Danych osobowych organowi nadzorczemu

W przypadku naruszenia ochrony Danych osobowych, Administrator danych niezwłocznie, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je PUODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
W przypadku przekroczenia terminu określonego w ust. 1 PUODO wraz ze zgłoszeniem naruszenia ochrony Danych osobowych Administrator danych przekazuje wyjaśnienie przyczyn opóźnienia.
Zgłoszenie, o którym mowa w ust. 1, zawiera co najmniej:
- 1) opis charakteru naruszenia ochrony Danych osobowych, w tym w miarę możliwości powinien wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów Danych osobowych, których dotyczy naruszenie;
- 2) oznaczenie punktu kontaktowego, od którego można uzyskać więcej informacji;
- 3) opis możliwych konsekwencji naruszenia ochrony Danych osobowych;
- 4) opis środków zastosowanych lub proponowanych przez Administratora danych w celu zaradzenia naruszeniu ochrony Danych osobowych w przyszłości, w tym środków podjętych w celu zminimalizowania jego ewentualnych negatywnych skutków.
Zarząd Spółki z Grupy Energynat (IOD w przypadku wyznaczenia) prowadzi Rejestr Naruszeń, w którym dokumentuje wszelkie naruszenia ochrony Danych osobowych, w tym okoliczności naruszenia ochrony Danych osobowych, jego skutki oraz podjęte działania zaradcze.
Rejestr Naruszeń prowadzony jest w formie elektronicznej.

§24. Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony Danych osobowych

Jeżeli naruszenie ochrony Danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator danych bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
Zawiadomienie, o którym mowa w ust. 1 opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje, o których mowa w §25 ust. 3 pkt 2)-4) Polityki.
Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, w następujących przypadkach:
- 1) Administrator danych wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do Danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych Danych osobowych;
- 2) Administrator danych zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1;
- 3) wymagałoby ono niewspółmiernie dużego wysiłku; w takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
W przypadku odstąpienia od zawiadamianiu osoby, której dane dotyczą o naruszeniu w trybie określonym w ust. 3, Zarząd Spółki z Grupy Energynat (IOD w przypadku wyznaczenia) sporządza pisemne uzasadnienie takiej decyzji.

VIII. POSTANOWIENIA KOŃCOWE

§25. Nadzór

Nadzór nad przetwarzaniem Danych osobowych w Grupie Energynat sprawuje Zarząd Spółki EN Group sp. z o.o. (wraz z IOD w przypadku wyznaczenia).

§26. Wejście w życie

Polityka wchodzi w życie w dniu 1 stycznia 2023 r.

Odkrywaj korzyści

Szkolimy i edukujemy instalatorów, monterów i projektantów OZE

Zapisuję się do Newslettera

Sklep

Nasze marki

Twoje konto

Siedziba firmy

Kościuszki 40A
05-270 Marki
KRS 0000369683
NIP 6443472876
BDO 000135125

Kontakt

22 245 40 64 pon.-pt. 08:00 - 16:00

sklep@energynat.pl Formularz kontaktowy

Ta witryna korzysta z własnych plików cookie i plików cookie stron trzecich w celu ulepszenia naszych usług i pokazywać Ci reklamy związane z Twoimi preferencjami, analizując Twoje nawyki nawigacja. Aby wyrazić zgodę na jego użycie, naciśnij przycisk Akceptuj.

Więcej informacji Dostosuj pliki cookie

Funkcjonalne pliki cookie

Nie

Tak

Opis i ciasteczka

Funkcjonalne pliki cookie są bezwzględnie niezbędne do świadczenia usług sklepu, a także do jego prawidłowego działania, dlatego nie ma możliwości odmowy ich użycia. Umożliwiają one użytkownikowi poruszanie się po naszej stronie internetowej i korzystanie z różnych opcji lub usług, które na niej istnieją.


PHP_SESSID	b2bdev.energynat.pl	Plik cookie PHPSESSID jest natywny dla PHP i umożliwia stronom internetowym przechowywanie zserializowanych danych o stanie. Na stronie internetowej służy do ustanowienia sesji użytkownika i przekazania danych o stanie poprzez tymczasowe ciasteczko, które jest powszechnie znane jako ciasteczko sesyjne. Te pliki cookie pozostaną na Twoim komputerze tylko do momentu zamknięcia przeglądarki.	Sesja
PrestaShop-#	b2bdev.energynat.pl	Jest to plik cookie, którego Prestashop używa do zapisywania informacji i utrzymywania otwartej sesji użytkownika. Umożliwia zapisywanie informacji takich jak waluta, język, identyfikator klienta między innymi danymi niezbędnymi do prawidłowego funkcjonowania sklepu.	480 godziny

Reklamowe pliki cookie

Nie

Tak

Opis

To te, które zbierają informacje o reklamach wyświetlanych użytkownikom serwisu. Mogą być anonimowe, jeśli zbierają tylko informacje o wyświetlanych powierzchniach reklamowych bez identyfikacji użytkownika lub spersonalizowane, jeśli zbierają dane osobowe użytkownika sklepu przez osobę trzecią, w celu personalizacji wspomnianych powierzchni reklamowych.

Analityczne pliki cookie

Nie

Tak

Opis

Zbierają informacje o tym, jak użytkownik przegląda sklep, zwykle anonimowo, choć czasami pozwalają również na jednoznaczną identyfikację użytkownika w celu uzyskania raportów o zainteresowaniach użytkowników produktami lub usługami, które oferuje sklep.

Wydajnościowe pliki cookie

Nie

Tak

Opis

Służą one do usprawnienia przeglądania i optymalizacji działania sklepu.

Inne pliki cookie

Nie

Tak

Opis

Są to pliki cookie bez wyraźnego celu lub te, które wciąż klasyfikujemy.

Sugerowane kategorie:

Sugerowane kategorie:

RODO