Privacy Policy
Polityka ochrony danych osobowych (Privacy Policy) Mondopia OOD
Administrator: Mondopia OOD
NIP: PL5263759044
Osoba odpowiedzialna za ochronę danych osobowych: Dimitar Tsonev
Kontakt: support@armodini.pl
Link do informacji o ochronie danych osobowych
I. Wprowadzenie
1. Ogólne rozporządzenie o ochronie danych
Polityka ochrony danych osobowych Mondopia OOD została opracowana zgodnie z rozporządzeniem (UE) 2016/679 (ogólne rozporządzenie o ochronie danych). Celem rozporządzenia jest ochrona „praw i wolności” osób fizycznych oraz zapewnienie, że dane osobowe klientów Mondopia OOD są przetwarzane za ich zgodą i że są oni informowani o swoich prawach.
2. Ogólne pojęcia
„Dane osobowe” – wszelkie informacje dotyczące zidentyfikowanej osoby fizycznej lub osoby fizycznej, którą można zidentyfikować („podmiot danych”); osobę fizyczną można zidentyfikować, bezpośrednio lub pośrednio, w szczególności na podstawie identyfikatora takiego jak imię, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub na podstawie jednego lub kilku czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość tej osoby fizycznej.
„Szczególne kategorie danych osobowych” – dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, członkostwo w związkach zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznej identyfikacji osoby fizycznej, danych dotyczących zdrowia lub danych dotyczących życia seksualnego osoby fizycznej lub jej orientacji seksualnej.
„Przetwarzanie” – oznacza każdą operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub inny, takich jak zbieranie, rejestrowanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesyłanie, rozpowszechnianie lub inne udostępnianie, porządkowanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
„Administrator” – każda osoba fizyczna lub prawna, organ publiczny, agencja lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i środki przetwarzania danych osobowych; gdy cele i środki tego przetwarzania są określone przez prawo Unii lub prawo państwa członkowskiego, administrator lub szczególne kryteria jego wyznaczenia mogą zostać określone w prawie Unii lub w prawie państwa członkowskiego.
„Podmiot danych” – każda żyjąca osoba fizyczna, której dane osobowe są przechowywane przez Administratora.
„Zgoda podmiotu danych” – każde dobrowolnie wyrażone, konkretne, świadome i jednoznaczne oświadczenie woli podmiotu danych, w formie oświadczenia lub wyraźnego działania potwierdzającego, które wyraża zgodę na przetwarzanie jego danych osobowych.
„Naruszenie bezpieczeństwa danych osobowych” – naruszenie bezpieczeństwa, które prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych, które są przekazywane, przechowywane lub przetwarzane w inny sposób.
„Odbiorca” – osoba fizyczna lub prawna, organ publiczny, agencja lub inny podmiot, któremu ujawniane są dane osobowe, niezależnie od tego, czy jest to strona trzecia, czy nie. Jednocześnie organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego dochodzenia zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są uważane za „odbiorców”; przetwarzanie tych danych przez wskazane organy publiczne odbywa się zgodnie z obowiązującymi zasadami ochrony danych w zależności od celów przetwarzania.
„Strona trzecia” – każda osoba fizyczna lub prawna, organ publiczny, agencja lub inny organ, inny niż podmiot danych, administrator, podmiot przetwarzający dane osobowe oraz osoby, które pod bezpośrednim nadzorem administratora lub podmiotu przetwarzającego dane osobowe mają prawo przetwarzać dane osobowe.
II. Postanowienia ogólne
1. Polityka dotyczy wszystkich funkcji związanych z przetwarzaniem danych osobowych, w tym tych, które są wykonywane w odniesieniu do danych osobowych klientów, pracowników, dostawców i partnerów oraz wszelkich innych danych osobowych, które organizacja przetwarza z różnych źródeł.
