Skip to content

AIM Centrum Edukacyjne

Tel. 574 001 603
Facebook Linkedin Instagram Envelope
Logo_bez tła – ze zmianami
Menu
Zapisy
Menu
Logo_bez tła – ze zmianami
Zapisy

POLITYKA PRYWATNOŚCI

AIM CENTRUM EDUKACYJNE s. c. Adriana Grzywacz, Mariola Rapicka

POSTANOWIENIA OGÓLNE

1. Niniejsza polityka prywatności ma charakter informacyjny, co oznacza że nie jest ona źródłem obowiązków dla Usługobiorców. Polityka prywatności zawiera przede wszystkim zasady dotyczące przetwarzania danych osobowych przez Administratora, w tym podstawy, cele i zakres przetwarzania danych osobowych oraz prawa osób, których dane dotyczą, a także informacje w zakresie stosowania cookies oraz narzędzi analitycznych.

2. Administratorem danych osobowych jest AIM Centrum Edukacyjne s. c. Adriana Grzywacz, Mariola Rapicka, z siedzibą w Chełmnie, przy ul. Bliskiej 8E, adres poczty elektronicznej: aim.centrum@gmail.com., numer telefonu kontaktowego: +(48) 574 001 603 oraz +(48) 535 501 974 – zwana dalej Administratorem.

3. W sprawach związanych z polityką prywatności oraz ochroną danych osobowych proszę wysyłać korespondencję na adres poczty elektronicznej: sekretariat@aimcentrum.edu.pl

4. Dane osobowe przetwarzane są przez Administratora zgodnie z obowiązującymi przepisami prawa, w szczególności zgodnie z rozporządzeniem Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – zwane dalej „RODO”.

5. Administrator dokłada szczególnej staranności w celu ochrony interesów osób, których przetwarzane przez niego dane osobowe dotyczą, a w szczególności jest odpowiedzialny i zapewnia, że zbierane przez niego dane są przetwarzane zgodnie z prawem; zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami; przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania oraz przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

6. W celu realizacji zasad przetwarzania danych osobowych, administrator danych przetwarza dane legalnie, na podstawie przesłanek opisanych w art. 6 RODO. Pobiera dane osobowe adekwatnie do celów i przetwarza je przez określony czas. Wobec osób, których dane przetwarza wypełnia obowiązki informacyjne określone w art. 13 RODO oraz wskazuje przysługujące im uprawnienia: dostępu do danych, sprostowania i przenoszenia danych, sprzeciwu wobec przetwarzania, wniesienia skargi do organu nadzorczego.

7. Administrator danych zapewnia ochronę danych w przypadku korzystania z usług podmiotów zewnętrznych w postaci zawierania stosownych umów powierzenia oraz korzystając z usług podmiotów przetwarzających realizujących obowiązki wynikające z RODO.

ZASADY DOTYCZĄCE PRZETWARZANIA DANYCH OSOBOWYCH

Wszystkie dane osobowe w ramach działalności Administratora muszą być:

1. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”),

2. zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”),

3. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”),

4. prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”),

5. przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”),

6. przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem
oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

PRAWA OSÓB, KTÓRYCH DANE SĄ PRZETWARZANE

Administrator jest odpowiedzialny za przestrzeganie praw osób oraz odpowiednie reagowanie na uzasadnione żądania osób, których dane są przetwarzane. Rozpatrzenie wniosków w zakresie realizacji praw osób następuje wyłącznie po jednoznacznym potwierdzeniu tożsamości osoby, której dane dotyczą. Osoby, których dane są przetwarzane przez Administratora mają w zależności od podstawy przetwarzania prawo do:

3.1. Prawo do informacji

1) Prawo do informacji nakłada na Administratora obowiązek poinformowania osoby fizycznej, od której zbiera on dane osobowe o szeregu faktów dotyczących przetwarzania danych tej osoby – między innymi, kto jest administratorem, w jakim celu zbierane są dane tej osoby, na jakiej podstawie prawnej to przetwarzanie się dokonuje, komu dane będą ujawnione, czy jak długo będą przetwarzane. Pełną listę informacji, których Administrator musi udzielić, zawiera art. 13 RODO.

2) Co do zasady przyjęto, iż spełnienie obowiązku informacyjnego następuje przy pierwszym kontakcie, czyli już na etapie zbierania danych:

a) Osoby, korzystające z formularza kontaktowego umieszczonego na stronie internetowej Administratora zapoznają się z odpowiednią klauzulą informacyjną przed przesłaniem wiadomości.

