Polityka prywatności

1. POSTANOWIENIA OGÓLNE

1.1 Polityka bezpieczeństwa przetwarzania danych osobowych w spółce Łódzki Dom Biznesu spółka z ograniczoną odpowiedzialnością z siedzibą w Łodzi zwaną dalej: „Polityką” została ustanowiona z związku z art. 24 ust. 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanym dalej „RODO”.

1.2 Celem Polityki jest zapewnienie ochrony danych osobowych przetwarzanych przez Łódzki Dom Biznesu spółka z ograniczoną odpowiedzialnością, z siedzibą w Łodzi zwanej dalej: „Spółką” przed wszelakiego rodzaju zagrożeniami, tak wewnętrznymi jak i zewnętrznymi, świadomymi lub nieświadomymi.

1.3 Niniejszy dokument obejmuje w szczególności informacje jakie Spółka jest zobowiązany udostępnić osobom, których dane dotyczą w związku z przetwarzaniem danych osobowych.

1.4 Polityka opisuje reguły dotyczące bezpieczeństwa danych osobowych przetwarzanych zarówno w formie tradycyjnej, np. w postaci teczek, akt czy wydruków oraz w systemach informatycznych służących do przetwarzania danych osobowych w Spółce.

1.5 W niniejszej Polityce ustanowiono minimalne standardy ochrony danych osobowych oraz procedury postępowania i działania, które należy stosować, aby właściwie wykonać obowiązki Spółki w zakresie zabezpieczenia danych osobowych, o których mowa w RODO.

1.6 Zastosowane zabezpieczenia mają zapewnić:

  1. poufność danych – rozumianą, jako właściwość polegająca na tym, że dane osobowe nie są udostępniana ani ujawniana nieautoryzowanym osobom, podmiotom lub procesom;
  2. integralności danych – rozumianą, jako właściwość polegającą na tym, że dane osobowe nie zostały zmodyfikowane lub zniszczone w sposób nieuprawniony;
  3. dostępność danych – rozumianą, jako właściwość polegającą na tym, że informacja jest możliwa do wykorzystania przez uprawniony podmiot na jego żądanie, w założonym czasie;
  4. autentyczność danych – rozumianą, jako właściwość polegającą na tym, że pochodzenie lub zawartość danych opisujących obiekt są takie, jak deklarowane;
  5. rozliczalność danych – rozumianą, jako właściwość pozwalająca przypisać określone działanie osoby w sposób jednoznaczny tej osobie oraz umiejscowić je w czasie;
  6. niezaprzeczalność – rozumianą, jako brak możliwości zanegowania swego uczestnictwa
    w całości lub w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie;

1.7 Bezpieczeństwo danych osobowych przetwarzanych w Spółce jest przedmiotem szczególnej troski zarządu Spółki i wszelkie naruszenia ustanowionych zasad bezpieczeństwa będą spotykać się ze zdecydowaną reakcją przewidzianą w procedurach prawnych i dyscyplinarnych.

1.1 Spółka zobowiązuje się do podjęcia odpowiednich kroków, mających na celu zapewnienie prawidłowej ochrony danych osobowych, w szczególności do zapewnienia, że przez cały okres ich przetwarzania, dane będą:

  1. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą,
  2. zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach
    i nieprzetwarzane dalej w sposób niezgodny z tymi celami,
  3. adekwatne, stosownie oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane,
  4. prawidłowe i w razie potrzeby uaktualnianie,
  5. przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania,
  6. zabezpieczone środkami technicznymi i organizacyjnymi, które zapewniają rozliczalność, integralność oraz poufność danych.

1.9 Osoby mające dostęp do danych osobowych są zobligowane do stosowania niezbędnych środków zapobiegających ujawnieniu tych informacji osobom nieupoważnionym.

1.10 Zachowanie tajemnicy obowiązuje zarówno podczas trwania stosunku pracy jak i po jego ustaniu.

1.11 Wszelkie wątpliwości dotyczące sposobu interpretacji zapisów niniejszego dokumentu, powinny być rozstrzygane na korzyść zapewnienia możliwie najwyższego poziomu ochrony danych osobowych oraz zapewnienie praw i wolności osób fizycznych, których dane są przetwarzane.

