Polityka przetwarzania danych osobowych
(Polityka prywatności)
obowiązująca w Fotografika Małgorzata Stępień z siedzibą w Legnicy

I. Postanowienia ogólne
1. Niniejszy dokument, zwany dalej „Polityką prywatności” określa zasady zarządzania, ochrony i dystrybucji danych osobowych obowiązujące w Fotografika Małgorzata Stępień z siedzibą w Legnicy, ul. Moniuszki 9/3, 59-220 Legnica, NIP: 6912165403 (dalej „Przedsiębiorca” lub „Administrator danych”).
2. Postanowienia szczegółowe zawarte w niniejszej Polityce prywatności dotyczą zasad przetwarzania danych osobowych przetwarzanych u Przedsiębiorcy wszelkimi sposobami, w tym w systemach informatycznych.
3. Przedsiębiorca szanuje prywatność osób, których dane przetwarza oraz dokłada najwyższej staranności, aby dane te były przetwarzane zgodnie z prawem oraz międzynarodowymi zasadami dobrych praktyk. Administrator danych dokłada szczególnych starań w celu ochrony prywatności i informacji przekazanych Przedsiębiorcy.
4. Przedsiębiorca z należytą starannością dobiera i stosuje odpowiednie środki techniczne, w tym o charakterze programistycznym i organizacyjnym zapewniające ochronę przetwarzanych danych, w szczególności zabezpiecza dane przed ich udostępnieniem osobom nieupoważnionym, ujawnieniem, utraceniem i zniszczeniem, nieuprawnioną modyfikacją, jak również przed ich przetwarzaniem z naruszeniem obowiązujących przepisów prawa.
5. W celu zapewnienia ochrony prywatności osób, których dane dotyczą Przedsiębiorca stosuje ścisłe zabezpieczenia wewnętrzne oraz zewnętrzne. Administrator danych sprawuje stałą kontrolę nad procesem przetwarzania danych oraz ogranicza dostęp do danych w możliwie największym stopniu, udzielając stosownych upoważnień tylko wówczas, gdy jest to niezbędne do prawidłowego przetwarzania danych osobowych.
6. W czasie korzystania z usług Przedsiębiorcy Klient może zostać poproszony o podanie swoich danych osobowych, a w szczególności imienia, nazwiska, adresu, numeru telefonu lub adresu poczty elektronicznej w celu realizacji na jego rzecz usług świadczonych przez Przedsiębiorcę.
7. Zbierane dane osobowe są przetwarzane zgodnie z przepisami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE (Ogólne Rozporządzenie o Ochronie Danych) z dnia 27 kwietnia 2016 r. (Dz.Urz.UE.L Nr 119, str. 1).
8. Podanie jakichkolwiek danych osobowych jest dobrowolne.
9. Dane osobowe mogą zostać udostępnione organom lub osobom trzecim wyłącznie w sposób zgodny z Ogólnym Rozporządzeniem o Ochronie Danych.

II. Zasady przetwarzania danych osobowych
Przedsiębiorca dąży do zapewnienia i dokłada wszelkich starań, aby dane osobowe przetwarzane przez Przedsiębiorcę były:

