Polityka prywatności
1. Cel
Niniejsza Polityka ma na celu ustanowienie ogólnych zasad postępowania z danymi osobowymi przez Pegasus Advertising Poland Sp. z o.o. z siedzibą w Warszawie (04-030), przy Al. Waszyngtona 33/61, zwaną dalej również Spółką, w zgodzie z wymogami wynikającymi z przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej RODO.
2. Zakres stosowania
2.1. Niniejsza Polityka ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.
2.2. Niniejsza Polityka znajduje zastosowanie do wszystkich operacji przetwarzania danych osobowych prowadzonych przez Spółkę, niezależnie od tego czy występuje ona jako administrator danych czy podmiot przetwarzający,
2.3. Niniejszą Politykę należy stosować zawsze gdy pracownicy Spółki przetwarzają dane osobowe, bez uszczerbku dla procedur szczegółowych, które znajdują zastosowanie w określonych w nich przypadkach.
3. Ograniczenia
3.1. Niniejsza Polityka nie stanowi zbioru wszystkich przepisów Rozporządzenia 679/2016/UE mogących mieć zastosowanie do Spółki, natomiast jest praktycznym przewodnikiem po najważniejszych obowiązkach wynikających z ww. aktu.
4. Postanowienia ogólne
4.1. Wszystkie pojęcia użyte w niniejszej Polityce mają znaczenie nadane im w Rozporządzeniu 679/2016/UE, a w szczególności:
a) „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
b) „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
c) „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;
d) „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
4.2. Osobą odpowiedzialną za należyte stosowanie niniejszej Polityki jest administrator danych osobowych.
5. Reguły przetwarzania danych osobowych przez Spółkę
5.1. W przypadku przetwarzania danych osobowych w charakterze administratora Spółka:
a) posiada jedną z podstaw przetwarzania danych osobowych, o których mowa w art. 6 lub art. 9 Rozporządzenia 679/2016/UE;
b) jest w stanie wykazać, że legitymuje się przesłanką o której mowa w punkcie a);
c) w przypadku zbierania danych osobowych od osoby, której dane dotyczą przekazuje tej osobie wszelkie informacje, o których mowa w art. 13 RODO. Obowiązek ten jest spełniany w momencie pozyskania danych;
d) w przypadku zbierania danych osobowych z innego źródła niż osoba, której dane dotyczą, Spółka przesyła indywidualnie tej osobie wszelkie informacje o których mowa w art. 14 RODO w terminie 30 dni od pozyskania tych danych. W przypadku gdy dane mają być wykorzystane do komunikacji z osobą albo jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – termin przekazania danych może ulec wydłużeniu (lub skróceniu) do momentu, odpowiednio pierwszej komunikacji z klientem albo pierwszego ujawnienia danych;
e) na etapie planowanie operacji przetwarzania danych, Spółka dokłada szczególnych starań aby cel przetwarzania był sformułowany w sposób jasny, a dane były zbierane jedynie
w takim zakresie jaki jest niezbędny do osiągnięcia ww. celu przetwarzania. Jednocześnie Spółka ocenia ryzyko jakie przetwarzanie może powodować w odniesieniu do osób, których dane dotyczą;
f) w przypadku naruszenia ochrony danych osobowych Spółka zgłasza to naruszenie organowi nadzorczemu bez zbędnej zwłoki, nie później niż w terminie 72 godzin. Jeżeli naruszenie to może powodować wysokie ryzyko dla praw lub wolności osób fizycznych, Spółka zawiadamia bez zbędnej zwłoki również osobę, której dotyczy to naruszenie;
g) przeprowadza ocenę skutków dla ochrony danych, zgodnie z art. 35 RODO jeżeli ze względu na swój charakter, zakres, kontekst i cele przetwarzanie z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych;
h) jeżeli ocena, o której mowa w punkcie 4.1. g) wykaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym.
5.2. W przypadku przetwarzania danych osobowych przez Spółkę w charakterze podmiotu przetwarzającego, Spółka posiada umowę powierzenia przetwarzania danych podpisaną
z administratorem, który zleca operacje przetwarzania, zawierającą wszystkie elementy wymienione w art. 28 RODO oraz ściśle się do niej stosuje.
5.3. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, Spółka wdraża odpowiednie środki techniczne i organizacyjne w odniesieniu do danych osobowych, które przetwarza, tak aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
5.4. Każda osoba zatrudniona przez Spółkę, która ma dostęp do danych osobowych posiada pisemne upoważnienie do przetwarzania, w którym wskazano których operacji przetwarzania ono dotyczy.
5.5. Spółka prowadzi rejestr czynności przetwarzania, który obejmuje informacje wskazane w punkcie 30 ust. 5 Rozporządzenia.
5.6. W przypadku przekazywania danych osobowych do państwa trzeciego, tj. nienależącego do Europejskiego Obszaru Gospodarczego (EOG – obejmującego państwa Unii Europejskiej, Norwegię, Islandię i Liechtenstein), co do którego nie została wydana decyzja Komisji Europejskiej w której stwierdzono, że określone państwo trzecie zapewnia odpowiedni poziom ochrony w rozumieniu Rozporządzenia 679/2016/UE Spółka zawiera z podmiotem z siedzibą w państwie trzecim, któremu przekazuje dane osobowe umowę, o której mowa w art. 46 lub 47 RODO, chyba, że legitymuje się jedną z przesłanek przekazania, o której mowa w art. 49 RODO.
5.7. Spółka przetwarza dane osobowe z poszanowaniem następujących zasad:
a) legalności – oznaczającej spełnianie wszystkich wymogów prawa, w tym w szczególności posiadania jednej z podstaw przetwarzania, o których mowa w punkcie 4.1. litera
a) niniejszej Polityki;
b) rzetelności – wymagającej dopełnienia zgodności z prawem na każdym etapie przetwarzania;
c) ograniczenia celu – co oznacza, że dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach oraz nieprzetwarzane dalej w sposób niezgodny z tymi celami;
d) minimalizacji danych – zgodnie z którą dane osobowe mogą być przetwarzane jedynie
w takim zakresie w jakim jest to niezbędne dla osiągnięcia celu;
e) ograniczonego czasu przechowywania (retencji danych) – nakazującej aby dane osobowe były przetwarzane jedynie tak długo jak jest to niezbędne dla osiągnięcia celu;
f) prawidłowości – zgodnie z którą dane muszą być prawidłowe, tj. odpowiadać stanowi faktycznego oraz w miarę potrzeby aktualizowane;
g) przejrzystości – charakter operacji przetwarzania wykonywanych przez Spółkę musi być jasny dla osób, których dane dotyczą;
h) poufności danych oraz ich integralności – tj. zapewnienia aby dane nie zostały ujawnione osobom do tego nieupoważnionym;
5.8. Spółka musi być w stanie wykazać spełnienie przez siebie wymogów wynikając z przepisów dotyczących ochrony danych osobowych, zgodnie z zasadą rozliczalności.
6. Obowiązki pracowników w zakresie przetwarzania danych osobowych
6.1. Każdy z pracowników zostaje zapoznany z niniejszą Polityką;
6.2. Każdy z pracowników mających dostęp do danych osobowych posiada pisemne upoważnienie do ich przetwarzania, określające jakich danych osobowych ono dotyczy;
6.3. W przypadku gdy pracownik wykorzystuje do przetwarzania danych osobowych sprzęt komputerowy dostarczony przez Spółkę, posiada on indywidualny login oraz hasło. Pracownik nie podaje swojego hasła innym osobom.
6.4. Niedopuszczalne jest wykorzystywanie prywatnych urządzeń pracownika do przetwarzania danych osobowych, których administratorem jest Spółka, chyba że na podstawie odrębnie przyjętych zasad regulujących postępowanie z danymi osobowymi w takiej sytuacji.
6.5. W przypadku przetwarzania danych osobowych w formie papierowej pracownik przechowuje je w formie uniemożliwiającej do nich dostęp osobom nieupoważnionym, w szczególności zamyka je na klucz w przypadku gdy opuszcza swoje stanowisko pracy.
7. Przepisy końcowe
7.1. Pracownikom przypomina się o obowiązkach wynikających z niniejszej polityki co 1 rok.
7.2. Niniejsza polityka podlega regularnym przeglądom, nie rzadziej niż co 2 lata, mającym na celu dostosowanie jej do funkcjonowania Spółki.