2. Niniejsza polityka obowiązuje wszystkich pracowników Mondopia OOD. Każde naruszenie Ogólnego rozporządzenia będzie traktowane jako naruszenie dyscypliny pracy, a w przypadku podejrzenia popełnienia przestępstwa sprawa zostanie niezwłocznie przekazana odpowiednim organom państwowym.
3. Partnerzy i strony trzecie, które współpracują z Mondopia OOD lub działają na jej rzecz, a także które mają lub mogą mieć dostęp do danych osobowych, są zobowiązane do zapoznania się, zrozumienia i przestrzegania niniejszej polityki. Żadna strona trzecia nie może uzyskać dostępu do danych osobowych przechowywanych przez Mondopia OOD bez uprzedniego zawarcia umowy o poufności danych, która nakłada na stronę trzecią obowiązki nie mniej rygorystyczne niż te, które przyjęła Mondopia OOD, oraz która uprawnia Mondopia OOD do przeprowadzania kontroli przestrzegania obowiązków wynikających z tej umowy.
III. Obowiązki i role wynikające z Rozporządzenia (UE) 2016/679
1. Mondopia OOD jest administratorem danych osobowych zgodnie z Rozporządzeniem (UE) 2016/679.
2. W Mondopia OOD funkcjonuje stanowisko Inspektora Ochrony Danych Osobowych, który zajmuje się:
- opracowywaniem i wdrażaniem wymagań Rozporządzenia (UE) 2016/679 zgodnie z niniejszą polityką;
- zarządzaniem bezpieczeństwem i ryzykiem w odniesieniu do zgodności z polityką.
3. Przestrzeganie przepisów o ochronie danych jest obowiązkiem wszystkich pracowników Mondopia OOD, którzy przetwarzają dane osobowe.
4. W Mondopia OOD regularnie odbywają się szkolenia związane z ochroną danych osobowych w celu prawidłowego stosowania Ogólnego rozporządzenia o ochronie danych.
IV. Zasady ochrony danych
1. Wszelkie przetwarzanie danych osobowych odbywa się zgodnie z zasadami ochrony danych określonymi w Rozporządzeniu (UE) 2016/679. Polityki i procedury Mondopia OOD mają na celu zapewnienie zgodności z tymi zasadami:
Zgodność z prawem – Identyfikacja prawnej podstawy przed rozpoczęciem przetwarzania danych osobowych. Często są one określane jako „podstawy przetwarzania”, na przykład „zgoda”.
Rzetelność – Aby przetwarzanie mogło być uznane za rzetelne, administrator danych dostarcza podmiotom danych określone informacje, o ile jest to praktycznie możliwe.
Przejrzystość – Ogólne rozporządzenie obejmuje zasady dotyczące udzielania poufnych informacji podmiotom danych w artykułach 12, 13 i 14 RODO. Są one szczegółowe i konkretne, kładąc nacisk na to, aby powiadomienia o prywatności były zrozumiałe i dostępne. Informacje powinny być przekazywane podmiotowi danych w zrozumiałej formie, przy użyciu jasnego i zrozumiałego języka.
2. Specyficzne informacje, które są dostarczane podmiotowi danych, obejmują:
- dane identyfikujące administratora oraz dane kontaktowe administratora, a jeśli istnieje, dane kontaktowe przedstawiciela administratora;
- dane kontaktowe Inspektora Ochrony Danych;
- cele przetwarzania, do których dane osobowe są przeznaczone, oraz podstawa prawna przetwarzania;
- okres, przez który dane osobowe będą przechowywane;
- istnienie następujących praw – prawo do żądania dostępu do danych, ich sprostowania, usunięcia (prawo do „bycia zapomnianym”), ograniczenia przetwarzania, a także prawo do sprzeciwu wobec warunków (lub ich braku) w odniesieniu do wykonywania tych praw;
- kategorie danych osobowych;
- odbiorcy lub kategorie odbiorców danych osobowych, jeśli ma to zastosowanie;
- jeśli ma to zastosowanie, czy administrator zamierza przekazać dane osobowe odbiorcy w państwie trzecim oraz poziom ochrony danych;
- wszelkie dodatkowe informacje niezbędne do zapewnienia rzetelnego przetwarzania.