I. Przetwarzane zgodnie z prawem
1. Proces przetwarzania danych opiera się na co najmniej jednej z poniższych podstaw prawnych:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze danych;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych.
2. Zgoda osoby, której dane dotyczą na przetwarzanie danych musi być wyrażona w sposób dobrowolny, konkretny, świadomy i jednoznaczny. Ponadto, zgoda musi mieć charakter wyraźnego działania – oświadczenia lub potwierdzenia. Formularze zgody powinny być sformułowane jasnym i czytelnym językiem, tj. w sposób zrozumiały dla osoby, której dane mają być przetwarzane. Wyrażenie zgody odbywa się jedynie poprzez faktyczne zaznaczenie każdego z okienek przez osobę, której dane dotyczą. Zgoda wiąże się z aktywnym działaniem osoby – brak jest zatem możliwości domniemania jej istnienia.
3. Klauzule zgody na przetwarzanie danych osobowych mogą być umieszczane na formularzu lub stronie internetowej wraz z innymi informacjami. W takim przypadku jeżeli osoba, której dane dotyczą, wyraża zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.
4. Jeżeli dane osobowe przetwarzane są w kilku celach, należy uzyskać zgodę osoby, której dane dotyczą na wszystkie te cele.
5. Administrator danych pozyskuje i ewidencjonuje zgody w taki sposób, aby np. w przypadku skargi osoby fizycznej, był w stanie wykazać, że dana osoba rzeczywiście wyraziła zgodę na przetwarzanie swoich danych osobowych.
6. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać udzieloną zgodę. W takim przypadku, jeśli Administrator danych nie ma innej podstawy przetwarzania (którą może być np. niezbędność dla wykonania umowy, szczególna podstawa prawna), należy zaprzestać przetwarzania danych. Wycofanie zgody nie wpływa jednocześnie na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. O możliwości wycofania zgody należy poinformować jeszcze przed jej wyrażeniem (np. jako część klauzuli zgody).
7. Wycofanie zgody musi być równie łatwe jak jej wyrażenie, np. jeśli zgoda odbierana jest telefonicznie, należy umożliwić taką samą formę jej odwołania. Na skutek wycofania zgody dane zostają usunięte ze wszystkich systemów Przedsiębiorcy, a więc np. nie tylko z bazy danych zbieranych w celach marketingowych, ale z każdej kolejnej bazy, do której te dane zostały przekazane, chyba że dane osobowe będą przetwarzane zgodnie z prawem na podstawie innej podstawy niż zgody osoby, której dane dotyczą.
8. Przedsiębiorca zapewnia, że dane osobowe nie będą poddawane dalszemu przetwarzaniu w sposób niezgodny z określonymi wcześniej celami. W przypadku podjęcia decyzji o dalszym przetwarzaniu danych osobowych, Przedsiębiorca podejmie starania o uzyskanie stosownej zgody podmiotów tych danych.

II. Przetwarzane prawidłowo i rzetelnie
1. Administrator danych zapewnia, że zgromadzone dane osobowe są poprawne i aktualne, a ich przetwarzanie przebiega bez zakłóceń.
2. Administrator danych wdraża środki techniczne i organizacyjne, umożliwiające korektę danych, zmniejszenie ryzyka błędów oraz usunięcie nieprawidłowych danych. Oznacza to wdrożenie odpowiednich procesów i funkcjonalności na poziomie aplikacji, jak również baz danych.
3. Osoba, której dane dotyczą jest uprawniona do żądania sprostowania i uzupełnienia danych.
4. Przedsiębiorca posiada system kontroli gwarantujący dokładność i aktualność zbieranych danych osobowych.

III. Przetwarzane zgodnie z zasadą ograniczenia celu
1. Zasada ograniczenia celu oznacza, że dane osobowe mogą być zbierane jedynie w konkretnym, wyraźnym i prawnie uzasadnionym celu, którego osiągnięcie nie jest możliwe przy użyciu innych sposobów.
2. Cel przetwarzania danych musi być określony w momencie ich pozyskiwania.
3. Jeśli podstawą przetwarzania danych jest zgoda, to odnosi się ona jedynie do konkretnie wskazanego celu przetwarzania. Nowy cel przetwarzania danych wymaga pozyskania nowej zgody.
4. Administrator danych informuje osoby, których dane dotyczą o celach przetwarzania.

