Polityka bezpieczeństwa przetwarzania danych osobowych

(dalej w treści określanej jako „Polityka”)
w Powiatowym Ośrodku Sportu i Zarządzania Lokalami z siedzibą w Miętnem przy ul. Głównej 45, 08-400 Garwolin dalej w treści określanym jako „Ośrodek”.

Rozdział 1
Postanowienia ogólne
§ 1

Polityka bezpieczeństwa została opracowana w oparciu o wymagania zawarte w:
• Rozporządzeniu Parlamentu Europejskiego i Rady /UE/ 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE /Dz. Urz. UE.L nr 119, str.1/,
• Ustawie z dnia 25.05.2018 r. o ochronie danych osobowych /Dz. U. z 2018 r., poz. 1000/

§ 2
 Ochrona danych osobowych realizowana jest poprzez zabezpieczenia fizyczne, organizacyjne, oprogramowanie systemowe, aplikacje oraz użytkowników proporcjonalne i adekwatne do ryzyka naruszenia bezpieczeństwa danych osobowych przetwarzanych w ramach prowadzonej działalności.

§ 3
Celem niniejszej Polityki, dla których Ośrodek przetwarza dane osobowe jest zawarcie i realizacja umowy o świadczenie usług noclegowo-żywieniowych oraz sportowych. Ponadto, celem przetwarzania danych osobowych przez Ośrodek jest:

1. Utrzymanie bezpieczeństwa przetwarzanych danych osobowych w Organizacji rozumiane jest jako zapewnienie ich poufności, integralności, rozliczalności oraz dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest akceptowalna wielkość ryzyka związanego z ochroną danych osobowych.
2. dochodzenie ewentualnych roszczeń przez Ośrodek w związku z poniesioną przez Ośrodek szkodą wyrządzoną przez Gościa, lub obrona przed roszczeniami Gościa w stosunku do Ośrodka,
3. udokumentowanie wykonania usługi dla celów podatkowych,
4. zapewnienie najwyższej jakości usług dla Gości Ośrodka.
5. Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić:
a. poufność danych – rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom;
b. integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
c. rozliczalność danych – rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie;
d. integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej;
e. dostępność informacji – rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne;
f. zarządzanie ryzykiem – rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych.

W przypadku, gdy Gość wyraził zgodę na przetwarzanie danych osobowych w celach marketingowych, Ośrodek przetwarza dane osobowe w tym celu, tj. w celu kierowania do Gościa informacji marketingowych i ofert o swoich produktach i usługach. Ponadto, Ośrodek przetwarza dane osobowe Gości gromadzone przez monitoring Ośrodka w celu zapewnienia bezpieczeństwa Gościom Ośrodka i innym osobom przebywającym na terenie Ośrodka.

§ 4
Kto jest administratorem danych osobowych gości Ośrodka?
 Administratorem danych osobowych gości Ośrodka jest Powiatowy Ośrodek Sportu i Zarządzania Lokalami z siedzibą w Miętnem przy ul. Głównej 45, 08-400 Garwolin dalej w treści określanym jako Ośrodek.

§ 5
Kto jest inspektorem ochrony informacji i jak można się z nim skontaktować?
 Przedsiębiorstwo nie miało obowiązku wyznaczanie takiej osoby, osobą kompetentną do kontaktu w sprawach polityki ochrony danych osobowych jest Andrzej Kujda dostępny pod nr telefonu 604-060-580, oraz poprzez kontakt e-mailowy pod adresem rodo@mietne.pl

Rozdział 2
Definicje
§ 6
 Przez użyte w Polityce bezpieczeństwa określenia należy rozumieć: 1. administrator danych osobowych – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych,
2. inspektor ochrony danych – osoba wyznaczona przez administratora danych osobowych, nadzorująca przestrzeganie zasad i wymogów ochrony danych osobowych określonych w RODO i przepisach krajowych,
3. ustawa – ustawa z dnia 25.05.2018 r. o ochronie danych osobowych ( Dz.U. z 2018 r., poz. 1000),
4. RODO – rozporządzenie Parlamentu Europejskiego i Rady /UE/ 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE /Dz. Urz. UE.L nr 119, str. 1/,
5. dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej,
6. zbiór danych osobowych – uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów,
7. przetwarzane danych – operacja lub zestaw operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, łączenie, przesyłanie, zmienianie, udostępnianie i usuwanie, niszczenie, itd.,
8. system informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych,
9. system tradycyjny – zespół procedur organizacyjnych, związanych z mechanicznym przetwarzaniem informacji oraz wyposażenie i środki trwałe wykorzystywane w celu przetwarzania danych osobowych na papierze,
10. zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,
11. administrator systemu informatycznego – osoba lub osoby, upoważnione przez administratora danych osobowych do administrowania i zarządzania systemami informatycznymi,
12. odbiorca – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe w oparciu m. in. o umowę powierzenia,
13. strona trzecia – osoba fizyczna lub prawna, organ publiczny, jednostka lub podmiot inny niż osoba, której dane dotyczą, które z upoważnienia administratora danych osobowych mogą przetwarzać dane osobowe,
14. identyfikator użytkownika (login) – ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym,
15. hasło – ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora użytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym.

