RODO – POLITYKA PRYWATNOŚCI w Salonie Fryzur „Shazi”

Niniejsza Polityka prywatności, zwana dalej Polityką, została sporządzona w oparciu o przepisy Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO). Celem Polityki jest określenie zasad i sposób przetwarzania danych osobowych (klientów, pracowników, współpracowników) w tym ich pozyskiwania, przechowywania, usuwania oraz zabezpieczania.

Słowniczek pojęć:

  1. Dane osobowe – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
  2. Przetwarzanie danych osobowych – jakakolwiek operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
  3. Administrator Danych –Salon Fryzur Shazi, Elżbieta Broda – Haras, z siedzibą w Krakowie, ul. Wawelska 16. Administrator Danych ustala cele i sposoby przetwarzania danych osobowych.
  4. Użytkownik – osoba fizyczna (w szczególności zatrudniona na umowę o pracę lub umowę cywilno – prawną), którą Administrator Danych – na podstawie pisemnego zezwolenia – upoważni do przetwarzania danych. Każdy upoważniony Użytkownik posiada własny identyfikator (login i hasło), za pomocą którego może logować się do systemu informatycznego i przetwarzać dane osobowe w takim systemie.

I. Postanowienia ogólne.

  1. Dane osobowy przetwarzane przez Administratora danych są przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”); ponadto dane są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.
  2. Administrator danych zapewnia przetwarzanie danych osobowych w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
  3. Administrator przetwarza dane osobowe pozyskane od osób, których dane dotyczą. Są to: dane identyfikacyjne (monitoring wizyjny), dane osób korzystających z usług Administratora, dane niezbędne do zawierania i wykonywania umów.
  4. Dostęp do danych osobowych mają jedynie osoby upoważnione przez Administratora danych (Użytkownicy), przy czym Użytkownicy zobowiązani są do przestrzegania zakresu poważnienia, przetwarzania danych osobowych zgodnie z przepisami, zabezpieczania danych osobowych oraz zachowania w tajemnicy danych osobowych. Każdy z Użytkowników jest nadto zobowiązany do zgłaszania jakichkolwiek incydentów związanych z naruszeniem bezpieczeństwa danych do Administratora danych.
  5. Niniejsza polityka prywatności dotyczy wszystkich danych osobowych przetwarzanych u Administratora danych, niezależnie od formy ich przetwarzania (przetwarzane tradycyjne zbiory ewidencyjne, systemy informatyczne) oraz od tego, czy dane są lub mogą być przetwarzane w zbiorach danych.
  6. Administrator danych przechowuje politykę prywatności w wersji elektronicznej oraz papierowej w siedzibie Administratora, dodatkowo Polityka jest prezentowana na stronach internetowych Administratora.
  7. Administrator danych gromadzi również informacje, które jednocześnie nie powodują możliwości ustalenia danych osobowych tj. informacje dotyczące korzystania z naszego serwisu internetowego, tzw. logi systemowe, które zawierają datę, numer IP, z którego nastąpiło połączenie oraz czas wizyty, jak również dane na temat statystyki oglądalności tego serwisu.
  8. Administrator danych wykorzystuje również pliki cookies (Google Analytics), które również nie prowadzą do ustalenia danych osobowych a ich zbieranie służy jedynie dla celów statystycznych.
  9. Administrator danych nie profiluje danych osobowych, które zostały mu przekazane.

II. Cel i podstawa prawna przetwarzania danych osobowych

  1. Administrator danych przetwarza dane osobowe w następujących celach i na następujących podstawach prawnych
    • do celów realizacji i obsługi usług Administratora (zamawianie wizyty, realizacja usługi, obsługa klienta, odpowiadanie na pytania przesyłane drogą elektroniczną) na podstawie art. 6 ust. 1 lit. b i f RODO);
    • do celów realizacji i obsługi usług Administratora danych, które wymagają informacji o stanie zdrowia – na podstawie art. 9 ust. 2 pkt a RODO
    • do celów marketingowych (wysyłania informacji handlowych drogą elektroniczną – SMS, e-mail, Facebook itp.) na podstawie art.6 ust.1 lit. a RODO;
    • do celów rekrutacji na wolne miejsca pracy, na podstawie art. 6 ust. 1 pkt b i c RODO,
    • do celów realizacji zadań związanych z zapewnieniem bezpieczeństwa – w tym monitoring wizyjny – na podstawie art. 6 ust. 1 pkt d i e RODO,
    • do celów realizacji dochodzenia lub zabezpieczenia roszczeń na podstawie art. 6 ust. 1 pkt c i f RODO.
    • do celów wypełnienia obowiązków prawnych ciążących na Administratorze na podstawie powszechnie obowiązujących przepisów prawa, w tym przepisów podatkowych oraz z zakresu rachunkowości – podstawą prawną przetwarzania danych osobowych jest art. 6 ust. 1 lit. c RODO.

