Polityka Prywatności
Ostatnia aktualizacja: 1 kwietnia 2026
§ 1. Administrator danych osobowych
1.1. Status administratora danych
Administratorem danych osobowych w rozumieniu prawa europejskiego jest FraVeRa Journey, działalność gospodarcza zarejestrowana w Królestwie Niderlandów, działająca jako disclosed travel agent.
"administrator" oznacza osobę fizyczną lub prawną, organ władzy publicznej, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i środki przetwarzania danych osobowych.
Źródło: Rozporządzenie (UE) 2016/679, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
1.2. Obowiązek informacyjny wobec osoby, której dane dotyczą
Administrator spełnia obowiązek informacyjny wobec osób, których dane dotyczą, poprzez niniejszą Politykę Prywatności, udostępnioną na stronie internetowej.
"Gdy dane osobowe dotyczące osoby, której dane dotyczą, są zbierane od tej osoby, administrator przekazuje tej osobie w momencie pozyskiwania tych danych osobowych następujące informacje (...)"
Źródło: Rozporządzenie (UE) 2016/679, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
1.3. Dane identyfikacyjne i kontaktowe administratora
Dane identyfikacyjne administratora, w tym forma prawna, kraj rejestracji, numer rejestracyjny i dane kontaktowe, są wskazane w Impressum oraz w sekcji kontaktowej strony internetowej.
"administrator przekazuje swoją tożsamość i dane kontaktowe (...)"
Źródło: Rozporządzenie (UE) 2016/679, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
1.4. Brak wspólnych administratorów
FraVeRa Journey przetwarza dane osobowe niezależnie i nie występuje jako wspólny administrator danych osobowych w rozumieniu art. 26 RODO.
"Gdy dwóch lub więcej administratorów wspólnie ustala cele i środki przetwarzania, są oni wspólnymi administratorami (...)"
Źródło: Rozporządzenie (UE) 2016/679, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
1.5. Brak obowiązku powołania inspektora ochrony danych
FraVeRa Journey nie jest zobowiązana do powołania inspektora ochrony danych, ponieważ nie spełnia kryteriów wskazanych w art. 37 ust. 1 RODO.
"Administrator i podmiot przetwarzający powołują inspektora ochrony danych w przypadkach, gdy: a) przetwarzanie jest prowadzone przez organ władzy publicznej lub podmiot publiczny; b) główna działalność polega na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania podmiotów danych w dużej skali; c) główna działalność polega na przetwarzaniu w dużej skali szczególnych kategorii danych osobowych."
Źródło: Rozporządzenie (UE) 2016/679, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
1.6. Prawo właściwe dla administratora
Administrator podlega prawu Królestwa Niderlandów jako państwa członkowskiego Unii Europejskiej, w którym ma siedzibę, przy jednoczesnym bezpośrednim stosowaniu RODO.
"Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w kontekście działalności zakładu administratora (...) na terytorium Unii."
Źródło: Rozporządzenie (UE) 2016/679, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
Prawo krajowe NL: Uitvoeringswet AVG (UAVG), publikacja: wetten.overheid.nl.
§ 2. Zakres przetwarzanych danych osobowych
2.1. Zasada adekwatności i minimalizacji
Administrator przetwarza wyłącznie takie dane osobowe, które są adekwatne, istotne i ograniczone do tego, co jest niezbędne do wyraźnie zdefiniowanych celów przetwarzania.
"Dane osobowe muszą być adekwatne, istotne i ograniczone do tego, co jest niezbędne w związku z celami, w których są przetwarzane."
Źródło: Rozporządzenie (UE) 2016/679, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
2.2. Dane identyfikacyjne i kontaktowe
Administrator może przetwarzać dane identyfikacyjne i kontaktowe, w szczególności imię, nazwisko, adres e-mail, numer telefonu oraz inne dane niezbędne do nawiązania kontaktu i identyfikacji Klienta przy świadczeniu usług agencyjnych.
"Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy."
Art. 13 ust. 1 lit. c RODO - obowiązek wskazania kategorii danych.
Źródło: Rozporządzenie (UE) 2016/679, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
2.3. Dane dotyczące podróży i preferencji organizacyjnych
Administrator może przetwarzać dane dotyczące planowanej podróży, preferencji zakwaterowania, dat, zakresu usług oraz innych informacji organizacyjnych niezbędnych do przygotowania oferty i koordynacji podróży.
Art. 5 ust. 1 lit. b RODO - zasada celowości.
"Dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach (...)"
Źródło: Rozporządzenie (UE) 2016/679, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
2.4. Dane techniczne i online
Administrator może przetwarzać dane techniczne dotyczące korzystania ze strony internetowej, w tym adres IP, dane przeglądarki, urządzenie, system operacyjny i identyfikatory plików cookie, w zakresie dozwolonym przez prawo i udzieloną zgodę.
Art. 5 ust. 3 Dyrektywy 2002/58/WE (ePrivacy) - zgoda na przechowywanie i uzyskiwanie dostępu do informacji w urządzeniach końcowych.
"Państwa członkowskie zapewniają, że przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w urządzeniu końcowym abonenta lub użytkownika jest dozwolone wyłącznie pod warunkiem udzielenia przez danego abonenta lub użytkownika wyraźnej zgody (...)"
Źródła: Dyrektywa 2002/58/WE, Dz. Urz. UE L 201 z 31.07.2002, EUR-Lex; RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
Implementacja w NL: Ustawa o telekomunikacji art. 11.7a, wetten.overheid.nl
2.5. Szczególne kategorieje danych - Dane o zdrowiu
Administrator może przetwarzać dane o zdrowiu wyłącznie gdy jest to niezbędne do zorganizowania pobytu zdrowotnego lub uzdrowiskowego i wyłącznie w zakresie dobrowolnie przekazanym przez Klienta. Dane te nie są przetwarzane w celach diagnostycznych ani leczniczych.
"Zabrania się przetwarzania danych osobowych ujawniających (...) dane o stanie zdrowia (...)"
Art. 9 ust. 2 lit. a RODO - wyraźna zgoda.
"Osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie tych danych osobowych (...)"
Art. 9 ust. 2 lit. h RODO - organizacja opieki zdrowotnej.
"Przetwarzanie jest niezbędne do (...) świadczenia opieki zdrowotnej (...) lub zarządzania systemami i usługami opieki zdrowotnej."
Źródło: Rozporządzenie (UE) 2016/679, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
2.6. Brak przetwarzania zbędnych danych
Administrator nie przetwarza danych osobowych, które nie są niezbędne do osiągnięcia celów wskazanych w niniejszej Polityce Prywatności, w szczególności danych niezwiązanych z organizacją podróży ani obowiązkami prawnymi.
Art. 25 ust. 2 RODO - privacy by default.
"Administrator wdraża odpowiednie techniczne i organizacyjne środki w celu zapewnienia, że (...) domyślnie przetwarzane są tylko te dane osobowe, które są niezbędne (...)"
Źródło: Rozporządzenie (UE) 2016/679, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
§ 3. Źródła danych osobowych
3.1. Dane pozyskiwane bezpośrednio od osoby, której dane dotyczą
Administrator pozyskuje dane osobowe bezpośrednio od osoby, której dane dotyczą, w szczególności w ramach kontaktu zainicjowanego przez tę osobę.
"Gdy dane osobowe dotyczące osoby, której dane dotyczą, są zbierane od tej osoby, administrator przekazuje tej osobie w momencie pozyskiwania tych danych osobowych następujące informacje (...)"
