1. Deklaracja o ustanowieniu polityki prywatności
Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (vide Art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej oraz art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej), które stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Niniejszy dokument ma na celu przyczyniać się do budowania gwarancji właściwego przetwarzania danych osobowych przez ISPIRAZIONEGIOIALTD, in Leeds, alla via 134 SwarcliffeAvenue, LS14 5NH England (dalej „Administrator”).
Biorąc pod uwagę fakt, że procesy przetwarzania danych osobowych, realizowane przez Administratora posiadają kluczowe znaczenie dla prowadzonej działalności, utrata jakichkolwiek danych, sfałszowanie, kradzież czy skutki innych form incydentów bezpieczeństwa mogłyby spowodować groźne następstwa dla Administratora oraz użytkowników prowadzonego przez Administratora serwisu internetowego https://www.dagmaraszymanska.pl/ – (dalej „Użytkownicy”). Równie groźne mogą okazać się m.in. niedbalstwo, pomyłki, złośliwe działanie, klęski żywiołowe, awarie, błędy sprzętowe i programowe, działania intruzów, odmowy usług oraz inne formy zagrożeń, których mogą doświadczyć Administrator i Użytkownicy.
W związku z powyższym zgodnie z art. 24 ust. 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – RODO/GDPR) Administrator ustanawia niniejszą Politykę Prywatności oraz zobowiązuje się do wdrożenia systemu zarządzania bezpieczeństwem informacji.
2. Cel i podstawa ustanowienia Polityki Prywatności
Wobec zobowiązania wyrażonego w deklaracji o ustanowieniu Polityki ochrony danych osobowych przez Administratora w zakresie opracowania polityk szczegółowych oraz przepisów prawa ochrony danych osobowych stosowanych w Polsce oraz w Unii Europejskiej, szczególnie wobec RODO niezbędne jest doprecyzowanie zasad ochrony informacji o charakterze osobowym gromadzonych lub przetwarzanych przez Administratora.
Polityka ma na celu:
- doprecyzowanie zasad bezpieczeństwa w kontekście ochrony danych osobowych;
- wprowadzenie najwyższych standardów ochrony danych osobowych oraz metod i sposobów zarządzania ich bezpieczeństwem;
- zapewnienie poufności, integralności oraz dostępności przetwarzanych przez Administrator danych osobowych niezbędnych do prowadzenia działalności;
- zminimalizowania ryzyka naruszenia bezpieczeństwa danych osobowych oraz ograniczenia ewentualnych skutków naruszenia.
Postanowienia Polityki ochrony danych osobowych znajdą zastosowanie w stosunku do:
- danych osobowych przetwarzanych oraz przechowywanych tradycyjnie w formie papierowej, a także danych osobowych zapisywanych w pamięci nośników informacji w postaci elektronicznej, przetwarzanych z wykorzystaniem systemów informatycznych;
- wszelkich informacji dotyczących bezpieczeństwa przetwarzania danych osobowych wykorzystywanych do uwierzytelnienia w systemach informatycznych służących do przetwarzania danych oraz dotyczących zastosowanych środków ochrony.
3. Bezpieczeństwo danych i ocena ryzyka
Administrator gwarantuje Użytkownikom zachowanie poufności wszelkich przekazanych mu danych osobowych. Administrator podjęcie wszelkich środków bezpieczeństwa i ochrony danych osobowych wymaganych przez przepisy o ochronie danych osobowych. Dane osobowe są gromadzone z należytą starannością i odpowiednio chronione przed dostępem do nich przez osoby do tego nieupoważnione
Administrator zobowiązuje się do samodzielnego dokonania szczegółowej analizy prowadzonych procesów przetwarzania danych osobowych i samodzielnej oceny ryzyka, na które przetwarzanie danych w konkretnym przypadku jest narażone.
