KLAUZULA INFORMACYJNA – ART. 13 RODO
Zgodnie z art. 13 ust. 1 i ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE informuję, iż:
- Administratorem Państwa danych osobowych jest Emilia Kruk prowadząca Kancelarię Adwokacką z siedzibą w Genui przy ul. Assarotti 7/3 p., 16-122 (dalej zwana „ADO”).
- Państwa dane osobowe będą przetwarzane w celu świadczenia pomocy prawnej na podstawie zawartej umowy. Przetwarzanie Państwa danych jest niezbędne do udzielenia Państwu pomocy prawnej.
- Odbiorcą Państwa danych osobowych mogą być adwokaci i aplikanci adwokaccy (substytucji) oraz obsługujące kancelarię biuro księgowe, przy czym udostępnienie danych każdorazowo będzie ograniczone do niezbędnego zakresu umożliwiającego prawidłowe świadczenie pomocy prawnej oraz rozliczenie księgowe.
- Państwa dane osobowe nie będą przekazywane do państwa trzeciego lub organizacji międzynarodowej.
- Państwa dane osobowe będą przechowywane przez okres niezbędny do realizacji pomocy prawnej objętej umową.
- Przysługuje Państwu prawo dostępu do swoich danych osobowych, prawo do żądania poprawienia, usunięcia lub ograniczenia przetwarzania tych danych i prawo do przenoszenia danych.
- Mają Państwo prawo wniesienia skargi do organu nadzoru, gdy uznają Państwo, że przetwarzanie to narusza przepisy.
- Państwa dane nie będą przetwarzane w sposób zautomatyzowany, w tym również w formie profilowania.
POLITYKA OCHRONY DANYCH OSOBOWYCH
Adwokat Emilia Kruk prowadząca działalność pod Kancelaria Adwokacka Emilia Kruk, jako administrator danych osobowych (ADO) ustala następującą politykę ochrony danych osobowych:
- ADO dokonuje oceny ryzyka związanego z przetwarzaniem danych osobowych i podejmuje wszelkie adekwatne do ryzyka środki w celu zabezpieczenia przetwarzania danych osobowych.
- Dane osobowe są przetwarzane wyłącznie w niezbędnym zakresie wynikającym z działalności ADO. W każdym przypadku, kiedy zakres przetwarzanych danych nie jest uzasadniony realizacją celu, dla którego dane zostały udostępnione, dochodzeniem roszczeń lub nie występuje inna przesłanka legalizacyjna przetwarzania danych, dane mogą być przetwarzane wyłącznie za zgodą osoby, której dotyczą.
- Każda osoba fizyczna, której dane są przetwarzane jest informowana w szczególności o:
- podmiocie przetwarzającym dane
- celu i zakresie przetwarzania danych
- dobrowolności podania danych
- możliwości dostępu do danych
- prawie do żądania usunięcia danych a także ich przeniesienia i poprawienia
- okresie czasu po jakim dane zostaną usunięte
- możliwości złożenia skargi w związku z naruszeniem ochrony danych osobowych
- Informacja, o której mowa w pkt. 3 musi być udzielona w sposób jasny i zrozumiały dla przeciętnego odbiorcy i może być udzielona w dowolnej formie, w tym:
- w formie ustnej
- w formie zamieszczenia informacji w dostępnym miejscu w siedzibie firmy lub na stronie internetowej.
- W celu zapewnienia ochrony danych osobowych stosuje się:
- środki techniczne zabezpieczające dane przed ich utratą, nieuprawnioną modyfikacją, nieuprawnionym dostępem osób trzecich
- szkolenie pracowników w zakresie ochrony danych osobowych
- zabezpieczenie pomieszczeń i danych przechowywanych w formie papierowej przed dostępem osób postronnych a także przed czynnikami losowymi, które mogą skutkować utratą/zniszczeniem lub ujawnieniem danych osobom nieuprawnionym.
- ADO nie przewiduje przetwarzania danych w sposób zautomatyzowany ani w celu profilowania.
- ADO nie przewiduje przekazywania danych do państwa trzeciego/organizacji międzynarodowej.
- Dane osobowe są usuwane niezwłocznie, kiedy nie są niezbędne do realizacji celu w jakim zostały zebrane. Dane niezbędne w rozliczeniach księgowych przechowywane są przez okres przewidziany w prawie podatkowym.
- W przypadku naruszenia zasad ochrony danych osobowych ADO wdraża procedurę związaną z naruszeniem ochrony danych.