2. SŁOWNIK UŻYTYCH POJĘĆ

Ilekroć w niniejszej Polityce mowa jest o:

  1. Administratorze Danych Osobowych (ADO) – należy przez to rozumieć Łódzki Dom Biznesu Sp. z o.o. z siedzibą w Łodzi, wpisana do Rejestru przedsiębiorców przez Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr KRS: 0000602182; NIP: 678-315-86-53, nr REGON: 3637312020000, Zarząd Województwa Łódzkiego Al. Piłsudskiego 8, 90-051 Łódź oraz minister właściwy do spraw rozwoju regionalnego dla zbioru „Centralny system teleinformatyczny CST2021” wspierający realizację programów operacyjnych,
  2. analizie ryzyka – należy przez to rozumieć systematyczne podejście mające na celu zidentyfikowanie w systemie źródeł ryzyka i przypisanie zidentyfikowanym ryzykom wartości,
  3. incydencie – należy przez to rozumieć zamierzone lub przypadkowe naruszenie środków technicznych i organizacyjnych zastosowanych w celu ochrony danych osobowych. Następuje w szczególności, gdy stan urządzenia, zawartości informacji, ujawnione metody pracy, sposób działania programu lub jakości komunikacji w sieci teleinformatycznej mogą wskazywać na naruszenie bezpieczeństwa danych osobowych,
  4. Inspektorze Ochrony Danych (IOD) – należy przez to rozumieć wyznaczoną osobę przez ADO, odpowiedzialną za nadzorowanie stosowanych środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych oraz za podejmowanie odpowiednich działań,
  5. ocenie ryzyka – należy przez to rozumieć proces porównywania wartości ryzyka z określonymi kryteriami w celu określenia znaczenia ryzyka;
  6. Danych osobowych – należy przez to rozumieć wszelkie informacje o osobie fizycznej zidentyfikowanej lub możliwej do zidentyfikowania poprzez jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość, w tym wizerunek, nagranie głosu, dane kontaktowe, dane o lokalizacji, informacje zawarte w korespondencji, informacje gromadzone za pośrednictwem sprzętu rejestrującego lub innej podobnej technologii,
  7. ryzyku – należy przez to rozumieć prawdopodobieństwo, że określone zagrożenie wykorzysta podatność aktywu lub grupy aktywów, aby spowodować straty lub szkody, co spowoduje niepożądane konsekwencje;
  8. Polityce – należy przez to rozumieć niniejszą Politykę przetwarzania danych osobowych.
  9. RODO – należy przez to rozumieć rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE,
  10. Osobie, której dane dotyczą – należy przez to rozumieć każdą osobę fizyczna, której Dane Osobowe przetwarzane są przez Spółkę,
  11. Serwisie – należy przez to rozumieć serwis internetowy, którego główna strona internetowa znajduje się pod adresem https://lodzkidombiznesu.pl/.
  12. zarządzaniu ryzykiem – należy przez to rozumieć ciągły nadzór nad stanem bezpieczeństwa systemu. Zarządzanie ryzykiem jest to proces identyfikacji, kontrolowania, eliminacji lub ograniczania prawdopodobieństwa zaistnienia ewentualnych zdarzeń (zagrożeń), które mogą mieć wpływ na bezpieczeństwo danych osobowych,
  13. zbiorze danych – należy przez to rozumieć uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.

 

3. PRZETWARZANIE DANYCH OSOBOWYCH

3.1 Podanie Danych osobowych jest w pełni dobrowolne. Od Osoby, której dane dotyczą podania danych, niezbędnych do zawarcia i wykonania usług świadczonych przez Spółkę, w związku z każdą transakcją lub świadczonym doradztwem. Jeżeli nie zostaną nam podane niezbędne dane osobowe, niestety nie będziemy mogli świadczyć naszych usług, a w konsekwencji rozpocząć współpracy. Jeżeli przepisy prawa będą wymagać od nas innych niezbędnych danych ich podanie jest konieczne w celu realizacji dalszej współpracy. Podanie danych osobowych w celach marketingowych jest dobrowolne –
w szczególności nie warunkuje to zawarcia i wykonania umowy.

3.2 W związku z prowadzoną działalnością Spółka zbiera i przetwarza Dane osobowe zgodnie z właściwymi przepisami prawa (w tym w szczególności z RODO)
i przewidzianymi w nich zasadami przetwarzania danych.

3.3 Spółka zapewnia przejrzystość przetwarzania danych osobowych, w szczególności informuje o przetwarzaniu danych osobowych w momencie ich zbierania, w tym o celu i podstawie prawnej przetwarzania. Spółka dba o to, by dane osobowe były zbierane tylko w zakresie niezbędnym do wskazanego celu i przetwarzane tylko przez okres, w jakim jest to niezbędne.

3.4 Przetwarzając dane osobowe, Spółka zapewnia ich bezpieczeństwo i poufność oraz dostęp do informacji o przetwarzaniu Osobom, których dane dotyczą. Gdyby pomimo stosowanych środków bezpieczeństwa doszło do naruszenia ochrony Danych osobowych (np. „wycieku” Danych osobowych lub ich utraty), Spółka poinformuje o takim zdarzeniu Osoby, których dane dotyczą, w sposób zgodny z przepisami.