Rozdział 3
Zakres stosowania
§ 7
Jaka jest podstawa prawna przetwarzania danych osobowych?
 Podstawą prawną przetwarzania danych osobowych Gościa pozyskanych przez Ośrodek jest umowa o świadczenie usług gastronomiczno-noclegowych oraz sportowych. Podstawą prawną przetwarzania danych osobowych Gościa wykorzystywanych w celach marketingowych jest zgoda Gościa. Ośrodek informuje, że zgoda może zostać w każdym momencie wycofana. Wycofanie zgody nie wpływa na ważność przetwarzania, które miało miejsce przed cofnięciem zgody.
Podstawą prawną przetwarzania danych osobowych Gościa przez monitoring jest ochrona jego żywotnych interesów oraz ochrona żywotnych interesów innych osób fizycznych, jak również usprawiedliwiony cel administratora.
Podstawą prawną przetwarzania danych osobowych Gościa dla zapewnienia najwyższej jakości usług dla Gości Ośrodka jest usprawiedliwiony cel administratora.

§ 8
 Jakie dane są przetwarzane w związku ze świadczeniem usług przez Ośrodek:
Dane kontaktowe oraz związane z zamówieniem usługi i zawarciem umowy,
1. imię;
2. nazwisko;
3. nazwa firmy;
4. numer telefonu;
5. adres e-mail;
6. numer PESEL;
7. seria i numer dowodu osobistego lub paszportu;
8. numer NIP;
9. adres korespondencyjny;
10. data urodzenia

§ 9
Komu mogą zostać przekazane dane osobowe?
 Ośrodek przekazuje dane osobowe następującym kategoriom podmiotów:
1. firmom świadczącym usługi wsparcia IT ośrodka oraz dostarczającym oprogramowanie informatyczne,
2. firmom księgowym świadczącym usługi obsługi księgowej,
3. firmom transportowym i taksówkarskim w sytuacji zamówienia przez Gościa transportu lub przesyłki kurierskiej,
4. firmom (kancelariom) prawniczym świadczącym usługi doradztwa prawnego i zastępstwa procesowego.

§ 10
Jak długo dane osobowe będą przetwarzane?
Dane osobowe:
1. pozyskane w związku z zawartą umową o świadczenie usług gastronomiczno-noclegowych oraz sportowych będą przetwarzane przez okres przedawnienia roszczeń podatkowych lub roszczeń cywilnoprawnych Ośrodka lub Gościa, w zależności które z tych zdarzeń nastąpi później,
2. pozyskane na podstawie zgody w celach marketingowych będą przetwarzane przez okres ważności zgody na cele marketingowe,
3. pozyskane w związku z monitoringiem będą przetwarzane przez maksymalnie 60 dni od dnia utrwalenia, a następnie zostaną trwale usunięte.

§ 11
Jakie są prawa Gościa w związku z przetwarzaniem danych osobowych?
 Każdy Gość ma prawo dostępu do danych osobowych ich sprostowania, usunięcia lub ograniczenia przetwarzania. Ponadto, każdy Gość ma prawo do wniesienia sprzeciwu wobec przetwarzania. Dostęp do danych możliwy jest w siedzibie Ośrodka. Ponadto, Ośrodek udostępnia adres rodo@mietne.pl za pomocą którego można kontaktować się w sprawie danych osobowych.

§ 12
Czy istnieje możliwość wniesienia skargi w związku z przetwarzaniem danych osobowych?
 Tak, każdy Gość ma prawo wniesienia skargi do organu nadzorczego, którym jest Generalny Inspektor Ochrony Danych Osobowych, ul. Stawki 2 00-193 Warszawa.

§ 13
Czy Ośrodek będzie przekazywał dane osobowe poza obszar EOG?
 Nie, Ośrodek nie zamierza przekazywać danych osobowych poza obszar EOG.

§ 14
Czy podanie danych osobowych jest wymogiem umownym lub ustawowym?
 Podanie danych osobowych w zakresie imienia i nazwiska oraz adres zamieszkania jest wymogiem zawarcia umowy o usługi gastronomiczno-noclegowych oraz sportowych. Brak podania danych osobowych uniemożliwi Ośrodkowi zawarcie takiej umowy.

§ 15
Czy podejmowane są zautomatyzowane decyzje na podstawie danych osobowych, w tym profilowanie?
 Tak. Ośrodek może podejmować zautomatyzowane decyzje na postawie danych osobowych, w tym dokonywać profilowania. Do profilowania wykorzystywane są historyczne dane osobowe, które Ośrodek pozyskał w związku z świadczeniem na rzecz Gościa usług gastronomiczno-noclegowych oraz sportowych.