Polityka ochrony danych osobowych
w CoffeeBase.pl

[Postanowienia wstępne]
§1
1. Niniejszy dokumenty określa procedurę przetwarzania danych osobowych przez CoffeeBase Wojciech Grodzki, NIP: 5222473084, prowadzący działalność gospodarczą przy ul. Rozewskiej nr 7, lok. 15, 81-055 Gdynia (zwanego dalej „Administratorem danych osobowych”/”ADO”);

2. Niniejszy dokument odnosi się do przetwarzania danych osobowych z wykorzystaniem serwisu internetowego coffeebase.pl (zwanego dalej „Serwisem”), a także z wykorzystaniem innych kanałów komunikacji, w ramach działalności gospodarczej ADO., tak, aby było to zgodne z obowiązującym prawem, a w szczególności z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwanym dalej „RODO”).

[Zasady retencji danych]
§2
1. Dane osobowe są przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, dla których dane te są przetwarzane i co do zasady przez okres nie dłuższy, niż do chwili wycofania zgody na przetwarzanie danych osobowych;

2. Nie wyłącza to możliwości przetwarzania danych osobowych przez dłuższy czas, w sytuacji, gdy przetwarzanie danych osobowych jest niezbędne do wykonania umowy, do wypełnienia obowiązku prawnego ciążącego na administratorze, do ochrony żywotnych interesów osoby, której dane dotyczą.

[Privacy by design/default]
§3
1. Zasada privacy by design jest realizowana zwłaszcza poprzez takie zaprojektowanie koncepcji Serwisu, zarówno od strony backend, (użytego oprogramowania) jak i frontend, oraz UX (konstrukcja wizualna Serwisu) aby przetwarzanie danych osobowych następowało jedynie w niezbędnym zakresie, w sposób bezpieczny, proporcjonalny, a w konsekwencji zgodny z prawem;

2. Zasada privacy by default realizowana jest poprzez stosowanie rozwiązań technicznych pozwalających na wyświetlanie wyraźnych komunikatów wskazujących, że może mieć miejsce przetwarzanie danych osobowych, a jednocześnie wymagających od użytkownika działania pozytywnego (świadomego podjęcia czynności w postaci zaznaczenia odpowiednich pól), aby dane osobowe były w ramach funkcjonowania Serwisu przetwarzane.

[Struktura organizacyjna w zakresie ochrony danych osobowych, procedura nadawania upoważnień, dobór odbiorców]
§4
1. ADO, działający jako osoba fizyczna prowadząca jednoosobową działalność gospodarczą, co do działalności której niewymagane jest powołanie Inspektora Ochrony Danych Osobowych i która nie zatrudnia pracowników, jest jedynym podmiotem bezpośrednio przetwarzającym dane osobowe.

2. W związku z czym wszelkie czynności związane z przetwarzaniem danych osobowych podejmuje osobiście, nie ma miejsca upoważnianie innych osób zarówno do poszczególnych czynności, jak i kategorii czynności, jak też ogółu czynności związanych z przetwarzaniem danych osobowych.

3. Z uwagi na charakterystykę funkcjonowania Serwisu, a w szczególności konieczność skorzystania z zewnętrznych usługodawców w zakresie obsługi IT (twórca serwisu internetowego i jej zawartości, dostawca usług hostingu), ADO powołuje odbiorców (w rozumieniu RODO) na podstawie umów powierzenia przetwarzania danych osobowych. Współpraca w tym zakresie ma miejsce z podmiotami wyspecjalizowanymi, gwarantującymi pełne bezpieczeństwo przetwarzanych danych osobowych

[Postępowanie z incydentem ochrony danych osobowych]
§5
1. ADO jest osobą fizyczną prowadzącą jednoosobową działalność gospodarczą. W związku z tym wszelkie działania, także wynikające z obowiązków związanych z bezpieczeństwem danych osobowych (art. 32, 33 RODO) wykonuje osobiście

2. ADO niezwłocznie, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłasza je organowi nadzorczemu, chyba że jest mało prawopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. ADO zobowiązuje się do załączenia wyjaśnień dotyczących przyczyn ewentualnego opóźnienia.

