Polityka Ochrony Danych Osobowych

z dnia: 25 maja 2018 roku, zaktualizowana w dniu 01/07/2021 roku

 

§ 1. Administratorzy i Definicje 

  1. Niniejsza Polityka Ochrony Danych Osobowych (dalej: „Polityka”) stanowi ogólną regulację zasad i wymogów dotyczących ochrony danych osobowych (dalej także: „ochrona danych”) obowiązujących u Administratora: IT Professionals Sp. z o.o. Grzybowska 80/82, lok. 700, 00-844 Warszawa, wpisaną do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS 0000626275, NIP 7010592655, REGON: 364872181, wpisaną do rejestru KRAZ pod numerem 21150.
  2. Niniejsza Polityka, wraz z przywołanymi w niej dokumentami dotyczącymi ochrony danych, stanowi „politykę ochrony danych” w rozumieniu art. 24 ust. 1 ust. 2 Ogólnego Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. UE L 119, s. 1) (dalej: „RODO”).
  3. Szczegółowe zasady ochrony danych i przyjęte procedury zostały opisane w osobnej dokumentacji będącej integralną częścią niniejszej Polityki, stanowią dowody rozliczalności o których mowa w art. 5 ust. 2 RODO. Szczegółowe polityki ochrony danych osobowych opisujące stosowane środki techniczno – organizacyjne mają charakter poufny i nie są podawana do wiadomości ogólnej.
  4. Przez dane osobowe (dalej: „dane osobowe” lub „dane”) rozumie się, zgodnie z RODO, informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
  5. Za dane osobowe w rozumieniu RODO uważa się także dane osoby fizycznej prowadzącej działalność gospodarczą.
  6. Podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
  7. Zgoda w niniejszej Polityce rozumiana jest zgodnie z RODO, jako dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
  8. Przez transgraniczne przetwarzanie danych osobowych rozumie się:
    a) przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności jednostek organizacyjnych w więcej, niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego w Unii posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim; albo
    b) przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim.
  9. Przetwarzanie danych osobowych oznacza, zgodnie z RODO operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
  10. Ograniczenie przetwarzania – oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania.
  11. Naruszenie ochrony danych osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
  12. Organizacja międzynarodowa – oznacza organizację i organy jej podlegające działające na podstawie prawa międzynarodowego publicznego lub inny organ powołany w drodze umowy między co najmniej dwoma państwami lub na podstawie takiej umowy.

§ 2. Podmioty Odpowiedzialne

  1. Osobami odpowiedzialnymi za wdrożenie i utrzymanie oraz nadzór i monitorowanie przestrzegania niniejszej Polityki oraz zasad ochrony danych osobowych jest Administrator.
  2. Za stosowanie Zbioru Polityk oraz zasad ochrony danych odpowiedzialni są wszyscy członkowie Personelu Spółki.
  3. Za członków Personelu, w rozumieniu Zbioru Polityk, rozumie się następujące osoby pozostające w strukturach Administratora:
    • pracowników w rozumieniu prawa pracy,
    • osoby zatrudnione na umowach cywilnoprawnych,
    • współpracowników prowadzących działalność gospodarczą.
  4. Członkowie Personelu określani są dalej w Zbiorze Polityk także jako „Pracownicy”/”Współpracownicy”

§ 3. Zasady Ochrony Danych

  1. Przetwarzane dane są:
    • zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
    • zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);
    • adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
    • prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
    • przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
    • przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
  2. Wszelkie działania dotyczące ochrony danych osobowych winny mieć na względzie sformułowaną w RODO zasadę rozliczalności, nakazującą dokumentowanie przez Administratora sposobu spełniania obowiązków tak, aby w każdej chwili móc wykazać zgodność z RODO.
  3. Przetwarzanie danych dotyczących wyroków skazujących jest niedopuszczalne.

    § 4. Upoważnienia do Przetwarzania Danych

    1. Wszystkie osoby dokonujące przetwarzania danych osobowych mogą działać jedynie na podstawie oraz w granicach polecenia i upoważnienia wydanego przez Administratora.
    2. Administrator prowadzi rejestr wydanych pleceń i upoważnień.
    3. Podmioty zewnętrzne (dalej: „podmioty przetwarzające”), a więc podmioty nie decydujące o celach i sposobach przetwarzania danych, dokonują przetwarzania danych osobowych jedynie na podstawie oraz w granicach umowy powierzenia przetwarzania danych osobowych danych osobowych zawartych z Administratorem/Administratorami.
    4. Prowadzi się  rejestry umów powierzenia przetwarzania danych osobowych.