3.5 Spółka sprawuje nadzór nad przestrzeganiem zasad ochrony danych osobowych.

3.6 Do najważniejszych obowiązków należy:

  1. określenie i przedstawienie do zatwierdzenia dla ADO zasad ochrony danych osobowych;
  2. stałe informowanie ADO oraz pracowników o obowiązkach i odpowiedzialności spoczywającej na nich na mocy przepisów prawa z szczególnym uwzględnieniem RODO
    i innych aktów prawa dotyczących ochrony danych osobowych;
  3. monitorowanie przestrzegania przepisów prawa w zakresie bezpieczeństwa danych osobowych oraz polityki bezpieczeństwa ADO;
  4. nadzorowanie i aktualizowanie dokumentacji w zakresie ochrony danych osobowych;
  5. zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami w tym zakresie;
  6. udzielanie zaleceń, co do oceny skutków dla ochrony danych osobowych oraz monitorowanie ich wykonania;
  7. nadzorowanie i kontrolowanie wszystkich pracowników w zakresie ochrony danych osobowych oraz podmiotów zewnętrznych realizujących zadania mające wpływ na ochronę i bezpieczeństwo danych osobowych;
  8. dokonywanie systematycznych audytów i przeglądów stosowania przepisów w zakresie ochrony danych osobowych;

3.7 W celu osiągnięcia i utrzymania wysokiego poziomu bezpieczeństwa przetwarzania danych osobowych konieczne jest zaangażowanie ze strony każdego pracownika i osoby upoważnionej zewnętrznej.

3.8 Pracownicy/ osoby upoważnione są zobowiązane do:

  1. znajomości zasad bezpieczeństwa zawartych w Polityce oraz przepisach prawa RODO w zakresie niezbędnym do zajmowanego stanowiska i zakresu upoważnienia,
  2. bezwzględnego przestrzegania zapisów Polityki oraz pozostałych dokumentów regulujących zasady przetwarzania danych osobowych,
  3. informowania o wszelkich podejrzeniach naruszenia oraz sytuacjach mających wpływ na bezpieczeństwo ochrony danych osobowych w Spółce,
  4. informowania pracowników ochrony lub przełożonych o podejrzanych osobach przebywających na terenie Spółki,
  5. zachowania w tajemnicy wiedzy o przetwarzanych danych osobowych oraz o sposobach ich zabezpieczenia,
  6. ochrony danych osobowych oraz aktywów wykorzystywanych do ich przetwarzania przed nieuprawnionym dostępem, ujawnieniem, modyfikacją, zniszczeniem lub zniekształceniem,
  7. zmiany hasła do systemów służących do przetwarzania danych osobowych nie rzadziej niż raz na trzy miesiące.

4. BEZPIECZEŃSTWO DANYCH OSOBOWYCH

4.1 Spółka stosuje rozwiązania organizacyjne i techniczne, które umożliwiają rejestrowanie wszystkich operacji na Danych osobowych. Dostęp do Danych osobowych posiadają jedynie osoby upoważnione przez Spółkę i wyłącznie w zakresie, w jakim jest to niezbędne ze względu na wykonywane przez nie zadania.

4.2 Podwykonawcy Spółki i inne podmioty współpracujące ze Spółką dają gwarancję stosowania odpowiednich środków bezpieczeństwa w każdym przypadku, gdy przetwarzają Dane Osobowe na zlecenie Spółki.

4.3 Spółka prowadzi na bieżąco analizę ryzyka i monitoruje adekwatność stosowanych zabezpieczeń Danych osobowych do identyfikowanych zagrożeń. W razie konieczności Spółka wdraża dodatkowe środki służące zwiększeniu bezpieczeństwa Danych osobowych.

5. CELE ORAZ PODSTAWY PRAWNE PRZETWARZANIA DANYCH OSOBOWYCH

5.1 KORESPONDENCJA TRADYCYJNA I E-MAILOWA

5.1.1 W przypadku kierowania do Spółki za pośrednictwem: tradycyjnej korespondencji lub poczty e-mail niezwiązanej z usługami świadczonymi na rzecz nadawcy lub inną zawartą z nim umową, Dane Osobowe zawarte w tej korespondencji są przetwarzane wyłącznie
w celu komunikacji i rozwiązania sprawy, której dotyczy korespondencja.

5.1.2 Podstawą prawną przetwarzania jest uzasadniony interes Spółki (art. 6 ust. 1 lit. f RODO) polegający na obsłudze korespondencji kierowanej do niego w związku z jego działalnością.