W szczególności Administrator bierze pod uwagę, że ryzyko naruszenia ochrony danych osobowych może prowadzić Użytkowników do doznania uszczerbku fizycznego, szkód majątkowych bądź niemajątkowych, a okoliczności wystąpienia tego ryzyka mogą być spowodowane m.in. przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych.
Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych w ogóle wiąże się ryzyko, a jeżeli tak to jaki jest jego stopień.
Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.
Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.
Prowadzona ocena powinna zawierać co najmniej:
- systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez Administratora;
- ocenę czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
- ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
- środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie RODO, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy;
Jeżeli ocena skutków dla ochrony danych, o której mowa powyżej wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby Administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania Administrator konsultuje się z organem nadzorczym.
4. Uprawnienia Użytkowników
Na podstawie przepisów RODO Użytkownikom przysługują następujące uprawnienia związane z przetwarzaniem ich danych osobowych:
- prawo dostępu do danych osobowych;
- prawo do sprostowania danych osobowych;
- prawo do usunięcia danych osobowych;
- prawo do ograniczenia przetwarzania danych osobowych;
- prawo do wniesienia sprzeciwu co do przetwarzania danych osobowych;
- prawo do przenoszenia danych;
- prawo do wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych);
- prawo do odwołania zgody na przetwarzanie danych osobowych, jeżeli Użytkownik taką zgodę wyraził.
W razie jakichkolwiek pytań związanych z przetwarzaniem danych osobowych, zachęcamy Użytkowników do kontaktu za pośrednictwem poczty elektronicznej na adres: ispirazionegioia@gmail.com. Na ten sam adres Użytkownicy mogą wysyłać wiadomości z żądaniem udostępnienia informacji dotyczących przyjętych przez Administratora zasad przetwarzania i ochrony danych osobowych..
5. Udostępnianie danych osobowych
Administrator informuje Użytkowników, że ich dane mogą być przetwarzane przez podwykonawców Administratora, czyli przez podmioty, z których usług Administrator korzysta przy przetwarzaniu danych oraz świadczeniu usług czy realizacji zamówień w sklepie internetowym.
Wszystkie podmioty, którym Administrator powierza przetwarzanie danych osobowych gwarantują stosowanie odpowiednich środków ochrony i bezpieczeństwa danych osobowych wymaganych przez przepisy prawa.
6. Czynności przetwarzania danych osobowych
Administrator przetwarza dane osobowe Użytkowników w poniżej zdefiniowanych obszarach:
- Konto użytkownika
Zakładając konto stronie internetowej Administratora Użytkownicy, muszą podać dane niezbędne do założenia konta, takie jak adres e-mail, imię i nazwisko, dane adresowe, numer telefonu. Podanie danych jest dobrowolne, ale niezbędne do założenia konta. W ramach edycji danych konta możesz podać swoje dalej idące dane.
Dane przekazane nam w związku z założeniem konta, przetwarzane są w celu założenia i utrzymywania konta na podstawie umowy o świadczenie usług drogą elektroniczną zawieranej poprzez rejestrację konta (art. 6 ust. 1 lit. b RODO).
Dane zawarte w koncie będą przetwarzane przez czas funkcjonowania konta. Gdy dany Użytkownik zdecyduje się usunąć konto, Administrator usunie również dane w nim zawarte. Usunięcie konta nie prowadzi jednak do usunięcia informacji o zamówieniach złożonych przez Użytkownika z wykorzystaniem konta.
Użytkownicy mają możliwość sprostowania danych zawartych w koncie w każdym czasie. Użytkownicy mogą również w każdym czasie podjąć decyzję o usunięciu konta. Użytkownikom również prawo do przenoszenia danych, o którym mowa w art. 20 RODO.
- Zamówienia
Przy składaniu zamówień na stronie internetowej Administratora Użytkownik obowiązany jest podać dane niezbędne do realizacji zamówienia, takie jak imię i nazwisko, adres rozliczeniowy, adres e-mail, numer telefonu. Podanie danych jest dobrowolne, ale niezbędne do złożenia zamówienia.