    § 5. Prawa i Obowiązki Dotyczące Praw Osoby Fizycznej

    1. Wszelkie informacje kierowane do osób, których dane są przetwarzane przez Administratora, wskazują podstawę prawną przetwarzania. Przepisy RODO dopuszczają możliwość przetwarzania danych osobowych jedynie w ściśle określonych przypadkach, spośród których występują następujące:
      • gdy osoba, której dane dotyczą, wyraziła zgodę na podstawie art. 6 ust. 1 lit. a RODO (np. w celu rekrutacji lub w celu pozostawienia sowich danych w celu przyszłych rekrutacji). Zgoda ta będzie także rozumiana, jako dobrowolne działanie osoby fizycznej;
      • gdy osoba, której dane dotyczą, wyraziła pisemną zgodę na podstawie art. 9 ust. 2 lit. a RODO;
      • gdy przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; zgodnie z art. 6 ust. 1 lit. b RODO (np. przetwarzanie danych osobowych w celu nawiązania umowy o pracę w zakresie danych wskazanych w art. 221 kodeksu pracy), nadto dane osobowe usługodawców i usługobiorców;
      • gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze; zgodnie z art. 6 ust. 1 lit. c RODO (np. w zakresie archiwizacji danych osobowych), np. na podstawie obowiązujących przepisów podatkowych, itp.;
      • gdy przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
      • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem;
      • przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą, na podstawie art. 9 ust. 2 lit. b RODO, np. w zakresie kierowania pracowników na badania medycyny pracy.
    2. Administrator spełnia względem osób, których dane przetwarza obowiązki informacyjne – przekazując wymagane prawem informacje przy zbieraniu danych (klauzule informacyjne).
      • Informacje dla kandydatów do pracy [tu]
      • Informacje dla Kontrahentów [tu]
      • Informacje dla osób obserwujących fanpage [tu]
    3. Osoba, której dane są przetwarzane, może w każdej chwili odwołać zgodę na przetwarzanie danych. Odwołanie zgody wywołuje wyłącznie skutki na przyszłość. W przypadku osób, które łączyła z Administratorem umowa, można przechowywać odpowiednio zabezpieczone dane w ilości niezbędnej do dochodzenia w przyszłości roszczeń z zawartej i realizowanej umowy, nie dłużej niż do czasu przedawnienia roszczeń lub odrębnych przepisów podatkowych. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano przed jej odwołaniem.
    4. W razie zajścia przypadku naruszenia ochrony danych osobowych polegającego w szczególności na:
      • naruszeniu bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia albo zmodyfikowania danych osobowych;
      • naruszeniu bezpieczeństwa prowadzącym do nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, obowiązuje ściśle określona w RODO procedura zgłaszania naruszenia danych oraz zawiadamiania osób, których dane dotyczą. Prowadzony jest rejestr naruszeń wymagany przepisami art. 33 ust. 5 RODO;
      • administrator stosuje procedurę oceny powagi naruszenia rekomendowaną przez Urząd Ochrony Danych Osobowych na podstawie metodologii  przygotowanej przez Agencję Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA).
    5. Zgodnie z art. 15 RODO każda osoba fizyczna ma prawo dostępu do swoich danych osobowych i uzyskania ich kopii, oraz na podstawie art. 16 RODO prawo do sprostowania danych osobowych (ich aktualizacji).
    6. Osobie, której dane dotyczą, przysługuje prawo do bycia zapomnianą. Prawo to polega na:
      • możliwości żądania przez osobę, której dane dotyczą, usunięcia jej danych osobowych przez Administratora,
      • możliwości żądania, aby Administrator poinformował innych administratorów danych, którym udostępnili dane osobowe lub je powierzyli, że osoba, której dane dotyczą, żąda, by dane jej zostały trwale usunięte wraz z istniejącymi ich kopiami.
    7. Na podstawie art. 18 RODO każda osoba fizyczna ma prawo żądania do ograniczenia przetwarzania danych osobowych, jeżeli:
    8. kwestionuje prawidłowość swoich danych,
      • przetwarzanie jest niezgodne z obowiązującymi przepisami prawa,
      • administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą do ustalenia, dochodzenia i obrony roszczeń,
      • osoba której dane dotyczą wniosła sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
    9. Osobie, której dane dotyczą, przysługuje prawo do przenoszenia danych. Prawo to polega na możliwości żądania:
      • otrzymania przez osobę, której dane dotyczą, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, danych osobowych jej dotyczących, które dostarczyła Administratorom,
      • prawo przesłania przez osobę, której dane dotyczą, danych osobowych jej dotyczących, które dostarczyła Administratorowi – innemu administratorowi, bez przeszkód ze strony Administratora.
    10. Prawo do przenoszenia danych może być wykonane wyłącznie wtedy, gdy:
      • przetwarzanie danych odbywa się na podstawie zgody lub w celu wykonania umowy oraz
      • przetwarzanie danych odbywa się w sposób zautomatyzowany. Prawo do przenoszenia danych obejmuje tylko dane osobowe przetwarzane przy użyciu systemów informatycznych i nie obejmuje tradycyjnych, np. papierowych zbiorów danych.
    11. Prawo do sprzeciwu np. (jeżeli przetwarzanie danych osobowych odbywa się na podstawie prawnie uzasadnionego interesu administratora).
    12. Prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji w tym profilowaniu.
    13. Prawo zgłoszenia przypuszczeń naruszenia przepisów o ochronie danych osobowych przez Administratora w tym zasad ich przetwarzania do Prezesa Urzędu Ochrony Danych Osobowych z siedzibą w (00-193) Warszawie, przy ul. Stawki 2.