5.1.3 Spółka przetwarza jedynie Dane Osobowe istotne dla sprawy, której dotyczy korespondencja. Całość korespondencji jest przechowywana w sposób zapewniający bezpieczeństwo zawartych w niej Danych Osobowych (oraz innych informacji) i ujawniana jedynie osobom upoważnionym.

5.1.4 Kontaktując korespondencję do Spółki za pośrednictwem poczty elektronicznej, użytkownik przekazuje swój adres e-mail jako adres nadawcy wiadomości. Ponadto, w treści wiadomości mogą zostać zawarte również inne dane osobowe.

5.1.5 Podstawą prawną przetwarzania danych osobowych w takim przypadku jest zgoda wynikająca z zainicjowania kontaktu ze Spółką. Dane osobowe użytkownika przekazywane Spółce w ramach kontaktu e-mailowego przetwarzane są wyłącznie w celu obsługi zapytania. Treść korespondencji może podlegać archiwizacji.

5.2 POZOSTAŁE FORMY KONTAKTU

5.2.1 W przypadku kontaktowania się ze Spółką drogą telefoniczną, w sprawach niezwiązanych z zawartą umową lub świadczonymi usługami, Spółka może żądać podania Danych osobowych, gdy będzie to niezbędne do załatwienia sprawy, której dotyczy kontakt.

5.2.2 Korzystając z funkcji strony internetowej takich jak newsletter i formularz kontaktowy użytkownik powinien podać swoje dane osobowe, tj. imię i nazwisko, adres e-mail, nazwę firmy. Podstawą prawną przetwarzania danych osobowych użytkownika zawartych w formularzu rejestracyjnym jest zgoda wyrażona przez użytkownika.

5.2.3 Dane podane w formularzu kontaktowym oraz formularzu zapisu do newslettera zostaną zapisane w bazie Spółki.

5.2.4 Strona internetowa wykorzystuje pliki cookies, jako niewielkie informacje tekstowe, przechowywane na urządzeniu końcowym użytkownika (np. komputerze, tablecie, smartfonie), które mogą być odczytywane przez system teleinformatyczny Spółki.

Pliki Cookies pozwalają m.in. na:
a) zapewnienie prawidłowego funkcjonowanie strony internetowej,
b) poprawę szybkości i bezpieczeństwa korzystania ze strony internetowej,
c) ulepszenia funkcji dostępnych na stronie internetowej,
d) korzystania z narzędzi analitycznych oraz marketingowych,
e) zapewnia funkcje społecznościowych

5.2.5 W czasie pierwszej wizyty na stronie internetowej użytkownikowi wyświetlana jest informacja o stosowaniu przez Spółkę plików cookies. Zaakceptowanie i zamknięcie tej informacji oznacza, że użytkownik wyraża zgodę na wykorzystywanie plików cookies zgodnie z postanowieniami niniejszej polityki prywatności. Zgodę zawsze można wycofać, usuwając pliki cookies oraz zmieniając ustawienia plików cookies w przeglądarce.

5.3 REKRUTACJA

5.3.1 W ramach procesów rekrutacyjnych Spółka oczekuje przekazywania danych osobowych (np. w CV lub listu motywacyjnego) jedynie w zakresie określonym w przepisach prawa pracy. W związku z tym nie należy przekazywać informacji w szerszym zakresie.
W przypadku, gdy przesłane aplikacje będą zawierać dodatkowe dane, nie będą one wykorzystywane ani uwzględniane w procesie rekrutacyjnym.

5.3.2 Dane osobowe są przetwarzane:

a) w celu wykonania obowiązków wynikających z przepisów prawa, związanych z procesem zatrudnienia, w tym przede wszystkim Kodeksu pracy;
b) w celu przeprowadzenia procesu rekrutacji w zakresie danych niewymaganych przepisami prawa, a także dla celów przyszłych procesów rekrutacyjnych;
c) w celu ustalenia lub dochodzenia ewentualnych roszczeń z zakresu prawa pracy lub obrony przed takimi roszczeniami.

5.4 ZBIERANIE DANYCH OSOBOWYCH W ZWIĄZKU Z REALIZACJĄ CELÓW DZIAŁALNOŚCI SPÓŁKI LUB WYKONYWANIEM INNYCH UMÓW

5.4.1 W razie zbierania Danych Osobowych dla celów związanych z wykonaniem konkretnej umowy, Spółka przekazuje Osobie, której dane dotyczą, informacje dotyczące przetwarzania jej Danych Osobowych w momencie zawierania umowy.

5.4.2 W związku z prowadzoną działalnością Spółka pozyskuje Dane osobowe przede wszystkim w następujący sposób:

  1. poprzez dobrowolne wprowadzenie w formularzach informacji np. adresu e-mail, imienia, nazwiska,
  2. poprzez kody monitorujące ruch na stronie www,
  3. poprzez organizowanie i udział przez Spółkę w wydarzeniach (w tym różnego rodzaju spotkań), a także poprzez wymianę wizytówek – w celach związanych
    z inicjowaniem i utrzymywaniem kontaktów,
  4. podczas prowadzenia badań naukowych i historycznych przez Spółkę oraz publikowania ich wyników między innymi w wydawnictwach książkowych, w radio, telewizji oraz w multimediach.

5.4.3 Dane Osobowe zebrane przetwarzane są wyłącznie w celu, dla jakiego zostały zebrane, a Spółka zapewnia ich odpowiednią ochronę.

6. UŻYTKOWANIE URZĄDZEŃ PRZENOŚNYCH

6.1 W przypadku przechowywania na komputerze przenośnym danych osobowych, pracownik zobowiązany jest do przechowywania ich na dysku szyfrowanym, zabezpieczonym, co najmniej ośmioznakowym hasłem (duże, małe litery, znaki specjalne lub cyfry).

6.2 Wszystkie urządzenia przenośne (smartfony służbowe, tablety, komputery przenośne) muszą być zabezpieczone mechanizmem identyfikującym uprawnionego użytkownika.

6.3 Przenośne urządzenia służbowe nie mogą być wykorzystywane przez inne osoby (w tym rodzina) niż pracownik, który otrzymał w/w sprzęt do pracy służbowej.

6.4 Przenośne urządzenia służbowe mogą być tylko wykorzystywane do zadań służbowych wynikających z zakresu obowiązków lub poleceń bezpośredniego przełożonego.

6.5 Na komputerach przenośnych przeznaczonych do zewnętrznych prezentacji multimedialnych nie powinny, o ile jest to możliwe, znajdować się dane osobowe lub stanowiące tajemnicę Spółki.

6.6 W przypadku kradzieży lub zgubienia urządzenia przenośnego pracownik powinien natychmiast poinformować o tym fakcie kierownika komórki organizacyjnej (bezpośredniego przełożonego), zaznaczając jednocześnie, jakiego rodzaju dane były na tym urządzeniu przechowywane. kierownik komórki organizacyjnej (przełożony)o tym fakcie ma obowiązek poinformować Spółkę.

6.7 Pracownik zobowiązany jest do zabezpieczenia laptopa w czasie transportu, a w szczególności:

  1. zaleca się przenoszenie go w specjalnym futerale;
  2. zabrania się pozostawiania komputera przenośnego w samochodzie podczas postoju w miejscu publicznym;
  3. urządzenia przenośne nie powinny być użytkowane w miejscach publicznych, gdzie nie ma możliwości zabezpieczenia informacji znajdujących się na tych urządzeniach;
  4. podczas jazdy samochodem zaleca się przechowywanie komputera przenośnego w miejscu niedostępnym dla osób trzecich.

6.8 W przypadku pozostawiania komputerów przenośnych w biurze zaleca się umieszczanie ich po zakończeniu pracy w zamykanych szafkach.

6.9 Użytkownik laptopa jest zobowiązany do regularnego tworzenia kopii bezpieczeństwa danych na serwerze lub zapasowych nośnikach elektronicznych (pendrive, CD, DVD). Nośniki z takimi kopiami powinny być przechowywane w bezpiecznym miejscu, z uwzględnieniem ochrony przed dostępem osób niepowołanych.

6.10 Spółka zobowiązany jest do podejmowania działań mających na celu zabezpieczenie komputerów przenośnych. W szczególności powinien on:

  1. dokonać konfiguracji oprogramowania na komputerach przenośnych w sposób wymuszający korzystanie z haseł, wykorzystywanie haseł odpowiedniej jakości oraz wymuszającym okresową zmianę haseł zgodnie z wymaganiami dla systemu informatycznego przetwarzającego dane osobowe;
  2. zabezpieczyć dyski komputerów przenośnych poprzez zastosowanie oprogramowania szyfrującego;
  3. dokonać na komputerze przenośnym instalacji i konfiguracji oprogramowania antywirusowego;
  4. oznaczyć komputer przenośny programowo lub fizycznie w sposób identyfikujący właściciela tego urządzenia z wskazaniem Spółki, jako właściciela komputera.

