Rejestr czynności przetwarzania

  1. Administrator

Administratorem danych jest C’MON Studio S.C z siedzibą w Częstochowie, przy ul. Św. Jadwigi 18, 

NIP: 5732896033 (zwana dalej: „Firmą”).

  1. Cele przetwarzania danych
  1. sprzedaż Usług będących przedmiotem oferty
  2. doręczanie mailingów informacyjnych i reklamowych
  3. organizowanie warsztatów, eventów sportowych
  4. organizacja zajęć sportowych i kursów edukacji sportowej
  5. działalność związana ze sportem i zdrowym trybem życia
  1. Kategoria osób, których dane są przetwarzane

Firma przetwarza dane klientów oraz pracowników, osób samozatrudnionych oraz innych podmiotów współpracujących, w tym również podmiotów zewnętrznych.

  • Kategorie podmiotów, które posiadają dostęp do danych

Do danych osobowych mają dostęp wszyscy członkowie zespołu Firmy. Dostęp do poszczególnych kategorii osób rozdzielone są poprzez ograniczenie uprawnień technicznych wejścia do wspólnego dysku lub folderu. Na podobnej zasadzie, dokumenty są również zabezpieczone fizycznie w szafkach zamykanych na klucz.

Lista podmiotów zewnętrznych, które mają dostęp do danych osobowych znajduje się tutaj: https://docs.google.com/spreadsheets/d/1NZ3Vr_3lzzYCoMJQ3RM5mPXVyYo-WdRL5uIVCANuFQ4/edit#gid=673324578 Polityka prywatności każdego z tych podmiotów mieści się na ich stronach podanych w powyższym linku. 

Polityka prywatności każdego z tych podmiotów mieści się na ich stronach internetowych.

Powyższe podmioty gwarantują przestrzeganie Rozporządzenia lub przestrzeganie analogicznych do Rozporządzenia standardów w zakresie ochrony danych osobowych, a korzystanie przez Administratora z ich technologii przy przetwarzaniu danych osobowych jest zgodne z prawem. Z podmiotami zawarte zostały umowy powierzenia, przeważnie w formie aktualizacji ich regulaminów.

Administrator nie będzie sprzedawać ani przekazywać danych osobowych Klientów innym podmiotom innym niż podanym w linku.

Użytkownik przyjmuje do wiadomości, iż jego dane osobowe mogą być przekazywane uprawnionym organom państwowym w związku z prowadzonymi przez nie postępowaniami, na ich żądanie i po spełnieniu przesłanek potwierdzających niezbędność pozyskania od nas tych danych.

  1. Kategorie danych
    1. Administrator przetwarza następujące dane Klienta:
      1. nazwisko i imiona,
      2. adres e-mail
      3. telefon
      4. adres zamieszkania [kod pocztowy]
      5. wiek
      6. aktywność względem poszczególnych projektów
      7. aktywność względem korzystania z poszczególnych usług.
      8. niezbędne dane zdrowotne związane z realizacją usługi.
      9. dane osobowe lub informacje do których poboru jesteśmy zobligowani na mocy obowiązujących aktów prawnych, zaleceń lub wytycznych

W przypadku, gdy uczestnikiem zajęć tanecznych są dzieci, przetwarzane są dane zarówno ich jak i ich rodziców.

  1. Administrator przetwarza adres e-mail oraz imię odbiorcy newslettera.
  2. Dla pracowników zespół przetwarzanych danych wynika z przepisów kadrowych.
  1. Przechowywanie danych
  1. Dane pracowników oraz osób samozatrudnionych są przechowywane przez cały okres działalności spółki/ firmy za wyjątkiem powierzeń:
    1. kancelaria prawna, minimum do czasu przedawnienia terminu ewentualnego roszczenia nie, przez okres minimum 5 lat;
    2. zewnętrzna firma księgowa, przez okres minimum do czasu przedawnienia terminu ewentualnego roszczenia, nie krócej aniżeli wynika to z przepisów ustawy o rachunkowości tj. minimum 5 lat.
  2. Dane pracowników tj. listy płac, karty wynagrodzeń albo inne dowody, na podstawie których następuje ustalenie podstawy wymiaru emerytury lub renty firma zobowiązana jest przechowywać przez okres minimum 10 lat od dnia zakończenia przez ubezpieczonego pracy u danego płatnika.
  3. Okres przechowywania danych, nie będzie krótszy aniżeli wynika z obowiązujących przepisów prawa (z ustaw szczególnych) tj. m.in.: ustawy o rachunkowości, ordynacji podatkowej, ustawy o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych, czy ustawy o systemie ubezpieczeń społecznych.
  4. Dane odbiorców newslettera przechowywane będą do wniosku o ich usunięcie,
  5. Dane Klientów przechowywane będą do upływu okresu przedawnienia roszczeń z ich tytułu.

