Polityka prywatności

POLITYKA OCHRONY DANYCH OSOBOWYCH

§ 1.

Postanowienia ogólne

1. Niniejsza Polityka ochrony danych osobowych (dalej: „Polityka”) określa zasady ochrony danych osobowych oraz stosowane w tym celu środki, obowiązujące w organizacji M&M Home Harmony  spółka z o.o. z siedzibą w Poznaniu (adres siedziby: ul. Bosa 4/6 lok. 24, 60-125 Poznań), wpisanej do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy w Poznaniu Nowe Miasto i Wilda, VIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0001101613, posiadającej NIP: 7792570046, numer REGON: 52843124, posiadającej kapitał zakładowy w wysokości 50.000 zł (pięćdziesiąt tysięcy złotych) (dalej: „Administrator”).
2. Postanowienia Polityki obejmują wszystkie dane osobowe przetwarzane przez Administratora, niezależnie od podstaw i celów ich przetwarzania, a także ich nośników.
3. Do przestrzegania postanowień Polityki zobowiązane są następujące osoby (dalej łącznie: „Członkowie Personelu”):
   1. pracownicy Administratora;
   1. osoby współpracujące z Administratorem na podstawie umowy zlecenia, umowy o świadczenie usług, umowy o dzieło albo innej umowy cywilnoprawnej, niezależnie od tego, czy prowadzą one działalność gospodarczą;
   1. stażyści, praktykanci i wolontariusze.
4. Administrator zobowiązany jest zapoznać Członków Personelu z Polityką oraz innymi dokumentami dotyczącymi ochrony danych osobowych, obowiązującymi w organizacji Administratora.
5. Nieprzestrzeganie przez Członków Personelu postanowień Polityki oraz innych dokumentów dotyczącymi ochrony danych osobowych może stanowić stanowi podstawę ich odpowiedzialności dyscyplinarnej, karnej, administracyjnej lub cywilnej.
6. Polityka jest dokumentem wewnętrznym i nie może być ujawniana podmiotom trzecim bez uprzedniej zgody Administratora.

§ 2.

Definicje

Użyte w Polityce wyrazy pisane wielką literą mają następujące znaczenie:

1. Administrator – termin zdefiniowany w § 1 ust. 1 Polityki;
   1. Członkowie Personelu – termin zdefiniowany w § 1 ust. 3 Polityki;
   1. Dane wrażliwe – dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej oraz dane dotyczące wyroków skazujących i czynów zabronionych;
   1. Ocena skutków – termin zdefiniowany w § 8 ust. 1 Polityki;
   1. Osoba wspierająca – osoba, której Administrator powierzył wykonywanie całości lub części swoich obowiązków w zakresie ochrony danych osobowych, w szczególności: Inspektor Ochrony Danych, Administrator Systemów Informatycznych, Pełnomocnik;
   1. Podmiot przetwarzający – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora;
   1. Polityka – termin zdefiniowany w § 1 ust. 1 Polityki;
   1. PUODO – Prezes Urzędu Ochrony Danych Osobowych;
   1. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 94/46/WE (Ogólne rozporządzenie o ochronie danych).

§ 3.

Zasady przetwarzania ochrony danych osobowych

1. Administrator zobowiązany jest:
   1. przetwarzać dane osobowe zgodnie z prawem, rzetelnie i przejrzyście;
   1. pobierać dane osobowe wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach;
   1. przetwarzać dane osobowe wyłącznie w zakresie niezbędnym do realizacji celów przetwarzania;
   1. dbać o prawidłowość przetwarzanych danych osobowych i w razie potrzeby dokonywać ich aktualizacji, sprostowania lub usunięcia;
   1. przetwarzać dane osobowe wyłącznie przez czas niezbędny do realizacji celów przetwarzania;
   1. stosować środki ochrony danych osobowych zabezpieczające te dane przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.
2. Tworząc system ochrony danych osobowych w swojej organizacji, Administrator:
   1. identyfikuje ryzyka związane z przetwarzaniem danych osobowych oraz ich wpływ na prawa i wolności osób, których dane dotyczą;
   1. zobowiązany jest szanować prawa osób, których dane dotyczą, oraz ułatwić im realizowanie przysługujących im praw;
   1. przestrzega przepisów aktów prawa powszechnie obowiązującego;
   1. dąży do zapewnienia maksymalnego bezpieczeństwa przetwarzania danych osobowych;
   1. wyczerpująco dokumentuje czynności podejmowane w celu wykonania przewidzianych przez prawo obowiązków w zakresie ochronnych danych osobowych;
   1. projektuje nowe systemy i rozwiązania z uwzględnieniem ochrony danych osobowych jako ich istotnego wymogu;
   1. wdraża jedynie takie środki ochrony danych osobowych, które zapewniają domyślne przetwarzanie jedynie tych danych osobowych, które są niezbędne do realizacji celu przetwarzania, a także zapobiegają domyślnemu udostępnianiu danych osobowych osobom trzecim.

