POLITYKA Consonance Therapy Institute sp. z o.o.
w zakresie przetwarzania danych osobowych

1 DEFINICJE

  1. Administrator Consonance Therapy Institute sp. z o.o. (dalej Administrator) z siedzibą w Warszawie (00-842), ul. Łucka 15/204, NIP: 5272950623, REGON: 38823095000000, KRS: 0000883650.
  2. Dane osobowe – wszystkie informacje o osobie fizycznej zidentyfikowanej lub możliwej do zidentyfikowania poprzez jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej, w tym wizerunek, nagranie głosu, dane kontaktowe, dane o lokalizacji, informacje zawarte w korespondencji, informacje gromadzone za pośrednictwem sprzętu rejestrującego lub innej podobnej technologii.
  3. Polityka – niniejsza Polityka Consonance Therapy Institute sp. z o.o. w zakresie przetwarzania danych osobowych.
  4. Ustawa –Ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych.
  5. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 7 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
  6. Osoba, której dane dotyczą – każda osoba fizyczna, której dane osobowe przetwarzane są przez Administratora.

2 PRZETWARZANIE DANYCH PRZEZ ADMINISTRATORA

W związku z prowadzoną przez siebie działalnością gospodarczą Administrator zbiera i przetwarza dane osobowe zgodnie z właściwymi przepisami, w tym w szczególności z RODO i przewidzianymi w nich zasadami przetwarzania danych.

Administrator zapewnia przejrzystość przetwarzania danych, w szczególności zawsze informuje o przetwarzaniu danych w momencie ich zbierania, w tym o celu i podstawie prawnej przetwarzania. Administrator dba o to, by dane były zbierane tylko w zakresie niezbędnym do wskazanego celu i przetwarzane tylko przez okres, w jakim jest to niezbędne.

Przetwarzając dane, Administrator zapewnia ich bezpieczeństwo i poufność oraz dostęp do informacji o tym przetwarzaniu dla osób, których dane dotyczą. W przypadku, gdyby, pomimo stosowanych środków bezpieczeństwa, doszło do naruszenia ochrony danych osobowych (np. „wycieku” danych lub ich utraty), Administrator podejmie działania wynikające z przepisów prawa, w tym – o ile taki obowiązek z przepisów prawa wynika -poinformuje o takim zdarzeniu osoby, których dane dotyczą.

Administrator przetwarza dane osobowe:

  • pacjentów
  • członkowie grup terapeutycznych i edukacyjnych
  • potencjalnych pracowników

Dane osobowe przetwarzane przez Administratora gromadzone są w zbiorach danych.

Zbiory są prowadzone i przetwarzane przede wszystkim w formie cyfrowej tj. w plikach umiejscowionych na komputerach należących do Administratora oraz na serwerach stanowiących jego własność, jak również w formie papierowej w postaci:

  • dokumentacji medycznej oraz dokumentacji księgowej w przypadku zbioru danych pacjentów
  • książki korespondencyjnej, umów cywilnoprawnych oraz dokumentacji księgowej w przypadku zbioru danych dostawców
  • dokumentacji rekrutacyjnej w przypadku zbioru danych potencjalnych pracowników.

Wykaz poszczególnych zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych u Administratora do przetwarzania tych danych oraz lokalizacją baz danych i miejscami przetwarzania danych osobowych stanowi Załącznik nr 1 do niniejszej Polityki.

W przypadku planowania nowych czynności przetwarzania Administrator dokonuje analizy ich skutków dla ochrony danych osobowych oraz uwzględnia kwestie ochrony danych w fazie ich projektowania.

3 BEZPIECZEŃSTWO DANYCH OSOBOWYCH

W celu zapewnienia integralności i poufności danych, Administrator wdrożył wewnętrzne procedury umożliwiające dostęp do danych osobowych jedynie osobom przez niego upoważnionym i jedynie w zakresie, w jakim jest to niezbędne ze względu na wykonywane przez nie zadania. Administrator stosuje rozwiązania organizacyjne i techniczne w celu zapewnienia, aby wszystkie operacje na danych osobowych były rejestrowane i dokonywane tylko przez osoby uprawnione.

Rozwiązania organizacyjne

Administrator danych prowadzi rejestr czynności przetwarzania, który stanowi Załącznik nr 2 do niniejszej Polityki.

Administrator prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych, która stanowi Załącznik nr 3 do niniejszej Polityki.

Osoby upoważnione do przetwarzania danych przez Administratora są zaznajomione z przepisami dotyczącymi ochrony danych osobowych i zobowiązane do zachowania przetwarzanych danych w tajemnicy – osoby, o których mowa powyżej, przed dopuszczeniem do przetwarzania danych, powinny zobowiązać się do przestrzegania ww. przepisów i zachowania przetwarzanych danych w tajemnicy poprzez podpisanie oświadczenia użytkownika, stanowiącego Załącznik nr 4 do niniejszej Polityki.

Dostęp do pomieszczeń, w których przechowywane i/lub przetwarzane są dane osobowe umożliwiany jest wyłącznie osobom upoważnionym do przetwarzania danych osobowych przez Administratora.

Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane, w tym stosowane są wygaszacze ekranów.

Rozwiązania techniczne

Wszystkie pomieszczenia, w których przechowuje się i/lub przetwarza dane osobowe są zamykane na klucz, w przypadku opuszczenia pomieszczenia przez ostatnią osobę upoważnioną do przetwarzania danych osobowych – także w godzinach pracy.

Pomieszczenia, w których przetwarzane są zbiory danych osobowych zabezpieczone są przed skutkami pożaru za pomocą wolnostojącej gaśnicy.

Dane osobowe przechowywane w wersji papierowej po zakończeniu pracy są przechowywane w zamykanych na klucz meblach biurowych; klucze od szafek przechowywane są w miejscu niedostępnym dla osób nieupoważnionych do przetwarzania danych osobowych.

Dane osobowe przechowywane w wersji elektronicznej (pamięć komputera, konta poczty elektronicznej, systemy informatyczne, w tym systemy internetowej komunikacji) są zabezpieczone hasłem dostępu do komputera, hasłem do konta poczty elektronicznej oraz hasłem do systemu informatycznego.

Każdy system IT zapewnia, że operacje na danych osobowych można powiązać z konkretnym użytkownikiem.

Na komputerach, na których przetwarzane są dane osobowe, stosowane są programy antywirusowe z zaporą antywłamaniową.

Administrator podejmuje ponadto wszelkie niezbędne działania, by także jego podwykonawcy i inne podmioty z nim współpracujące dawały gwarancję stosowania odpowiednich środków bezpieczeństwa w każdym przypadku, gdy przetwarzają dane osobowe na zlecenie Administratora.

Administrator na bieżąco prowadzi analizę ryzyka i monitoruje adekwatność stosowanych zabezpieczeń danych do identyfikowanych zagrożeń. W razie konieczności Administrator wdraża dodatkowe środki organizacyjne i techniczne służące zwiększeniu bezpieczeństwa danych.

4 CELE ORAZ PODSTAWY PRAWNE PRZETWARZANIA DANYCH PRZEZ ADMINISTRATORA

Korespondencja e-mailowa oraz tradycyjna

W przypadku kierowania do Administratora korespondencji e-mailowej lub drogą tradycyjną, niezwiązanej z realizacją umowy zawartej z nadawcą, dane osobowe zawarte w tej korespondencji są przetwarzane wyłącznie w celu komunikacji i załatwienia sprawy, której dotyczy ta korespondencja.

Podstawą prawną przetwarzania jest uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO), polegający na prowadzeniu korespondencji kierowanej do niego w związku z prowadzoną działalnością gospodarczą.

Administrator przetwarza jedynie dane osobowe odpowiednie dla sprawy, której dotyczy korespondencja. Całość korespondencji jest przechowywana w sposób zapewniający bezpieczeństwo zawartych w niej danych osobowych oraz innych informacji i ujawniana jedynie osobom upoważnionym.

Sklep internetowy przetwarza Pani/Pana dane osobowe w następujących celach:

przekazania Pani/Pana danych osobowych do mBank S.A. („Bank”) w związku z:

  • świadczeniem przez Bank na rzecz Sklepu internetowego usługi udostępnienia infrastruktury do obsługi płatności przez Internet (podstawa prawna: art. 6 ust. 1 lit. f) Rozporządzenia).
  • obsługą i rozliczaniem przez Bank płatności dokonywanych przez klientów Sklepu internetowego przez Internet przy użyciu instrumentów płatniczych (podstawa prawna: art. 6 ust. 1 lit. f) Rozporządzenia).
  • w celu weryfikacji przez Bank należytego wykonania umów zawartych ze Sklepem internetowym, w szczególności zapewnienia ochrony interesów płatników w związku ze składanymi przez nich reklamacjami (podstawa prawna: art. 6 ust. 1 lit. f) Rozporządzenia).

Kontakt telefoniczny

W przypadku kontaktowania się z Administratorem drogą telefoniczną w sprawach niezwiązanych z realizacją zawartej umowy, można żądać podania danych osobowych tylko wówczas, gdy będzie to niezbędne do obsługi sprawy, której dotyczy kontakt. Podstawą prawną jest w takim wypadku uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO), polegający na konieczności załatwienia zgłoszonej sprawy związanej z prowadzoną działalnością gospodarczą.

Rekrutacja

W ramach procesów rekrutacyjnych Administrator oczekuje przekazywania danych osobowych jedynie w zakresie określonym w przepisach prawa pracy. W związku z tym nie należy przekazywać informacji w szerszym zakresie. W razie, gdy przesłane aplikacje będą zawierać tego rodzaju dodatkowe dane, nie będą one wykorzystywane ani uwzględniane w procesie rekrutacyjnym.

Dane osobowe są przetwarzane:

  • w celu wykonania obowiązków wynikających z przepisów prawa, związanych z procesem zatrudnienia, w tym przede wszystkim Kodeksu pracy – podstawą prawną przetwarzania jest obowiązek prawny ciążący na Administratorze (art. 6 ust. 1 lit c RODO w związku z przepisami Kodeksu pracy);
  • w celu przeprowadzenia procesu rekrutacji w zakresie danych nie wymaganych przepisami prawa, a także dla celów przyszłych procesów rekrutacyjnych – podstawą prawną przetwarzania jest zgoda (art. 6 ust. 1 lit a RODO);
  • w celu ustalenia lub dochodzenia ewentualnych roszczeń lub obrony przed takimi roszczeniami – podstawą prawną przetwarzania danych jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit f RODO).

Zbieranie danych w związku z wykonywaniem umów

W razie zbierania danych dla celów związanych z wykonaniem konkretnej umowy, Administrator przekazuje osobie, której dane dotyczą, szczegółowe informacje dotyczące przetwarzania jej danych osobowych.

W przypadku, gdy podanie przez Panią/Pana danych osobowych następuje w celu zawarcia umowy ze Sklepem internetowym, podanie przez Panią/Pana danych osobowych jest warunkiem zawarcia tej Umowy. Podanie danych osobowych w tej sytuacji jest dobrowolne, jednak konsekwencją niepodania tych danych będzie brak możliwości zawarcia umowy ze Sklepem internetowym.

W przypadku przekazania Pani/Pana danych osobowych do Banku w związku z obsługą i rozliczaniem płatności dokonywanych przez Panią/Pana płatności na rzecz Sklepu internetowego przez Internet przy użyciu instrumentów płatniczych, podanie danych jest wymagane w celu realizacji płatności i przekazania potwierdzenia jej dokonania przez Bank na rzecz Sklepu internetowego.

W przypadku przekazania Pani/Pana danych osobowych do Banku w celu weryfikacji przez Bank należytego wykonania umów zawartych ze Sklepem internetowym, w szczególności zapewnienia ochrony interesów płatników w związku ze składanymi przez nich reklamacjami podanie tych danych jest wymagane w celu umożliwienia realizacji umowy zawartej pomiędzy Sklepem internetowym a Bankiem.

Zakres przetwarzania danych osobowych

Administrator przetwarza dane osobowe takie jak:

  • Imię i Nazwisko
  • Adres zamieszkania (miasto)
  • Numer telefonu komórkowego
  • Adres email

W związku z przetwarzaniem danych osobowych w celach określonych w ust. 3 i 4, Pani/Pana dane osobowe mogą zostać udostępnione przez Sklep internetowy innym odbiorcom lub kategoriom odbiorców danych osobowych, którymi mogą być:

a) mBank S.A.

Zbieranie danych w innych przypadkach

W związku z prowadzoną działalnością Administrator zbiera dane osobowe także w innych przypadkach – np. podczas spotkań biznesowych, na imprezach targowych czy poprzez wymianę wizytówek – w celach związanych z nawiązywaniem i utrzymywaniem kontaktów biznesowych. Podstawą prawną przetwarzania jest w tym wypadku uzasadniony interes Administratora (art. 6 ust. 1 lit f RODO), polegający na tworzeniu sieci kontaktów w związku z prowadzoną działalnością. Dane osobowe zebrane w takich przypadkach przetwarzane są wyłącznie w celu, dla jakiego zostały zebrane, a Administrator zapewnia ich odpowiednią ochronę.

Wyrażenie zgody na przetwarzanie danych w formie zaznaczenia checkbox’ów (checkboxy nie mogą być domyślnie zaznaczone).

klient musi mieć możliwość wyrażenia zgody na przetwarzanie danych osobowych, np. w formie zaznaczenia opcji o treści: “Akceptuję Regulamin i Politykę Prywatności”.