Źródło: Rozporządzenie (UE) 2016/679, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
3.2. Formularze online
Dane osobowe mogą być zbierane za pośrednictwem formularzy dostępnych na stronie internetowej Administratora. Formularze są własnymi rozwiązaniami Administratora, a ich obsługa techniczna realizowana jest przez zewnętrznego dostawcę narzędzi formularzowych (BASIN), działającego jako podmiot przetwarzający.
Art. 28 ust. 1 RODO - korzystanie z podmiotu przetwarzającego.
"Gdy przetwarzanie ma być dokonywane w imieniu administratora, administrator korzysta wyłącznie z podmiotów przetwarzających zapewniających wystarczające gwarancje (...)"
Źródło: Rozporządzenie (UE) 2016/679, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
3.3. Korespondencja elektroniczna i bezpośrednia komunikacja
Dane osobowe mogą być zbierane w ramach korespondencji e-mail, rozmów telefonicznych, rozmów online lub innych form bezpośredniej komunikacji zainicjowanej przez osobę, której dane dotyczą.
Art. 5 ust. 1 lit. a RODO - zasada legalności, rzetelności i przejrzystości.
"Dane osobowe muszą być przetwarzane w sposób zgodny z prawem, rzetelny i przejrzysty dla osoby, której dane dotyczą (...)"
Źródło: Rozporządzenie (UE) 2016/679, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
3.4. Dobrowolnie przekazane dokumenty i informacje
Dane osobowe, w tym dane o zdrowiu, mogą być zbierane z dokumentów lub informacji dobrowolnie przekazanych przez osobę, której dane dotyczą, w szczególności na etapie finalizacji organizacji pobytu u Partnera świadczącego usługę.
Art. 9 ust. 2 lit. a RODO - wyraźna zgoda na przetwarzanie szczególnych kategorii danych.
"Osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie tych danych osobowych (...)"
Źródło: Rozporządzenie (UE) 2016/679, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
3.5. Brak pozyskiwania z ukrytych źródeł
Administrator nie pozyskuje danych osobowych z ukrytych źródeł, baz danych osób trzecich ani publicznie dostępnych rejestrów w celu tworzenia profili klientów.
Art. 14 RODO - obowiązek informacyjny przy pozyskiwaniu danych z innych źródeł.
"Gdy dane osobowe nie są pozyskiwane od osoby, której dane dotyczą, administrator przekazuje tej osobie następujące informacje (...)"
Źródło: Rozporządzenie (UE) 2016/679, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
3.6. Zakres stosowania art. 13 i 14 RODO
W zdecydowanej większości przypadków ma zastosowanie art. 13 RODO, ponieważ dane zbierane są bezpośrednio od osoby, której dane dotyczą. Art. 14 RODO ma zastosowanie wyłącznie w sytuacjach wyjątkowych, gdyby dane nie były zbierane bezpośrednio od tej osoby, co za każdym razem wiązałoby się z wypełnieniem odrębnego obowiązku informacyjnego.
Art. 14 RODO - dane zbierane z innych źródeł.
Źródło: Rozporządzenie (UE) 2016/679, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
§ 4. Cele przetwarzania danych osobowych
4.1. Zasada określenia celu i legalności
Administrator przetwarza dane osobowe wyłącznie w konkretnych, wyraźnie określonych i prawnie uzasadnionych celach, zdefiniowanych przed rozpoczęciem przetwarzania.
"Dane osobowe muszą być zbierane w konkretnych, wyraźnie określonych i prawnie uzasadnionych celach i nie mogą być dalej przetwarzane w sposób niezgodny z tymi celami."
Źródło: Rozporządzenie (UE) 2016/679, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
4.2. Przygotowanie oferty i działania przedkontraktowe
Dane osobowe są przetwarzane w celu przygotowania oferty podróży oraz podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy agencyjnej.
"Przetwarzanie jest niezbędne do (...) podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy."
Źródło: Rozporządzenie (UE) 2016/679, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
4.3. Świadczenie usług agencyjnych i koordynacyjnych
Dane osobowe są przetwarzane w celu świadczenia usług agencyjnych przez Administratora, w tym doradztwa, pośrednictwa, koordynacji i wsparcia organizacyjnego dla podróży.
"Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą."
Źródło: Rozporządzenie (UE) 2016/679, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
4.4. Komunikacja operacyjna z klientem
Dane osobowe są przetwarzane w celu ciągłej komunikacji z Klientem w zakresie organizacji podróży, w tym przekazywania informacji organizacyjnych, potwierdzeń i ustaleń.
Art. 5 ust. 1 lit. a RODO - zasada legalności, rzetelności i przejrzystości.
"Dane osobowe muszą być przetwarzane w sposób zgodny z prawem, rzetelny i przejrzysty (...)"
Źródło: Rozporządzenie (UE) 2016/679, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
4.5. Przekazywanie danych partnerom świadczącym usługi
Dane osobowe są przetwarzane w celu przekazania ich Partnerom świadczącym usługi główne, w zakresie niezbędnym dla tych Partnerów do świadczenia ich usług.
Art. 5 ust. 1 lit. c RODO - minimalizacja danych.
"Dane osobowe muszą być adekwatne, istotne i ograniczone do tego, co jest niezbędne (...)"
Źródło: Rozporządzenie (UE) 2016/679, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
4.6. Organizacja pobytów zdrowotnych i uzdrowiskowych
W przypadku danych o zdrowiu, dane te są przetwarzane w celu zorganizowania pobytu zdrowotnego lub uzdrowiskowego oraz przekazania informacji Partnerowi świadczącemu usługę medyczną lub uzdrowiskową.
"Osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie tych danych osobowych (...)"
Art. 9 ust. 2 lit. h RODO - świadczenie opieki zdrowotnej lub zarządzanie usługami opieki zdrowotnej.
"Przetwarzanie jest niezbędne do (...) świadczenia opieki zdrowotnej (...) lub zarządzania systemami i usługami opieki zdrowotnej."
Źródło: Rozporządzenie (UE) 2016/679, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
4.7. Zgodność z obowiązkami prawnymi i księgowymi
Dane osobowe są przetwarzane w celu spełnienia obowiązków prawnych ciążących na Administratorze, w szczególności księgowych, podatkowych i archiwizacyjnych.
"Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze."
Źródło: Rozporządzenie (UE) 2016/679, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
Prawo krajowe NL: Uitvoeringswet AVG (UAVG), wetten.overheid.nl.
4.8. Analiza statystyczna strony (GA4)
Dane osobowe są przetwarzane w celu analizy statystycznej ruchu na stronie internetowej za pomocą Google Analytics 4, wyłącznie po uzyskaniu zgody użytkownika na pliki cookie.
Art. 5 ust. 3 Dyrektywy 2002/58/WE (ePrivacy) - zgoda na przechowywanie i uzyskiwanie dostępu do informacji w urządzeniach końcowych.
"...wyłącznie pod warunkiem, że użytkownik wyraził na to zgodę (...)"
Źródła: Dyrektywa 2002/58/WE, Dz. Urz. UE L 201 z 31.07.2002, EUR-Lex; RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex; Implementacja w NL: Ustawa o telekomunikacji art. 11.7a.
4.9. Marketing i remarketing (Google Ads, Meta Ads)
Dane osobowe są przetwarzane w celach marketingowych i remarketingowych wyłącznie po uzyskaniu zgody użytkownika, bez łączenia z danymi o zdrowiu.
Art. 7 RODO - warunki zgody.
"Gdy przetwarzanie opiera się na zgodzie, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych."
Art. 5 ust. 3 Dyrektywy 2002/58/WE (ePrivacy).
