Polityka prywatności

POLITYKA PRYWATNOŚCI

MMA Online

I Administrator

1. Administratorem danych osobowych jest Bartosz Kowal z siedzibą w Krakowie, nr NIP: 6783207305.

Z Administratorem danych osobowych można skontaktować się w następujący sposób:

a. pisemnie na adres: Os. Przy Arce 5/62, 31-845 Krakow;

b. drogą telefoniczną pod numerem telefonu: +48 668 802 404

c. drogą e-mailową wysyłając wiadomość na adres e-mail: mmaacademycracow@gmail.com 

Administrator danych osobowych nie ma obowiązku ustanowienia Inspektora Ochrony Danych i taki Inspektor nie został ustanowiony.

II Cele i podstawa przetwarzania danych

Pozyskiwane dane osobowe są przetwarzane w następujących celach:

1. sprzedaż Usług będących przedmiotem oferty

2. doręczanie mailingów informacyjnych i reklamowych

3. organizowanie wyjazdów, warsztatów, eventów sportowych

4. organizowanie zajęć sportowych

5. działalność związana ze sportem i zdrowym trybem życia

6. zapisy na zajęcia sportowe i wydarzenia sportowe

Podstawą przetwarzania danych osobowych jest  art. 6 oraz 9  rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO).

Podanie przez Klienta danych osobowych jest dobrowolne ale niezbędne w celu zawarcia i realizacji umowy tj. sprzedaży usług i uczestniczenia w zajęciach sportowych i tanecznych.

III Kategoria osób, których dane są przetwarzane

Firma przetwarza dane klientów oraz pracowników, osób samozatrudnionych oraz innych

podmiotów współpracujących, w tym również podmiotów zewnętrznych.

IV Kategorie podmiotów, które posiadają dostęp do danych

Do danych osobowych mają dostęp wszyscy członkowie zespołu Firmy. Dostępy do poszczególnych kategorii osób rozdzielone są poprzez ograniczenie uprawnień technicznych wejścia do wspólnego dysku, folderu lub zamykanej szafki zawierającej dokumenty.

Zewnętrznie do danych osobowych dostęp mają następujące podmioty – Google: https://www.google.pl/ , Facebook: https://www.facebook.com/ , Gmail: https://accounts.google.com , księgowość zewnętrzna: taxm.pl, GymManager: www.gymmanager.io , Instagram: https://www.instagram.com/  , TikTok: https://tiktok.com/

Polityka prywatności każdego z tych podmiotów mieści się na ich stronach podanych powyżej.

Powyższe podmioty jako znajdujące się w obszarze EOG lub na liście Privacy Shield przestrzegają przepisów z zakresu danych osobowych analogicznych do RODO. Z podmiotami zawarte zostały umowy powierzania, przeważnie w formie aktualizacji ich regulaminów.

V Kategorie danych

1. Administrator przetwarza następujące dane Klienta:

a. nazwisko i imiona

b. adres e-mail

c. telefon

d. nazwa użytkownika na platformie Facebook

e. aktywność względem poszczególnych projektów / zajęć / usług

f. aktywność względem korzystania z poszczególnych usług

g. adres IP

W przypadku gdy uczestnikiem zajęć tanecznych są dzieci, przetwarzane są

dane zarówno ich jak i ich rodziców.

2. Administrator przetwarza adres e-mail, telefon oraz imię odbiorcy newslettera.

3. Dla pracowników zespół przetwarzanych danych wynika z przepisów kadrowych.

VI Przechowywanie danych

1. Dane pracowników oraz osób samozatrudnionych są przechowywane przez cały okres działalności firmy za wyjątkiem powierzeń:

a. zewnętrzna firma księgowa, przez okres minimum do czasu przedawnienia terminu ewentualnego roszczenia, nie krócej aniżeli wynika to z przepisów ustawy o rachunkowości tj. minimum 5 lat.

2. Dane pracowników tj. listy płac, karty wynagrodzeń albo inne dowody, na podstawie których następuje ustalenie podstawy wymiaru emerytury lub renty, firma zobowiązana jest przechowywać przez okres minimum 10 lat od dnia zakończenia przez ubezpieczonego pracy u danego płatnika.

3.Okres przechowywania danych, nie będzie krótszy aniżeli wynika z obowiązujących przepisów prawa (z ustaw szczególnych) tj. m.in.: ustawy o rachunkowości, ordynacji podatkowej, ustawy o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych, czy ustawy o systemie ubezpieczeń społecznych.

4.Dane odbiorców newslettera przechowywane będą do wniosku o ich usunięcie.

5.Dane Klientów przechowywane będą do upływu okresu przedawnienia roszczeń z ich tytułu.

Firma zobowiązuje się do niszczenia powstałych tymczasowo dokumentów zawierających dane osobowe (np. lista uczestników konkretnego eventu lub zajęć) oraz dbałości o obieg danych i ich minimalizację zgodnie z poniższymi procedurami.