- Dane zebrane w określonych celach nie mogą być wykorzystywane do celu innego niż ten, który został oficjalnie ogłoszony w Powiadomieniu o ochronie danych osobowych (Privacy notice) dla klientów Mondopia OOD.
Dodatkowo:
- Inspektor Ochrony Danych jest odpowiedzialny za zapewnienie, że Mondopia OOD nie zbiera informacji, które nie są ściśle niezbędne do celu, w jakim zostały uzyskane.
- Inspektor Ochrony Danych zapewnia, że corocznie wszystkie metody zbierania danych są weryfikowane, aby upewnić się, że zebrane dane są nadal adekwatne, istotne i nie są nadmierne.
- Dane przechowywane przez administratora są przeglądane i aktualizowane w razie potrzeby. Dane nie są przechowywane, jeśli istnieje prawdopodobieństwo, że nie są dokładne.
- Inspektor Ochrony Danych zapewnia, że cały personel jest przeszkolony w zakresie znaczenia zbierania dokładnych danych i ich utrzymywania.
- Podmiot danych jest również zobowiązany do zadeklarowania, że dane, które przekazuje do przechowywania przez Mondopia OOD, są dokładne i aktualne.
- Co najmniej raz w roku Inspektor Ochrony Danych przegląda okresy przechowywania wszystkich danych osobowych przetwarzanych przez Mondopia OOD, a w przypadku zidentyfikowania danych, które nie są już wymagane w kontekście zarejestrowanego celu, dane te powinny zostać zniszczone.
- Inspektor Ochrony Danych przetwarza wnioski o korektę danych w ciągu jednego miesiąca. Okres ten może zostać przedłużony o kolejne dwa miesiące w przypadku złożonych wniosków. Jeśli Mondopia OOD zdecyduje się nie spełniać wniosku, Inspektor Ochrony Danych przygotowuje uzasadnioną odmowę i informuje o prawie do złożenia skargi do organu nadzorczego oraz do dochodzenia ochrony prawnej.
- Jeśli dane osobowe są przechowywane po zakończeniu przetwarzania, będą one przechowywane w odpowiedni sposób, aby chronić tożsamość podmiotu danych w przypadku naruszenia danych.
- Inspektor Ochrony Danych przeprowadza ocenę skutków dla ochrony danych (jeśli ma to zastosowanie), uwzględniając wszystkie okoliczności związane z operacjami zarządzania lub przetwarzania danych przez Mondopia OOD.
Przy określaniu, na ile odpowiednie jest przetwarzanie, Inspektor Ochrony Danych powinien również rozważyć stopień potencjalnej szkody lub straty, która może zostać wyrządzona osobom fizycznym (np. personelowi lub klientom) w przypadku naruszenia bezpieczeństwa, a także każdą prawdopodobną szkodę dla reputacji administratora, w tym ewentualną utratę zaufania klientów.