          § 6. Okres Przechowywania Danych Osobowych

          1. Jeżeli podstawą przetwarzania danych osobowych jest zgoda, dane osobowe mogą być przetwarzane tak długo, aż zgoda nie zostanie odwołana, chyba że szczegółowe polityki stanowią inaczej (informacje te są podawane każdorazowo w obowiązku informacyjnym w czasie zbierania danych osobowych). Stosuje się procedurę  usuwania oraz archiwizacji danych osobowych zgodnie z zasadą czasowości przetwarzania danych w korelacji z obowiązującymi przepisami wynikającymi, np. w kodeksu pracy, kodeksu cywilnego, ustawy o rachunkowości, itp.
          2. Jeżeli podstawą przetwarzania danych osobowych jest wykonanie umowy, dane osobowe mogą być przetwarzane tak długo, jak jest to niezbędne do wykonania umowy, a po tym czasie przez okres wynikający z obowiązku przechowywania danych księgowych i rachunkowych (na podstawie obowiązujących przepisów) lub przez okres niezbędny do dochodzenia lub przedawnienia roszczeń, jakie może podnosić Administrator lub jakie mogą być podnoszone w stosunku do nich.
          3. W pozostałych kwestiach okres przechowywania danych uregulowany jest osobnymi przepisami, które są respektowane przez Administratora.

          § 7. Bezpieczeństwo Danych Osobowych

          1. Należy mieć na uwadze, że przepisy RODO nie wskazują konkretnych środków zabezpieczenia danych osobowych, jednakże wprowadzają zasadę, że dobór środków bezpieczeństwa powinien być oparty o:
            • stan wiedzy technicznej,
            • koszt wdrażania,
            • charakter, zakres, kontekst i cele przetwarzania,
            • ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.
          2. Administrator uwzględniając cel i kontekst przetwarzania danych osobowych, przeprowadzili ocenę i analizę ryzyka jakie wiąże się z ich przetwarzaniem; na tej podstawie zastosowali odpowiednie środki techniczne i organizacyjne zabezpieczające dane (w tym w szczególności procedury, polityki, środki kryptograficzne, pseudonimizację).
          3. Administrator wdrożył szereg procedur mających na celu realizację ciągłości działania. Procedury te stanowią integralną część niniejszej polityki i mają charakter poufny ze względu na opisane i stosowane środki zabezpieczeń.
          4. Zasady przetwarzania danych osobowych kandydatów do pracy, którzy przesłali swoje dokumenty aplikacyjne za pośrednictwem strony itprofessionals.com.pl przetwarzane będą przez Podmiot Przetwarzający na zasadach określonych w obowiązującej u niego polityce prywatności, więcej na ten temat [tu].

          § 8. Źródła Danych Osobowych

          1. Administrator danych osobowych, pozyskuje dane osobowe bezpośrednio od podmiotów danych osobowych, realizuje obowiązki informacyjne, zgodnie z art. 13 ust. 1i ust. 2 RODO.
          2. Administrator danych osobowych może pozyskiwać także dane osobowe z innych źródeł, jak np. platformy LinkedIn – realizując obowiązki nałożone art. 14 RODO.; KRS, i innych w celu sprawdzenia podmiotów z którymi będą nawiązywać relacje handlowe.
          3. Administrator przetwarza także dane osobowe osób obserwujących i/lub lubiących, komentujących, itp. prowadzony fanpage na platformie Facebook pod nazwą: recruitment. Więcej na ten temat w § 5 ust. 2.2

           § 9. Polityka Plików Cookies

          1. Wprowadzenie

          Niniejsza polityka dotycząca plików cookie (czyli. ciasteczek) wyjaśnia, czym są pliki cookie i jak ich używamy. Należy zapoznać się z niniejszymi zasadami, aby zrozumieć, czym są pliki cookie, jak ich używamy, jakiego rodzaju pliki cookie używamy, tzn. jakie informacje zbieramy za pomocą plików cookie i jak te informacje są wykorzystywane oraz jak kontrolować preferencje dotyczące plików cookie. Więcej informacji na temat sposobu, w jaki wykorzystujemy, przechowujemy i zabezpieczamy Państwa dane osobowe, znajduje się w naszej Polityce Prywatności.

          Dowiedz się więcej o tym, kim jesteśmy, jak możesz się z nami skontaktować i jak przetwarzamy dane osobowe w naszej Polityce prywatności.

          Twoja zgoda dotyczy następujących domen: itprofessionals.com.pl

          2. Co to są ciasteczka?

          Ciasteczka to małe pliki tekstowe, które służą do przechowywania informacji potrzebnych do działania aplikacji internetowej. Pliki te są zapisywane na urządzeniu użytkownika po załadowaniu strony internetowej do jego przeglądarki. Pliki te pomagają nam w zapewnieniu prawidłowego funkcjonowania strony internetowej, zwiększeniu jej bezpieczeństwa, ułatwieniu korzystania z niej i zrozumieniu jej działania, a także w analizie tego, co działa, a co wymaga poprawy.

          3. Jak używamy ciasteczek?

          Jak większość usług online, nasza strona korzysta z plików cookie. Pliki cookie, które wykorzystujemy są niezbędne do prawidłowego funkcjonowania strony internetowej i nie zbierają żadnych danych osobowych.

          4. Jakich plików cookie używany?

          W tej sekcji znajdziecie Państwo informacje o plikach cookie używanych na naszej stronie.

          Niezbędne

          Niezbędne pliki cookie są absolutnie konieczne do prawidłowego funkcjonowania strony internetowej. W tej kategorii znajdują się tylko te pliki cookie, które zapewniają podstawowe funkcje i zabezpieczenia strony internetowej. Te pliki cookie nie przechowują żadnych danych osobowych.

          COOKIE OPIS Czas przechowywania na urządzeniu końcowym
           
          remember Zawiera informacje, które serwer aplikacji może wykorzystać do automatycznego uwierzytelnienia użytkownika przy kolejnej wizycie w instancji.  
          laravel_session XSRF_token

          Używany do śledzenia sesji. Śledzi dane użytkownika, takie jak dane uwierzytelniające zalogowanego.

          XSRF_token jest używany do zatrzymywania postscriptów cross-site, oraz do ustawiania czasu życia formularza dla celów bezpieczeństwa.

           
          viewed_cookie_policy Ustawiany przez wtyczkę Zgoda GDPR Cookie i jest używany do przechowywania, czy użytkownik wyraził zgodę na używanie plików cookie. Nie przechowuje on żadnych danych osobowych.  
          cookielawinfo-checkbox-necessary Ustawiane przez wtyczkę GDPR Cookie Consent. Używane do przechowywania zgody użytkownika na pliki cookie w kategorii „Niezbędne”.  

          5. Jak mogę kontrolować moje preferencje dotyczące plików cookie?

          W każdym momencie można modyfikować zarządzanie ciasteczkami poprzez ustawienia swojej przeglądarki. Cofniecie zgody wyłączy korzystanie z wszystkich ciasteczek i może wpłynąć na niektóre funkcje strony: itprofessionals.com.pl powodując całkowite lub częściowe zablokowanie niektórych jej funkcji.

          Chcąc zmienić ustawienia przeglądarki w zakresie ciasteczek, można skorzystać  z poniższych instrukcji:

          Powyższe typy przeglądarek zostały wskazane przykładowo. Z uwagi na dużą różnorodność stosowanych przeglądarek, mogą występować pewne różnice w sposobie takiego ich ustawienia, który uniemożliwiałyby instalowanie ciasteczek. Zwykle informacje odnośnie do ciasteczek można znaleźć w menu „Narzędzia” lub „Opcje”. Bardziej szczegółowe informacje w tym zakresie można najczęściej znaleźć na stronie producenta danej przeglądarki.