III. Udostępnianie danych osobowych

  1. Administrator danych może przekazać dane osobowe, jedynie w niezbędnym zakresie, podmiotom przetwarzającym je na zlecenie Administratora np. podwykonawcom, usługodawcom, instytucjom współpracującym, operatorom pocztowym, kurierom, bankom, przewoźnikom.
  1. Powierzenie danych o jakich mowa w ust. 1 niniejszego punktu może być dokonane wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie z wymogami wskazanymi dla takich umów w art. 28 RODO.
  2. Przed powierzeniem przetwarzania danych osobowych Administrator danych w miarę możliwości uzyskuje informacje o dotychczasowych praktykach procesora dotyczących zabezpieczenia danych osobowych.
  3. Administrator danych jest zobowiązany do udostępnienia danych osobowych również podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa, ale tylko w przypadku, gdy wystąpią z żądaniem w oparciu o stosowne podstawy prawne.
  4. Administrator danych nie będzie przekazywać danych osobowych do państwa trzeciego, chyba, że państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych, a niezbędność przekazania danych oparta zostanie na stosownych podstawach prawnych.

IV. Okres przechowywania danych

  1. Administrator danych przechowuje dane osobowe przez okres:
    • trwania procesu rekrutacji na wolne miejsce pracy i do 6 miesięcy po jej zakończeniu, a po jego upływie przez okres niezbędny do wypełnienia obowiązku prawnego przez Administratora wynikającego z przepisów kancelaryjno-archiwalnych,
    • realizacji i obowiązywania umów – do momentu wygaśnięcia prawa do roszczeń, a po jego upływie przez okres niezbędny do wypełnienia obowiązku prawnego przez Administratora wynikającego z przepisów podatkowych lub rachunkowych lub kancelaryjno-archiwalnych,
    • realizacja zadań związanych z zapewnieniem bezpieczeństwa (w tym monitoring wizyjny), w systemie monitoringu wizyjnego do okres przewidywany przez przepisy prawa – maksymalnie przez 3 miesiące. W przypadku prowadzenia postępowań wyjaśniających lub dochodzeń związanych z bezpieczeństwem zwiedzających na czas niezbędny do wykonania w/w czynności,
    • w bazie danych systemu wysyłania informacji handlowych (SMS-y, wiadomości e-mail itp.) z informacjami bieżącymi dotyczących działalności Administratora – do momentu odwołania zgody na jego wysyłkę przez właściciela danych,
    • w bazach kontrahentów Administratora, do momentu realizacji zamierzonego celu, a po jego upływie przez okres niezbędny do wypełnienia obowiązku prawnego przez Administratora wynikającego z przepisów kancelaryjno-archiwalnych,
    • realizacji dochodzenia lub zabezpieczenia roszczeń, do momentu wygaśnięcia prawa do roszczeń, a po jego upływie przez okres niezbędny do wypełnienia obowiązku prawnego przez Administratora wynikającego z przepisów podatkowych lub rachunkowych lub kancelaryjno-archiwalnych,
  2. Dane osobowe przetwarzane na podstawie odrębnej zgody będą przechowywane do czasu jej odwołania.