Dane przekazane Administratorowi w związku z zamówieniem, przetwarzane są w celu realizacji zamówienia (art. 6 ust. 1 lit. bRODO), wystawienia faktury (art. 6 ust. 1 lit. c RODO), uwzględnienia faktury w naszej dokumentacji księgowej (art. 6 ust. 1 lit. c RODO) oraz w celach archiwalnych i statystycznych (art. 6 ust. 1 lit. f RODO).
Dane o zamówieniach będą przetwarzane przez czas niezbędny do realizacji zamówienia, a następnie do czasu upływu terminu przedawnienia roszczeń z tytułu zawartej umowy. Ponadto, po upływie tego terminu, dane nadal mogą być przez przetwarzane przez Administratora w celach statystycznych. Pamiętaj również, że mamy obowiązek przechowywać faktury z danymi osobowymi każdego spośród Użytkowników przez okres 5 lat od końca roku podatkowego, w którym powstał obowiązek podatkowy.
W przypadku danych o zamówieniach Użytkownicy nie mają możliwości sprostowania tych danych po realizacji zamówienia. Użytkownicy nie są również uprawnieni do sprzeciwienia się przetwarzaniu danych oraz domagania się usunięcia danych do czasu upływu terminu przedawnienia roszczeń z tytułu zawartej umowy. Podobnie, nie Użytkownicy nie są uprawnieni do sprzeciwienia się przetwarzaniu danych oraz domagania się usunięcia danych zawartych w fakturach. Po upływie terminu przedawnienia roszczeń z tytułu zawartej umowy Użytkownicy są jednak uprawnieni do sprzeciwienia się przetwarzaniu przez Administratora ich danych w celach statystycznych, jak również domagania się usunięcia ich danych z bazy Administratora.
W stosunku do danych o zamówieniach Użytkownikom przysługuje również prawo do przenoszenia danych, o którym mowa w art. 20RODO.
- Newsletter
W przypadku wyrażenia przez Użytkownika woli zapisania się do newslettera, Użytkownik obowiązany jest do przekazania Administratorowi swojego adresu e-mail za pośrednictwem formularza zapisu do newslettera. Podanie danych jest dobrowolne, ale niezbędne, by zapisać się do newslettera.
Dane przekazane Administratorowi podczas zapisu do newslettera wykorzystywane są w celu przesyłania newslettera do Użytkownika, a podstawą prawną ich przetwarzania jest zgoda Użytkownika (art. 6 ust. 1 lit. a RODO) wyrażona podczas zapisywania się do newslettera.
Dane będą przetwarzane przez czas funkcjonowania newslettera, chyba że wcześniej Użytkownik zdecyduje się zrezygnować z jego otrzymywania, co spowoduje usunięcie danych Użytkownika z bazy.
Użytkownik ma prawo sprostować swoje dane zapisane w bazie newsletterowej, jak również zażądać ich usunięcia, rezygnując z otrzymywania newslettera w każdym czasie. Użytkownikowi przysługuje również prawo do przenoszenia danych, o którym mowa w art. 20 RODO.
- Webinary
Użytkownicy, którzy wyrażają wolę wzięcia udziału w webinarach organizowanych przez Administratora, są obowiązaniu do przekazania Administratorowi swoich e danych osobowych, takich jak adres e-mail oraz imię i nazwisko. Podanie danych jest dobrowolne, ale niezbędne, by wziąć udział w webinarze.
Dane przekazane Administratorowi w związku z udziałem w webinarze wykorzystywane są w celu organizacji webinaru, a podstawą prawną ich przetwarzania jest zgoda Użytkownika (art. 6 ust. 1 lit. a RODO) wynikająca z zapisu na webinar.
Dane zostaną usunięte wciągu 30 dni od zakończenia webinaru. W tym okresie Użytkownik jest uprawniony do sprostowania swoich danych zapisanych w systemie webinarowym, jak również do żądania ich usunięcia wcześniej niż we wskazanym powyżej terminie. Użytkownikowi przysługuje również prawo do przenoszenia danych, o którym mowa w art. 20 RODO.
- Reklamacje i odstąpienie od umowy
W momencie złożenia reklamacji lub oświadczenia o odstąpieniu od umowy Użytkownik zobowiązany jest przekazać Administratorowi dane osobowe zawarte w treści reklamacji lub oświadczeniu o odstąpieniu od umowy, które obejmują imię i nazwisko, adres zamieszkania, numer telefonu, adres e-mail, numer rachunku bankowego. Podanie danych jest dobrowolne, ale niezbędne, by złożyć reklamację lub odstąpić od umowy.
Dane przekazane Administratorowi w związku ze złożeniem reklamacji lub odstąpieniem od umowy wykorzystywane są w celu realizacji procedury reklamacyjnej lub procedury odstąpienia od umowy (art. 6ust. 1 lit. c RODO).
Dane będą przetwarzane przez czas niezbędny do realizacji procedury reklamacyjnej lub procedury odstąpienia. Reklamacje oraz oświadczenia o odstąpieniu od umowy mogą być ponadto archiwizowane w celach statystycznych.
W przypadku danych zawartych w reklamacjach oraz oświadczeniach o odstąpieniu od umowy Użytkownik nie jest uprawniony do sprostowania tych danych. Użytkownik nie jest także uprawniony do sprzeciwienia się przetwarzaniu danych oraz domagania się usunięcia danych do czasu upływu terminu przedawnienia roszczeń z tytułu zawartej umowy. Po upływie terminu przedawnienia roszczeń z tytułu zawartej umowy Użytkownik zyskuje jednak uprawnienie do sprzeciwienia się przetwarzaniu przez Administratora jego danych w celach statystycznych, jak również do domagania się usunięcia jego danych z bazy Administratora.
- Kontakt przy użyciu poczty elektronicznej.
Kontaktując się z Administratorem za pośrednictwem poczty elektronicznej, w tym również przesyłając zapytanie poprzez formularz kontaktowy, Użytkownicy przekazują Administratorowi swój adres e-mail jako adres nadawcy wiadomości. Ponadto, w treści wiadomości Użytkownicy mogą zawrzeć również inne dane osobowe. Podanie danych jest dobrowolne, ale niezbędne, by nawiązać kontakt z Administratorem.
Dane Użytkowników są w tym przypadku przetwarzane w celu nawiązanie kontaktu Administratora z Użytkownikiem, a podstawą przetwarzania jest art. 6 ust.1 lit. a RODO, czyli zgoda Użytkownika wynikająca z zainicjowania z kontaktu z Administratorem. Podstawą prawną przetwarzania po zakończeniu kontaktu jest usprawiedliwiony cel w postaci archiwizacji korespondencji na potrzeby wewnętrzne (art. 6 ust. 1lit. c RODO).
Treść korespondencji może podlegać archiwizacji i Administrator nie jest w stanie jednoznacznie określić, kiedy zostanie usunięta. Użytkownik posiada prawo do domagania się przedstawienia historii korespondencji, którą prowadził z Administratorem (jeżeli podlegała archiwizacji), jak również prawo do domagania się jej usunięcia, chyba że jej archiwizacja jest uzasadniona z uwagi na nasze nadrzędne interesy, np. obrona przed potencjalnymi roszczeniami ze strony Użytkowników.
- Komentarze
Użytkownicy są uprawnieni do umieszczania komentarzy na blogu prowadzonym przez Administratora na jego stronie internetowej, po uprzednim wypełnieniu zamieszczonego na stronie formularza i podaniu w nim swojego adresu e-mail oraz imienia. Podanie danych jest dobrowolne, ale niezbędne, by dodać komentarz.