3. Przy ocenie odpowiednich środków technicznych Inspektor Ochrony Danych rozważa następujące kwestie:
- Ochrona hasłem;
- Automatyczne blokowanie nieaktywnych stacji roboczych w sieci;
- Usuwanie uprawnień dostępu do portów USB i innych przenośnych nośników pamięci;
- Oprogramowanie antywirusowe i zapory sieciowe;
- Uprawnienia dostępu oparte na rolach, w tym dla tymczasowo zatrudnionego personelu;
- Ochrona urządzeń opuszczających pomieszczenia organizacji, takich jak laptopy czy inne urządzenia;
- Bezpieczeństwo sieci lokalnych i rozległych;
- Technologie zwiększające prywatność, takie jak pseudonimizacja i anonimizacja;
- Przy ocenie odpowiednich środków organizacyjnych Inspektor Ochrony Danych wziął pod uwagę następujące kwestie:
4. Poziomy odpowiedniego szkolenia w Mondopia OOD;
- Środki uwzględniające wiarygodność pracowników (np. oceny wydajności, referencje itp.);
- Identyfikacja środków dyscyplinarnych za naruszenia dotyczące przetwarzania danych;
- Regularna kontrola personelu pod kątem zgodności z odpowiednimi standardami bezpieczeństwa;
- Kontrola dostępu fizycznego do rejestrów elektronicznych i papierowych;
- Utrzymywanie czystego stanowiska pracy (bez danych osobowych klientów);
- Przechowywanie papierowych baz danych w zamykanych szafkach;
- Ograniczenie użycia przenośnych urządzeń elektronicznych poza miejscem pracy;
- Ograniczenie użycia przez pracowników prywatnych urządzeń w miejscu pracy;
- Wprowadzenie jasnych zasad dotyczących tworzenia i korzystania z haseł;
- Regularne tworzenie kopii zapasowych danych osobowych i fizyczne przechowywanie nośników kopii zapasowych poza biurem;
- Narzucenie zobowiązań umownych na organizacje kontrahentów, aby podjęły odpowiednie środki bezpieczeństwa podczas przekazywania danych poza UE.
- Te środki kontroli zostały wybrane na podstawie zidentyfikowanych zagrożeń dla danych osobowych, a także potencjalnej szkody dla osób, których dane są przetwarzane.
5. Mondopia OOD potwierdza przestrzeganie zasad ochrony danych poprzez wdrożenie polityk ochrony danych, odpowiednich środków technicznych i organizacyjnych, a także poprzez przyjęcie technik ochrony danych na etapie projektowania i domyślnej ochrony danych, oceny skutków dla ochrony danych osobowych, procedur powiadamiania o naruszeniach danych osobowych itp.
V. Prawa podmiotów danych
1. Podmioty danych mają następujące prawa w odniesieniu do przetwarzania danych, jak również do danych, które są na ich temat zapisywane:
- Prawo do żądania potwierdzenia, czy ich dane osobowe są przetwarzane, a jeśli tak, do uzyskania dostępu do danych oraz informacji o tym, kto jest odbiorcą tych danych.
- Prawo do żądania kopii swoich danych osobowych od administratora.
- Prawo do żądania od administratora sprostowania danych osobowych, gdy są one niedokładne lub nieaktualne.
- Prawo do żądania usunięcia danych osobowych przez administratora (prawo do „bycia zapomnianym”).
- Prawo do żądania ograniczenia przetwarzania danych osobowych, w którym to przypadku dane będą jedynie przechowywane, a nie przetwarzane.
- Prawo do sprzeciwu wobec przetwarzania swoich danych osobowych.
- Prawo do sprzeciwu wobec przetwarzania danych osobowych dotyczących ich samych w celach marketingu bezpośredniego.
- Prawo do wniesienia skargi do organu nadzorczego, jeśli uważa, że jakiekolwiek postanowienie Ogólnego rozporządzenia o ochronie danych zostało naruszone.
- Prawo do żądania dostarczenia swoich danych osobowych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego.
- Prawo do wycofania zgody na przetwarzanie danych osobowych w dowolnym momencie, poprzez złożenie osobnego wniosku do administratora.
- Prawo do niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu, które mają na niego znaczący wpływ, bez możliwości interwencji człowieka.
- Prawo do sprzeciwu wobec zautomatyzowanego profilowania, które odbywa się bez jego zgody.
Podmioty danych mogą złożyć wniosek o dostęp, poprawienie, usunięcie, przenoszenie lub sprzeciw wobec przetwarzania swoich danych osobowych, wysyłając wniosek na adres support@armodini.pl. Wniosek powinien zawierać szczegóły pozwalające na potwierdzenie tożsamości wnioskującego oraz dokładny opis żądania.
Mondopia OOD zapewnia warunki gwarantujące możliwość skorzystania z tych praw przez podmioty danych:
Podmioty danych mogą składać wnioski o skorzystanie ze swoich praw.
