RODO

Polityka prywatności – Forum Concept sp. z o.o.

w zakresie przetwarzania danych osobowych.

 

 

Celem Polityki prywatności (zwanej dalej Polityką) jest ochrona danych osobowych, wprowadzenie i utrzymanie wymaganej przez przepisy rozporządzenia Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2019 r., poz. 1781 t.j.) właściwej ochrony danych osobowych, w związku z przetwarzaniem danych osobowych przez Forum Concept sp. z o.o. (zwanej dalej Spółką), w zakresie przez Spółkę, za pośrednictwem strony internetowej www.forumff.pl.   

 

Określenia użyte w Polityce oznaczają:

 

  1. administrator danych osobowych (ADO) – Forum Concept sp. z o.o., z siedzibą ul. Marii Konopnickiej 28, 30-302 Kraków, NIP: 6762685376, REGON: 540678356, KRS: 0001150096,
  2. dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,
  3. przetwarzanie danych osobowych – gromadzenie, utrwalanie, przechowywanie, opracowywanie, modyfikowanie, udostępnianie i usuwanie danych osobowych,
  4. użytkownik – osoba korzystająca z usług Spółki, za pośrednictwem strony forumff.pl.
  5. system informatyczny – system (urządzenia, narzędzia, programy), w którym przetwarzane są dane osobowe,
  6. zabezpieczenie systemu informatycznego – należy przez to rozumieć wdrożenie stosowanych środków administracyjnych, technicznych oraz ochrony przed modyfikacją, zniszczeniem, nieuprawnionym wykorzystaniem,
  7. RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE,
  8. ustawa o ochronie danych osobowych – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych ( U. 2019 r., poz. 1781 t.j.).

 

Kontakt w sprawach ochrony danych osobowych e-mail: biuro@forumff.pl, tel.: +48 571 204 917.

 

  1. Zasady przetwarzania danych osobowych
  • Za pośrednictwem strony internetowej www.forumff.pl. przetwarzane będą następujące dane;

– imię i nazwisko,

– adres e-mail,

– numer telefonu,

– dane dotyczące rezerwacji (data, godzina, liczba osób),

– adres IP, typ przeglądarki, system operacyjny,

– dane płatnicze (obsługiwane wyłącznie przez operatora płatności),

 

  • Administrator danych przetwarza dane osobowe Użytkowników w oparciu o poniższe zasady:
  • zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”),
  • zbiera je w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie przetwarza ich dalej w sposób niezgodny z tymi celami („ograniczenie celu”),
  • adekwatnie, stosownie oraz w sposób ograniczony do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”),
  • prawidłowo i w razie potrzeby uaktualnia zebrane dane („prawidłowość”),
  • przechowuje je w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”),
  • w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

 

  • W celu realizacji zasad administrator danych przetwarza dane legalnie, na podstawie przesłanek opisanych w art. 6 RODO. Pobiera dane osobowe adekwatnie do celów przetwarzania i przetwarza je przez określony czas. Wobec osób, których dane przetwarza wypełnia obowiązki informacyjne określone w art. 13 RODO oraz w art. 14 RODO (gdy informacje pobierane są w sposób inny niż od osoby, której dane dotyczą) oraz wskazuje przysługujące im uprawnienia takie jak prawo do:
  • dostępu do danych,
  • sprostowania danych,
  • usunięcia danych (prawo do bycia zapomnianym),
  • przenoszenia,
  • sprzeciwu wobec przetwarzania,
  • ograniczenia przetwarzania,
  • wniesienia skargi do organu nadzorczego,
  • sprzeciwu wobec bycia

 

  1. 3. Administrator danych zapewnia ochronę danych w przypadku korzystania z usług podmiotów zewnętrznych w postaci zawierania stosownych umów powierzenia oraz korzystając z usług podmiotów przetwarzających realizujących obowiązki wynikające z RODO. W razie wystąpienia incydentu technicznego lub fizycznego administrator danych zapewnia zdolność do szybkiego przywrócenia dostępności do danych osobowych i dostępu do nich.