VII Techniczne i organizacyjne środki bezpieczeństwa

1.Przez bezpieczeństwo informacji rozumie się zapewnienie:

a. uniemożliwienia dostępu do danych osobom trzecim,

b. uniknięcia nieautoryzowanych zmian w danych,

c. zapewnienia dostępu do danych, w każdym momencie żądanym przez użytkownika.

2. Jako dane podlegające szczególnej ochronie (informacje poufne) rozumie się:

a. informacje o realizowanych kontraktach (zarówno planowane, bieżące jak i historyczne),

b. informacje finansowe Firmy,

c. dane osobowe.

VIII Zasada minimalnych uprawnień

W ramach nadawania uprawnień przetwarzanych danych należy stosować zasadę „minimalnych uprawnień”, to znaczy przydzielać minimalne uprawnienia, które są konieczne

do wykonywania pracy na danym stanowisku.

Przykładowo: pracując na komputerze PC każdy pracownik powinien posiadać tylko takie uprawnienia jakie są wymagane do realizacji swoich obowiązków (a nie na przykład uprawnienia administracyjne).

IX Zasada zabezpieczeń

System IT Firmy powinien być chroniony celem uzyskania skutecznej ochrony danych. Przykładowo: w celu ochrony przed wirusami stosuje się równolegle wiele technik: oprogramowanie antywirusowe, systemy typu firewall, odpowiednią konfigurację systemu aktualizacji Windows.

X Dostęp do danych poufnych na stacjach PC

Dostęp do danych poufnych w LAN realizowany jest na przeznaczonych do tego serwerach.

XI Publiczne udostępnianie infrastruktury IT

Infrastruktura udostępniona publicznie musi być szczególnie zabezpieczona.

Przykładowe środki bezpieczeństwa:

a. separacja od sieci LAN.

b. wykonanie hardeningu systemu (zwiększenia bezpieczeństwa oferowanego

domyślnie przez system).

XII Kopie zapasowe

1.Każde istotne dane (w tym dane poufne) powinny być archiwizowane na wypadek awarii w

firmowej infrastrukturze IT.

2.Nośniki z kopiami zapasowymi powinny być przechowywane w miejscu uniemożliwiającym

dostęp osobom nieupoważnionym.

3.Okresowo kopie zapasowe muszą być testowane pod względem rzeczywistej możliwości

odtworzenia danych.

XIII Dostęp do systemów IT po zakończeniu współpracy

W przypadku rozwiązania współpracy pracownika z Firmą niezwłocznie dezaktywowane są wszelakie jego dostępy w systemach IT oraz w terminie 1 roku od dnia rozwiązania współpracy dezaktywowane są indywidualnie przyporządkowane do pracownika adresy

e-mail.

XIV Zabezpieczenie stacji roboczych

Stacje robocze powinny być zabezpieczone przed nieautoryzowanych dostępem osób trzecich. Minimalne środki ochrony to:

a. zainstalowane na stacjach systemy typu: firewall oraz antywirus,

b. wdrożony system aktualizacji systemu operacyjnego oraz jego składników,

c. wymaganie podania hasła przed uzyskaniem dostępu do stacji,

d. bieżąca praca z wykorzystaniem konta nieposiadającego uprawnień administracyjnych.

XV Wykorzystanie haseł

1. Hasła powinny być okresowo zmieniane.

2. Hasła nie mogą być przechowywane w formie otwartej (nie zaszyfrowanej).

3. Nie wolno przekazywać haseł osobom trzecim.

4. Hasła nie powinny być łatwe do odgadnięcia, to znaczy:

a. powinny składać się z minimum 8 znaków, w tym jeden znak specjalny, cyfra i wielka

litera,

b. nie może być słowem żadnego języka.

XVI Odpowiedzialność pracowników za dane poufne

Pracownicy Firmy zobowiązani są do strzeżenia danych poufnych, w tym osobowych.

XVII Odpowiedzialność pracowników za dane dostępowe do systemów

1.Każdy pracownik zobowiązany jest do ochrony swoich danych dostępowych do systemów informatycznych. Dane dostępowe obejmują między innymi takie elementy jak:

a. hasła dostępowe,

b. klucze softwareowe (pliki umożliwiające dostęp – np. certyfikaty do VPN) oraz sprzętowe,

c. inne mechanizmy umożliwiające dostęp do systemów IT.

XVII Przykłady ochrony danych dostępowych

1. Nieprzekazywanie dostępów do systemów IT innym osobom (np. nieprzekazywanie

swojego hasła dostępowego osobom trzecim),

2. Nieprzechowywanie danych w miejscach publicznych (np. niezapisywanie haseł

dostępowych w łatwo dostępnych miejscach),

3. Ochrona danych dostępowych przed kradzieżą przez osoby trzecie.

XVIII Systemy IT/serwery

Systemy IT przechowujące dane poufne (np. dane osobowe) muszą być odpowiednio zabezpieczone. W szczególności należy dbać o poufność, integralność i rozliczalność danych przetwarzanych w systemach.

XIX Dokumentacja papierowa

1.Dokumentacja papierowa zawierająca dane osobowe zamykana jest na klucz. Dostęp do kluczy mają tylko osoby uprawnione, które podpisały oświadczenia o zabezpieczaniu danych osobowych.