Podmioty danych mogą wycofać zgodę na otrzymywanie marketingowych wiadomości e-mail, wysyłając wiadomość na adres e-mail support@armodini.pl, z prośbą o zaprzestanie ich wysyłania. Wniosek powinien zawierać podstawowe informacje umożliwiające identyfikację nadawcy (np. imię i nazwisko, adres e-mail użyty do subskrypcji).
VI. Zgoda
1. Przez „zgodę” Mondopia OOD rozumie każde dobrowolnie wyrażone, konkretne, świadome i jednoznaczne wskazanie woli podmiotu danych, poprzez oświadczenie lub wyraźne działanie potwierdzające, które wyraża zgodę na przetwarzanie jego danych osobowych. Podmiot danych może wycofać swoją zgodę w dowolnym momencie.
2. Mondopia OOD rozumie przez „zgodę” jedynie takie przypadki, w których podmiot danych został w pełni poinformowany o planowanym przetwarzaniu i wyraził swoją zgodę bez żadnego nacisku. Zgoda uzyskana pod presją lub na podstawie wprowadzających w błąd informacji nie będzie stanowiła ważnej podstawy do przetwarzania danych osobowych.
3. Zgoda nie może być wywnioskowana z braku odpowiedzi na komunikat do podmiotu danych. Aby zgoda była ważna, musi istnieć aktywna komunikacja między administratorem a podmiotem danych. Administrator musi być w stanie udowodnić, że uzyskał zgodę na działania związane z przetwarzaniem.
VII. Bezpieczeństwo danych
1. Wszyscy pracownicy są odpowiedzialni za zapewnienie bezpieczeństwa przechowywania danych, za które są odpowiedzialni i które są przechowywane przez Mondopia OOD, oraz za to, że dane są bezpiecznie przechowywane i nie są ujawniane osobom trzecim, chyba że Mondopia OOD udzieliła takich uprawnień stronie trzeciej na podstawie umowy/klauzuli o poufności.
2. Wszystkie dane osobowe powinny być dostępne tylko dla osób, które ich potrzebują, a dostęp może być udzielony wyłącznie zgodnie z ustalonymi zasadami kontroli dostępu. Wszystkie dane osobowe muszą być traktowane z najwyższą ostrożnością i muszą być przechowywane:
- w oddzielnym pomieszczeniu z kontrolowanym dostępem; i/lub
- w zamkniętej szafce lub kartotece; i/lub
jeśli są skomputeryzowane, chronione hasłem zgodnie z wewnętrznymi wymaganiami określonymi w organizacyjnych i technicznych środkach kontroli dostępu do informacji; i/lub
- przechowywane na przenośnych nośnikach komputerowych, które są zabezpieczone zgodnie z organizacyjnymi i technicznymi środkami kontroli dostępu do informacji.
3. Utworzono organizację zapewniającą, że ekrany komputerów i terminale nie mogą być widziane przez inne osoby niż upoważnieni pracownicy Mondopia OOD. Od wszystkich pracowników wymaga się przeszkolenia w zakresie przestrzegania organizacyjnych i technicznych środków dostępu, a także zasad dotyczących blokowania stacji roboczych przed uzyskaniem dostępu do jakiejkolwiek informacji.
4. Dokumenty papierowe nie mogą być pozostawiane w miejscach, gdzie mogą być dostępne dla nieupoważnionych osób, i nie mogą być wynoszone z wyznaczonych pomieszczeń biurowych bez wyraźnej zgody. Gdy tylko dokumenty papierowe nie są już potrzebne do bieżącej obsługi klienta, zostają zniszczone.
VIII. Powiadomienia o prywatności
Mondopia OOD zobowiązuje się do udostępniania jasnych i zrozumiałych powiadomień o prywatności, które wyjaśniają:
- Jakie dane są zbierane. - Dlaczego i w jaki sposób są przetwarzane. - Okresy przechowywania danych. - Prawa podmiotów danych.