 

  1. 4. Potwierdzeniem spełniania obowiązków informacyjnych przez administratora danych stanowią klauzule informacyjne przekazywane osobom, których dane są przetwarzane.

 

  • Dane będą przetwarzane w następujących celach:

– realizacji rezerwacji usług (kręgle, bilard, eventy),

– obsługa płatności on line,

– reklamacji,

– realizacji obowiązków podatkowych i księgowych,

– marketingu usług,

– zapewnienia bezpieczeństwa transakcji i zapobiegania nadużyciom.

 

 

  1. Upoważnienia do przetwarzania danych

 

Administrator danych zapewnia, aby dostęp do danych osobowych w Spółce mają tylko osoby legitymujące się nadanym przez ADO upoważnieniem. Upoważnienia określają do jakich operacji użytkownicy są uprawnieni, tj. tworzenia, usuwania, wglądu, przekazywania danych, w jakich systemach oraz na jaki czas. Administrator danych prowadzi ewidencję osób upoważnionych. Upoważnienia do przetwarzania danych osobowych mogą być nadawane na wniosek bezpośredniego przełożonego użytkownika systemu.

 

  1. Analiza ryzyka

 

Administrator danych prowadzi analizę ryzyka w celu zabezpieczenia danych osobowych adekwatnie do zidentyfikowanych zagrożeń. Analiza prowadzona jest w przypadku zaistnienia zagrożenia oraz cyklicznie 1 raz w roku kalendarzowym. Analiza danych prowadzona jest osobno dla każdego zbioru danych lub dla kilku zbiorów o podobnym zakresie danych. W przypadku konieczności przeprowadza się ocenę skutków dla oceny ryzyka na mocy art. 35 RODO.

 

  1. Wykaz zabezpieczeń

 

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

 

  1. Rejestr czynności przetwarzania

 

Administrator danych prowadzi rejestr czynności przetwarzania. W rejestrze tym zamieszcza się:

  1. imię i nazwisko oraz dane kontaktowe administratora,
  2. cele przetwarzania,
  3. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
  4. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,
  5. gdy ma to zastosowanie, informacje na temat przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej, a     w     przypadku     przekazań, o których mowa  w art. 49 ust. 1 akapit drugi RODO, dokumentację odpowiednich zabezpieczeń,
  6. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,
  7. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1

 

  1. Mechanizm cookies, adres IP

 

  1. Serwis używa niewielkich plików, zwanych Cookies, zapisywane są one na urządzeniu końcowym osoby odwiedzającej Serwis, jeżeli przeglądarka internetowa na to pozwala. Informacje zbierane za pomocą plików cookies pomagają dostosować oferowane przez Serwis produkty do indywidualnych preferencji i rzeczywistych potrzeb odwiedzających Serwis.
  2. Serwis stosuje dwa rodzaje plików Cookies – „sesyjne” oraz „trwałe”. Cookies „sesyjne” to tymczasowe pliki przechowywane na urządzeniu końcowym do czasu opuszczenia serwisu. „Trwałe” pliki cookies są przechowywane na urządzeniu końcowym przez czas określony w ich parametrach, lub do czasu usunięcia ich przez użytkownika.
  3. Pliki Cookies w Serwisie wykorzystywane są w następujących celach:

– mierzenia ruchu w Serwisie i prowadzenie statystyk (Google Analytics) https://www.google.com/intl/pl/policies/privacy/partner

– mierzenia efektywności reklam (Google Ads)

– realizacji płatności za pośrednictwem serwisu Stripe https://stripe.com/en-gb/privacy.

  1. Mechanizm cookies jest bezpieczny dla komputerów Użytkowników Serwisu, w szczególności tą drogą nie jest możliwe przedostanie się do komputerów Użytkowników wirusów, niechcianego oprogramowania lub oprogramowania złośliwego. Niemniej w swoich przeglądarkach Użytkownicy mają możliwość ograniczenia lub wyłączenia dostępu plików cookies do ich urządzeń końcowych. W przypadku ograniczenia lub wyłączenia dostępności plików cookies korzystanie z Serwisu będzie możliwe, z wyjątkiem funkcji, które wymagają plików cookies.
  2. Serwis może w każdym momencie dokonać zmiany ustawień plików cookies, w szczególności zablokować ich obsługę w swojej przeglądarce internetowej.
  3. Szczegółowe informacje o plikach cookies znajdują się w ustawieniach przeglądarki z której korzysta Użytkownik.

 

  1. Inspektor ochrony danych

 

Administrator Danych Osobowych jest zobowiązany wyznaczyć inspektora ochrony danych, do którego zadań należą w szczególności:

  • informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy przepisów RODO oraz ustawy o ochronie danych osobowych,
  • monitorowanie przestrzegania przepisów RODO oraz ustawy o ochronie danych osobowych oraz Polityki ochrony danych obowiązującej w jednostce, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,
  • udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO,
  • współpraca z organem nadzorczym, tj. Prezesem Urzędu Ochrony Danych Osobowych,
  • pełnienie funkcji punktu  kontaktowego  dla  organu  nadzorczego  w  kwestiach  związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych

 

W przypadku wyznaczenia inspektora ochrony danych należy zgłosić jego powołanie Prezesowi Urzędu Ochrony Danych Osobowych w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko, adres poczty elektronicznej lub numer telefonu inspektora.

 

  1. Procedura postępowania z incydentami

 

Administrator danych wprowadza do stosowania procedurę postępowania z incydentami naruszenia ochrony  danych  osobowych. Celem  tej  procedury  jest  wypełnienie   obowiązku  wynikającego z art. 33 RODO (zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu). Procedura określa sposób definiowania incydentów zagrażających bezpieczeństwu danych osobowych oraz sposób reagowania na nie, a także procedurę wprowadzenia działań naprawczych. Każda osoba upoważniona do przetwarzania danych osobowych ma obowiązek poinformowania o możliwości wystąpienia incydentu lub o jego wystąpieniu. Taka informacja powinna być przekazana ADO.

Powiadomienia wymagają:

  • niewłaściwe zabezpieczenie sprzętu elektronicznego, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych, udostępnienie haseł osobom postronnym,
  • niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów,
  • nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka/ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek, przyklejanie kartek z hasłami w szufladach),
  • ślady na drzwiach, oknach i szafach wskazujące na próbę włamania,
  • dokumentacja zawierająca dane osobowe niszczona bez użycia niszczarki,
  • otwarte drzwi do pomieszczeń, szaf, gdzie przechowywane są dane osobowe,
  • obecność osób postronnych w jednostce,
  • złe ustawienie monitorów pozwalające na wgląd osób postronnych w dane osobowe,
  • wynoszenie danych osobowych w wersji papierowej i elektronicznej na zewnątrz jednostki bez upoważnienia administratora danych,
  • awarie serwera, komputerów, twardych dysków, oprogramowania,
  • udostępnienie danych osobowych osobom nieupoważnionym,
  • telefoniczne próby wyłudzenia danych osobowych,
  • kradzież, zagubienie komputerów lub CD, twardych dysków, pen-drive z danymi osobowymi,
  • maile nakłaniające do ujawnienia identyfikatora lub hasła,
  • zainfekowanie komputerów wirusem lub inne błędne zachowanie komputerów,
  • zdarzenia losowe (pożar obiektu, zalanie wodą, utrata zasilania, utrata łączności),
  • włamanie do systemu informatycznego lub pomieszczeń,
  • kradzież danych/sprzętu,
  • świadome zniszczenie dokumentów.

 

Należy również powiadomić administratora systemów informatycznych. Ponadto należy udokumentować wystąpienie incydentu, jego skutki oraz podjęte działania naprawcze i zaradcze.      W przypadku gdy incydent skutkuje naruszeniem praw lub wolności osób fizycznych, administrator danych zgłasza je w ciągu 72 godzin Prezesowi Urzędu Ochrony Danych Osobowych oraz gdy istnieje taki wymóg, powiadamia o tym fakcie osoby, których incydent dotyczył.