Firma zobowiązuje się do niszczenia powstałych tymczasowo dokumentów zawierających dane osobowe (np. lista uczestników konkretnego eventu lub zajęć) oraz dbałości o obieg danych i ich minimalizację zgodnie z poniższymi procedurami.

  • Techniczne i organizacyjne środki bezpieczeństwa
  1. Przez bezpieczeństwo informacji rozumie się zapewnienie:
  1. uniemożliwienia dostępu do danych osobom trzecim;
  2. uniknięcia nieautoryzowanych zmian w danych;
  3. zapewnienia dostępu do danych, w każdym momencie żądanym przez użytkownika
  1. Jako dane podlegające szczególnej ochronie (informacje poufne) rozumie się:
    1. informacje o realizowanych kontraktach (zarówno planowane, bieżące jak i historyczne),
    2. informacje finansowe Firmy,
    3. dane osobowe.
  1. Zasada minimalnych uprawnień
  1. W ramach nadawania uprawnień przetwarzanych danych stosujemy zasadę „minimalnych uprawnień”, to znaczy przydzielamy minimalne uprawnienia, które są konieczne do wykonywania pracy na danym stanowisku.
  • Zasada zabezpieczeń

System IT Firmy jest chroniony celem uzyskania skutecznej ochrony danych.

  1. Dostęp do danych poufnych na stacjach PC

Dostęp do danych poufnych w LAN realizowany jest na przeznaczonych do tego serwerach.

  1. Publiczne udostępnianie infrastruktury IT

Infrastruktura udostępniona publicznie jest szczególnie zabezpieczona.

Przykładowe środki bezpieczeństwa:

  1. separacja od sieci LAN
  2. hardening systemu
  1. Kopie zapasowe
  1. Każde istotne dane są  być archiwizowane na wypadek awarii w firmowej infrastrukturze IT.
  2. Nośniki z kopiami zapasowymi są przechowywane w miejscu uniemożliwiającym dostęp osobom nieupoważnionym.
  3. Okresowo kopie zapasowe są testowane pod względem rzeczywistej możliwości odtworzenia danych.
  1. Dostęp do systemów IT po zakończeniu współpracy

W przypadku rozwiązania współpracy pracownika z Firmą niezwłocznie dezaktywowane są wszelakie jego dostępy w systemach IT oraz w terminie 1 roku od dnia rozwiązania współpracy dezaktywowane są indywidualnie przyporządkowane do pracownika adresy e-mail.

  1. Zabezpieczenie stacji roboczych
  1. Stacje robocze są zabezpieczone przed nieautoryzowanych dostępem osób trzecich. Środki ochrony to:
  1. zainstalowane na stacjach systemy typu: firewall oraz antywirus,
  2. wdrożony system aktualizacji systemu operacyjnego oraz jego składników,
  3. wymaganie podania hasła przed uzyskaniem dostępu do stacji,
  4. bieżąca praca z wykorzystaniem konta nieposiadającego uprawnień administracyjnych.
  1. Wykorzystanie haseł
  1. Hasła są okresowo zmieniane.
  2. Hasła nie są przechowywane w formie otwartej 
  3. Hasła nie są przekazywane osobom trzecim.
  4. Hasła nie są łatwe do odgadnięcia, to znaczy:
  1. składają się z minimum 8 znaków, w tym jeden znak specjalny, cyfra i wielka litera,
  1. Odpowiedzialność pracowników za dane poufne

Pracownicy zobowiązani są do strzeżenie danych poufnych, w tym osobowych.

