GDPR

I. Wprowadzenie

Od dnia 25 maja 2018 roku na terenie Polski oraz wszystkich państw członkowskich Unii Europejskiej obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679, znane jako Ogólne Rozporządzenie o Ochronie Danych Osobowych (GDPR/RODO).

W celu wdrożenia przepisów GDPR Polska przyjęła ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych, która uzupełnia przepisy unijne i określa krajowe zasady nadzoru oraz egzekwowania ochrony danych.

Organem odpowiedzialnym za nadzorowanie przestrzegania przepisów dotyczących ochrony danych osobowych w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (UODO).

Polski system ochrony danych osobowych opiera się na zasadach GDPR oraz krajowych przepisach zapewniających wysoki poziom ochrony prywatności i bezpieczeństwa danych.

II. Zakres stosowania

Polskie przepisy dotyczące GDPR mają zastosowanie do:

administratorów danych oraz podmiotów przetwarzających dane mających siedzibę na terytorium Polski,

podmiotów spoza Polski oferujących towary lub usługi osobom znajdującym się w Polsce,

organizacji monitorujących zachowania osób przebywających na terenie Polski, w szczególności poprzez technologie internetowe.

Przepisy mają zastosowanie niezależnie od miejsca przetwarzania danych, jeżeli dotyczą osób znajdujących się na terytorium Polski.

Regulacje obejmują zarówno zautomatyzowane przetwarzanie danych, jak i przetwarzanie danych w tradycyjnych zbiorach uporządkowanych.

Przetwarzanie danych wyłącznie do celów osobistych lub domowych nie podlega przepisom GDPR.

III. Zasady przetwarzania danych

Legalność, rzetelność i przejrzystość

Dane osobowe muszą być przetwarzane zgodnie z prawem, w sposób uczciwy oraz przejrzysty wobec osoby, której dane dotyczą.

Ograniczenie celu

Dane mogą być zbierane wyłącznie w jasno określonych i zgodnych z prawem celach oraz nie mogą być wykorzystywane w sposób niezgodny z tymi celami.

Minimalizacja danych

Administrator powinien przetwarzać wyłącznie dane niezbędne do realizacji określonych działań lub usług.

Prawidłowość danych

Należy podejmować odpowiednie działania w celu zapewnienia aktualności oraz poprawności danych osobowych.

Ograniczenie przechowywania

Dane osobowe powinny być przechowywane jedynie przez okres konieczny do realizacji celu przetwarzania lub wynikający z obowiązujących przepisów prawa.

Integralność i poufność

Administratorzy i podmioty przetwarzające są zobowiązani do stosowania odpowiednich środków technicznych i organizacyjnych chroniących dane przed utratą, ujawnieniem, nieuprawnionym dostępem lub zniszczeniem.

IV. Prawa osób, których dane dotyczą

Na podstawie GDPR osoby fizyczne posiadają szereg praw związanych z ochroną danych osobowych.

Prawo dostępu do danych

Osoba ma prawo uzyskać informację o tym, czy jej dane są przetwarzane, oraz otrzymać kopię danych.

Prawo do sprostowania danych

Możliwe jest żądanie poprawienia danych nieprawidłowych lub uzupełnienia danych niekompletnych.

Prawo do usunięcia danych

W określonych przypadkach osoba może żądać usunięcia swoich danych osobowych, zgodnie z przepisami prawa.

Prawo do ograniczenia przetwarzania

Osoba może żądać czasowego ograniczenia przetwarzania danych w określonych sytuacjach.

Prawo do przenoszenia danych

Dane mogą zostać przekazane osobie lub innemu administratorowi w ustrukturyzowanym i powszechnie używanym formacie.

Prawo sprzeciwu

Osoba ma prawo sprzeciwić się przetwarzaniu danych opartemu na uzasadnionym interesie administratora lub wykorzystywaniu danych do celów marketingowych.

Prawo dotyczące zautomatyzowanego podejmowania decyzji

Osoba ma prawo nie podlegać decyzjom opartym wyłącznie na automatycznym przetwarzaniu danych, w tym profilowaniu, jeżeli wywołują one skutki prawne lub podobnie istotnie wpływają na tę osobę.

W przypadku danych dzieci poniżej 16 roku życia wymagane może być uzyskanie zgody rodzica lub opiekuna prawnego zgodnie z obowiązującymi przepisami prawa.

V. Obowiązki administratorów i podmiotów przetwarzających

Podmioty przetwarzające dane muszą działać wyłącznie na podstawie udokumentowanych instrukcji administratora danych.

Administratorzy oraz procesorzy danych są zobowiązani do wdrożenia odpowiednich środków bezpieczeństwa zapewniających ochronę danych osobowych.

W przypadku naruszenia ochrony danych administrator ma obowiązek zgłoszenia incydentu do Prezesa UODO bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od wykrycia naruszenia, jeśli istnieje ryzyko naruszenia praw lub wolności osób fizycznych.

Administratorzy mogą być również zobowiązani do:

prowadzenia rejestru czynności przetwarzania,

przeprowadzania oceny skutków dla ochrony danych (DPIA),

wyznaczenia Inspektora Ochrony Danych (IOD) w przypadkach przewidzianych prawem.

VI. Międzynarodowy transfer danych

Przekazywanie danych osobowych poza Europejski Obszar Gospodarczy jest dozwolone wyłącznie wtedy, gdy zapewniony zostanie odpowiedni poziom ochrony danych.

Może to nastąpić między innymi poprzez:

decyzję Komisji Europejskiej stwierdzającą odpowiedni poziom ochrony,

stosowanie Standardowych Klauzul Umownych (SCC),

wykorzystanie innych mechanizmów przewidzianych przez GDPR.

Administrator danych ma obowiązek zapewnienia zgodności transferu danych z obowiązującymi przepisami prawa europejskiego.

VII. Nadzór i egzekwowanie przepisów

Prezes Urzędu Ochrony Danych Osobowych (UODO) posiada uprawnienia do:

prowadzenia kontroli,

wydawania zaleceń i decyzji administracyjnych,

nakazywania ograniczenia lub zaprzestania przetwarzania danych,

nakładania administracyjnych kar pieniężnych.

W przypadku poważnych naruszeń GDPR kary mogą wynosić do 20 milionów euro lub do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa — w zależności od tego, która kwota jest wyższa.

Polskie przepisy dotyczące ochrony danych mają na celu zapewnienie wysokiego poziomu bezpieczeństwa danych osobowych, zwiększenie odpowiedzialności organizacji oraz budowanie zaufania użytkowników do usług cyfrowych.

VIII. Kontakt

W przypadku pytań dotyczących ochrony danych osobowych lub realizacji praw wynikających z GDPR można skontaktować się z administratorem danych lub działem odpowiedzialnym za ochronę danych osobowych.

Telefon:+1(516)303-4861

E-mail:hello@cleavillaa.com

Adres:2421 RHAPSODY LN,STLOUIS,MO 63031,United States

Godziny otwarcia: od poniedziałku do piątku, 9:00–12:00 oraz 14:00–18:00 (CET)