 

7. ODBIORCY DANYCH OSOBOWYCH

7.1 W związku z prowadzeniem działalności wymagającej przetwarzania Danych osobowych, Dane osobowe są ujawniane zewnętrznym podmiotom, w tym w szczególności:

  1. agencjom i innym podmiotom pośredniczącym w sprzedaży naszych usług lub organizacji akcji marketingowych i innym podmiotom wspierającym przy świadczeniu usług oraz podmiotom świadczącym na rzecz Spółki usługi doradcze, konsultacyjne, audytowe, pomoc prawną, podatkową, rachunkową,
  2. podmiotom obsługującym systemy teleinformatyczne lub udostępniającym narzędzia teleinformatyczne,
  3. podwykonawcom wspierającym nas w wykonywaniu łączącej nas z Tobą umowy, np.
    w obsłudze korespondencji czy w procesie obsługi klienta,
  4. podmiotom prowadzącym działalność pocztową lub kurierską,
  5. podmiotom nabywającym wierzytelności – w razie nie dokonania zapłaty wystawionych przez nas faktur w terminie,
  6. podmiotom prowadzącym działalność płatniczą (banki, instytucje płatnicze) – w celu dokonania zwrotów, na Państwa rzecz lub w celu zapewnienia działania usługi polecenia zapłaty,
  7. sądom, prokuraturze, organom podatkowym i innym uprawnionym organom.

7.2 Spółka zastrzega sobie prawo ujawnienia wybranych informacji dotyczących Osoby, której dane dotyczą, właściwym organom bądź osobom trzecim, które zgłoszą żądanie udzielenia takich informacji, opierając się na odpowiedniej podstawie prawnej oraz zgodnie z przepisami obowiązującego prawa.

8. PRZEKAZYWANIE DANYCH OSOBOWYCH POZA EOG

8.1 Poziom ochrony Danych Osobowych poza Europejskim Obszarem Gospodarczym (EOG) różni się od tego zapewnianego przez prawo europejskie. Z tego powodu Spółka przekazuje Dane Osobowe poza EOG tylko wtedy, gdy jest to konieczne, i z zapewnieniem odpowiedniego stopnia ochrony, przede wszystkim poprzez:

  1. współpracę z podmiotami przetwarzającymi Dane Osobowe w państwach, w odniesieniu do których została wydana stosowna decyzja Komisji Europejskiej;
  2. stosowanie standardowych klauzul umownych wydanych przez Komisję Europejską;
  3. stosowanie wiążących reguł korporacyjnych zatwierdzonych przez właściwy organ nadzorczy;
  4. w razie przekazywania danych do USA – współpracę z podmiotami uczestniczącymi
    w programie Tarcza Prywatności (ang. Privacy Shield) zatwierdzonym decyzją Komisji Europejskiej.

8.2 Spółka poinformuje o zamiarze przekazania Danych Osobowych poza EOG na etapie ich zbierania. Obecnie nie planujemy przekazywania Danych osobowych poza EOG

9. UPRAWNIENIA ZWIĄZANE Z PRZETWARZANIEM DANYCH OSOBOWYCH. PRAWA OSÓB, KTÓRYCH DANE OSOBOWE DOTYCZĄ

9.1 W związku z przetwarzaniem danych osobowych, osobom których dane dotyczą, przysługują prawa do:

a) żądania dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania,
b) wniesienia sprzeciwu wobec przetwarzania,
c) przenoszenia danych,
d) cofnięcia zgody na przetwarzanie danych osobowych w określonym celu, jeżeli użytkownik wyraził taką zgodę,
c) wniesienia skargi do organu nadzorczego w związku z przetwarzaniem przez Spółkę danych osobowych.

9.2 Powyższe uprawnienia użytkownik może realizować zgodnie z zasadami opisanymi w art. 16 – 21 RODO, kontaktując się ze Spółką pod następującym adresem: biuro@ldb.net.pl.

10. ZGŁASZANIE ŻĄDAŃ ZWIĄZANYCH Z REALIZACJĄ PRAW

10.1 Zgłoszenie żądania, o których mowa w pkt 9.1 może być realizowane w każdym czasie, poprzez wystąpienie z odpowiednim żądaniem.

10.2 Wniosek dotyczący realizacji praw podmiotów danych można złożyć:

  1. w formie pisemnej na adres: Łódzki Dom Biznesu Sp. z o.o. ul. Pstrągowa 11 lok. 16, 91-496 Łódź.
  2. drogą e-mailową na adres: biuro@ldb.net.pl

10.3 Jeżeli Spółka nie będzie w stanie zidentyfikować osoby składającej wniosek na podstawie dokonanego zgłoszenia, zwróci się do wnioskodawcy o dodatkowe informacje.

