Polityka prywatności

Obowiązki administratora

1. Obowiązki ogólne administratora
Administrator ma obowiązek wdrażać odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem RODO i aby móc to wykazać. Środki te administrator ma obowiązek poddawać w razie potrzeby przeglądom i uaktualniać. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania powyższe środki obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych. Stosowanie zatwierdzonych kodeksów postępowania, o których mowa w art. 40 RODO lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42 RODO, może być wykorzystane jako element do stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków (art. 24 ust. 1–3 RODO).

Administrator przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania, ma obowiązek wdrażać odpowiednie środki techniczne i organizacyjne takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełniać wymogi RODO oraz chronić prawa osób, których dane dotyczą (art. 25 ust. 1 RODO).

Administrator ma obowiązek wdrażać odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności (art. 25 ust. 2 RODO).

2. Obowiązki administratora z zakresu rejestrowania czynności przetwarzania
Administrator oraz gdy ma to zastosowanie przedstawiciel administratora mają obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych. W rejestrze tym zamieszcza się informacje: imię i nazwisko lub nazwę i dane kontaktowe administratora, współadministratorów, przedstawiciela administratora oraz inspektora ochrony danych, cele przetwarzania, opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych, kategorie odbiorców danych osobowych, informacje dot. przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, planowane terminy usunięcia poszczególnych kategorii danych, jeżeli jest to możliwe — ogólny opis technicznych i organizacyjnych środków bezpieczeństwa (art. 30 RODO).

3. Obowiązek administratora oraz przedstawiciela administratora współpracy z organem nadzorczym (art. 31 RODO).

4. Obowiązki administratora z zakresu zapewnienia bezpieczeństwa przetwarzania (pseudonimizacja, szyfrowanie danych osobowych, zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania, regularne testowanie i ocenianie skuteczności środków technicznych i organizacyjnych – art. 32 RODO).

5. Obowiązek administratora zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu (art. 33 RODO).

6. Obowiązek administratora powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania (art. 19 RODO).

7. Obowiązek administratora zawiadomienia osoby, której dane dotyczą o naruszeniu ochrony danych osobowych (art. 34 RODO).

8. Obowiązek administratora oceny skutków dla ochrony danych (art. 35 RODO) oraz uprzednich konsultacji z organem nadzorczym (art. 36 RODO).

9. Obowiązek administratora wyznaczenia inspektora ochrony danych (art. 37 RODO).

10. Obowiązki informacyjne administratora
W przypadku zbierania danych od osoby, której dane dotyczą administrator podczas pozyskiwania danych osobowych ma obowiązek podać jej określone informacje, w tym swoją tożsamość i dane kontaktowe oraz gdy ma to zastosowanie tożsamość i dane kontaktowe swojego przedstawiciela, gdy ma to zastosowanie dane kontaktowe inspektora ochrony danych, cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania, informacje o odbiorcach danych osobowych, informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania tj. okres, przez które dane osobowe będą przechowywane, informacje o prawie do żądania od administratora dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, o prawie do wniesienia sprzeciwu wobec przetwarzania oraz prawie do przenoszenia danych, informacje o prawie do cofnięcia zgody, informacje o prawie wniesienia skargi do organu nadzorczego (art. 13 ust. 1 a)–f), art. 13 ust. 2 a)–d) RODO).

W przypadku gdy dane osobowe pozyskano nie od osoby, której dane dotyczą, administrator ma obowiązek podać osobie, której dane dotyczą następujące informacje: swoją tożsamość i dane kontaktowe oraz gdy ma to zastosowanie tożsamość i dane kontaktowe swojego przedstawiciela, gdy ma to zastosowanie dane kontaktowe inspektora ochrony danych, cele przetwarzania, do których mają posłużyć dane osobowe oraz podstawę prawną przetwarzania, kategorie odnośnych danych osobowych, informacje o odbiorcach danych osobowych, informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby której dane dotyczą: tj. okres, przez który dane osobowe będą przechowywane, informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania, o prawie do wniesienia sprzeciwu wobec przetwarzania, oraz prawie do przenoszenia danych, informacje o prawie do cofnięcia zgody, informacje o prawie wniesienia skargi do organu nadzorczego (art. 14 ust. 1 a)–f), art. 14 ust. 2 a)–e) RODO).