§ 4.

Obowiązki Administratora

1. Administrator zobowiązany jest:
   1. wdrożyć i stosować odpowiednie środki ochrony danych osobowych, zabezpieczające je w szczególności przez udostępnieniem osobie nieupoważnionej, a także ich zmianą, utratą, uszkodzeniem lub zniszczeniem;
   1. zarządzać wykorzystywanymi systemami informatycznymi;
   1. prowadzić dokumentację związaną z ochroną danych osobowych, w szczególności:
      1. wydawać i przechowywać upoważnienia do przetwarzania danych osobowych,
      1. prowadzić rejestr czynności przetwarzania,
      1. prowadzić rejestr kategorii czynności przetwarzania (jeżeli jego prowadzenia wymagają przepisy RODO);
   1. podnosić poziom wiedzy i umiejętności Członków Personelu w zakresie ochrony danych osobowych, w szczególności poprzez organizację szkoleń;
   1. nadzorować powierzanie i udostępnianie przetwarzanych danych osobowych podmiotom trzecim oraz dbać o zgodność tych czynności z przepisami prawa;
   1. przekazywać osobom, których dane dotyczą, informacje wymagane przez przepisy RODO;
   1. obsługiwać żądania dotyczące danych osobowych wnoszone przez osoby, których dane dotyczą;
   1. dokonywać Oceny skutków (jeżeli wymagają jej przepisy RODO);
   1. podejmować działania przewidziane w Polityce na wypadek naruszenia ochrony danych osobowych.
2. Wykonywanie całości lub części obowiązków wskazanych w ust. 1 powyżej, Administrator może powierzyć Osobie lub Osobom wspierającym, w szczególności:
   1. Inspektorowi Ochrony Danych;
   1. Administratorowi Systemów Informatycznych;
   1. Pełnomocnikowi.
3. Wyznaczenie Inspektora Ochrony Danych jest obowiązkowe, jeżeli:
   1. główna działalność Administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę.
   1. główna działalność Administratora polega na przetwarzaniu na dużą skalę Danych wrażliwych.
4. Dokonując powierzenia, o którym mowa w ust. 2 powyżej, Administrator zobowiązany jest wydać Osobie wspierającej pisemny dokument określający szczegółowy zakres powierzonych obowiązków.
5. Powierzenie, o którym mowa ust. 2 powyżej, nie zwalnia Administratora z odpowiedzialności wobec podmiotów trzecich za działania i zaniechania Osoby Wspierającej.

§ 5.

Obowiązek informacyjny

1. Wykonanie obowiązku informacyjnego polega na przekazaniu przez Administratora osobie, której dane osobowe dotyczą, następujących informacji:
   1. dane Administratora;
   1. dane kontaktowe Inspektora Ochrony Danych (jeżeli został wyznaczony);
   1. cele przetwarzania danych osobowych;
   1. podstawy prawne przetwarzania danych osobowych;
   1. prawnie uzasadnione interesy realizowane przez Administratora (jeżeli przetwarza dane na tej podstawie);
   1. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
   1. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o podstawie takiego przekazania;
   1. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
   1. prawa przysługujące osobie, której dane osobowe dotyczą, w związku z przetwarzaniem tych danych;
   1. określenie czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane osobowe dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
   1. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane osobowe dotyczą;
   1. źródło pochodzenia danych osobowych (jeżeli nie zostały one pobrane bezpośrednio od osoby, której dotyczą).
2. Administrator zobowiązany jest wykonać obowiązek informacyjny:
   1. w przypadku pobierania danych osobowych bezpośrednio od osoby, której dotyczą – w chwili ich pobierania;
   1. w przypadku pobierania danych osobowych z innego źródła:
      1. w rozsądnym terminie po pozyskaniu danych osobowych, nie później jednak niż w ciągu miesiąca, mając na uwadze konkretne okoliczności przetwarzania danych osobowych,
      1. najpóźniej przy pierwszym kontakcie z osobą, której dane dotyczą, jeżeli dane osobowe mają być stosowane do komunikacji z tą osobą,
      1. najpóźniej przy pierwszym ujawnieniu danych osobowych, jeżeli planuje się je ujawnić innemu odbiorcy.
3. W razie zmiany choćby jednej z informacji wskazanych w ust. 1 powyżej, w szczególności celów przetwarzania danych osobowych, Administrator zobowiązany jest niezwłocznie zawiadomić o tym osobę, której dane osobowe dotyczą.
4. Informacje przekazywane przez Administratora powinny być:
   1. sformułowane jasnym i prostym językiem;
   1. zwięzłe;
   1. zrozumiałe;
   1. przejrzyste;
   1. łatwo dostępne.

§ 6.

Powierzenie przetwarzania danych osobowych

1. Powierzenie przetwarzania danych osobowych Podmiotowi przetwarzającemu, wymaga:
   1. zawarcia przez Administratora i Podmiot przetwarzający umowy powierzenia w formie pisemnej lub dokumentowej;
   1. odnotowania powierzenia w rejestrze czynności przetwarzania.
2. Administrator może powierzyć przetwarzanie danych osobowych wyłącznie Podmiotowi przetwarzającemu spełniającemu wymagania przewidziane w przepisach RODO oraz dającemu rękojmię należytego wykonania umowy powierzenia.

§ 7.

Środki ochrony danych osobowych

1. Środki ochrony danych osobowych stosowane przez Administratora mają na celu zapewnienie:
   1. poufności danych osobowych;
   1. ochrony danych osobowych przed nieautoryzowaną zmianą lub zniszczeniem;
   1. niewątpliwej identyfikacji Członka Personelu dokonującego konkretnej czynności przetwarzania;
   1. dostępności danych osobowych wyłącznie dla osób upoważnionych;
   1. ochrony danych osobowych przed zagrożeniami zidentyfikowanymi przez Administratora.
2. Wdrażając środki ochronnych danych osobowych, Administrator bierze pod uwagę:
   1. aktualny stan wiedzy technicznej;
   1. ryzyko naruszenia praw i wolności osób, których dane osobowe dotyczą;
   1. charakter, zakres, kontekst i cele przetwarzania;
   1. koszty wdrożenia tych środków.
3. Środki ochrony danych osobowych dzielą się na:
   1. środki ochrony fizycznej;
   1. środki ochrony informatycznej i telekomunikacyjnej;
   1. środki ochrony w ramach oprogramowania i baz danych;
   1. środki personalne;
   1. środki organizacyjne.
4. Administrator prowadzi i na bieżąco aktualizuje Wykaz środków ochrony danych osobowych, zawierający wyliczenie środków wdrożonych w jego organizacji.
5. W celu zapewnienia ochrony danych osobowych w toku bieżącej działalności Administratora, Administrator ustanawia Regulamin bezpieczeństwa dla Członków Personelu.

§ 8.

Ocena skutków dla ochrony danych osobowych

1. W przypadku, gdy dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych (dalej: „Ocena skutków”).
2. Administrator dokonuje Oceny skutków w szczególności w przypadku, gdy planowane przetwarzanie ma polegać na:
   1. dokonywaniu systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, opierającej się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, która ma być podstawą wydawania decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
   1. przetwarzaniu na dużą skalę Danych wrażliwych;
   1. systematycznego monitorowaniu na dużą skalę miejsc dostępnych publicznie.
3. Jeżeli Ocena skutków wykaże, że przetwarzanie danych osobowych w razie niewdrożenia odpowiednich środków minimalizujących powodowałoby wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator jest zobowiązany odbyć konsultacje z PUODO przed rozpoczęciem przetwarzania.

§ 9.

Postanowienia końcowe

1. Zasady postępowania w przypadku wystąpienia naruszenia ochrony danych osobowych określa odrębna procedura.
2. W sprawach nieuregulowanych postanowieniami Polityki stosuje się przepisy aktów prawa powszechnie obowiązującego dotyczących ochrony danych osobowych. W przypadku sprzeczności postanowień Polityki z przepisami aktów prawa powszechnie obowiązującego dotyczących ochrony danych osobowych, stosuje się przepisy tych aktów.
3. Administrator może w każdym czasie dokonać zmiany Polityki. W przypadku zmiany Polityki, Administrator zobowiązany jest zapoznać Członków Personelu z aktualnym brzmieniem Polityki nie później niż 30 dni przed wejściem zmian w życie.
4. Aktualna wersja Polityki obowiązuje od dnia 15.09.2025r.