Powiadomienia te są sporządzane prostym i zrozumiałym językiem, aby zapewnić ich dostępność i przejrzystość.
IX. Ujawnianie danych
1. Mondopia OOD zapewnia, że dane osobowe nie są ujawniane nieupoważnionym stronom trzecim, w tym członkom rodziny, przyjaciołom, organom państwowym czy organom śledczym, o ile nie wymagają tego obowiązujące przepisy prawa.
2. Dane osobowe mogą być przekazywane następującym kategoriom stron trzecich w celu realizacji zobowiązań Mondopia OOD wobec klientów:
- Partnerzy realizacyjni: Fulfilio, do realizacji i przetwarzania zamówień klientów.
- Firmy kurierskie: Takie jak Inpost i DPD, do dostarczania zamówień.
- Systemy płatności: Paysera, Przelewy24, BLIK i płatność za pobraniem (COD), w celu przetwarzania płatności.
- Platforma e-commerce: Shopify, do zarządzania i obsługi sklepu internetowego.
X. Przechowywanie i niszczenie danych
1. Mondopia OOD nie przechowuje danych osobowych w formie umożliwiającej identyfikację podmiotów przez okres dłuższy niż jest to konieczne do celów, dla których dane zostały zebrane.
2. Mondopia OOD może przechowywać dane przez dłuższe okresy wyłącznie wtedy, gdy dane osobowe będą przetwarzane w celach archiwalnych, w celach leżących w interesie publicznym, do badań naukowych lub historycznych oraz do celów statystycznych, i to tylko pod warunkiem zastosowania odpowiednich środków technicznych i organizacyjnych w celu zagwarantowania praw i wolności podmiotu danych.
XI. Rejestr przetwarzania danych (inwentaryzacja danych)
1. Mondopia OOD stworzyła proces inwentaryzacji danych jako część swojego podejścia do zarządzania ryzykiem i możliwościami w procesie przestrzegania polityki zgodności z Rozporządzeniem (UE) 2016/679. W ramach inwentaryzacji danych w Mondopia OOD i przepływu danych ustalane są:
- procesy biznesowe wykorzystujące dane osobowe;
- źródła danych osobowych;
- liczba podmiotów danych;
- opis kategorii danych osobowych i elementów w każdej kategorii;
- czynności związane z przetwarzaniem;
- cele przetwarzania, do których przeznaczone są dane osobowe;
- podstawa prawna przetwarzania;
- odbiorcy lub kategorie odbiorców danych osobowych;
- główne systemy i miejsca przechowywania;
- wszelkie dane osobowe, które podlegają transferom poza UE;
- okresy przechowywania i usuwania.
2. Mondopia OOD jest świadoma ryzyka związanego z przetwarzaniem określonych rodzajów danych osobowych.
3. Mondopia OOD ocenia poziom ryzyka dla osób fizycznych związanych z przetwarzaniem ich danych osobowych (jeśli ma to zastosowanie).
4. Mondopia OOD zarządza wszystkimi ryzykami zidentyfikowanymi podczas oceny wpływu, aby zmniejszyć prawdopodobieństwo niezgodności z rozporządzeniem.
Gdy dany rodzaj przetwarzania może prowadzić do wysokiego ryzyka dla praw i wolności osób fizycznych, zwłaszcza przy wykorzystaniu nowych technologii, oraz biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania, przed przystąpieniem do przetwarzania Mondopia OOD przeprowadza ocenę wpływu planowanych operacji przetwarzania na ochronę danych osobowych.
5. Gdy w wyniku oceny wpływu okaże się, że Mondopia OOD zamierza rozpocząć przetwarzanie danych osobowych, które ze względu na wysokie ryzyko mogą spowodować szkody dla podmiotów danych, decyzja o kontynuacji przetwarzania musi zostać przekazana do przeglądu przez Inspektora Ochrony Danych.
Niniejsza polityka obowiązuje od 24.07.2024 r.