IV. Przetwarzane zgodnie z zasadą minimalizacji danych
1. Zakres pozyskiwanych danych musi być adekwatny i ograniczony do minimum niezbędnego dla realizacji wskazanego celu.
2. Minimalizacja polega na wyselekcjonowaniu jedynie tych danych, które są potrzebne do działalności Przedsiębiorcy oraz na ograniczeniu okresu przechowywania danych.
3. Przed rozpoczęciem procesu pozyskiwania, a następnie przetwarzania danych Przedsiębiorca precyzyjnie określa cele i odpowiadające im rodzaje danych oraz ustala termin usuwania i okresowego przeglądu danych.
4. Przedsiębiorca przechowuje dane osobowe przez okres nie dłuższy, niż jest to konieczne dla potrzeb, dla których dane te zostały zebrane.

V. Przetwarzane zgodnie z zasadą integralności i poufności
1. Administrator danych przetwarza dane w sposób gwarantujący odpowiedni poziom bezpieczeństwa.
2. Zasada integralności odnosi się do zapewnienia, że dane nie zostały zmodyfikowane, usunięte, dodane czy zniszczone w sposób nieautoryzowany.
3. Zgodnie z zasadą poufności Przedsiębiorca zapobiega sytuacjom, w których dane osobowe są udostępniane lub ujawniane nieautoryzowanym podmiotom czy procesom.
4. Przedsiębiorca dokonał analizy ryzyka właściwego dla przetwarzania danych i charakteru danych podlegających ochronie, a następnie dostosował i wdrożył odpowiednie środki techniczne zapewniające zachowanie integralności i poufności danych.
5. Przedsiębiorca wdraża środki bezpieczeństwa, monitorowania i reagowania, w tym m.in. środki dedykowane do ochrony przed wyciekiem danych.

VI. Przetwarzane zgodnie z zasadą rozliczalności
1. Administrator danych dąży do posiadania udokumentowanej i okresowo weryfikowanej wiedzy dotyczącej danych osobowych w tym:
a) inwentaryzacji przetwarzanych danych;
b) ich lokalizacji;
c) zdefiniowania i monitorowania procedur przetwarzania danych.
2. Administrator danych zobowiązany jest do notyfikowania organowi nadzorczemu o stwierdzonych naruszeniach danych osobowych.

VII. Przetwarzane zgodnie z zasadą przejrzystości informacji
1. Administrator danych zapewnia, że wszelkie informacje kierowane do osób fizycznych, formułowane będą językiem prostym i przejrzystym.
2. Zasada przejrzystości informacji oznacza zakaz umieszczania istotnych informacji „drobnym drukiem”, wplatanie ich w długi i skomplikowany tekst, czy też zamieszczanie ich wśród innych, mało ważnych informacji.
Dane osobowe nie będą przesyłane poza Unię Europejską, chyba że stworzony zostanie odpowiedni poziom ochrony praw i wolności osób, których dane dotyczą w odniesieniu do przetwarzania eksportowanych danych.