Źródła: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex; Dyrektywa 2002/58/WE, Dz. Urz. UE L 201 z 31.07.2002, EUR-Lex.
§ 5. Podstawy prawne przetwarzania danych osobowych
5.1. Podstawowe regulacje prawne
Przetwarzanie danych osobowych odbywa się na podstawie Rozporządzenia (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO).
Źródło: Dziennik Urzędowy Unii Europejskiej L 119 z 04.05.2016, EUR-Lex.
5.2. Przetwarzanie dla wykonania umowy i działań przedkontraktowych
Dane osobowe są przetwarzane, gdy jest to niezbędne do wykonania umowy agencyjnej lub podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem tej umowy.
"Przetwarzanie jest zgodne z prawem, jeżeli jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy."
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
5.3. Przetwarzanie dla wypełnienia obowiązku prawnego
Dane osobowe są przetwarzane, gdy jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze, w szczególności księgowych, podatkowych i archiwizacyjnych.
"Przetwarzanie jest zgodne z prawem, jeżeli jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze."
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
Prawo krajowe NL: Uitvoeringswet AVG (UAVG), publikacja: wetten.overheid.nl.
5.4. Przetwarzanie na podstawie zgody
Dane osobowe są przetwarzane na podstawie dobrowolnej, świadomej i jednoznacznie wyrażonej zgody osoby, której dane dotyczą, w zakresie określonym w treści tej zgody.
"Osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów."
Art. 7 RODO - warunki zgody.
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
5.5. Szczególne kategorieje danych - Ogólny zakaz
Dane osobowe ujawniające informacje o stanie zdrowia należą do szczególnych kategorii danych osobowych, których przetwarzanie jest w zasadzie zakazane.
"Zabrania się przetwarzania danych osobowych ujawniających (...) dane o stanie zdrowia (...)"
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
5.6. Szczególne kategorieje danych - Wyraźna zgoda
Przetwarzanie danych o zdrowiu jest dozwolone, gdy osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych w jednym lub większej liczbie określonych celów.
"Osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub większej liczbie określonych celów."
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
5.7. Szczególne kategorieje danych - Organizacja opieki zdrowotnej
Przetwarzanie danych o zdrowiu jest dozwolone, gdy jest niezbędne do organizacji opieki zdrowotnej lub pobytów uzdrowiskowych, realizowanych przez upoważnionych Partnerów.
"Przetwarzanie jest niezbędne do (...) świadczenia opieki zdrowotnej (...) lub zarządzania systemami i usługami opieki zdrowotnej."
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
5.8. Pliki cookie i technologie śledzące
Przetwarzanie danych osobowych za pomocą plików cookie i podobnych technologii odbywa się wyłącznie w zakresie i na warunkach określonych w przepisach o prywatności w komunikacji elektronicznej oraz na podstawie zgody użytkownika, gdy jest wymagana.
"Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w urządzeniu końcowym abonenta lub użytkownika jest dozwolone wyłącznie pod warunkiem, że dany abonent lub użytkownik wyraził na to zgodę (...)"
Implementacja w NL: Ustawa o telekomunikacji art. 11.7a.
Źródła: Dyrektywa 2002/58/WE, Dz. Urz. UE L 201 z 31.07.2002, EUR-Lex; wetten.overheid.nl.
5.9. Cofnięcie zgody
Osoba, której dane dotyczą, ma prawo cofnąć zgodę w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania opartego na zgodzie przed jej cofnięciem.
"Osoba, której dane dotyczą, ma prawo cofnąć swoją zgodę w dowolnym momencie (...)"
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
§ 6. Szczególne kategorieje danych (zdrowie) - Szczególne zasady przetwarzania
6.1. Definicja danych o zdrowiu
Dane o zdrowiu oznaczają dane osobowe dotyczące stanu zdrowia fizycznego lub psychicznego osoby fizycznej, w tym informacje o korzystaniu z usług opieki zdrowotnej.
"dane o zdrowiu" oznaczają dane osobowe dotyczące stanu zdrowia fizycznego lub psychicznego osoby fizycznej, w tym świadczenia usług opieki zdrowotnej, ujawniające informacje o jej stanie zdrowia.
6.2. Zakaz przetwarzania jako zasada ogólna
Przetwarzanie danych o zdrowiu jest w zasadzie zakazane, chyba że spełniony jest jeden z warunków legalizacyjnych wskazanych w RODO.
"Zabrania się (...) przetwarzania danych o zdrowiu (...)."
6.3. Dopuszczalność przetwarzania na podstawie wyraźnej zgody
Administrator może przetwarzać dane o zdrowiu, gdy osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie w konkretnym celu.
"Osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub większej liczbie określonych celów."
Wytyczne dotyczące zgody (interpretacja praktyczna): EDPB Wytyczne 05/2020.
6.4. Dopuszczalność przetwarzania dla organizacji opieki zdrowotnej i pobytów uzdrowiskowych
Administrator może przetwarzać dane o zdrowiu, gdy jest to niezbędne do świadczenia opieki zdrowotnej lub zarządzania usługami opieki zdrowotnej realizowanymi przez Partnerów.
"Przetwarzanie jest niezbędne do (...) świadczenia opieki zdrowotnej lub (...) zarządzania systemami i usługami opieki zdrowotnej lub społecznej."
6.5. Warunek tajemnicy zawodowej dla podstawy "h"
Gdy przetwarzanie odbywa się na podstawie art. 9 ust. 2 lit. h RODO, dane muszą być przetwarzane przez osobę związaną tajemnicą zawodową lub podmiot związany podobnym obowiązkiem.
"Dane osobowe mogą być przetwarzane w celach, o których mowa w ust. 2 lit. h (...) wyłącznie wtedy, gdy dane te są przetwarzane przez (...) osobę związaną obowiązkiem zachowania tajemnicy zawodowej (...) lub przez inną osobę również związaną obowiązkiem zachowania tajemnicy (...)"
6.6. Podział faz przetwarzania (przygotowawcza vs. finalizacja)
W fazie przygotowawczej Administrator przetwarza wyłącznie opisowe informacje o zdrowiu niezbędne do dopasowania pobytu. W fazie finalizacji Administrator przekazuje dane o zdrowiu Partnerowi wyłącznie w zakresie niezbędnym dla Partnera do świadczenia usługi.
"Dane osobowe muszą być adekwatne, istotne i ograniczone do tego, co jest niezbędne (...)"
Art. 5 ust. 1 lit. b RODO - celowość.
"Dane osobowe muszą być zbierane w konkretnych, wyraźnie określonych i prawnie uzasadnionych celach (...)"
6.7. Standard zgody i jej dowodzenie
Gdy przetwarzanie danych o zdrowiu odbywa się na podstawie zgody, Administrator zapewnia, że zgoda jest wyrażona dobrowolnie, w sposób szczegółowy, świadomy i jednoznaczny, oraz jest w stanie wykazać fakt jej udzielenia.
"Gdy przetwarzanie opiera się na zgodzie, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych."
Stanowisko organu nadzorczego w sprawie "wyraźnej zgody".
6.8. Prawo do cofnięcia zgody
Osoba, której dane dotyczą, może cofnąć zgodę w dowolnym momencie, a cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania opartego na zgodzie przed jej cofnięciem.
"Osoba, której dane dotyczą, ma prawo cofnąć swoją zgodę w dowolnym momencie (...) Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem."
6.9. Brak porad medycznych i decyzji terapeutycznych
Administrator nie udziela porad medycznych, nie stawia diagnoz ani nie podejmuje decyzji terapeutycznych. Administrator przetwarza dane o zdrowiu wyłącznie w celu organizacji i koordynacji pobytu oraz przekazania informacji Partnerowi.
6.10. Zakaz zautomatyzowanego podejmowania decyzji i profilowania medycznego
Administrator nie stosuje zautomatyzowanego podejmowania decyzji ani profilowania na podstawie danych o zdrowiu.
"Osoba, której dane dotyczą, ma prawo nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu (...)"
6.11. Ograniczenie przechowywania danych o zdrowiu
Dane o zdrowiu są przechowywane wyłącznie przez okres niezbędny do osiągnięcia celów organizacyjnych i rozliczeniowych, a następnie są usuwane lub anonimizowane.
"Dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne (...)"
6.12. Bezpieczeństwo danych o zdrowiu
Administrator stosuje środki techniczne i organizacyjne zapewniające bezpieczeństwo danych o zdrowiu, w tym ograniczenie dostępu i kontrolę upoważnień.
"Administrator (...) wdraża odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka (...)"
6.13. Obowiązek rozliczalności
Administrator dokumentuje zgodność przetwarzania danych o zdrowiu z RODO i jest w stanie wykazać zgodność z zasadami przetwarzania.
"Administrator jest odpowiedzialny za zgodność z ust. 1 i musi być w stanie wykazać tę zgodność."
§ 7. Odbiorcy danych osobowych
7.1. Zasada ujawniania kategorii odbiorców
Administrator udostępnia dane osobowe wyłącznie wskazanym kategoriom odbiorców i wyłącznie w zakresie niezbędnym do osiągnięcia celów przetwarzania.
"administrator przekazuje tej osobie informacje o odbiorcach lub kategoriach odbiorców danych osobowych, jeśli ich ma"
Źródło: Rozporządzenie (UE) 2016/679, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
7.2. Partnerzy świadczący usługi główne
Dane osobowe mogą być przekazywane Partnerom świadczącym usługi główne, w szczególności sanatoriom, klinikom, obiektom uzdrowiskowym, hotelom, podmiotom medycznym i firmom transportowym, wyłącznie w zakresie niezbędnym do świadczenia konkretnej usługi.
Art. 5 ust. 1 lit. c RODO - minimalizacja danych.
"Dane osobowe muszą być adekwatne, istotne i ograniczone do tego, co jest niezbędne (...)"
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
7.3. Przekazywanie danych o zdrowiu partnerom
Dane o zdrowiu mogą być przekazywane Partnerom wyłącznie, gdy jest to niezbędne do świadczenia usług zdrowotnych lub uzdrowiskowych i wyłącznie na podstawie odpowiedniego warunku legalizacyjnego.
Art. 9 ust. 2 lit. h RODO - świadczenie opieki zdrowotnej lub zarządzanie usługami opieki zdrowotnej.
"Przetwarzanie jest niezbędne do (...) świadczenia opieki zdrowotnej (...)"
Art. 9 ust. 3 RODO - wymóg tajemnicy zawodowej.
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
7.4. Dostawcy usług IT i narzędzia komunikacyjne
Dane osobowe mogą być przekazywane dostawcom usług IT, hostingu, e-mail, systemów formularzowych (w tym BASIN) i innym narzędziom technicznym, wyłącznie jako podmiotom przetwarzającym.
"Administrator korzysta wyłącznie z podmiotów przetwarzających zapewniających wystarczające gwarancje (...)"
Art. 28 ust. 3 RODO - umowa powierzenia przetwarzania danych.
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
7.5. Narzędzia analityczne i reklamowe
Dane osobowe mogą być przekazywane dostawcom narzędzi analitycznych i reklamowych, w tym Google i Meta, wyłącznie po uzyskaniu zgody użytkownika, w zakresie wynikającym z konfiguracji zgody i Consent Mode v2.
Art. 7 RODO - warunki zgody.
Art. 5 ust. 3 Dyrektywy 2002/58/WE (ePrivacy) - zgoda na pliki cookie.
Źródła: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex; Dyrektywa 2002/58/WE, Dz. Urz. UE L 201 z 31.07.2002, EUR-Lex; Ustawa o telekomunikacji art. 11.7a (NL), wetten.overheid.nl.
7.6. Organy publiczne i podmioty upoważnione
Dane osobowe mogą być przekazywane organom publicznym lub innym podmiotom upoważnionym, gdy taki obowiązek wynika z przepisów prawa Unii Europejskiej lub prawa Królestwa Niderlandów.
"Przetwarzanie jest zgodne z prawem, jeżeli jest niezbędne do wypełnienia obowiązku prawnego (...)"
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
Prawo krajowe NL: Uitvoeringswet AVG (UAVG), wetten.overheid.nl.
7.7. Brak sprzedaży danych osobowych
Administrator nie sprzedaje, nie udostępnia odpłatnie ani nie wymienia danych osobowych z innymi podmiotami w celach handlowych niezwiązanych ze świadczeniem usług.
Art. 6 RODO - legalność przetwarzania.
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
7.8. Ograniczenie dostępu do danych
Dostęp do danych osobowych jest ograniczony do podmiotów i osób, dla których taki dostęp jest niezbędny do osiągnięcia celów przetwarzania.
"Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo (...)"
Art. 32 ust. 1 RODO - bezpieczeństwo przetwarzania.
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
7.9. Obowiązek rozliczalności za przekazywanie danych
Administrator dokumentuje przekazywanie danych osobowych odbiorcom i jest w stanie wykazać zgodność tych przekazań z RODO.
"Administrator jest odpowiedzialny za zgodność z ust. 1 i musi być w stanie wykazać tę zgodność."
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
§ 8. Przekazywanie danych osobowych poza Unię Europejską / Europejski Obszar Gospodarczy
8.1. Ogólna zasada transferów międzynarodowych
Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych jest dozwolone wyłącznie na warunkach określonych w Rozdziale V RODO.
"Każde przekazywanie danych osobowych (...) może odbywać się wyłącznie, jeżeli administrator spełnia warunki określone w niniejszym rozdziale (...)"
Źródło: Rozporządzenie (UE) 2016/679, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
8.2. Transfer na podstawie decyzji o adekwatności
Przekazywanie danych osobowych do państwa trzeciego jest dozwolone, gdy Komisja Europejska uznała, że dane państwo zapewnia odpowiedni poziom ochrony danych osobowych.
"Przekazywanie danych osobowych do państwa trzeciego (...) może odbywać się, gdy Komisja stwierdziła, że dane państwo trzecie zapewnia odpowiedni poziom ochrony."
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
Rejestr decyzji o adekwatności KE: decyzje o adekwatności - EUR-Lex.
8.3. Transfer z odpowiednimi zabezpieczeniami
W przypadku braku decyzji o adekwatności, przekazywanie danych może odbywać się pod warunkiem zastosowania odpowiednich zabezpieczeń prawnych, w szczególności standardowych klauzul umownych.
Art. 46 ust. 2 lit. c RODO - standardowe klauzule umowne.
"Administrator lub podmiot przetwarzający może przekazywać dane osobowe (...) pod warunkiem zapewnienia odpowiednich zabezpieczeń (...), w szczególności standardowych klauzul ochrony danych przyjętych przez Komisję."
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
Decyzje SCC: Komisja Europejska - EUR-Lex.
8.4. Transfer do dostawców narzędzi technologicznych
W przypadku korzystania z narzędzi dostarczanych przez podmioty z siedzibą poza UE/EOG (w szczególności Google i Meta), przekazywanie danych odbywa się zgodnie z mechanizmami określonymi w Rozdziale V RODO.
Art. 28 RODO - korzystanie z podmiotów przetwarzających.
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
Stanowiska organów nadzorczych: Europejska Rada Ochrony Danych (EROD).
8.5. Ocena skutków transferu
W przypadku transferów na podstawie standardowych klauzul umownych Administrator przeprowadza ocenę skutków transferu w celu weryfikacji, czy prawo państwa trzeciego nie podważa skuteczności zastosowanych zabezpieczeń.
Wyrok Trybunału Sprawiedliwości C-311/18 (Schrems II).
"Trybunał wskazał na obowiązek weryfikacji, czy prawo państwa trzeciego nie podważa ochrony wynikającej z SCC."
Źródła: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex; Trybunał Sprawiedliwości Unii Europejskiej, wyrok z 16.07.2020, C-311/18.
8.6. Dane o zdrowiu i transfery poza UE/EOG
Dane o zdrowiu są przekazywane poza UE/EOG wyłącznie w przypadkach wyjątkowych, gdy spełnione są łącznie warunki Rozdziału V RODO i warunki art. 9 RODO.
Artykuły 44-49 RODO - transfery międzynarodowe.
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
8.7. Transfer na podstawie wyjątków (derogacje)
W przypadku braku decyzji o adekwatności i odpowiednich zabezpieczeń, przekazywanie danych może odbywać się wyłącznie na podstawie wyjątków określonych w art. 49 RODO, stosowanych restrykcyjnie i incydentalnie.
"W przypadku braku decyzji o adekwatności (...) przekazywanie lub zestaw przekazywań danych osobowych do państwa trzeciego może odbywać się wyłącznie pod warunkiem, że (...)"
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
8.8. Obowiązek informacyjny w zakresie transferów
Administrator informuje osoby, których dane dotyczą, o zamiarze przekazania danych poza UE/EOG oraz o zastosowanych zabezpieczeniach lub wyjątkach.
"Administrator musi informować o zamiarze przekazania danych osobowych do państwa trzeciego (...) oraz o odpowiednich zabezpieczeniach (...)"
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
8.9. Dokumentacja transferów i obowiązek rozliczalności
Administrator dokumentuje wszystkie przypadki przekazywania danych poza UE/EOG i jest w stanie wykazać ich zgodność z RODO.
"Administrator jest odpowiedzialny za zgodność z ust. 1 i musi być w stanie wykazać tę zgodność."
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
§ 9. Pliki cookie i podobne technologie
9.1. Definicja plików cookie i pokrewnych technologii
Pliki cookie i podobne technologie (w tym localStorage, sessionStorage, piksele, tagi i identyfikatory online) stanowią informacje przechowywane lub odczytywane w urządzeniu końcowym użytkownika.
"Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w urządzeniu końcowym abonenta lub użytkownika jest dozwolone wyłącznie pod warunkiem, że dany abonent lub użytkownik wyraził na to zgodę (...)"
Źródło: Dyrektywa 2002/58/WE, Dz. Urz. UE L 201 z 31.07.2002, EUR-Lex.
Implementacja NL: Ustawa o telekomunikacji art. 11.7a, wetten.overheid.nl.
9.2. Klasyfikacja plików cookie według celu
Administrator stosuje pliki cookie niezbędne, analityczne i marketingowe, przy czym pliki cookie inne niż niezbędne są aktywowane wyłącznie po uzyskaniu zgody użytkownika.
Art. 6 ust. 1 lit. a RODO - zgoda jako podstawa przetwarzania danych osobowych.
Źródło: EUR-Lex; RODO Dz. Urz. UE L 119 z 04.05.2016.
9.3. Pliki cookie niezbędne (techniczne)
Pliki cookie niezbędne są stosowane wyłącznie w celu zapewnienia prawidłowego funkcjonowania strony internetowej i jej podstawowych funkcji oraz nie wymagają zgody użytkownika.
"...nie stoi na przeszkodzie techniczne przechowywanie lub dostęp wyłącznie w celu przeprowadzenia transmisji komunikacji w sieci łączności elektronicznej lub ściśle niezbędny do świadczenia usługi informacyjnej świadomie żądanej przez abonenta lub użytkownika."
Źródło: Dyrektywa 2002/58/WE, EUR-Lex.
Stanowisko organu nadzorczego (NL): pliki cookie funkcjonalne/techniczne - autoriteitpersoonsgegevens.nl.
9.4. Pliki cookie analityczne (Google Analytics 4)
Pliki cookie analityczne są stosowane do analizy statystycznej ruchu na stronie internetowej za pomocą Google Analytics 4, wyłącznie po uzyskaniu zgody użytkownika.
Art. 7 RODO - warunki zgody.
Art. 5 ust. 3 Dyrektywy 2002/58/WE - zgoda na pliki cookie.
Źródła: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex; Dyrektywa 2002/58/WE, EUR-Lex; Dokumentacja GA4 - developers.google.com.
9.5. Pliki cookie marketingowe i remarketingowe (Google Ads, Meta Ads)
Pliki cookie marketingowe i remarketingowe są stosowane wyłącznie po uzyskaniu zgody użytkownika w celu wyświetlania spersonalizowanych lub mierzalnych reklam oraz analizy skuteczności kampanii.
Art. 7 RODO - wymogi zgody.
Art. 5 ust. 3 Dyrektywy 2002/58/WE - zgoda na pliki cookie.
Źródło: EUR-Lex; RODO; Dyrektywa 2002/58/WE.
Stanowiska EROD: wytyczne dotyczące plików cookie i reklamy behawioralnej.
9.6. Platforma zarządzania zgodami (CMP)
Administrator korzysta z platformy zarządzania zgodami (CMP), która umożliwia użytkownikowi udzielenie, odmowę lub zmianę zgody na stosowanie plików cookie.
"Administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie (...)"
"Osoba, której dane dotyczą, ma prawo cofnąć swoją zgodę w dowolnym momencie."
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
9.7. Google Consent Mode v2
Administrator korzysta z Google Consent Mode v2, który przekazuje sygnały zgody do Google dla kategorii: ad_storage, analytics_storage, ad_user_data, ad_personalization.
Art. 25 RODO - privacy by design i by default.
Źródła: RODO, EUR-Lex; Dokumentacja Google Consent Mode v2 - developers.google.com.
9.8. Brak zgody i jej konsekwencje
Brak zgody na pliki cookie analityczne lub marketingowe nie wpływa na możliwość korzystania ze strony internetowej, z wyjątkiem funkcji bezpośrednio związanych z tymi plikami cookie.
"Przy ocenie, czy zgoda została wyrażona dobrowolnie, należy w szczególności uwzględnić, czy (...) wykonanie umowy jest uzależnione od zgody na przetwarzanie danych osobowych, które nie jest niezbędne do wykonania tej umowy."
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
9.9. Okres przechowywania plików cookie
Okres przechowywania plików cookie zależy od ich rodzaju i jest za każdym razem wskazany w szczegółowej Polityce Cookie lub w ustawieniach CMP.
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
9.10. Dostęp do informacji i przejrzystość
Administrator zapewnia użytkownikowi łatwy dostęp do informacji o stosowanych plików cookie oraz umożliwia w każdej chwili zmianę ustawień zgody za pośrednictwem linku w stopce strony.
"Administrator wdraża odpowiednie środki w celu przekazania wszystkich informacji (...) w zwięzły, przejrzysty, zrozumiały i łatwo dostępny sposób (...)"
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
§ 10. Okres przechowywania danych osobowych
10.1. Zasada ograniczenia przechowywania
Dane osobowe są przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.
"Dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane."
Źródło: Rozporządzenie (UE) 2016/679, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
10.2. Kryteria określania okresu przechowywania
Okres przechowywania danych osobowych jest określany na podstawie: a) celu przetwarzania danych, b) podstawy prawnej przetwarzania, c) obowiązków prawnych Administratora, d) potencjalnych terminów przedawnienia roszczeń.
"Administrator musi informować (...) o okresie, przez który dane osobowe będą przechowywane, lub jeśli nie jest to możliwe, o kryteriach ustalania tego okresu."
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
10.3. Dane przetwarzane dla przygotowania oferty i działań przedkontraktowych
Dane osobowe przetwarzane w celu przygotowania oferty i działań przedkontraktowych są przechowywane przez okres trwania kontaktu i po jego zakończeniu przez czas niezbędny do zabezpieczenia ewentualnych roszczeń.
Art. 5 ust. 1 lit. e RODO - ograniczenie przechowywania.
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
10.4. Dane przetwarzane dla wykonania umowy
Dane osobowe przetwarzane w celu wykonania umowy agencyjnej są przechowywane przez okres trwania umowy, a po jej zakończeniu przez okres wymagany przez prawo lub do upływu terminów przedawnienia roszczeń.
Art. 5 ust. 1 lit. e RODO - ograniczenie przechowywania.
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
10.5. Dane przetwarzane dla wypełnienia obowiązku prawnego
Dane osobowe przetwarzane w celu wypełnienia obowiązków prawnych ciążących na Administratorze są przechowywane przez okres wynikający z obowiązującego prawa, w szczególności podatkowego i księgowego.
Art. 5 ust. 1 lit. e RODO - ograniczenie przechowywania.
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
Prawo krajowe NL: obowiązki archiwizacyjne w prawie podatkowym (wetten.overheid.nl).
10.6. Dane o zdrowiu
Dane o zdrowiu są przechowywane wyłącznie przez okres niezbędny do zorganizowania i realizacji pobytu zdrowotnego, a następnie są niezwłocznie usuwane lub anonimizowane, chyba że dalsze przechowywanie jest wymagane przez prawo.
Art. 5 ust. 1 lit. c i e RODO - minimalizacja i ograniczenie przechowywania.
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
10.7. Dane przetwarzane na podstawie zgody
Dane osobowe przetwarzane na podstawie zgody są przechowywane do momentu cofnięcia zgody lub do momentu utraty przez nie przydatności dla celu, w jakim zgoda została udzielona.
Art. 7 ust. 3 RODO - cofnięcie zgody.
"Osoba, której dane dotyczą, ma prawo cofnąć swoją zgodę w dowolnym momencie (...)"
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
10.8. Dane przetwarzane dla celów analitycznych i marketingowych
Dane osobowe przetwarzane dla celów analitycznych i marketingowych są przechowywane zgodnie z okresem ważności plików cookie lub do momentu cofnięcia zgody przez użytkownika.
Art. 13 ust. 2 lit. a RODO - obowiązek informacyjny.
Art. 5 ust. 3 Dyrektywy 2002/58/WE (ePrivacy).
Źródło: EUR-Lex; Dyrektywa 2002/58/WE; RODO.
10.9. Usuwanie i anonimizacja danych
Po upływie okresu przechowywania dane osobowe są usuwane lub anonimizowane w sposób uniemożliwiający identyfikację osoby, której dane dotyczą.
Art. 25 ust. 2 RODO - privacy by default.
"Administrator wdraża odpowiednie techniczne i organizacyjne środki w celu zapewnienia, że (...) domyślnie przetwarzane są tylko te dane osobowe, które są niezbędne (...)"
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
10.10. Obowiązek rozliczalności za okresy przechowywania
Administrator dokumentuje przyjęte okresy przechowywania danych i jest w stanie wykazać ich zgodność z zasadami RODO.
"Administrator jest odpowiedzialny za zgodność z ust. 1 i musi być w stanie wykazać tę zgodność."
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
§ 11. Prawa osoby, której dane dotyczą
11.1. Katalog praw - Zasada ogólna
Osoba, której dane dotyczą, ma prawa określone w Rozdziale III RODO, wykonywane z poszanowaniem warunków i ograniczeń określonych w tym rozporządzeniu.
Źródło: Rozporządzenie (UE) 2016/679, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
11.2. Prawo do informacji i przejrzystej komunikacji
Osoba, której dane dotyczą, ma prawo do otrzymania informacji dotyczących przetwarzania danych w zwięzły, przejrzysty, zrozumiały i łatwo dostępny sposób.
"Administrator wdraża odpowiednie środki w celu przekazania wszystkich informacji (...) w zwięzły, przejrzysty, zrozumiały i łatwo dostępny sposób (...)"
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
11.3. Prawo dostępu do danych
Osoba, której dane dotyczą, ma prawo uzyskać od Administratora potwierdzenie, czy przetwarzane są dane osobowe jej dotyczące, a jeśli ma to miejsce, dostęp do danych osobowych i informacji wskazanych w RODO.
"Osoba, której dane dotyczą, ma prawo uzyskać od administratora potwierdzenie, czy przetwarzane są dane osobowe jej dotyczące, a jeśli ma to miejsce, dostęp do danych osobowych (...)"
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
11.4. Prawo do sprostowania
Osoba, której dane dotyczą, ma prawo uzyskać od Administratora niezwłoczne sprostowanie dotyczących jej nieprawidłowych danych osobowych oraz uzupełnienie niekompletnych danych.
"Osoba, której dane dotyczą, ma prawo uzyskać od administratora niezwłoczne sprostowanie dotyczących jej nieprawidłowych danych osobowych."
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
11.5. Prawo do usunięcia danych ("prawo do bycia zapomnianym")
Osoba, której dane dotyczą, ma prawo uzyskać usunięcie danych osobowych w przypadkach określonych w RODO, w szczególności gdy dane nie są już niezbędne do celów, w których były przetwarzane.
"Osoba, której dane dotyczą, ma prawo uzyskać od administratora niezwłoczne usunięcie danych osobowych jej dotyczących (...)"
Ograniczenia prawa: Art. 17 ust. 3 RODO.
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
11.6. Prawo do ograniczenia przetwarzania
Osoba, której dane dotyczą, ma prawo uzyskać ograniczenie przetwarzania danych osobowych w przypadkach wskazanych w RODO.
"Osoba, której dane dotyczą, ma prawo uzyskać od administratora ograniczenie przetwarzania w następujących przypadkach (...)"
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
11.7. Prawo do przenoszenia danych
Osoba, której dane dotyczą, ma prawo otrzymać swoje dane osobowe w ustrukturyzowanym, powszechnie używanym formacie i przesłać je innemu administratorowi, gdy spełnione są warunki RODO.
"Osoba, której dane dotyczą, ma prawo (...) otrzymać dane osobowe (...) w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (...)"
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
11.8. Prawo do sprzeciwu
Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania danych osobowych, gdy podstawą przetwarzania jest prawnie uzasadniony interes Administratora.
"Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw (...)"
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
11.9. Prawo do cofnięcia zgody
Gdy przetwarzanie odbywa się na podstawie zgody, osoba, której dane dotyczą, ma prawo cofnąć zgodę w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania opartego na zgodzie przed jej cofnięciem.
"Osoba, której dane dotyczą, ma prawo cofnąć swoją zgodę w dowolnym momencie (...)"
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
11.10. Prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji
Osoba, której dane dotyczą, ma prawo nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, wywołującej skutki prawne wobec niej lub w podobny sposób na nią istotnie wpływającej.
"Osoba, której dane dotyczą, ma prawo nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu (...)"
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
11.11. Prawo do wniesienia skargi do organu nadzorczego
Osoba, której dane dotyczą, ma prawo wnieść skargę do właściwego organu nadzorczego, gdy uzna, że przetwarzanie jej danych osobowych narusza przepisy RODO.
"Każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego (...)"
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
Właściwy organ w NL: Autoriteit Persoonsgegevens - autoriteitpersoonsgegevens.nl.
11.12. Procedura wykonywania praw
Administrator realizuje prawa osoby, której dane dotyczą, bez zbędnej zwłoki, nie później niż w terminie wskazanym w RODO, z możliwością przedłużenia we wskazanych w nim przypadkach.
"Administrator przekazuje informacje o działaniach podjętych na żądanie (...) bez zbędnej zwłoki, a w każdym razie w ciągu miesiąca od otrzymania żądania (...)"
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
§ 12. Prawo do wniesienia skargi do organu nadzorczego
12.1. Prawo do wniesienia skargi - Zasada ogólna
Osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, gdy uzna, że przetwarzanie jej danych osobowych narusza przepisy RODO.
"Każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, miejsca pracy lub miejsca popełnienia domniemanego naruszenia, gdy uzna, że przetwarzanie danych osobowych jej dotyczących narusza niniejsze rozporządzenie."
Źródło: Rozporządzenie (UE) 2016/679, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
12.2. Właściwy organ nadzorczy
Właściwym organem nadzorczym dla administratora danych jest organ nadzorczy w Królestwie Niderlandów, tj. Autoriteit Persoonsgegevens.
"Każdy organ nadzorczy jest właściwy do wykonywania zadań i sprawowania uprawnień (...) na terytorium swojego państwa członkowskiego."
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
Organ NL: Autoriteit Persoonsgegevens - strona oficjalna: autoriteitpersoonsgegevens.nl.
12.3. Prawo osoby, której dane dotyczą, do wyboru organu nadzorczego
Osoba, której dane dotyczą, może wnieść skargę do organu nadzorczego w państwie członkowskim swojego zwykłego pobytu, miejsca pracy lub miejsca domniemanego naruszenia.
"...w szczególności w państwie członkowskim swojego zwykłego pobytu, miejsca pracy lub miejsca popełnienia domniemanego naruszenia..."
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
12.4. Niezależność prawa do skargi od innych środków prawnych
Prawo do wniesienia skargi do organu nadzorczego jest niezależne od innych środków prawnych, w tym prawa do wniesienia skargi do sądu.
"Prawo, o którym mowa w ust. 1, pozostawia bez uszczerbku inne środki administracyjne lub sądowe."
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
12.5. Obowiązek współpracy administratora z organem nadzorczym
Administrator danych współpracuje z właściwym organem nadzorczym przy wykonywaniu jego zadań i przekazuje wszystkie wymagane informacje.
"Administrator i podmiot przetwarzający oraz, w stosownych przypadkach, ich przedstawiciele, współpracują z organem nadzorczym na jego żądanie przy wykonywaniu jego zadań."
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
12.6. Prawo do skutecznego środka odwoławczego
Osoba, której dane dotyczą, ma prawo do skutecznego środka odwoławczego od decyzji organu nadzorczego lub w przypadku bezczynności tego organu.
"Każda osoba fizyczna lub prawna ma prawo do skutecznego środka odwoławczego od wiążącej dla niej decyzji organu nadzorczego."
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
12.7. Prawo do skutecznego środka odwoławczego od administratora
Osoba, której dane dotyczą, ma prawo do skutecznego środka odwoławczego od Administratora, gdy uzna, że jej prawa wynikające z RODO zostały naruszone.
"Każda osoba, której dane dotyczą, ma prawo do skutecznego środka odwoławczego, gdy uzna, że jej prawa (...) zostały naruszone."
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
12.8. Brak opłat za wniesienie skargi
Wniesienie skargi do organu nadzorczego jest zwolnione z opłat administracyjnych.
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex; informacje proceduralne Autoriteit Persoonsgegevens.
§ 13. Środki techniczne i organizacyjne zapewniające bezpieczeństwo
13.1. Obowiązek zapewnienia bezpieczeństwa przetwarzania
Administrator wdraża odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa danych osobowych odpowiedniego do ryzyka.
"Administrator (...) wdraża odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka (...)"
Źródło: Rozporządzenie (UE) 2016/679, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
13.2. Kryteria wyboru środków bezpieczeństwa
Przy wyborze środków bezpieczeństwa Administrator uwzględnia stan wiedzy technicznej, koszty wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych.
"Uwzględniając stan wiedzy technicznej, koszty wdrażania oraz charakter, zakres, kontekst i cele przetwarzania (...)"
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
13.3. Poufność, integralność i dostępność danych
Administrator zapewnia poufność, integralność i dostępność danych osobowych oraz odporność systemów i usług przetwarzania.
"zdolność zapewnienia ciągłej poufności, integralności, dostępności i odporności systemów i usług przetwarzania"
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
13.4. Ograniczenie dostępu i kontrola upoważnień
Dostęp do danych osobowych jest przyznawany wyłącznie osobom upoważnionym przez Administratora i wyłącznie w zakresie niezbędnym do wykonywania ich zadań.
"Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo (...)"
Art. 32 ust. 4 RODO - działania osób upoważnionych.
"Administrator podejmuje środki w celu zapewnienia, że każda osoba (...) mająca dostęp do danych osobowych przetwarza je wyłącznie na polecenie administratora (...)"
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
13.5. Techniczne środki ochrony danych
Administrator stosuje środki techniczne, w szczególności zabezpieczenie systemów IT, zabezpieczenie dostępu, szyfrowanie lub pseudonimizację danych - w zakresie adekwatnym do ryzyka.
"pseudonimizacja i szyfrowanie danych osobowych"
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
13.6. Bezpieczeństwo szczególnych kategorii danych
Dane o zdrowiu podlegają podwyższonym normom ochrony, w tym ograniczeniom dostępu, kontroli przekazywania i skróconym okresom przechowywania.
Art. 32 ust. 1 RODO - bezpieczeństwo przetwarzania.
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
13.7. Testowanie i ocena skuteczności zabezpieczeń
Administrator testuje, mierzy i ocenia regularnie skuteczność zastosowanych środków technicznych i organizacyjnych.
"proces regularnego testowania, oceny i sprawdzania skuteczności środków technicznych i organizacyjnych (...)"
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
13.8. Podmioty przetwarzające i bezpieczeństwo
Administrator korzysta wyłącznie z podmiotów przetwarzających zapewniających odpowiedni poziom bezpieczeństwa dla przetwarzania danych osobowych.
"Administrator korzysta wyłącznie z podmiotów przetwarzających zapewniających wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych (...)"
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
13.9. Procedura w przypadku naruszenia ochrony danych osobowych
Administrator posiada procedury umożliwiające wykrywanie, raportowanie i ocenę naruszeń ochrony danych osobowych.
"W przypadku naruszenia ochrony danych osobowych administrator (...) zgłasza je organowi nadzorczemu (...)"
Art. 34 RODO - zgłaszanie osobie, której dane dotyczą.
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
13.10. Zasada rozliczalności w kwestiach bezpieczeństwa
Administrator dokumentuje zastosowane środki bezpieczeństwa i jest w stanie wykazać ich zgodność z RODO.
"Administrator jest odpowiedzialny za zgodność z ust. 1 i musi być w stanie wykazać tę zgodność."
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
§ 14. Naruszenia ochrony danych osobowych
14.1. Definicja naruszenia ochrony danych osobowych
Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.
"naruszenie ochrony danych osobowych" oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (...)"
Źródło: Rozporządzenie (UE) 2016/679, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
14.2. Obowiązek reagowania na naruszenia
Administrator wdraża procedury umożliwiające niezwłoczne wykrywanie, analizę i ocenę każdego naruszenia ochrony danych osobowych.
"Administrator (...) wdraża odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka (...)"
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
14.3. Ocena ryzyka dla praw i wolności osób fizycznych
Po wykryciu naruszenia Administrator przeprowadza ocenę ryzyka naruszenia praw lub wolności osób fizycznych, uwzględniając charakter danych, zakres naruszenia i potencjalne konsekwencje.
"W przypadku naruszenia ochrony danych osobowych administrator (...) zgłasza je (...) chyba że naruszenie ochrony danych osobowych nie prawdopodobnie nie spowoduje ryzyka dla praw i wolności osób fizycznych."
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
14.4. Zgłaszanie naruszenia organowi nadzorczemu
Jeśli naruszenie ochrony danych osobowych może spowodować ryzyko dla praw i wolności osób fizycznych, Administrator zgłasza je właściwemu organowi nadzorczemu bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od momentu, gdy o naruszeniu się dowiedział.
"Administrator musi zgłosić naruszenie ochrony danych osobowych (...) bez zbędnej zwłoki, a jeśli to możliwe, nie później niż w ciągu 72 godzin od uzyskania o nim wiedzy (...)"
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
14.5. Zakres zgłaszania organowi nadzorczemu
Zgłoszenie organowi nadzorczemu obejmuje co najmniej informacje wskazane w RODO, w tym charakter naruszenia, kategorie danych, prawdopodobne konsekwencje oraz zastosowane lub proponowane środki naprawcze.
"Zgłoszenie, o którym mowa w ust. 1, musi zawierać co najmniej: a) opis charakteru naruszenia ochrony danych osobowych (...) b) nazwę i dane kontaktowe (...) c) opis prawdopodobnych konsekwencji (...) d) opis podjętych lub proponowanych środków (...)"
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
14.6. Dokumentacja naruszeń danych
Administrator dokumentuje wszystkie naruszenia ochrony danych osobowych, niezależnie od tego, czy podlegały one obowiązkowi zgłoszenia organowi nadzorczemu.
"Administrator dokumentuje każde naruszenie ochrony danych osobowych, obejmujące fakty dotyczące naruszenia ochrony danych osobowych, jego skutki oraz podjęte środki naprawcze."
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
14.7. Zgłaszanie osobie, której dane dotyczą
Jeśli naruszenie ochrony danych osobowych może spowodować wysokie ryzyko dla praw i wolności osób fizycznych, Administrator komunikuje je osobie, której dane dotyczą, bez zbędnej zwłoki.
"Gdy naruszenie ochrony danych osobowych prawdopodobnie spowoduje wysokie ryzyko dla praw i wolności osób fizycznych, administrator komunikuje naruszenie ochrony danych osobowych osobie, której dane dotyczą, bez zbędnej zwłoki (...)"
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
14.8. Wyjątki od obowiązku informowania osoby, której dane dotyczą
Administrator nie jest zobowiązany do informowania osoby, której dane dotyczą, gdy spełniony jest jeden z warunków określonych w RODO, w szczególności gdy zastosowano środki techniczne eliminujące ryzyko.
"Komunikacja, o której mowa w ust. 1, nie jest wymagana, jeśli: a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochronne (...)"
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
14.9. Naruszenia dotyczące szczególnych kategorii danych
Naruszenia dotyczące danych o zdrowiu podlegają szczególnie rygorystycznej ocenie ryzyka i zazwyczaj kwalifikują się jako naruszenia o wysokim ryzyku.
Art. 34 ust. 1 RODO - wysokie ryzyko.
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
Wytyczne EROD: Wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych.
14.10. Współpraca z organem nadzorczym
Administrator współpracuje z właściwym organem nadzorczym w procedurach związanych z naruszeniem ochrony danych osobowych.
"Administrator (...) współpracuje z organem nadzorczym na jego żądanie przy wykonywaniu jego zadań."
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
14.11. Rozliczalność procedur reagowania na naruszenia
Administrator jest w stanie wykazać zgodność przyjętych procedur reagowania na naruszenia z wymogami RODO.
"Administrator jest odpowiedzialny za zgodność z ust. 1 i musi być w stanie wykazać tę zgodność."
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
§ 15. Zmiany w Polityce Prywatności i jej aktualizacja
15.1. Prawo administratora do aktualizacji Polityki Prywatności
Administrator jest uprawniony do wprowadzania zmian w Polityce Prywatności w przypadku zmian w prawie, zmian w sposobie lub zakresie przetwarzania danych osobowych, zmian w stosowanych technologiach lub rozwoju działalności.
"Uwzględniając charakter, zakres, kontekst i cele przetwarzania (...) administrator wdraża odpowiednie techniczne i organizacyjne środki w celu zapewnienia, że przetwarzanie odbywa się zgodnie z niniejszym rozporządzeniem (...)"
Źródło: Rozporządzenie (UE) 2016/679, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
15.2. Obowiązek utrzymywania informacji aktualnych
Administrator zapewnia, że informacje przekazywane osobom, których dane dotyczą, są aktualne, rzetelne i odpowiadają faktycznemu sposobowi przetwarzania danych.
"Dane osobowe muszą być przetwarzane w sposób zgodny z prawem, rzetelny i przejrzysty (...)"
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
15.3. Forma publikacji zmian
Bieżąca wersja Polityki Prywatności jest za każdym razem publikowana na stronie internetowej Administratora i oznaczona datą wejścia w życie.
"Administrator wdraża odpowiednie środki w celu przekazania wszystkich informacji (...) w łatwo dostępny sposób (...)"
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
15.4. Zakres zmian i obowiązek informacyjny
Jeśli zmiany w Polityce Prywatności dotyczą istotnych aspektów przetwarzania danych osobowych, Administrator zapewnia wypełnienie obowiązków informacyjnych wobec osób, których dane dotyczą.
"Gdy administrator zamierza dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, musi poinformować osobę, której dane dotyczą, o tym innym celu przed dalszym przetwarzaniem (...)"
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
15.5. Brak mocy wstecznej zmian
Zmiany w Polityce Prywatności nie mają mocy wstecznej i nie wpływają na legalność przetwarzania danych osobowych przeprowadzonego przed datą wejścia w życie zmian.
Art. 7 ust. 3 zdanie drugie RODO - skutki cofnięcia zgody.
"Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem."
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
15.6. Zmiany wynikające z obowiązku prawnego
Zmiany w Polityce Prywatności wprowadzone w celu dostosowania się do obowiązkowych przepisów prawa mają zastosowanie od daty wejścia w życie tych przepisów.
"Przetwarzanie jest zgodne z prawem wyłącznie wtedy, gdy (...) jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze."
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
15.7. Rozliczalność procesu aktualizacji
Administrator dokumentuje proces aktualizacji Polityki Prywatności i jest w stanie wykazać jego zgodność z zasadami RODO.
"Administrator jest odpowiedzialny za zgodność z ust. 1 i musi być w stanie wykazać tę zgodność."
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.
15.8. Wejście w życie Polityki Prywatności
Niniejsza Polityka Prywatności wchodzi w życie z datą jej publikacji, chyba że wskazano inną datę wejścia w życie.
Źródło: RODO, Dz. Urz. UE L 119 z 04.05.2016, EUR-Lex.