10.4 Wniosek może być złożony osobiście lub za pośrednictwem pełnomocnika (np. członka rodziny). Ze względu na bezpieczeństwo Danych osobowych Spółka zachęca do posługiwania się pełnomocnictwem w formie poświadczonej przez notariusza lub upoważnionego pełnomocnika profesjonalnego (radcę prawnego, adwokata, rzecznika patentowego, doradcę podatkowego), co istotnie przyspieszy weryfikację autentyczności wniosku.

10.5 Odpowiedź na zgłoszenie powinna zostać udzielona bez zbędnej zwłoki, jednak nie później niż w ciągu miesiąca od jego otrzymania żądania. W razie konieczności termin ten może być przedłużony o kolejne 2 miesiące z uwagi na skomplikowany charakter żądania lub ilość zgłoszonych żądań. W takim przypadku Spółka poinformuje wnioskodawcę o przyczynach opóźnienia.

10.6 Odpowiedź udzielana jest za pośrednictwem poczty tradycyjnej, chyba że wniosek został złożony drogą e-mailową lub zażądano przekazania odpowiedzi w formie elektronicznej oraz ustnie, jeżeli tożsamość zostanie potwierdzona i żądanie dotyczy przekazania odpowiedzi ustnie.

10.7 Jeżeli Spółka nie podejmuje działań w związku z żądaniami, o których mowa w punkcie 10.1., wnioskodawcy przysługuje prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych oraz skorzystania ze środków ochrony prawnej przed sądem.

11. POSTĘPOWANIE W SYTUACJI NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

11.1 Przez naruszenie bezpieczeństwa danych osobowych należy rozumieć wszelkie mogące mieć miejsce zdarzenia lub działania, które stanowią lub mogą stanowić przyczynę utraty zasobów, zmian poufności, integralności, dostępności informacji lub niezawodności systemów, a także odstępstwa od obowiązujących procedur postępowania, nawet, jeżeli nie prowadzą do wyżej wymienionych skutków. W szczególności są to wszelkie sytuacje, w których nastąpiła utrata (np. kradzież lub zniszczenie) lub nieuzasadniona modyfikacja danych lub części danych (nawet, jeśli możliwe jest całkowite odtworzenie utraconych danych) a także możliwość dostępu do danych dla osób nieposiadających upoważnienia do ich przetwarzania.

11.2 Na możliwość wystąpienia naruszenia bezpieczeństwa danych osobowych mogą wskazywać między innymi:

  1. nietypowy stan pomieszczeń przetwarzania (naruszone zabezpieczenia, otwarte pomieszczenia, okna, drzwi od szaf, biurek, włączone urządzenia);
  2. zaginięcie sprzętu lub nośników informacji (dyskietek, dokumentów papierowych, itp.);
  3. nieuzasadnione modyfikacje lub usunięcie danych, niezgodności w danych;
  4. nieprawidłowe lub nietypowe działanie systemu informatycznego (lub nietypowe komunikaty wyświetlane na monitorze),
  5. przesłania danych osobowych do niewłaściwego miejsca lub adresata,
  6. znalezienia poza pomieszczeniami przetwarzania wszelkich dokumentów, wydruków, dyskietek i innych nośników informacji;

11.3 Spółka w zakresie systemów informatycznych powinien zwracać uwagę między innymi na:

  1. przypadki niskiej wydajności systemu;
  2. nietypowy przepływ danych;
  3. nietypowe czasy wykorzystywania systemu;
  4. dużą liczbę nieudanych prób logowania.

11.4 Po stwierdzeniu lub podejrzeniu wystąpienia incydentu naruszenia bezpieczeństwa informacji użytkownik powinien:

  1. bez zbędnej zwłoki poinformować ASI w przypadku, gdy incydent miał miejsce w systemie informatycznym;
  2. poinformować bezpośredniego przełożonego o zaistniałym fakcie;
  3. powstrzymać się od wszelkich czynności w pomieszczeniu przetwarzania mogących zatrzeć ślady naruszenia bezpieczeństwa informacji;
  4. powstrzymać się od wszelkich działań w systemie informatycznym, zwłaszcza od usuwania podejrzanego oprogramowania;

11.5 W przypadku otrzymania od użytkownika systemu informatycznego zgłoszenia o wystąpieniu lub podejrzeniu wystąpienia incydentu Spółka powinna:

  1. ustalić, czy incydent rzeczywiście miał miejsce;
  2. ustalić, czy istnieje zagrożenie dla dalszego prawidłowego funkcjonowania systemu;
  3. ustalić, czy system powinien zostać odizolowany od sieci, jeśli tak, to poinformować
    o tym Spółkę;
  4. zabezpieczyć dowody zdarzenia;
  5. zalecić użytkownikowi sposób dalszego postępowania lub, jeśli podejrzenie naruszenia bezpieczeństwa nie zostało potwierdzone, poinformować go o możliwości kontynuowania pracy.