2.Osoba odpowiedzialna za księgowość przechowuje wszelką dokumentację papierową zawierającą dane osobowe klientów oraz pracowników Firmy w szafie zamykanej na klucz.

Dostęp do kluczy mają tylko osoby uprawnione, które podpisały oświadczenia o zabezpieczaniu danych osobowych.

3.W przypadku wizyty klienta w siedzibie Firmy nie ma on dostępu do szafek, biurek i drukarek. Preferowane jest „odprowadzanie” do niezawierającej dokumentów sali.

XX Ograniczony dostęp do biura

Dostęp do budynku Firmy jest ograniczony poprzez drzwi wejściowe (do holu), domofon,

drzwi wejściowe (do siedziby Firmy), recepcję.

XXI Naruszenie danych osobowych

Pracownik zobowiązany jest do niezwłocznego, lecz nie później niż w ciągu 24 godzin, poinformowania o naruszeniu. O ile wystąpi taka konieczność zgłoszenie naruszenia danych osobowych następuje w ciągu 48 godzin od daty powzięcia informacji o powyżej wymienionym zdarzeniu, zgodnie z poniżej przedstawionym schematem.

XXII Formularze

Raport z naruszenia ochrony danych osobowych w Firmie powinien zawierać następujące informacje:

1.data, godzina

2.dane osoby powiadamiającej o zaistniałym zdarzeniu (imię, nazwisko, stanowisko

służbowe, nazwa użytkownika (jeżeli występuje)

3.lokalizacja zdarzenia: (np. numer pokoju, nazwa pomieszczenia, nazwa bazy danych)

4.rodzaj naruszenia bezpieczeństwa

5.podjęte działania

6.przyczyny wystąpienia zdarzenia

7.postępowanie wyjaśniające

8.podjęte środki techniczne, organizacyjne i dyscyplinarne w celu zapobiegania w przyszłości podobnych naruszeń ochrony danych osobowych.

XXIII. Prawo do usunięcia/zmiany danych

Jeśli Klient chce usunąć swoje dane przetwarzane przez Firmę powinien stawić się w siedzibie firmy osobiście w celu weryfikacji danych – niemożliwa jest weryfikacja np. poprzez PESEL, ponieważ Firma go nie pobiera.

Firma usuwa dane z:

1. fizycznej umowy wkładamy do niszczarki i niszczymy

2. korespondencji mailowej usuwamy tylko taką, w której zawierają się dane osobowe,

resztę zachowujemy jako dowód zawarcia transakcji

3. systemów IT usuwamy tylko takie, w których zawierają się dane osobowe, resztę

zachowujemy jako dowód zawarcia transakcji.

4. program fakturowy – dane pozostawiamy z powodu przepisów w ustawy o rachunkowości.

XXIV Wgląd do danych osobistych

Jeśli jakikolwiek podmiot, którego dane są przetwarzane przez Firmę chce otrzymać wgląd do swoich danych i je poprawić/zaktualizować, powinien stawić się w siedzibie firmy osobiście w celu weryfikacji danych – niemożliwa jest weryfikacja np. poprzez PESEL, ponieważ Firma go nie pobiera. Następnie po jego weryfikacji, dane klienta zostaną niezwłocznie zmienione/podane.

XXV Procedura przeniesienia danych klienta

W sytuacji gdy Klient zgłosi się z prośbą o przeniesienie jego danych do innej firmy, z którą aktualnie nawiązał współpracę, musi się on zgłosić osobiście z podaniem adresu e-mail na który mają te dane zostać przez Firmę wysłane, a następnie po jego weryfikacji, dane klienta zostaną niezwłocznie przesłane na podany adres e-mail.

XXVI Automatyczne przetwarzanie danych

Dane Klienta mogą być przetwarzane w sposób zautomatyzowany.

XXVII Prawo do wniesienia skargi

Jeżeli podmiot, które dane osobowe są przetwarzane, uzna że Firma przetwarza jego dane niezgodnie z prawem, może złożyć w tej sprawie skargę do Prezesa Urzędu Ochrony Danych Osobowych wysyłając skargę na adres: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa lub pocztą elektroniczną na adres: kancelaria@uodo.gov.pl

Organizator

Firma „Bartosz Kowal” NIP: 6783174770, z siedzibą os. Przy Arce5/62, Kraków 31-845, zwana dalej “Firmą”.

Fusce eget libero hendrerit, tincidunt leo sit amet, vehicula nisl. Vestibulum odio metus, dignissim in dui quis, lobortis placerat sem. Nam odio augue, mattis sed sapien ut, imperdiet tincidunt felis. Vestibulum pharetra, mauris id semper iaculis, risus lacus mattis nulla, eget iaculis tortor mauris ac dui. Integer elit lectus, dapibus sed viverra eu, ullamcorper eget lacus. Etiam libero erat, feugiat in nisi in, porta iaculis tellus. Aenean id risus ligula. Ut dignissim aliquet libero sed ullamcorper. Pellentesque sit amet efficitur purus.