V. Przysługujące prawa:

  1. W związku z przetwarzaniem przez Administratora danych osobowych, osobie, której dane osobowe są przetwarzane przysługuje:
    • prawo dostępu do treści swoich danych oraz prawo ich poprawiania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu wobec przetwarzania danych,
    • prawo do cofnięcia zgody w przypadku, gdy Administrator danych będzie przetwarzał  dane osobowe w oparciu o zgodę, w dowolnym momencie i w dowolny sposób, bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem,
    • prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, w przypadku uznania, że przetwarzanie danych osobowych narusza zapisy RODO.
  1. Osoba, której dane są przetwarzane, może realizować swoje uprawnienia, o których mowa w ust. 1 niniejszego punktu drogą mailową na adres e-mail: shazistudio@interia.pl, osobiście – w siedzibie Administratora danych lub wysyłając wniosek drogą pocztową na adres Administratora danych.
  2. W przypadku otrzymania wniosku, Administrator ma prawo do ustalenia/weryfikacji tożsamości osoby, od której wniosek pochodzi i ma prawo do kontaktu celem potwierdzenia danego zgłoszenia.

VI. Monitoring wizyjny

  1. W celu zapewnienia bezpieczeństwa, Administrator danych stosuje monitoring wizyjny. Monitoring funkcjonuje całodobowo (lub np. jest włączany/wyłączany automatycznie). Wejścia do budynków, oraz pomieszczenia objęte monitoringiem są oznakowane tablicami z rysunkiem kamery i napisem „Teren monitorowany.”
  2. Monitoring wizyjny, o którym mowa w ust. 1 obejmuje następujące pomieszczenia:
    • wejścia/wyjścia
    • cała przestrzeń wewnątrz salonu
    • korytarze, klatka schodowa,
  3. Obraz rejestrowany przy pomocy urządzeń monitorujących  jest przechowywany przez czas oznaczony określony w obowiązujących przepisach tj. przez okres 3 miesięcy, po tym czasie dane ulegają automatycznemu usunięciu poprzez nadpisanie danych na urządzeniu rejestrującym („nadpisywanie danych”), chyba, że zarejestrowany obraz może być użyty lub będzie użyty jako dowód w postępowaniu prowadzonym przez właściwy sąd lub inny organ publiczny.
  4. Obraz podlegający rejestracji jest przetwarzany wyłącznie w celach określonych
    w klauzuli i nie będzie udostępniany innym odbiorcom, za wyjątkiem podmiotów, których uprawnienie wynika z obowiązujących przepisów.
  5. Pracownicy mają prawo dostępu do zarejestrowanego obrazu w granicach nadanych im przez upoważnienia do czynności związanych z monitoringiem oraz określonych przez obowiązujące przepisy. Dostęp pozostałych pracowników oraz osób postronnych do urządzeń rejestrujących obraz jest zabroniony, za wyjątkiem: upoważnionych pracowników serwisu urządzeń rejestrujących obraz w celu dokonania niezbędnych napraw i czynności serwisowych.

VII. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych

  1. Administrator Danych zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, rozliczalności i ciągłości przetwarzanych danych.
  2. Zastosowane środki ochrony (techniczne i organizacyjne) są adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów i obejmują w szczególności (choć nie wyłącznie)
    • ograniczenie dostępu do przetwarzanie danych w tym do pomieszczeń, w których przetwarzane są dane osobowe, jedynie do osób odpowiednio upoważnionych przez Administratora danych
    • zabezpieczenia mechaniczne pomieszczeń oraz miejsc (szaf/szafek), w jakich przechowywane są dane osobowe, tak by uniemożliwić dostęp do danych osobom trzecim
    • wykorzystywanie skutecznych urządzeń do usuwania dokumentów zawierających dane osobowe,
    • w przypadku przechowywania danych w systemach informatycznych – zabezpieczenie dostępu do urządzeń Administratora danych przy pomocy haseł dostępu

VIII. Procedura w przypadku naruszenia zasad ochrony danych osobowych

  1. Każda osoba (w szczególności, choć nie wyłącznie) ma obowiązek natychmiastowego zgłaszania Administratorowi jakichkolwiek sytuacji, które mogłyby spowodować naruszenie zasad ochrony danych osobowych.
  2. Każdorazowy przypadek stwierdzenia naruszenia danych osobowych wymaga od Administratora danych dokonania oceny i analizy pod kątem ryzyka naruszenia praw lub wolności osób fizycznych.
  3. W każdej sytuacji, w której Administrator danych dojdzie do przekonania, że zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator ma obowiązek zgłoszenia faktu naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki – jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
  4. Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator zawiadamia o incydencie także osobę, której te dane dotyczą, jeśli jest to możliwe – nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.