11.6 Sporządza się notatkę dla Spółki zawierającą: datę, godzinę wystąpienia incydentu, opis incydentu, opis okoliczności incydentu oraz podjęte działania.

11.7 Po otrzymaniu zgłoszenia o wystąpieniu zagrożenia lub incydentu:

  1. zbiera od zgłaszającego zagrożenie lub incydent szczegóły dotyczące zagrożenia lub incydentu m.in. czas wystąpienia, opis i okoliczności zdarzenia;
  2. ustala zakres i przyczyny zagrożenia oraz ewentualne skutki zagrożenia;
  3. zabezpiecza ewentualne dowody;
  4. ustala czy zagrożenie spowodowało realny incydent;
  5. ustala wpływ incydentu na zagrożenie praw lub wolności osób, których dane dotyczą;
  6. rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych zagrożeń i incydentów w przyszłości;
  7. ustala osoby odpowiedzialne za naruszenie;
  8. inicjuje działania dyscyplinarne;
  9. zaleca użytkownikowi sposób dalszego postępowania;
  10. wyznacza użytkownikowi oraz, jeśli to konieczne, ASI, termin sporządzenia notatki służbowej o incydencie.

11.8 Z każdego incydentu naruszenia bezpieczeństwa informacji sporządza się raport.

11.9 Do sporządzenia raportu ABI ma prawo żądać wyjaśnień i współpracy od pracowników.

11.10 W przypadku gdy naruszenie wystąpiło na danych, których Spółka jest administratorem w razie incydentu, który może powodować wysokie ryzyko naruszenia prawa lub wolność osoby fizycznej IOD opracowuje zgłoszenie naruszenia ochrony danych osobowych do organu nadzorczego, który po podpisaniu przez Spółkę jest przesyłamy do PUODO w terminie nie późniejszym niż 72 h od stwierdzenia naruszenia.

11.11 W przypadku, gdy naruszenie bezpieczeństwa informacji dotyczy danych osobowych powierzonych Spółce, IOD jest zobowiązany do poinformowania Spółki, od którego dane otrzymano o naruszeniu bezpieczeństwa i udzielenia pełnej informacji o zaistniałym incydencie. IOD jest zobowiązany udzielić w/w informacji w ciągu 24 h od chwili ujawnienia incydentu.

11.12 Wszystkie incydenty i zagrożenia są ewidencjonowane w Rejestrze incydentów i zagrożeń bezpieczeństwa oraz działań korygujących i zabezpieczających.

12. ZASADY POBIERANIA OPŁAT

12.1 Postępowanie w sprawie składanych wniosków, o których mowa w pkt 9.1 jest bezpłatne. Opłaty mogą zostać pobrane jedynie w przypadku:

  1. zgłoszenia żądania wydania drugiej i każdej kolejnej kopii Danych Osobowych (pierwsza kopia danych jest bezpłatna); w takim wypadku Spółka może zażądać uiszczenia opłaty w wysokości kosztów administracyjne związane z realizacją żądania.
  2. zgłaszania przez tę samą osobę żądań nadmiernych (np. niezwykle częstych) lub ewidentnie nieuzasadnionych; w takim wypadku Spółka może zażądać uiszczenia opłaty w wysokości kosztów administracyjne związane z realizacją żądania oraz kosztów prowadzenia komunikacji oraz koszty związane z podjęciem żądanych działań.

12.2 W razie kwestionowania decyzji o nałożeniu opłaty Osoba, której dane dotyczą, może złożyć skargę do właściwego organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych.

13. POSTANOWIENIA KOŃCOWE

13.1 Polityka oraz wszystkie pozostałe dokumenty dotyczące ochrony danych osobowych w Spółce są dokumentami wewnętrznymi i powinny być udostępniane osobom postronnym w żadnej formie.

13.2 Niezależnie od odpowiedzialności określonej w przepisach prawa powszechnie obowiązującego, naruszenie zasad określonych w niniejszej Polityce będzie traktowane, jako ciężkie naruszenie obowiązków pracowniczych.

13.3 Pracownicy Spółki zobowiązani są do stosowania przy przetwarzaniu danych osobowych postanowień zawartych w niniejszej Polityce, w wypadku odrębnych od zawartych w niniejszej Polityce uregulowań występujących w innych procedurach obowiązujących w Spółki, użytkownicy mają obowiązek stosowania zapisów dalej idących, których stosowanie zapewni wyższy poziom ochrony danych osobowych.

13.4 Polityka jest na bieżąco weryfikowana i w razie potrzeby aktualizowana.