 

  1. Dodatkowe zadania ADO

 

ADO realizuje również zadania w zakresie zarządzania i bieżącego nadzoru nad systemem informatycznym. W związku z tym:

  • zarządza systemem informatycznym, w którym przetwarzane są dane osobowe, posługując się hasłem dostępu do wszystkich stacji roboczych i serwera z pozycji administratora,
  • przeciwdziała dostępowi osób niepowołanych do systemu informatycznego, w którym przetwarzane są dane osobowe,
  • przydziela każdemu użytkownikowi identyfikator oraz hasło do systemu informatycznego oraz dokonuje ewentualnych modyfikacji uprawnień, a także usuwa konta użytkowników zgodnie z zasadami określonymi w instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,
  • przeprowadza szkolenie stanowiskowe użytkownika w zakresie korzystania ze sprzętu komputerowego i zasobów sieci, zapoznaje z obowiązującymi w tym zakresie dokumentami,
  • nadzoruje działanie mechanizmów uwierzytelniania użytkowników oraz kontroli dostępu do danych osobowych,
  • w sytuacji stwierdzenia naruszenia zabezpieczeń systemu informatycznego informuje administratora danych/inspektora ochrony danych o naruszeniu i współdziała z nim przy usuwaniu skutków naruszenia,
  • prowadzi szczegółową dokumentację naruszeń bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym,
  • sprawuje nadzór nad wykonywaniem napraw, konserwacją oraz likwidacją urządzeń komputerowych, na których zapisane są dane osobowe, nad wykonywaniem kopii zapasowych, ich przechowywaniem oraz okresowym sprawdzaniem pod kątem ich dalszej przydatności do odtwarzania danych w przypadku awarii systemu informatycznego,
  • podejmuje działania służące zapewnieniu niezawodności zasilania komputerów, innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych oraz zapewnieniu bezpiecznej wymiany danych w sieci wewnętrznej i bezpiecznej

 

  1. Umowy powierzenia przetwarzania danych osobowych

 

8.1.

W przypadku zlecania przetwarzania danych osobowych podmiotom zewnętrznym administrator danych zobowiązany jest zawrzeć umowę powierzenia. W jednostce prowadzony jest rejestr umów powierzenia przetwarzania danych osobowych.

8.2.

Umowa określa kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ponadto zobowiązuje podmiot przetwarzający do:

  1. przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
  2. zapewniania, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,
  3. podejmowania wszelkich środków technicznych i organizacyjnych wymaganych na mocy art. 32 RODO,
  4. przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego,
  5. pomagania administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO,
  6. pomagania administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO, dotyczących bezpieczeństwa danych osobowych
  7. usuwania lub zwracania administratorowi danych osobowych oraz usuwania wszelkich istniejących kopii, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych,
  8. udostępniania administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w przepisach RODO oraz umożliwiania administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzania audytów, w tym inspekcji, i przyczynia się do

 

  1. Czynności kontrolne

 

Nadzór i kontrolę nad ochroną danych osobowych sprawuje Inspektor Ochrony Danych Osobowych

Czynności kontrolne przeprowadzane są raz na kwartał.

 

Z czynności kontrolnych sporządza się protokół, w którym dokonuje się dokładnego opisu zakresu kontroli i przeprowadzonych czynność, a także zalecenia i działania naprawcze. Protokół podpisywany jest przez osoby wykonujące czynności kontrolne.

 

  1. Odpowiedzialność osób upoważnionych do przetwarzania danych

 

Niezastosowanie się do prowadzonej przez administratora danych Polityki ochrony danych osobowych, której założenia określa niniejszy dokument, i naruszenie procedur ochrony danych przez pracowników upoważnionych do przetwarzania danych osobowych może być potraktowane jako ciężkie naruszenie obowiązków pracowniczych.