Dane przekazane podczas dodawania komentarza wykorzystywane są w celu opublikowania komentarza na blog, a podstawą prawną ich przetwarzania jest zgoda Użytkownika (art. 6 ust. 1 lit. a RODO) wynikająca z dodania komentarza.
Dane będą przetwarzane przez czas funkcjonowania komentarzy na blogu, chyba że wcześniej Użytkownik zwróci się do Administratora z prośbą o usunięcie komentarza, co spowoduje usunięcie danych Użytkownika z bazy.
Użytkownik jest uprawniony do sprostowania swoich danych przypisanych do komentarza, jak również może zażądać ich usunięcia. Użytkownikowi przysługuje również prawo do przenoszenia danych, o którym mowa w art. 20RODO.
- Logi serwera
Korzystanie ze strony wiąże się z przesyłaniem zapytań do serwera, na którym przechowywana jest strona. Każde zapytanie skierowane do serwera zapisywane jest w logach serwera.
Logi obejmują m.in. adres IP Użytkownika, datę i czas serwera, informacje o przeglądarce internetowej i systemie operacyjnym z jakiego korzysta Użytkownik. Logi zapisywane i przechowywane są na serwerze.
Dane zapisane w logach serwera nie są kojarzone z konkretnymi osobami korzystającymi ze strony i nie są wykorzystywane przez nas w celu identyfikacji Użytkownika.
Logi serwera stanowią wyłącznie materiał pomocniczy służący do administrowania stroną, a ich zawartość nie jest ujawniana nikomu poza osobami upoważnionymi do administrowania serwerem.
- Pliki cookies i inne technologie śledzące
Strona internetowa Administratora wykorzystuje pliki cookies.
Cookies to niewielkie informacje tekstowe, przechowywane na urządzeniu końcowym (np. komputerze, tablecie, smartfonie), które mogą być odczytywane przez system teleinformatyczny Administratora (cookies własne) lub system teleinformatyczny podmiotów trzecich (cookies podmiotów trzecich).
Niektóre używane przez Administratora cookies są usuwane po zakończeniu sesji przeglądarki internetowej, tzn. po jej zamknięciu (tzw. cookies sesyjne). Inne cookies są zachowywane na urządzeniu końcowym i umożliwiają nam rozpoznanie przeglądarki Użytkownika przy kolejnym wejściu na stronę (trwałe cookies).
Podczas pierwszej wizyty na stronie wyświetlana jest każdemu Użytkownikowi informacja na temat stosowania plików cookies. Dzięki specjalnemu narzędziu Użytkownik ma możliwość zarządzania plikami cookies z poziomu strony. Ponadto Użytkownik może w każdym czasie zmienić ustawienia cookies z poziomu swojej przeglądarki albo zupełnie usunąć pliki cookies. Przeglądarki zarządzają ustawieniami cookies na różne sposoby. W menu pomocniczym przeglądarki internetowej Użytkownik może znaleźć wyjaśnienia dotyczące zmiany ustawień cookies.
Administrator przypomina, że wyłączenie lub ograniczenie obsługi plików cookies może powodować trudności w korzystaniu ze strony Administratora, jak również z wielu innych stron internetowych, które stosują cookies.
Cookies własne są wykorzystywane przez Administratora w celu zapewnienia prawidłowego działania strony, w szczególności procesu zamówienia i logowania do konta Użytkownika.
Strona internetowa Administratora wykorzystuje także funkcje zapewniane przez podmioty trzecie, co wiąże się z wykorzystywaniem plików cookies pochodzących od podmiotów trzecich. Wykorzystanie tego rodzaju plików cookies wiąże się z przyjęciem zasad polityki prywatności przyjętej przez te podmioty trzecie. Poniżej znajduje się lista narzędzi od podmiotów trzecich, wykorzystywanych na stronie Administratora:
- Google Analytics;
- Google Adwords;
- Google Tag Manager;
- Facebook Pixel;
- Hotjar;
- Wtyczki mediów społecznościowych: Facebook, Instagram, Twitter, LinkedIn;
- Osadzone na stronie Administratora linki do plików wideo z serwisów YouTube oraz Vimeo;
- Narzędzie aktywnego czatu zapewnione przez Smartsupp.com.
7. Postępowanie w przypadku naruszenia ochrony danych osobowych.
Za okoliczności wskazujące na naruszenie zasad ochrony i zastosowanych środków bezpieczeństwa uznaje się w szczególności:
- nieuprawniony dostęp bądź próba nieuprawnionego dostępu do obszaru przetwarzania;
- stwierdzenie udostępnienia danych objętych poufnością osobie nieupoważnionej;
- stwierdzenie zewnętrznego naruszenia integralności systemu informatycznego;
- zalogowanie się do systemu informatycznego służącego do przetwarzania danych z wykorzystaniem identyfikatora oraz hasła innego użytkownika;
- kradzież sprzętu z użyciem, którego są przetwarzane dane osobowe lub nośników danych, na których dane się znajdują;
- dokonanie nieautoryzowanej kopii danych z użyciem nośnika zewnętrznego;
- ujawnienie wirusów komputerowych lub innych programów, które mogą mieć negatywny wpływ na funkcjonowanie systemu informatycznego bądź też integralność, dostępność lub poufność danych;
- inne zdarzenia losowe wskazujące bezpośrednio na naruszenie zasad lub środków bezpieczeństwa ochrony danych.
Po otrzymaniu informacji w zakresie naruszenia, Administrator podejmuje wszelkie działania mające na celu ograniczenie zagrożenia oraz wykrycie sprawcy naruszenia, w tym:
- zabezpiecza dane lub informacje wskazujące na naruszenie;
- ustala okoliczności naruszenia lub zagrożenia biorąc pod uwagę w szczególności stan pomieszczeń obszaru przetwarzania oraz urządzeń lub systemów wykorzystywanych do przetwarzania;
- dokonuje analizy rodzaju, zakresu oraz źródła naruszenia;
- podejmuje niezbędne działania naprawcze;
- bada przyczyny naruszenia oraz podejmuje działania mające na celu wyeliminowanie podobnych zdarzeń zagrażających bezpieczeństwu danych w przyszłości;
- dokonuje oceny czy naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, których dane dotyczą.
Z przebiegu czynności podejmowanych wobec naruszenia zasad ochrony lub zastosowanych przez Administratora środków bezpieczeństwa danych sporządza się raport uwzględniający w szczególności:
- dane osoby zgłaszającej naruszenie (imię i nazwisko, stanowisko, miejsce zatrudnienia);
- czas i miejsce powiadomienia oraz czas reakcji;
- charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywanie kategorii i przybliżonej liczby osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
- konsekwencje naruszenia ochrony danych osobowych – ocenę ryzyka naruszenia praw lub wolności osób fizycznych, których dane dotyczą;
- środki zastosowane lub proponowane w celu zaradzenia naruszeniu ochrony danych osobowych, w tym
- w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Wszelkie czynności podjęte w celu zapobieżenia naruszeniu mają prowadzić do przywrócenia poziomu ochrony i zastosowanych środków bezpieczeństwa danych sprzed naruszenia oraz uniemożliwić zaistnienie naruszenia w przyszłości.
W przypadku stwierdzenia przez Administratora, że wobec naruszenia ochrony danych osobowych prawdopodobne jest wystąpienie ryzyka naruszenia praw lub wolności osób fizycznych Administrator bez zbędnej zwłoki zgłasza naruszenie organowi nadzorczemu – o ile tak stanowią przepisy prawa.
Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, których dane dotyczą i przepisy prawa tak stanowią,Administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu, chyba,że:
- wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
- zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
- zgłoszenie wymagałoby niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.