- Podmioty przetwarzające dane osobowe na zlecenie ADO zobowiązani są do przestrzegania procedur zapewniających ochronę danych osobowych, w tym w szczególności do:
dane osobowe na zlecenie ADO zobowiązani są do zapewniających ochronę danych osobowych, w tym w- prawidłowego stosowania środków technicznych zabezpieczających dane, w tym stosowania haseł zabezpieczających urządzenia, na których dane są przetwarzane
- przetwarzania danych wyłącznie w zakresie niezbędnym dla celu w jakim zostały zebrane
- zachowania pełnej poufności danych osobowych
- zabezpieczenia dokumentów zawierających dane przed dostępem osób postronnych przez ich odpowiednie przechowywanie (w zamykanych szafach i pomieszczeniach)
- udzielania osobom, których dane są przetwarzane informacji zgodnie z pkt 3
- zgłaszanie przełożonym potencjalnych zagrożeń dla ochrony danych osobowych, w tym informacji o niedostatecznych zabezpieczeniach danych
- zgłaszanie przełożonym każdego przypadku naruszenia danych
- W przypadku powierzenia przetwarzania danych procesorowi, przetwarzanie danych przez procesora w imieniu ADO może się odbywać wyłącznie na podstawie umowy zawartej pomiędzy ADO a procesorem, określającej co najmniej charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą i czas trwania przetwarzania. W treści umów zawartych z procesorami zostanie zastrzeżony obowiązek zachowania przez procesora zasad przetwarzania danych osobowych i środków technicznych zapewniających zabezpieczenie danych. ADO podejmie współpracę wyłącznie z procesorami zapewniającymi przestrzeganie zasad ochrony danych osobowych.
ZASADY POSTĘPOWANIA W PRZYPADKU NARUSZENIA OCHRONY DANYCH OSOBOWYCH
Adwokat Emilia Kruk prowadząca działalność pod Kancelaria Adwokacka Emilia Kruk, jako administrator danych osobowych (ADO) ustala następujące zasady postępowania w przypadku naruszenia ochrony danych osobowych:
- Za naruszenie zasad ochrony danych osobowych uważa się każde naruszenie prowadzące do zniszczenia danych, ich utracenia, nieuprawnionej zmiany, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do przetwarzanych danych osobowych.
- Naruszeniem zasad ochrony danych osobowych jest w szczególności każda utrata, w tym zniszczenie nośnika zawierającego takie dane, każdy przypadek uzyskania danych przez osoby nieuprawnione, każdy przypadek pozyskania danych niezgodnie z przepisami prawa, każdy przypadek naruszenia zabezpieczeń systemów informatycznych, który może prowadzić do udostępnienia danych osobom nieuprawnionym lub ich utraty.
- W każdym przypadku stwierdzenia naruszenia ochrony danych osobowych administrator zobowiązany jest niezwłocznie podjąć działania w celu zabezpieczenia danych.
- W przypadku naruszenia ADO dokonuje analizy przypadku naruszenia ochrony danych osobowych, szacuje ryzyko wystąpienia podobnych naruszeń w przyszłości i określa działania, jakie mają być podjęte w celu wyeliminowania takiego ryzyka i prawidłowego zabezpieczenia danych. Niezwłocznie należy podjąć działania w celu umożliwienia dalszego przetwarzania danych w sposób bezpieczny.
- W przypadku stwierdzenia naruszenia ochrony danych osobowych, naruszenie jest dokumentowane przez sporządzenie raportu naruszenia ochrony danych osobowych, w którym należy wskazać okoliczności naruszenia, jego prawdopodobne skutki oraz zalecenia w celu zapobieżenia analogicznym naruszeniom w przyszłości.
- W przypadku stwierdzenia naruszenia ochrony danych osobowych, ADO dokonuje oceny prawdopodobieństwa naruszenia praw lub wolności osób fizycznych w wyniku naruszenia ochrony danych. Jeżeli prawdopodobieństwo to jest wyższe niż małe, ADO bez zbędnej zwłoki – nie później jednak niż w terminie 72 godzin od stwierdzenia naruszenia – zgłasza je organowi nadzorczemu. Jeżeli zgłoszenie zostanie dokonane po upływie 72 godzin – należy dołączyć wyjaśnienie przyczyn opóźnienia.
- W sytuacji, gdy ryzyko naruszenia praw lub wolności osób fizycznych wskutek naruszenia ochrony danych osobowych oceniane jest jako wysokie, ADO ma obowiązek niezwłocznego zawiadomienia osób fizycznych, których dane są objęte tym ryzykiem o wystąpieniu naruszenia. Zawiadomienie powinno obejmować wskazanie osoby do W sytuacji, gdy ryzyko naruszenia praw lub wolności osób fizycznych wskutek naruszenia ochrony danych osobowych oceniane jest jako wysokie, ADO ma obowiązek niezwłocznego zawiadomienia osób fizycznych, których dane są objęte tym ryzykiem o wystąpieniu naruszenia. Zawiadomienie powinno obejmować wskazanie osoby do kontaktu w celu umożliwienia osobie fizycznej uzyskanie szerszych informacji w zakresie naruszenia, potencjalnych konsekwencji naruszenia danych osobowych dla osoby, której te dane dotyczą oraz podjętych lub proponowanych środków minimalizujących ryzyko negatywnych skutków naruszenia. Zawiadomienie może być dokonane w dowolnej formie, przy czym w przypadku dużej liczby osób, gdy ich personalne zawiadomienie generowałoby niewspółmierne koszty lub wymagałoby nieproporcjonalnego wysiłku, zawiadomienie może być dokonane przez zamieszczenie informacji na stronie internetowej firmy lub wydanie publicznego komunikatu.