3.2. Prawo dostępu do danych
Osoba, której dane dotyczą, jest uprawniona do uzyskania od Administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

1) jakie są cele przetwarzania,

2) jakie kategorie danych osobowych zbiera Administrator,

3) jakim odbiorcom (lub jakiej ich kategorii), dane osobowe zostały lub zostaną ujawnione, w szczególności odbiorcom z państw trzecich lub organizacji międzynarodowych,

4) jaki jest planowany okres przechowywania danych osobowych, a gdy nie jest
to możliwe, jakie są kryteria ustalania tego okresu,

5) informacje o prawie do żądania od Administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania,

6) informacje o prawie wniesienia skargi do organu nadzorczego,

7) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle,

8) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą,

9) jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach związanych z przekazaniem.

Prawo do dostępu do danych nie oznacza prawa do uzyskania kopii wszystkich dokumentów będących w posiadaniu lub wytworzonych przez Administratora a dotyczących danej osoby. Przesłanie za pośrednictwem poczty elektronicznej informacji zawierających dane osobowe może nastąpić wyłącznie na zweryfikowany adres e-mail w postaci zaszyfrowanej i zabezpieczonej hasłem.

3.3. Prawo do sprostowania danych

Osoba, której dane dotyczą, ma prawo żądania niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.

3.4. Prawo do usunięcia danych
Osoba, której dane dotyczą, ma prawo żądania od Administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a Administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

1) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane,

2) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania,

3) osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania,

4) dane osobowe były przetwarzane niezgodnie z prawem,

5) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega Administrator.

3.5. Prawo do ograniczenia przetwarzania

Ograniczenie przetwarzania to specjalne oznaczenie przechowywanych danych osobowych,
w celu ograniczenia ich przyszłego przetwarzania.
Osoba, której dane dotyczą, ma prawo żądania ograniczenia przetwarzania w następujących przypadkach:

1) jeżeli kwestionuje ona prawidłowość danych osobowych – na okres pozwalający Administratorowi sprawdzić prawidłowość tych danych,

2) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,

3) Administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń.
Jeżeli przetwarzanie zostało ograniczone, takie dane osobowe można przetwarzać,
z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.

Administrator informuje o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania, których dokonał zgodnie z Rozporządzeniem PE (według art. 16, 17.1, 18 Rozporządzenia) każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą o tych odbiorcach, jeżeli osoba, której dane dotyczą tego zażąda.

3.6. Prawo do przenoszenia danych

Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła do Administrator oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony Administratora, któremu dostarczono te dane osobowe, jeżeli przetwarzanie odbywa się na podstawie zgody lub na podstawie umowy oraz przetwarzanie odbywa się w sposób zautomatyzowany – przetwarzanie w ramach działalności Administratora nie odbywa się w sposób zautomatyzowany.

3.7. Prawo do sprzeciwu

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych, gdy:

1) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi lub

2) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub przez stronę trzecią, z wyjątkiem sytuacji,
w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych,
w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.
Żadna z powyższych przesłanek nie stanowi podstawy przetwarzania danych w procesach realizowanych przez Administratora, zatem prawo do wyrażenia sprzeciwu nie znajdzie zastosowania.

UPOWAŻNIENIA DO PRZETWARZANIA DANYCH

Administrator danych zapewnia aby dostęp do danych osobowych w AIM Centrum Edukacyjne s. c. Adriana Grzywacz, Mariola Rapicka miały tylko osoby legitymujące się nadanym przez ADO upoważnieniem. Upoważnienia określają do jakich operacji użytkownicy są uprawnieni oraz na jaki czas. Administrator prowadzi ewidencję osób upoważnionych.

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH W IMIENIU ADMINISTRATORA

1. Outsourcing usług wiąże się z podpisaniem umowy działania w imieniu Administratora zgodnie z art. 28 RODO (tzw. umowa powierzenia danych lub inny instrument prawny). Sama umowa świadczenia usługi powinna określać usługi, które ma wykonywać usługodawca oraz ich parametry techniczne, ponieważ jest to prawnie wiążący kontrakt pomiędzy dostawcą i Administratorem.

2. Administrator powierza przetwarzanie danych osobowych:
a) Podmiotowi zapewniającemu obsługę księgową – wyłącznie w zakresie danych niezbędnych do prawidłowego udokumentowania rozliczeń;
b) Podmiotowi świadczącemu usługi informatyczne – w związku ze zdalnym dostępem do danych przetwarzanych na komputerze służbowym Administratora w przypadku problemów lub awarii;
c) Podmiotowi świadczącemu usługę hostingu dla strony internetowej oraz poczty elektronicznej Administratora – w związku z dostępem oraz zapewnieniem kopii zapasowych danych osób kontaktujących się za pośrednictwem strony internetowej oraz poczty elektronicznej;

3. Administrator powierzając realizację swoich zadań podmiotom przetwarzającym w każdym przypadku sprawdził czy podmiot przetwarzający daje gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych spełniających wymogi RODO i chroniących prawa osób, których dane dotyczą.

