POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

MISYJNE BIURO TURYSTYCZNO – PIELGRZYMKOWE KUPERTYN

Z SIEDZIBĄ W SZCZECINIE

Wstęp

Realizując konstytucyjne prawo każdej osoby do ochrony życia prywatnego oraz postanowienia Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), w celu zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ww. rozporządzenia oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, wprowadza się następujący zestaw procedur.

DZIAŁ I: POSTANOWIENIA OGÓLNE

Rozdział I

Definicje

§ 1. Ilekroć w dokumencie jest mowa o:

  1. Rozporządzeniu – rozumie się przez to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);

  2. Administratorze lub Administratorze danych – rozumie się przez to Misyjne Biuro Turystyczno – Pielgrzymkowe KUPERTYN Danuta Roszkowiak z siedzibą w Szczecinie przy al. Bohaterów Warszawy 15/16, 70-370 Szczecin, REGON: 320951791, NIP: 8511269925, (dalej: „Administrator” lub „Fundacja”), w zakresie, w jakim samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

  3. Pracownikach – rozumie się przez to osoby fizyczne pozostające pod kierownictwem Administratora, z którymi Administrator zawarł umowę o pracę lub umowę cywilnoprawną w zakresie prowadzonej działalności;

  4. Uczestnikach rekrutacji – rozumie się przez to osoby fizyczne, która przesłały swoje zgłoszenia w odpowiedzi na ogłoszenie Administratora o rekrutacji;

  5. Kontrahentach – rozumie się przez to osoby fizyczne lub inne podmioty niebędące Darczyńcami ani Pracownikami, odrębne od Administratora, powiązane z Administratorem określonym stosunkiem zobowiązaniowym, w tym w szczególności podmioty świadczące usługi na rzecz Administratora, w tym usługi związane z obsługą informatyczną, księgową, prawną, a także podmioty, z którym Administrator prowadzi negocjacje w przedmiocie zawarcia umowy obejmującej świadczenie usług na rzecz Administratora.

  6. Przedstawicielach Kontrahentów lub Darczyńców – rozumie się przez to osoby fizyczne reprezentujące albo działające z upoważnienia Kontrahentów lub Darczyńców, w tym w szczególności osoby fizyczne reprezentujące albo działające z upoważnienia Kontrahentów lub Darczyńców będących spółkami prawa handlowego lub innymi osobami prawnymi.

  7. Uczestnikach wyjazdów – rozumie się przez to osoby fizyczne, które zawarły z Administratorem umowę o wyjazd turystyczny;

  8. Odbiorcach marketingu – rozumie się przez to osoby fizyczne, do których Administrator kieruje informacje marketingowe;

  9. Fanpage’u – rozumie się przez to profil Administratora na portalu społecznościowym Facebook;

  10. danych osobowych – rozumie się przez to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

  11. zbiorze danych – rozumie się przez to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;

  12. przetwarzaniu danych – rozumie się przez to operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

  13. systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;

  14. zabezpieczeniu danych w systemie informatycznym – rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem;

  15. usuwaniu danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą;

  16. zgodzie osoby, której dane dotyczą – oznacza to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;

  17. odbiorcy danych – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;

  18. państwie trzecim – rozumie się przez to państwo nienależące do Europejskiego Obszaru Gospodarczego;

  19. środkach technicznych i organizacyjnych – należy przez to rozumieć środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych;

  20. ograniczeniu przetwarzania – należy przez to rozumieć oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

  21. profilowaniu – oznacza to dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;

  22. pseudonimizacji – oznacza to przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

  23. podmiocie przetwarzającym – oznacza to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

  24. naruszeniu ochrony danych osobowych – oznacza to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

 

Rozdział II

Obowiązki Administratora

§ 2. Administrator danych, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

§ 3. Administrator danych prowadzi Rejestr Czynności Przetwarzania, o którym mowa w art. 30 RODO, zgodnie z załącznikiem nr 1. W rejestrze tym zamieszcza się wszystkie następujące informacje:

  1. imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także, gdy ma to zastosowanie - przedstawiciela administratora oraz inspektora ochrony danych;

  2. cele przetwarzania;

  3. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

  4. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;

  5. gdy ma to zastosowanie, informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń;

  6. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;

  7. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.

§ 4. Administrator danych nie jest zobowiązany do wyznaczenia Inspektora Ochrony Danych, o którym mowa w art. 37 RODO, ponieważ Administrator nie jest organem ani podmiotem publicznym, główna działalność administratora nie polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, a ponadto główna działalność Administratora nie polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych ani danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

§ 5. Administrator może wyznaczyć Inspektora Ochrony Danych w celu zwiększenia bezpieczeństwa danych osobowych przetwarzanych w organizacji. W przypadku wyznaczenia Inspektora Ochrony Danych Administrator niezwłocznie udziela informacji w tym zakresie osobom, których dotyczą dane osobowe przetwarzane w organizacji. Administrator udostępnia w szczególności dane kontaktowe Inspektora Ochrony Danych w postaci adresu poczty elektronicznej i/lub numeru telefonu. Administrator zapewnia, by Inspektor Ochrony Danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

§ 6. W przypadku powołania Inspektora Ochrony Danych, do jego zadań należy w szczególności:

  1. informowanie Administratora oraz Pracowników, którzy przetwarzają dane osobowe, o obowiązkach w zakresie ochrony danych osobowych wynikających z przepisów prawa oraz z regulacji wewnętrznych i doradzanie im w tych sprawach;

  2. monitorowanie przestrzegania przepisów prawa oraz polityk Administratora w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

  3. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;

  4. współpraca z organem nadzorczym;

  5. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

§ 7. W przypadku powołania Inspektora Ochrony Danych, osoby, których dane dotyczą, mogą kontaktować się z nim we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy Rozporządzenia. W przypadku powołania Inspektora Ochrony Danych Administrator uzupełnia Klauzule informacyjne, sporządzone zgodnie z załącznikami nr 8 – 18, a także Polityki prywatności oraz klauzule informacyjne na swoich stronach internetowych o dane kontaktowe Inspektora Ochrony Danych.

§ 8. Administrator wspiera Inspektora Ochrony Danych w wypełnianiu przez niego zadań, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej. Administrator zapewnia, by Inspektor Ochrony Danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez Administratora za wypełnianie swoich zadań i bezpośrednio podlega najwyższemu kierownictwu Administratora.

DZIAŁ II: ŚRODKI TECHNICZNE I ORGANIZACYJNE

Rozdział I

Wykaz środków technicznych i organizacyjnych

§ 9. W celu ochrony danych spełniono wymogi, o których mowa w Rozporządzeniu, w szczególności:

  1. przeprowadzono analizę ryzyka w stosunku do zasobów biorących udział w procesach zgodnie z załącznikiem nr 2,

  2. do przetwarzania danych zostały dopuszczone wyłącznie osoby upoważnione przez Administratora zgodnie z załącznikiem nr 3 – Administrator prowadzi wykaz osób upoważnionych do przetwarzania danych zgodnie z załącznikiem nr 4;

  3. zawarto umowy powierzenia przetwarzania danych zgodnie z załącznikiem nr 5 – Administrator prowadzi wykaz podmiotów przetwarzających zgodnie z załącznikiem nr 6;

  4. została opracowana i wdrożona niniejsza polityka bezpieczeństwa – Administrator prowadzi wykaz osób zapoznanych z niniejszym dokumentem zgodnie z załącznikiem nr 7.

§ 10. W celu ochrony danych osobowych stosuje się następujące środki ochrony fizycznej danych osobowych:

  1. zbiory danych osobowych przechowywane są w siedzibie Administratora znajdującej się w budynku biurowym, na pierwszym piętrze;

  2. budynek, w który mieści się siedziba Administratora, jest monitorowany oraz nadzorowany przez służbę ochrony;

  3. wejście do siedziby Administratora zabezpieczone jest podwójnymi drzwiami;

  4. zbiory danych osobowych w formie papierowej przechowywane są w wydzielonej szafce;

  5. dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny.

§ 11. W celu ochrony danych osobowych stosuje się następujące środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej:

  1. dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe, zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła;

  2. zastosowano systemowe mechanizmy wymuszające okresową zmianę haseł;

  3. systemy operacyjne komputerów są systematycznie aktualizowane;

  4. zastosowano środki ochrony przed szkodliwym oprogramowaniem, takim jak np. robaki, wirusy, konie trojańskie, rootkity;

  5. użyto systemu Firewall do ochrony dostępu do sieci komputerowej;

  1. zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe.

§ 12. W celu ochrony danych osobowych stosuje się następujące środki organizacyjne:

  1. osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych;

  2. przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego;

  3. osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy.

 

Rozdział II

Procedura DPIA

(Data Protection Impact Assessment)

§ 13. W przypadku uznania przez Administratora, że planowana operacja przetwarzania danych osobowych może się wiązać z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, Administrator lub osoba wyznaczona przez Administratora dokonuje oceny skutków dla ochrony danych w celu oszacowania w szczególności źródła, charakteru, specyfiki i powagi tego ryzyka.

§ 14. W przypadku, gdy przeprowadzona ocena skutków dla ochrony danych wykaże, że operacje przetwarzania powodują wysokie ryzyko, którego Administrator nie może zminimalizować odpowiednimi środkami z punktu widzenia dostępnej technologii i kosztów wdrożenia, przed rozpoczęciem przetwarzania Administrator konsultuje się z organem nadzorczym.

Rozdział III

Procedura analizy ryzyka i plan postępowania z ryzykiem

§ 15. Analizę ryzyka dla zasobów biorących udział w procesach przeprowadza Administrator danych lub osoba przez niego wyznaczona – przy wykorzystaniu załącznika nr 2.

§ 16. Analiza ryzyka jest przeprowadzana nie rzadziej niż raz w roku i stanowi podstawę do aktualizacji sposobu postępowania z ryzykiem.

§ 17. Na podstawie wyników przeprowadzonej analizy ryzyka, Administrator lub osoby przez niego wyznaczone wdrażają sposoby postępowania z ryzykiem.

§ 18. Administrator danych wybiera sposób postępowania z ryzykiem i określa, które ryzyka i w jakiej kolejności będą rozpatrywane jako pierwsze.

§ 19. Administrator danych nie może zlekceważyć ryzyk, których wartość przekracza 6 punktów zgodnie z załącznikiem nr 2.

Rozdział IV

Procedura współpracy z podmiotami zewnętrznymi

§ 20. Każdorazowe skorzystanie z usług podmiotu przetwarzającego jest poprzedzone zawarciem umowy powierzenia przetwarzania danych osobowych zgodnie z wzorem z załącznika nr 5. Administrator prowadzi wykaz podmiotów przetwarzających dane osobowe zgodnie z załącznikiem nr 6.

§ 21. Nie rzadziej niż raz w roku oraz każdorazowo przed zawarciem umowy powierzenia przetwarzania danych osobowych Administrator danych weryfikuje zgodność z Rozporządzeniem wszystkich podmiotów przetwarzających, z których usług korzysta lub ma zamiar skorzystać.

Rozdział V

Procedura domyślnej ochrony danych

§ 22. Administrator danych w przypadku zamiaru rozpoczęcia przetwarzania danych osobowych w nowym procesie rozważa konieczność przeprowadzenia oceny skutków dla ochrony danych (DPIA) w stosunku do tego procesu. W przypadku przyjęcia, iż przeprowadzenie oceny skutków dla ochrony danych (DPIA) nie jest niezbędne, Administrator dokumentuje powody podjęcia takiej decyzji w formie notatki załączanej do dokumentacji ochrony danych osobowych.

§ 23. W każdym przypadku tworzenia nowego produktu lub usług Administrator uwzględnia prawa osób, których dane dotyczą, na każdym kluczowym etapie projektowania i wdrażania.

Rozdział VI

Procedura zarządzania incydentami

§ 24. W każdym przypadku naruszenia ochrony danych osobowych Administrator lub osoba przez niego wyznaczona weryfikuje, czy naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

§ 25. Administrator w przypadku stwierdzenia, że naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, zawiadamia niezwłocznie organ nadzorczy, jednak nie później niż w ciągu 72 godz. od identyfikacji naruszenia.

§ 26. Administrator danych zawiadamia osoby, których dane dotyczą, w przypadku wystąpienia wobec nich naruszeń skutkujących ryzykiem naruszenia ich praw lub wolności, chyba że zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka wystąpienia ww. naruszenia.

§ 27. Administrator danych dokumentuje wszelkie uchybienia, które mogą skutkować naruszeniem praw i wolności osób fizycznych.

DZIAŁ III: REALIZACJA PRAW OSÓB

Rozdział I

Wykaz praw osób realizowanych przez Administratora

§ 28. Każdy przypadek zgłoszenia przez osobę, której dane dotyczą, woli skorzystania z praw przewidzianych w rozporządzeniu Administrator danych rozpatruje indywidualnie.

§ 29. Administrator danych niezwłocznie realizuje następujące prawa osób, których dane dotyczą:

  1. prawo dostępu do danych,

  2. prawo do sprostowania danych,

  3. prawo do usunięcia danych,

  4. prawo do przenoszenia danych,

  5. prawo do sprzeciwu wobec przetwarzania danych,

  6. prawo do niepodlegania decyzjom opartym wyłącznie na profilowaniu.

 

Rozdział II

Realizacja prawa dostępu do danych

§ 30. Prawo dostępu do danych jest realizowane na wniosek osoby, której dane dotyczą.

§ 31. Administrator korzysta z wszelkich rozsądnych środków w celu zweryfikowania tożsamości żądającej dostępu osoby, której dane dotyczą.

§ 32. Jeżeli osoba, której dane dotyczą, zwraca się o informacje drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej.

§ 33. Administrator udziela osobie, której dane dotyczą, informacji o tym, czy przetwarzane są dane osobowe dotyczące tej osoby, a jeżeli ma to miejsce, informacji o:

  1. celach przetwarzania;

  2. kategoriach odnośnych danych osobowych;

  3. odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;

  4. w miarę możliwości planowanym okresie przechowywania danych osobowych, a gdy nie jest to możliwe, kryteriach ustalania tego okresu;

  5. prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;

  6. prawie wniesienia skargi do organu nadzorczego;

  7. jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą - wszelkie dostępne informacje o ich źródle;

  8. zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 Rozporządzenia, oraz - przynajmniej w tych przypadkach - istotnych informacji o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

§ 34. Na wniosek osoby, której dane dotyczą, Administrator dostarcza tej osobie kopię danych osobowych podlegających przetwarzaniu, chyba że prawo do uzyskania kopii wpływa niekorzystnie na prawa i wolności innych osób. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, Administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych.

Rozdział III

Realizacja prawa do sprostowania danych

§ 35. Na wniosek osoby, której dane dotyczą, Administrator niezwłocznie prostuje dotyczące tej osoby dane osobowe, które są nieprawidłowe.

§ 36. Z uwzględnieniem celów przetwarzania, na wniosek osoby, której dane dotyczą, Administrator uzupełnia dane, które są niekompletne. W tym celu osoba, której dane dotyczą, może przedstawić dodatkowe oświadczenie.

§ 37. O sprostowaniu i uzupełnieniu danych Administrator informuje każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.

 

Rozdział IV

Realizacja prawa do usunięcia danych („bycia zapomnianym”)

§ 38. Na wniosek osoby, której dane dotyczą, Administrator niezwłocznie usunie dotyczące jej dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

  1. dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

  2. osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania;

  3. osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 Rozporządzenia wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 Rozporządzenia wobec przetwarzania;

  4. dane osobowe były przetwarzane niezgodnie z prawem;

  5. dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega Administrator;

  6. dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1 Rozporządzenia.

§ 39. Administrator nie jest obowiązany do usunięcia danych osobowych dotyczących wnioskodawcy w zakresie, w jakim przetwarzanie jest niezbędne:

  1. do korzystania z prawa do wolności wypowiedzi i informacji;

  2. do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega Administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi;

  3. z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3 Rozporządzenia;

  4. do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 Rozporządzenia, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub

  5. do ustalenia, dochodzenia lub obrony roszczeń.

§ 40. O usunięciu danych Administrator informuje każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.

Rozdział V

Realizacja prawa do ograniczenia przetwarzania

§ 41. Administrator ogranicza przetwarzanie danych, jeżeli:

  1. osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych - na okres pozwalający Administratorowi sprawdzić prawidłowość tych danych;

  2. przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;

  3. Administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;

  4. osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 Rozporządzenia wobec przetwarzania - do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie Administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

§ 42. Administrator przetwarza dane osobowe, których przetwarzanie zostało ograniczona, wyłącznie:

  1. za zgodą osoby, której dane dotyczą,

  2. w celu ustalenia, dochodzenia lub obrony roszczeń,

  3. w celu ochrony praw innej osoby fizycznej lub prawnej, lub

  4. z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.

§ 43. Ograniczenie, o którym mowa powyżej, nie dotyczy przechowywania danych osobowych.

§ 44. O ograniczeniu przetwarzania Administrator informuje każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.

§ 45. Przed uchyleniem ograniczenia przetwarzania, Administrator informuje o tym osobę, której dane dotyczą.

Rozdział VI

Realizacja prawa do przenoszenia danych

§ 46. Na wniosek osoby, której dane dotyczą, Administrator przekazuje tej osobie dane osobowe jej dotyczące, które dostarczyła Administratorowi, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, jeżeli przetwarzanie odbywa się w sposób zautomatyzowany, a podstawą przetwarzania jest:

  1. zgoda osoby, której dane dotyczą, lub

  2. niezbędność przetwarzania do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.

§ 47. Na wniosek osoby, której dane dotyczą, Administrator przesyła dane osobowe, o których mowa w § 46, innemu administratorowi, jeżeli spełnione są przesłanki, o których mowa w § 46.

§ 48. Administrator odmawia realizacji prawa do przenoszenia danych, jeżeli realizacja tego prawa będzie wpływać niekorzystnie na prawa i wolności innych osób.

Rozdział VII

Realizacja prawa do sprzeciwu

§ 49. Administrator zaprzestaje przetwarzania danych osobowych dotyczących osoby, która wniosła sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych, w tym profilowania, jeżeli podstawą przetwarzania jest:

  1. niezbędność przetwarzania do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi, lub

  2. niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub przez stronę trzecią.

§ 50. Administrator może uchylić się od obowiązku realizacji prawa do sprzeciwu, jeżeli wykaże istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

§ 51. Administrator zaprzestaje przetwarzania na potrzeby marketingu bezpośredniego danych osoby, która wniosła sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.

Rozdział VIII

Realizacja prawa do niepodlegania decyzjom opartym wyłącznie na profilowaniu

§ 52. Na wniosek osób, których dane dotyczą, Administrator zapewnia tym osobom prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób na nią istotnie wpływa, chyba że decyzja ta:

  1. jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a Administratorem,

  2. jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub

  3. opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

§ 53. Administrator, w przypadkach, o których mowa w § 52 lit. a i c, wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony Administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.

 

DZIAŁ IV: PROCEDURY INFORMACYJNE

Rozdział I

Ogólne procedury informacyjne

§ 54. W każdym przypadku pobierania danych bezpośrednio od osoby, której dane dotyczą, Administrator danych informuje osobę, której dane dotyczą, zgodnie z wymogami art. 13 Rozporządzenia.

§ 55. W każdym przypadku pobierania danych z innych źródeł niż osoba, której dane dotyczą, Administrator danych informuje osobę, której dane dotyczą, niezwłocznie, jednak nie później niż przy pierwszym kontakcie z osobą, której dane dotyczą, zgodnie z wymogami art. 14 Rozporządzenia.

§ 56. Na wniosek osób, których dane dotyczą, Administrator udziela dodatkowych informacji i wyjaśnień w przedmiocie przetwarzania ich danych osobowych, w tym w szczególności w przedmiocie uprawnień przysługujących tym osobom w związku z przetwarzaniem ich danych osobowych.

 

Rozdział II

Procedury informacyjne wobec Członków organów

§ 57. Administrator informuje Członków organów Fundacji o przysługujących im uprawnieniach poprzez udostępnienie im odpowiedniej Klauzuli Informacyjnej, sporządzonej według wzoru z załącznika nr 8. Każdy Członek organu Fundacji poświadcza zapoznanie się z Klauzulą Informacyjną poprzez złożenie podpisu pod Klauzulą Informacyjną.

 

Rozdział III

Procedury informacyjne wobec Pracowników

§ 58. W każdym przypadku zawierania z Pracownikiem umowy stanowiącej podstawę przetwarzania danych osobowych Pracownika, Administrator informuje Pracownika o przysługujących mu uprawnieniach poprzez załączenie do umowy odpowiedniej Klauzuli Informacyjnej, sporządzonej według wzoru z załącznika nr 9.

§ 59. W przypadku umów zawartych przed dniem przyjęcia niniejszej Polityki bezpieczeństwa, Administrator informuje Pracownika o przysługujących mu uprawnieniach poprzez udostępnienie Pracownikowi Klauzuli Informacyjnej, sporządzonej według wzoru z załącznika nr 9. Poprzez złożenie podpisu pod Klauzulą Informacyjną Pracownik poświadcza zapoznanie się z jej treścią.

§ 60. Obowiązek informacyjny może być także spełniony w formie elektronicznej poprzez wysłanie odpowiedniej Klauzuli Informacyjnej na adres poczty elektronicznej wskazany przez Pracownika albo za pośrednictwem poczty tradycyjnej.

 

Rozdział IV

Procedury informacyjne wobec Uczestników rekrutacji

§ 61. W każdym przypadku upubliczniania ogłoszenia o rekrutacji, Administrator załącza do ogłoszenia Klauzulę Informacyjną sporządzoną według wzoru z załącznika nr 10.

 

Rozdział V

Procedury informacyjne wobec Darczyńców

§ 62. Postanowienia niniejszego rozdziału znajdują zastosowanie tylko do Darczyńców będących osobami fizycznymi, w tym także osobami fizycznymi prowadzącymi działalność gospodarczą. Postanowienia niniejszego rozdziału nie znajdują zastosowania do Darczyńców niebędących osobami fizycznymi (np. spółki prawa handlowego). W przypadku Darczyńców niebędących osobami fizycznymi, Administrator spełnia obowiązek informacyjny wyłącznie wobec osób fizycznych reprezentujących tych Darczyńców lub działających z ich upoważnienia, zgodnie z postanowieniami Rozdziału VII – Procedury informacyjne wobec Przedstawicieli Kontrahentów lub Darczyńców.

§ 63. W każdym przypadku zawierania z Darczyńcą umowy darowizny stanowiącej podstawę przetwarzania danych osobowych Darczyńcy, Administrator informuje Darczyńcę o przysługujących mu uprawnieniach poprzez udostępnienie Darczyńcy odpowiedniej Klauzuli Informacyjnej, sporządzonej według wzoru z załącznika nr 11. Obowiązek informacyjny może być także spełniony w formie elektronicznej poprzez wysłanie odpowiedniej Klauzuli Informacyjnej na adres poczty elektronicznej wskazany przez Darczyńcę lub za pośrednictwem poczty tradycyjnej.

§ 64. W przypadku Darczyńców zawierających z Administratorem umowę darowizny w formie dorozumianej, poprzez dokonanie wpłaty na konto bankowe Administratora, Administrator spełnia wobec nich obowiązek informacyjny poprzez udostępnienie Klauzuli Informacyjnej, sporządzonej według wzoru z załącznika nr 12, na stronie internetowej, na której podane są dane niezbędne do dokonania wpłaty na konto bankowe Administratora.

§ 65. W przypadku Darczyńców, którzy informacje o możliwości dokonania darowizny na rzecz Fundacji uzyskują ze źródeł innych niż Administrator, w tym w szczególności za pośrednictwem podmiotów współpracujących z Administratorem, takich jak Biuro turystyczne KUPERTYN, a następnie dokonują wpłaty bezpośrednio na rachunek bankowy Administratora, obowiązek informacyjny spełnia się poprzez zobowiązanie podmiotu współpracującego z Administratorem do udostępnienia Darczyńcom Klauzuli informacyjnej sporządzonej według wzoru z załącznika nr 12.

 

Rozdział VI

Procedury informacyjne wobec Kontrahentów Administratora

§ 66. Postanowienia niniejszego rozdziału znajdują zastosowanie do Kontrahentów będących osobami fizycznymi, w tym także osobami fizycznymi prowadzącymi działalność gospodarczą. Postanowienia niniejszego rozdziału nie znajdują zastosowania do Kontrahentów niebędących osobami fizycznymi (np. spółki prawa handlowego). W przypadku Kontrahentów niebędących osobami fizycznymi, Administrator spełnia obowiązek informacyjny wyłącznie wobec osób fizycznych reprezentujących tych Kontrahentów lub działających z ich upoważnienia, zgodnie z postanowieniami Rozdziału VII – Procedury informacyjne wobec Przedstawicieli Kontrahentów lub Darczyńców.

§ 67. W każdym przypadku zawierania z Kontrahentem umowy pisemnej stanowiącej podstawę przetwarzania danych osobowych Kontrahenta, Administrator informuje Kontrahenta o przysługujących mu uprawnieniach poprzez załączenie do umowy odpowiedniej Klauzuli Informacyjnej, sporządzonej według wzoru z załącznika nr 13. Podpisując Klauzulę Informacyjną, Kontrahent poświadcza zapoznanie się z jej treścią. W przypadku, gdy umowa stanowiąca podstawę przetwarzania danych osobowych Kontrahenta zawierana jest w formie innej niż pisemna, Administrator informuje Kontrahenta o przysługujących mu uprawnieniach poprzez udostępnienie Kontrahentowi Klauzuli Informacyjnej, sporządzonej według wzoru z załącznika nr 13, za pośrednictwem poczty tradycyjnej lub poczty elektronicznej, lub w inny sposób indywidualnie uzgodniony.

 

Rozdział VII

Procedury informacyjne wobec Przedstawicieli Kontrahentów lub Darczyńców

§ 68. W każdym przypadku pozyskiwania danych Przedstawicieli Kontrahentów lub Darczyńców, Administrator informuje Przedstawiciela Kontrahenta lub Darczyńcy o przysługujących mu uprawnieniach poprzez udostępnienie mu odpowiedniej Klauzuli Informacyjnej sporządzonej według wzoru z załącznika nr 14, za pośrednictwem poczty tradycyjnej lub poczty elektronicznej, lub w inny sposób indywidualnie uzgodniony.

 

Rozdział VIII

Procedury informacyjne wobec Beneficjentów zbiórek

§ 69. Administrator informuje Beneficjentów zbiórek o przysługujących im uprawnieniach poprzez załączenie do formularza zgody na przetwarzanie danych osobowych odpowiedniej Klauzuli Informacyjnej sporządzonej według wzoru z załącznika nr 15.

 

Rozdział IX

Procedury informacyjne wobec Potomków polskich obywateli

§ 70. Administrator w ramach realizowania swoich celów statutowych dąży do podtrzymywania więzi z potomkami Polaków zamieszkałymi poza granicami kraju w wyniku działań wojennych, represyjnych, w szczególności na terenie Europy, Azji, Afryki. Administrator spełnia obowiązek informacyjny wobec osób, z którymi się kontaktuje, przy odbieraniu od tych osób zgody na podtrzymywanie kontaktów, poprzez udostępnienie tym osobom Klauzuli informacyjnej sporządzonej według wzoru z załącznika nr 16.