  1. Odpowiedzialność pracowników za dane dostępowe do systemów
  1. Każdy pracownik zobowiązany jest do ochrony swoich danych dostępowych do systemów informatycznych. Dane dostępowe obejmują między innymi takie elementy jak:
    1. hasła dostępowe,
    2. klucze softwareowe (pliki umożliwiające dostęp – np. certyfikaty do VPN) oraz sprzętowe,
    3. inne mechanizmy umożliwiające dostęp do systemów IT.
  1. Przykłady ochrony danych dostępowych

nieprzekazywanie dostępów do systemów IT innym osobom (np. przekazywanie swojego hasła dostępowego osobom trzecim),

nieprzechowywanie danych w miejscach publicznych (np. zapisywanie haseł dostępowych w łatwo dostępnych miejscach),

ochrona danych dostępowych przed kradzieżą przez osoby trzecie.

  1. Systemy IT/serwery

Systemy IT przechowujące dane poufne (np. dane osobowe) są odpowiednio zabezpieczone. W szczególności dbamy o poufność, integralność i rozliczalność danych przetwarzanych w systemach.

  1. Dokumentacja papierowa
  1. Dokumentacja papierowa zawierająca dane osobowe zamykana jest na klucz. Dostęp do kluczy mają tylko osoby uprawnione, które podpisały oświadczenia o zabezpieczaniu danych osobowych.
  2. Osoba odpowiedzialna za księgowość przechowuje wszelką dokumentację papierową zawierającą dane osobowe klientów oraz pracowników Firmy w szafie zamykanej na klucz. Dostęp do kluczy mają tylko osoby uprawnione, które podpisały oświadczenia o zabezpieczaniu danych osobowych.
  3. W przypadku wizyty klienta w siedzibie Firmy nie ma on dostępu do szafek, biurek i drukarek. 
  1. Ograniczony dostęp do biura

Dostęp do budynku Firmy jest ograniczony poprzez drzwi wejściowe i alarm

  1. Naruszenie danych osobowych

Pracownik zobowiązany jest do poinformowania o naruszeniu w ciągu 24 godzin. O ile wystąpi taka konieczność zgłoszenie naruszenia danych osobowych następuje w ciągu 48 godzin od daty powzięcia informacji o powyżej wymienionym zdarzeniu, zgodnie z poniżej przedstawionym schematem.

  1. Formularze

Raport z naruszenia ochrony danych osobowych w Firmie zawiera następujące informacje:

  1. data, godzina
  2. dane osoby powiadamiającej o zaistniałym zdarzeniu (imię, nazwisko, stanowisko służbowe, nazwa użytkownika (jeżeli występuje)
  3. lokalizacja zdarzenia: (np., nazwa pomieszczenia, nazwa bazy danych)
  4. rodzaj naruszenia bezpieczeństwa
  5. podjęte działania
  6. przyczyny wystąpienia zdarzenia
  7. postępowanie wyjaśniające
  8. podjęte środki techniczne, organizacyjne i dyscyplinarne w celu zapobiegania w przyszłości podobnych naruszeń ochrony danych osobowych.
  1. Prawo do usunięcia/zmiany danych

Jeśli klient chce usunąć swoje dane przetwarzane przez Firmę powinien stawić się w siedzibie firmy osobiście w celu weryfikacji danych – niemożliwa jest weryfikacja np. poprzez PESEL, ponieważ Firma go nie pobiera.

Firma usuwa dane z:

  1. fizycznej umowy wkładamy do niszczarki i niszczymy
  2. korespondencji mailowej usuwamy tylko taką, w której zawierają się dane osobowe, resztę zachowujemy jako dowód zawarcia transakcji
  3. systemów IT usuwamy tylko takie, w których zawierają się dane osobowe, resztę zachowujemy jako dowód zawarcia transakcji.

programu fakturowego – zostawiamy z powodu przepisów ustawy o rachunkowości.

  • Wgląd do danych osobistych

Jeśli jakikolwiek podmiot, którego dane są przetwarzane przez Firmę chce otrzymać wgląd do swoich danych i je poprawić/zaktualizować, powinien stawić się w siedzibie firmy osobiście w celu weryfikacji danych – niemożliwa jest weryfikacja np. poprzez PESEL, ponieważ Firma go nie pobiera. Następnie po jego weryfikacji, dane klienta zostaną niezwłocznie zmienione/podane.

  • Procedura przeniesienia danych klienta

W sytuacji gdy klient zgłosi się z prośbą o przeniesienie jego danych do innej firmy, z którą aktualnie nawiązał współpracę, musi się on zgłosić się osobiście z podaniem adresu e-mail na który mają te dane zostać przez Firmę wysłane, a następnie po jego weryfikacji, dane klienta zostaną niezwłocznie zmienione/podane.