4. Na mocy umów powierzenia zawartych z tym podmiotami Administrator lub upoważniony przez niego audytor ma prawo przeprowadzania w nich audytu w zakresie przetwarzania danych osobowych w imieniu Administratora.

5. Podmiot przetwarzający może rozpocząć realizację swoich zadań po uprzednim uzyskaniu upoważnienia i polecenia na przetwarzanie danych osobowych Administratora zawartego w umowie lub innym instrumencie prawnym.

6. Podmiot przetwarzający może w ramach podpowierzania korzystać z usług innych podmiotów przetwarzających pod warunkiem uzyskania zgody Administratora.

7. Informacja na temat każdej umowy powierzenia musi znaleźć się w prowadzonym przez Administratora Rejestrze Czynności Przetwarzania.

REJESTR CZYNNOŚCI PRZETWARZANIA

W celu zapewnienia rozliczalności działań Administrator danych prowadzi rejestr czynności przetwarzania. Czynnością przetwarzania jest zespół powiązanych ze sobą operacji na danych (takich jak zbieranie, utrwalanie, porządkowanie, przechowywanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, przesyłanie, udostępnianie, dopasowywanie, ograniczanie, usuwanie lub niszczenie), wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane.
W rejestrze tym zamieszcza się: imię i nazwisko oraz dane kontaktowe administratora, cele przetwarzania, opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych, kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych, informacje na temat przekazania danych osobowych do państwa trzeciego, planowane terminy usunięcia poszczególnych kategorii danych, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

ANALIZA RYZYKA

1. Raport z analizy ryzyka wraz z analizą wymagalności przeprowadzenia oceny skutków dla ochrony danych (DPIA) dla czynności/procesów wskazanych w Rejestrze Czynności Przetwarzania stanowi osobny dokument. Jej wyniki umożliwiają podejmowanie decyzji związanych z przeciwdziałaniem zagrożeniom, wdrażaniem skutecznych metod ochrony oraz zarządzaniem ryzykiem tj. podjęcie działań zaradczych poprzez zastosowanie środków technicznych i organizacyjnych obniżających istniejące ryzyko do akceptowalnego poziomu.

2. Analiza ryzyka dla poszczególnych czynności/procesów opisanych w RCP przeprowadzana jest obowiązkowo w przypadku pojawienia się nowej czynności/procesu lub w razie znaczącej zmiany w przebiegu już istniejących. Analiza prowadzona jest również w przypadku zaistnienia niezidentyfikowanego wcześniej zagrożenia.

3. Administrator ma obowiązek uwzględniania ochrony danych już w fazie projektowania systemu lub dokumentacji, w której znajdą się dane osobowe. „Faza projektowania” oznacza, że Administrator zobowiązany jest przewidywać pewne rozwiązania już w czasie planowania (warstwa koncepcyjna). Rozwiązania te mają spełniać wymogi RODO oraz chronić prawa osób, których dane dotyczą.

WYKAZ ZABEZPIECZEŃ

Uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
Szczegóły dotyczące zabezpieczeń zastosowanych w konkretnych procesach przetwarzanie realizowanych u Administratora znajdują się w Rejestrze czynności przetwarzania.

PROCEDURA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH

Administrator danych wprowadza do stosowania procedurę postępowania z incydentami naruszenia danych osobowych.

PLIKI COOKIES I NARZĘDZIA

1. Administrator może przetwarzać dane zawarte w plikach Cookies podczas korzystania przez odwiedzających ze strony AIM Centrum Edukacyjne s. c. Adriana Grzywacz, Mariola Rapicka, w następujących celach:
1.1 zapamiętywania danych z wypełnianych Formularzy zgłoszeniowych lub ankiet;
1.2 prowadzenia anonimowych statystyk przedstawiających sposób korzystania ze strony AIM Centrum Edukacyjne s. c. Adriana Grzywacz, Mariola Rapicka;

2. Ustawienia przeglądarki internetowej w zakresie plików Cookies są istotne z punktu widzenia zgody na korzystanie z plików Cookies przez naszą stronę – zgodnie z przepisami taka zgoda może być również wyrażona poprzez ustawienia przeglądarki internetowej. W przypadku braku wyrażenia takiej zgody należy odpowiednio zmienić ustawienia przeglądarki internetowej w zakresie plików Cookies.

3. Administrator może korzystać w aplikacji zgłoszeniowej z usług Google Analytics, Universal Analytics dostarczanych przez firmę Google Inc. Usługi te pomagają Administratorowi analizować ruch w aplikacji. Gromadzone dane przetwarzane są w ramach powyższych usług w sposób zanonimizowany (są to tzw. dane eksploatacyjne, które uniemożliwiają identyfikację osoby) do generowania statystyk pomocnych. Dane te mają charakter zbiorczy i anonimowy, tj. nie zawierają cech identyfikujących (danych osobowych).