 

Rozdział X

Procedury informacyjne wobec Uczestników wyjazdów

§ 71. Administrator wypełnia obowiązek informacyjny wobec Uczestników wyjazdów poprzez załączenie do zawieranej umowy o wyjazd turystyczny odpowiedniej Klauzuli informacyjnej sporządzonej według wzoru z załącznika nr 17. W przypadku zawierania umowy w formie innej niż pisemna, Administrator udostępnia Klauzulę informacyjną w sposób indywidualnie uzgodniony lub właściwy w danych okolicznościach, w tym w szczególności w formie elektronicznej lub za pośrednictwem poczty tradycyjnej.

 

Rozdział XI

Procedury informacyjne wobec osób korzystających z Fanpage’a

§ 72. Administrator wypełnia obowiązek informacyjny wobec osób korzystających z Fanpage’a przy wykorzystaniu Klauzuli Informacyjnej sporządzonej według załącznika nr 18, udostępnionej na Fanpage’u. Administrator zamieszcza link do Klauzuli Informacyjnej lub samą Klauzulę informacyjną w widocznym miejscu na Fanpage’u.

 

Rozdział XII

Procedury informacyjne wobec Odbiorców marketingu

§ 73. Administrator wypełnia obowiązek informacyjny wobec osób, które wyraziły zgodę na otrzymywanie informacji marketingowych, przy wykorzystaniu Klauzuli informacyjnej sporządzonej według załącznika nr 19, załączanej do formularza zgody na otrzymywanie informacji marketingowych.

 

Rozdział XIII

Procedury informacyjne wobec innych osób

§ 74. W każdym przypadku, gdy nie znajdują zastosowania postanowienia Rozdziałów I – XII niniejszego Działu, Administrator informuje osobę, której dane dotyczą, o przysługujących jej uprawnieniach, przy uwzględnieniu konkretnych okoliczności i konkretnego kontekstu przetwarzania danych osobowych, w sposób widoczny, zrozumiały i czytelny.

 

 

DZIAŁ V: OKRES PRZETWARZANIA DANYCH

Rozdział I

Okres przetwarzania danych Członków organów

§ 75. Dane osobowe Członków organów Fundacji są przetwarzane przez okres pełnienia funkcji w organach Fundacji.

§ 76. Niezależnie od powyższego, dane osobowe Członków organów Fundacji są przechowywane przez okres niezbędny do wypełnienia obowiązków sprawozdawczych i innych obowiązków prawnych ciążących na Administratorze, w tym obowiązku dokumentowania działalności dla celów rejestrowych.

 

Rozdział II

Okres przetwarzania danych Pracowników

§ 77. Dane osobowe Pracowników są przetwarzane przez okres trwania umowy.

§ 78. Po upływie okresu, o którym mowa powyżej, dane osobowe Pracowników są przechowywane przez okres niezbędny do ustalenia, dochodzenia lub obrony roszczeń, w tym w szczególności przez okres równy okresowi przedawnienia roszczeń wynikających z umowy.

§ 79. Niezależnie od okresów wskazanych powyżej, dane osobowe Pracowników są przetwarzane przez okres niezbędny do realizacji obowiązków prawnych ciążących na Administratorze, w tym w szczególności obowiązku przechowywania dokumentacji dla celów podatkowych i kadrowych.

 

Rozdział III

Okres przetwarzania danych w procedurze rekrutacji

§ 80. Dane osobowe uczestników rekrutacji są przechowywane do zakończenia rekrutacji.

 

Rozdział IV

Okres przetwarzania danych Darczyńców

§ 81. Dane osobowe Darczyńców są przechowywane przez okres niezbędny do realizacji obowiązków prawnych ciążących na Administratorze w związku z zawarciem umowy darowizny, w tym w szczególności obowiązku przechowywania dokumentacji dla celów podatkowych i sprawozdawczych.

 

Rozdział V

Okres przetwarzania danych Kontrahentów

§ 82. Dane osobowe Kontrahentów są przetwarzane przez okres trwania umowy.

§ 83. Po upływie okresu, o którym mowa powyżej, dane osobowe Kontrahentów są przechowywane przez okres niezbędny do ustalenia, dochodzenia lub obrony roszczeń, w tym w szczególności przez okres równy okresowi przedawnienia roszczeń wynikających z umowy.

§ 84. Niezależnie od okresów wskazanych powyżej, dane osobowe Kontrahentów są przetwarzane przez okres niezbędny do realizacji obowiązków prawnych ciążących na Administratorze, w tym w szczególności obowiązku przechowywania dokumentacji dla celów podatkowych.

Rozdział VI

Okres przetwarzania danych Przedstawicieli Kontrahentów lub Darczyńców

§ 85. Dane osobowe Przedstawicieli Kontrahentów lub Darczyńców są przetwarzane przez okres trwania umowy łączącej Administratora z podmiotem, którego Przedstawiciel reprezentuje lub z którego upoważnienia działa.

§ 86. Po upływie okresu, o którym mowa powyżej, dane osobowe Przedstawicieli są przechowywane przez okres niezbędny do ustalenia, dochodzenia lub obrony roszczeń, w tym w szczególności przez okres równy okresowi przedawnienia roszczeń wynikających z umowy łączącej Administratora z podmiotem, którego Przedstawiciel reprezentuje lub z którego upoważnienia działa.

§ 87. Niezależnie od powyższych postanowień, dane osobowe Przedstawicieli są przetwarzane przez okres niezbędny do realizacji obowiązków prawnych ciążących na Administratorze w związku z umową łączącą Administratora z podmiotem, którego Przedstawiciel reprezentuje lub z którego upoważnienia działa.

 

Rozdział VII

Okres przechowywania danych Beneficjentów zbiórek

§ 88. Dane osobowe Beneficjentów zbiórek są przechowywane do czasu zakończenia zbiórki, a następnie do czasu wypełnienia obowiązków prawnych ciążących na Administratorze, w tym w szczególności obowiązków rozliczeniowych i sprawozdawczych.

 

Rozdział VIII

Okres przechowywania danych Potomków polskich obywateli

§ 89. Dane osobowe osób, z którymi Administrator kontaktuje się w ramach realizowania celów statutowych polegających na utrzymywaniu więzi z potomkami Polaków zamieszkałymi za granicą, są przechowywane do momentu cofnięcia zgody na przetwarzanie danych osobowych, ale nie dłużej niż przez okres dziesięciu lat od dnia pozyskania zgody, chyba że przed upływem tego terminu osoba, której dane dotyczą, ponownie potwierdzi wyrażoną zgodę.

 

Rozdział IX

Okres przechowywania danych Uczestników wyjazdów

§ 90. Dane osobowe Uczestników wyjazdów są przetwarzane przez okres trwania umowy o wyjazd turystyczny.

§ 91. Po upływie okresu, o którym mowa powyżej, dane osobowe Uczestników wyjazdów są przechowywane przez okres niezbędny do ustalenia, dochodzenia lub obrony roszczeń, w tym w szczególności przez okres równy okresowi przedawnienia roszczeń wynikających z umowy.

§ 92. Niezależnie od okresów wskazanych powyżej, dane osobowe Uczestników wyjazdów są przetwarzane przez okres niezbędny do realizacji obowiązków prawnych ciążących na Administratorze, w tym w szczególności obowiązku przechowywania dokumentacji dla celów podatkowych.

 

Rozdział X

Okres przechowywania danych osób korzystających z Fanpage’a

§ 93. Dane osobowe osób korzystających z Fanpage’a są przechowywane do momentu odpowiedniej zmiany ustawień profilu danej osoby na portalu społecznościowym Facebook ograniczającej zakres automatycznie udostępnianych danych osobowych.

§ 94. Dane osobowe zbierane przy wykorzystaniu plików cookies przechowywane są do wygaśnięcia plików cookies lub do czasu ich usunięcia przez osobę korzystającą z Fanpage’a lub dokonania przez nią odpowiedniej zmiany ustawień przeglądarki internetowej lub profilu danej osoby na portalu społecznościowym Facebook.

 

Rozdział XI

Okres przechowywania danych dla celów marketingowych

§ 95. W przypadku osób, które wyraziły zgodę na otrzymywanie informacji marketingowych, Administrator przechowuje te dane osobowe do momentu cofnięcia wyrażonej zgody lub do czasu zrealizowania celów marketingowych Administratora, w zależności od tego, które z tych zdarzeń nastąpi wcześniej.

 

Rozdział XII

Okres przechowywania innych danych osobowych

§ 96. W każdym przypadku, gdy nie znajdują zastosowania postanowienia Rozdziałów I – XI niniejszego Działu, Administrator przechowuje dane osobowe przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane.

 

DZIAŁ VI: POSTANOWIENIA KOŃCOWE

§ 97. Wszelkie zasady opisane w niniejszym dokumencie są przestrzegane przez osoby upoważnione do przetwarzania danych osobowych ze szczególnym uwzględnieniem dobra osób, których dane te dotyczą.

§ 98. Dokument niniejszy obowiązuje od dnia jego zatwierdzenia przez Administratora.

 

kursy walut

czas na świecie
19:51 Szczecin
19:51 Warszawa
03:51 Tokio
21:51 Moskwa
13:51 Nowy Jork
22:51 Dubaj
19:51 Rzym
18:51 Londyn

al. Bohaterów Warszawy 15/16
70-370 Szczecin, I p., pok. 114


(+48) 887 403 330
(+48) 575 441 143
(+48) 665 356 086


pielgrzymkibm@gmail.com

Copryight by KUPERTYN 2019 | projekt: www.wpoldodziewiatej.pl
wpoldodziewiatej