III. Obowiązek informacyjny i uprawnienia przysługujące osobie, której dane dotyczą
1. Przedsiębiorca zapewnia i informuje osoby, których dane dotyczą o przysługujących im uprawnieniach, tj. o:
a) prawie dostępu do danych i informacji
b) prawie żądania sprostowania i uzupełnienia danych
c) prawie sprzeciwu wobec przetwarzania danych
d) prawie do przeniesienia danych
e) prawie do bycia zapomnianym (prawo do usunięcia danych),
f) prawie do cofnięcia zgody w dowolnym momencie.
2. Na żądanie uprawnionego, Administrator danych ma obowiązek udostępnić kopię danych podlegających przetwarzaniu oraz wprowadzić odpowiednie zmiany do systemu.
3. Administrator danych jest zobowiązany do przekazywania osobie fizycznej podczas pozyskiwania jej danych, a przed rozpoczęciem ich przetwarzania, w szczególności następujących informacji:
a) tożsamości i danych kontaktowych administratora,
b) celu przetwarzania danych osobowych,
c) informacji o odbiorcach danych osobowych,
d) okresu, przez jaki dane osobowe będą przetwarzane, a gdy nie można go dokładnie określić, kryteriów ustalania tego okresu (np. przez okres trwania umowy),
e) informacji o wykorzystywaniu danych do profilowania,
f) informacji o prawie do żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
g) prawie do wniesienia skargi do organu nadzorczego,
h) gdy ma to zastosowanie – informacji o zamiarze przekazania danych osobowych poza Unię Europejską oraz wzmianki o odpowiednich zabezpieczeniach danych osobowych stosowanych przez podmiot, któremu dane są przekazywane.
4. Cele przetwarzania danych powinny być konkretne, wyraźne oraz prawnie uzasadnione.
5. Osoba, której dane dotyczą, może zażądać od Administratora danych nie tylko informacji o tym, jakie dane posiada, ale także – w przypadku danych przetwarzanych elektronicznie – otrzymać je zapisane w powszechnie wykorzystywanym formacie i bez przeszkód przenieść je do innego usługodawcy.
6. Prawo do przeniesienia danych umożliwia również żądanie, aby to administrator posiadający dane przesłał je innemu administratorowi, jednak tylko o tyle – o ile jest to technicznie możliwe.
7. W razie skorzystania przez osobę, której dane dotyczą z prawa do bycia zapomnianym (prawa do usunięcia danych), Administrator danych bez zbędnej zwłoki, usuwa ze wszystkich swoich systemów, dane pochodzące od tej osoby. Wskazany obowiązek usunięcia danych wobec zgłoszenia takiego żądania odnosi się jedynie do danych uzyskanych na podstawie udzielonej zgody. Jeśli podstawą przetwarzania danych jest umowa, której wykonanie wymaga przetwarzania danych, wówczas prawo do bycia zapomnianym nie znajdzie zastosowania. W takiej sytuacji żądanie usunięcia danych wymagać będzie wcześniejszego rozwiązania umowy.
8. Prawo do ograniczenia przetwarzania przewiduje możliwość żądania od Administratora danych ograniczenia przetwarzania, gdy osoba, której dane dotyczą:
a) kwestionuje prawidłowość danych osobowych;
b) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
c) Administrator danych nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą do ustalenia, dochodzenia lub obrony roszczeń.
9. W zautomatyzowanych zbiorach danych przetwarzanie należy zasadniczo ograniczyć środkami technicznymi w taki sposób, by dane osobowe nie podlegały dalszemu przetwarzaniu ani nie mogły być zmieniane. Przykładowymi metodami ograniczania przetwarzania jest np.:
a) czasowe przeniesienie wybranych danych osobowych do innego systemu przetwarzania,
b) uniemożliwienie użytkownikom systemu dostępu do wybranych danych.
10. Osoba, której dane dotyczą, jeżeli uważa, że jej dane przetwarzane są niezgodnie z prawem, ma prawo do:
a) wniesienia skargi do organu nadzorczego,
b) skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego dotyczącej osoby, której dane dotyczą,
c) skutecznego środka ochrony prawnej przed sądem, przeciwko administratorowi.
11. Wszczęcie postępowania sądowego przeciwko administratorowi jest możliwe niezależnie od skarg złożonych do organu nadzoru.

IV. Postanowienia końcowe
1. Przedsiębiorca świadomy jest swej odpowiedzialności za przestrzeganie stosownych przepisów i postępowanie zgodnie z dobrą praktyką w zakresie ochrony danych osobowych.
2. Każda osoba zainteresowana sposobem postępowania z informacjami o charakterze osobowym będzie poinformowana o tym, co należy robić.
3. Sposób zarządzania informacjami personalnymi podlegać będzie regularnej ocenie.
4. Przedsiębiorca nie przetwarza danych wrażliwych.
5. Przedsiębiorca opracowuje, prowadzi i utrzymuje Rejestr Czynności Danych Osobowych. Rejestr jest narzędziem rozliczania zgodności z ochroną danych u Przedsiębiorcy.
6. W przypadku usług oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat. Jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody. W takich przypadkach Administrator danych, uwzględniając dostępną technologię, podejmuje rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała.