1. DEFINICJE
Administrator (ADO) – spółka Black Gym Fitness Club Spółka z ograniczoną odpowiedzialnością z siedzibą w Gdańsku (kod pocztowy: 80 – 298) przy ul. Brata Alberta 77.
Dane osobowe – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
Koordynator ds. RODO – osoba, wyznaczona przez Administratora do pełnienia funkcji koordynatora ochrony danych;
Naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
Pracownik – osoba świadcząca pracę u Administratora – bez względu na formę zatrudnienia;
Polityka – niniejszy dokument;
Przetwarzanie danych osobowych – oznacza jakąkolwiek operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
Podmiot przetwarzający (PP) – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza lub będzie przetwarzał dane osobowe w imieniu Administratora;
RODO – Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych).
Pliki cookies – stanowią dane informatyczne, w szczególności pliki tekstowe, które przechowywane są w urządzeniu końcowym Klienta i przeznaczone są do korzystania ze strony internetowej ADO. Cookies zazwyczaj zawierają nazwę strony internetowej, z której pochodzą, czas przechowywania ich na urządzeniu końcowym oraz unikalny numer.
2. Celem niniejszej Polityki jest określenie zasad przetwarzania danych osobowych, które pozwolą zapewnić ich bezpieczeństwo zgodnie z wymogami stawianymi przez przepisy dot. ochrony danych osobowych, w tym zwłaszcza z przepisami RODO.
Polityka Bezpieczeństwa stanowi wykaz dokumentów, które stosowane są przez Black Gym Fitness Club sp. z o.o. w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych.
Polityka obowiązuje od dnia zatwierdzenia jej przez Administratora. Zmiany i przegląd Polityki dokonywane są przez Koordynatora ds. RODO jeżeli takiego powołano, w innym przypadku zadanie to należy do Administratora.
Koordynator ds. RODO wspiera Administratora w realizacji jego obowiązków wynikających z Polityki oraz właściwych przepisów o ochronie danych osobowych.
3. OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH
- W celu zapewnienia bezpieczeństwa danych osobowych Administrator jest zobowiązany w szczególności do:
- stałego nadzoru nad treścią Polityki;
- wydawania, modyfikowania, odbierania upoważnienia do przetwarzania danych osobowych osobom, które mają te dane przetwarzać.
- prowadzenia rejestru osób upoważnionych do przetwarzania danych osobowych.
- prowadzenia rejestru (kategorii) czynności przetwarzania danych osobowych.
- zawierania umów powierzenia przetwarzania danych osobowych zgodnie z art. 28 RODO, w sytuacji, gdy dochodzi do powierzenia przetwarzania danych osobowych.
- Przetwarzając dane osobowe Administrator kieruje się w szczególności następującymi zasadami:
- zasadą przetwarzania danych osobowych zgodnie z prawem – przetwarzanie danych osobowych powinno następować w oparciu o jedną z podstaw prawnych wskazanych w art. 6 ust. 1 oraz art. 9 ust. 2 RODO;
- zasadą minimalizacji danych osobowych – przetwarzane mogą być tylko dane osobowe adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
- zasadą prawidłowości – przetwarzane mogą być tylko dane osobowe, które są prawidłowe i w razie potrzeby uaktualniane (Administrator powinien podejmować wszelkie działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane);
- zasadą integralności i poufności danych osobowych – dane osobowe powinny być przetwarzane w sposób zapewniający odpowiednie ich bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych;
- zasadą privacy by design – uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, Administrator – zarówno przy określeniu sposobów przetwarzania, jak i w czasie samego przetwarzania, wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą;
- zasadą privacy by default – Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślne dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.
5. ZBIERANIE DANYCH OSOBOWYCH ORAZ PRAWA PODMIOTÓW DANYCH OSOBOWYCH
W przypadku zbierania danych osobowych od osób, których dane dotyczą, dokonując tej czynności Administrator zobowiązany jest przekazać ww. osobom informacje, o których mowa w art. 13 RODO.
Jeżeli danych osobowych Administrator nie pozyskał od osób, których dane dotyczą, Administrator zobowiązany jest przekazać tym osobom, informacje, o których mowa w art. 14 RODO. Informacje te należy podać:
- w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
- jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
- jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
W przypadku, gdy osoba, której dane osobowe są przetwarzane zgłosi żądanie dotyczące dostępu do danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przeniesienia danych osobowych, czy też prawa do sprzeciwu przetwarzania danych osobowych, Administrator stosuje procedurę realizacji praw podmiotów danych osobowych.
6. REJESTR (KATEGORII) CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH
Prowadzony przez Administratora rejestr czynności przetwarzania danych osobowych oraz rejestr kategorii czynności przetwarzania zawierają informacje, o których mowa w art. 30 RODO.
7. ŚRODKI TECHNICZNE I ORGANIZACYJNE NIEZBĘDNE DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH
Administrator stosuje środki techniczne i organizacje niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzania danych osobowych.
Administrator przed dopuszczeniem Pracowników, współpracowników Administratora do przetwarzania danych osobowych, zapoznaje ich z Polityką – w zakresie w jakim jest to wymagane na danym stanowisku a następnie nadaje pisemne upoważnienie do przetwarzania danych osobowych. Zapoznanie odbywa się poprzez udostępnienie dokumentu Polityki i przeprowadzenie szkolenia.
8. NARUSZENIE BEZPIECZEŃSTWA DANYCH OSOBOWYCH
W przypadku zaistnienia okoliczności, które mogą wskazywać na naruszenie ochrony danych osobowych, każdy Pracownik Administratora zobowiązany jest postępować zgodnie z procedurą reagowania na naruszenia ochrony danych osobowych.
Administrator przed dopuszczeniem Pracowników do przetwarzania danych osobowych, zapoznaje ich z procedurą reagowania na naruszenia ochrony danych osobowych. Zapoznanie odbywa się poprzez udostępnienie dokumentu Polityki Bezpieczeństwa i przeprowadzenie szkolenia.
9. POWIERZENIE PRZETWARZANIA DANYCH PODMIOTOM ZEWNĘTRZNYM
Administrator może powierzyć przetwarzanie danych osobowych innemu podmiotowi, o ile podmiot ten wdrożył odpowiednie środki organizacyjne i techniczne niezbędne dla ochrony praw osób, których te dane dotyczą oraz pod warunkiem zawarcia z nim umowy powierzenia przetwarzania.
Przed powierzeniem przetwarzania danych osobowych Administrator, jego Pracownicy zapoznają się z procedurą weryfikacji podmiotu przetwarzającego oraz stosują się do niej.
Zawarte umowy powierzenia przetwarzania danych osobowych: eFitness S.A. Polityk prywatności dostępna pod linkiem: https://efitness.pl/polityka-prywatnosci/
10. WSPÓŁPRACA Z ORGANEM NADZORCZYM
Każda osoba, w szczególności Pracownik Administratora ma obowiązek przekazać korespondencję od Prezesa Urzędu Ochrony Danych Osobowych lub osoby, której dane dotyczą w zakresie jej praw wynikających z RODO.
Administrator współpracuje z Prezesem Urzędu Ochrony Danych Osobowych w przypadku skierowania wystąpienia, kontroli, postępowania wszczętego przez ten organ, zgłoszenia naruszenia ochrony danych osobowych, a także konieczności konsultacji z organem w związku z oceną skutków naruszenia bezpieczeństwa danych osobowych oraz w przypadku jakichkolwiek wątpliwości w zakresie ochrony danych osobowych, które wymagają wyjaśnienia z tym organem.
11. PLIKI COOKIES
Administrator nie zbiera żadnych danych w sposób automatyczny, za wyjątkiem danych zawartych w plikach cookies podczas samego korzystania z serwisów i aplikacji.
Niektóre pliki cookies są niezbędne do funkcjonowania serwisów i aplikacji oraz korzystania z ich zasobów, zwiększają ich wydajność, pozwalając na szybsze odnalezienie potrzebnych informacji.
Niektóre pliki cookies są również wykorzystywane do pozyskiwania informacji na potrzeby analityczne i statystyczne lub dla celów marketingowych (np. dostarczania dopasowanej reklamy na podstawie Państwa aktywności lub retargetowania, czyli dostarczania określonej reklamy na innych stronach w Internecie). Pliki cookies poza tymi niezbędnymi do funkcjonowania naszych serwisów i aplikacji są instalowane w przypadku wyrażenia zgody.
Gdy korzystają Państwo z naszych serwisów lub aplikacji możecie otrzymywać cookies pochodzące od zewnętrznych podmiotów z którymi współpracujemy. Z tych cookies korzystamy głównie w celach analitycznych i marketingowych.
Używamy następujących narzędzi dostarczanych przez podmioty zewnętrzne związanych z wykorzystaniem cookies i identyfikatorów:
Korzystamy z następujących narzędzi:
- Analitycznych
- Marketingowych
Standardowo przeglądarki dopuszczają umieszczanie plików „cookies” na Państwa urządzeniu końcowym, niemniej każdy użytkownik może się temu sprzeciwić. W tym celu mogą Państwo zmienić ustawienia swojej przeglądarki internetowej tak, żeby blokowała obsługę plików „cookies” lub informowała za każdym razem, gdy taki plik jest przesyłany na Państwa urządzenie. Brak akceptacji plików „cookies” nie spowoduje ograniczenia w dostępności ani funkcjonowaniu strony.