Administratorem danych jest firma Partnet. Zbiory danych przechowywane są w miejscu prowadzenia działalności: 25-308 Kielce, Bodzentyńska 16. Odbywa się to zgodnie z wymogami powszechnie obowiązujących przepisów prawa.
Respektując rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, a także zgodnie z ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000) – dalej jako UODO], do przetwarzania danych dopuszczone są wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
1. Źródła zbieranych danych osobowych
a) wizyta osobista
b) rozmowy telefoniczne
c) fanpage facebook
d) skrzynka e-mail
e) wypełnione ankiety medyczne klientów
f) wypełnione zgody opiekunów na zabieg
g) wypełnione umowy na wykonanie tatuażu
2. Cel zbierania danych osobowych
a) dane przetwarzane są w zakresie i celu niezbędnym do nawiązania, ukształtowania treści umowy, zmiany bądź jej rozwiązania oraz prawidłowej realizacji świadczonych usług
b) dane wrażliwe są przetwarzane w celu zapewnienia bezpiecznego i przewidywalnego przeprowadzenia zabiegu oraz kwalifikacji do zabiegu
3. Odmowa podania danych osobowych
a) konsekwencją niepodania danych osobowych, w tym przede wszystkim odmowa wypełnienia ankiety medycznej skutkuje odstąpieniem od wykonania usługi
b) odmowa przedstawienia dokumentu tożsamości, w przypadku osób, co do których nie ma pewności, że ukończyły 18 lat skutkuje odstąpieniem od wykonania usługi
4. Rodzaj niewrażliwych danych osobowych do przetwarzania
a) imię i nazwisko
b) adres e-mail
c) numer telefonu
d) adres facebook
e) sporadycznie – wiek
5. Rodzaj wrażliwych danych osobowych do przetwarzania
a) choroby i niedawne zabiegi
b) alergie, podatności na leki
c) przyjmowanie leków, alkoholu, substancji pobudzających
d) wizerunek (monitoring)
6. Dane statystyczne na stronie www
a) Ruch na stronie firmowej jest monitorowany przez statystyki pomagające poznaniu preferencji i zachowań użytkowników. Analiza tych statystyk jest anonimowa i stosujemy ją jedynie do oceny popularności poszczególnych podstron i słów kluczowych. Ciasteczka można zablokować w przeglądarce.
b) Nie umożliwiamy logowania / rejestracji / komentowania i nie pobieramy żadnych danych osobowych za pośrednictwem strony www.
7. Środki ochrony posiadanych danych osobowych
a) cykliczne szkolenia oraz budowanie wiedzy pracowników o konieczności ochrony danych osobowych
b) korzystanie z rozwiązań najlepszych producentów, dostęp szyfrowany certyfikatem SSL
c) wszystkie serwisy i konta mailowe mają długie hasła, zakwalifikowane jako silne
d) komputery mają założone hasła dostępowe, które zna jedynie personel firmy, na komputerach tych nie można instalować dodatkowego oprogramowania
e) dane wrażliwe oraz zgody na wykonanie zabiegu są anonimizowane i przechowywane na zapleczu w szafce zabezpieczonej kluczem, do której ma dostęp jedynie administrator
f) komputery mają aktualizowane oprogramowanie, chronione programem antywirusowym
g) miejsce pracy jest monitorowane przez kamery. Dane są szyfrowane i zabezpieczone dodatkowym kodem dostępowym PIN. Zapisane dane znajdują się w pamięci urządzenia i nie są dalej przetwarzane i magazynowane. Nowy zapis powoduje nadpisanie starszego.
h) rozmowy telefoniczne nie są rejestrowane, uzyskane od klientów dane wprowadzane są ręcznie do bazy klientów
8. Udostępnianie danych podmiotom zewnętrznym
a) firma nie udostępnia danych swoich klientów w celach reklamowych i marketingowych
b) dane księgowe klientów biznesowych firmy, dane pracowników oraz faktury kosztowe są udostępniane do biura finansowo-księgowego. Reguluje to odrębna umowa i polityka prywatności pomiędzy firmami
c) dane monitoringu mogą być udostępnione jedynie upoważnionym organom państwa na ich wyraźnie żądanie. Odbędzie się to wyłącznie w momencie wystąpienia zdarzenia mającego cechy naruszenia polityki prywatności bądź przepisów prawa. Zastrzegamy możliwość publicznego udostępnienia wizerunku osoby która dopuści się przestępstwa w granicach przewidzianych prawem
9. Udostępnianie danych sytuacjach kryzysowych
W sytuacjach kryzysowych np. związanych ze stanem wyjątkowym, kataklizmem lub epidemią dane osobowe Klientów (tj. imię nazwisko i nr telefonu lub e-mail) mogą zostać przekazane pracownikom Państwowej Inspekcji Sanitarnej lub innym służbom kryzysowym zgodnie z art. 9 ust. 2 lit. Przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową.
10. Ochrona danych osobowych i prywatności
a) Dane osobowe sa zamykane i zabezpieczone przed dostępem osób trzecich. Dostęp do części danych udzielony jest biuru finansowo-księgowemu, z którym sporządzona jest odrębna umowa dotycząca poufności.
b) miejsce pracy jest monitorowane przez kamery. Zapisane dane znajdują się w pamięci urządzenia i nie są dalej przetwarzane. Nowy zapis powoduje nadpisanie starszego. Wyłącznie w momencie wystąpienia zdarzenia mającego cechy naruszenia polityki prywatności bądź przepisów prawa nagranie może zostać udostępnione odpowiednim służbom.
c) Komputery oraz udostępnione konta mailowe i facebook są przeznaczone do wykonywania powierzonej pracy. Pracodawca może wykorzystywać oprogramowanie kontrolujące jakość pracy aby sprawdzać urządzenia użytkowane przez pracowników jak telefon komórkowy i laptop z wyłączeniem użytku prywatnego.
11. Naruszenia polityki prywatności
a) każde wykryte naruszenie zasad wynikających z polityki prywatności powinno być zgłaszane do administratora danych osobowych
b) nieumyślne bądź celowe naruszenie zasad polityki prywatności przez pracownika może być podstawą do zastosowania kary
12. Dostęp do przechowywanych danych
a) każda osoba, której dane dotyczą ma prawo dostępu do danych, sprostowania, usunięcia lub ograniczenia przetwarzania, prawo sprzeciwu, prawo wniesienia skargi do organu nadzorczego.
b) W celu zmiany, poprawy lub usunięcia danych osobowych należy skontaktować się z osobą nadzorującą przetwarzanie danych osobowych pod adresem e-mail: studio@thewhiterabbit.pl
c) zastrzegamy sobie prawo do dalszego przetwarzania danych osobowych po cofnięciu zgody tylko w zakresie na potrzeby dochodzenia ewentualnych roszczeń przed sądem lub jeżeli przepisy krajowe albo unijne bądź prawa międzynarodowego obligują nas do retencji danych.
13. Okres przechowywania danych
a) dane osobowe są przechowywane przez okres około 1 roku, poza przypadkami spornymi, które zostają zabezpieczone na potrzeby dochodzenia ew. roszczeń lub spraw sadowych do czasu rozwiązania sprawy.
b) rozmowy prowadzone przez internet lub skrzynkę mailową będą przechowywane bezterminowo w celach związanych z kontynuacją usług lub reklamacją
14. Niszczenie danych odbywa się komisyjnie w sposób trwale uniemożliwiający odczytanie zapisanych danych.
15. Każdej osobie przysługuje prawo wniesienia skargi do organu nadzorczego