3. ADO w umowach dotyczących powierzenia przetwarzania danych osobowych zawartych z odbiorcami zobowiązuje się zawrzeć postanowienia umowne zapewniające wysoki poziom ochrony danych osobowych, w tym obligujące odbiorców do niezwłocznego informowania o wszelkich naruszeniach, które miały miejsce w związku z działalnością odbiorców w odniesieniu do powierzonych na podstawie umowy danych osobowych.

4. ADO w sytuacji, gdy naruszenie danych osobowych mogłoby spowodować albo spowoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, zawiadomi osobę, której dane dotyczą, o tym naruszeniu, za pośrednictwem wiadomości e-mail, gdy został on przez osobę podany lub wiadomości tekstowej, w wypadku, gdy wśród danych osobowych dotyczących tej osoby znajduje się numer telefonu.

[Ocena skutków dla ochrony danych osobowych]
§6
1. Z uwagi na charakter oraz zakres przetwarzanych danych osobowych, nie występuje wysokie ryzyko dla praw i wolności osób określonych w RODO, a także komunikacie Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony.

[Realizacja praw osób, których dane dotyczą]
§7
1. Na podstawie RODO, osoby, których dane podlegają przetwarzaniu, mają: prawo dostępu do danych, prawo do sprostowania swoich danych, prawo do żądania usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do przenoszenia danych, prawo zgłoszenia sprzeciwu wobec dalszego przetwarzania danych, prawo do niepodlegania w pełni zautomatyzowanym operacjom przetwarzania danych.

2. ADO realizuje uprawnienia niezwłocznie, po otrzymaniu oświadczenia w przedmiocie woli skorzystania z uprawnienia, za pośrednictwem komunikacji tradycyjnej lub elektronicznej.

[Rejestr czynności przetwarzania i kategorii czynności przetwarzania]
§8
1. ADO, w ramach funkcjonowania Serwisu CofeeBase.pl, osobiście przetwarza dane osobowe w postaci adresu e-mail (na potrzeby realizacji usługi newslettera), a także imienia, nazwiska i adresu kontaktowego, numeru telefonu, numeru NIP/REGON na potrzeby korespondencji (w zależności od jej rodzaju), a także identyfikatorów internetowych, adresów IP oraz identyfikatorów plików cookie (do celów statystycznych).

2. Mogą być ponadto przetwarzane inne dane osobowe, które podane są przez użytkowników korzystających z portali społecznościowych (Facebook/Instagram i pokrewne) w celach związanych z prowadzeniem tzw. fanpage i profili społecznościowych. Wówczas podmiotami przetwarzającymi dane osobowe są także odpowiednie platformy.

3. Dane osobowe, wskazane w ust. 1, mogą być także przetwarzane przez odbiorców na podstawie umów w przedmiocie powierzenia przetwarzania danych osobowych. Takie umowy zawierane są z odbiorcami w rozumieniu RODO, którzy są osobami odpowiedzialnymi za zapewnienie wsparcia IT, tj.

a. MateuszWinkler.pl Mateusz Winkler, NIP: 7732438426, ul. Smugowa 21/23, lok. 2, 97-200, Tomaszów Mazowiecki

b. cyber_Folks S.A. z siedzibą w Poznaniu, Franklina Roosevelta 22, 60-829 Poznań, wpisana do Krajowego Rejestru Sądowego przez Sąd Rejonowy Poznań – Nowe Miasto i Wilda w Poznaniu, Wydział VIII Gospodarczy Krajowego Rejestru Sądowego pod nr KRS 0000612359, REGON 364261632, NIP 7822622168, kapitał zakładowy 225 541 PLN w pełni wpłacony.

4. Odbiorcy przetwarzają dane osobowe tak jak ADO, z uwzględnieniem treści umowy powierzenia przetwarzania danych osobowych, przepisów prawa, a także specyfiki prowadzonej działalności na rzecz ADO, w szczególności w zakresie funkcjonowania Serwisu.

5. Dane są zbierane od Użytkowników na podstawie wyraźnych zgód. Adres e-mail wprowadzony do formularza przez Użytkownika, na potrzeby newslettera, zapisywany jest w bazie adresów, która jest odpowiednio zabezpieczona przez dostępem osób niepowołanych.

6. Dane osobowe przetwarzane w ramach formularza kontaktowego lub korespondencji e-mail wprowadzone są osobiście przez Użytkownika do pól w formularzu kontaktowym albo do treści wiadomości wysłanej lub wymienionej w ramach osobistej korespondencji z ADO.