Загальний регламент про захист даних (GDPR)

Загальний регламент про захист даних (GDPR)

ІНФОРМАЦІЙНЕ ПОЛОЖЕННЯ ЩОДО ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ

Це Положення щодо обробки персональних даних є документом інформаційного характеру і оприлюднюється  з метою виконання Люблінською академією WSEI своїх обов’язків щодо інформування відповідно до GDPR.

АДМІНІСТРАТОР ПЕРСОНАЛЬНИХ ДАНИХ

1.    Люблінська академія WSEI, що знаходиться за адресою: вул. Projektowa, 4, 20-209 Люблін, внесена до Реєстру недержавних закладів вищої освіти, який веде Міністерство освіти і науки, під номером 196, NIP: 712-26-52-693, REGON: 432260703, є адміністратором персональних даних (далі – Адміністратор) своїх клієнтів, контрагентів, осіб, які надали свої персональні дані через форми, доступні на вебсайті, або електронною поштою, а також інших осіб, які надали згоду на обробку своїх персональних даних.

2.    Адміністратор заявляє, що здійснює обробку персональних даних відповідно до Регламенту (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб у зв’язку з обробкою персональних даних, про вільний рух таких даних та про скасування Директиви 95/46/ЄС (далі – GDPR).

ЗАГАЛЬНІ ПОЛОЖЕННЯ

1.    Інформація щодо обробки персональних даних Адміністратором поширюється на дані, отримані, зокрема:

  • через елекронні форми;
  • представниками Адміністратора в межах діяльності, пов’язаної з господарською або маркетинговою діяльністю Адміністратора;

2.    Це інформаційне положення не поширюється на обробку персональних даних працівників, кандидатів на працевлаштування, а також персональних даних, переданих для обробки на підставі договору про доручення обробки персональних даних.

3.    Персональні дані обробляються з метою виконання договірних зобов’язань, а також у разі необхідності реалізації законних інтересів Адміністратора, зокрема для електронного інформування про послуги та діяльність Адміністратора, а також для інших цілей, на які суб’єкт персональних даних надав згоду відповідно до вимог чинного законодавства.

ДЖЕРЕЛА ОТРИМАННЯ ПЕРСОНАЛЬНИХ ДАНИХ ТА КАТЕГОРІЇ ДАНИХ, ОТРИМАНИХ ВІД ТРЕТІХ ОСІБ

1.    Адміністратор може отримувати персональні дані безпосередньо від суб’єкта персональних даних (наприклад, через електронні форми або електронну пошту) або від третіх осіб (наприклад, від роботодавця, іншого працівника чи іншої організації, з якою суб’єкт персональних даних перебуває у правовідносинах).

2.    У разі безпосереднього надання персональних даних суб’єкт персональних даних має повний контроль над обсягом даних, які він надає Адміністратору.

3.    У разі отримання персональних даних від третьої особи Адміністратор, як правило, отримує лише основні контактні дані, пов’язані з професійною діяльністю особи, зокрема: ім’я та прізвище, адресу електронної пошти, номер телефону, посаду або функцію, найменування організації, а також, за потреби, інші дані, що випливають із договору, у зв’язку з виконанням якого були передані персональні дані відповідної особи.

4.    Персональні дані, передані для обробки іншими адміністраторами персональних даних, обробляються у межах, визначених договором про доручення обробки персональних даних, виключно з метою та у спосіб, визначені адміністратором персональних даних, який передав такі дані.

ПРАВОВІ ПІДСТАВИ, МЕТА ТА СТРОКИ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ

1. Адміністратор здійснює обробку персональних даних виключно за наявності щонайменше однієї з таких правових підстав:

  1. суб’єкт персональних даних надав згоду на обробку своїх персональних даних (ст. 6 ч. 1 п. а GDPR);
  2. обробка є необхідною для виконання договору, стороною якого є суб’єкт персональних даних, або для вжиття заходів на запит суб’єкта персональних даних до укладення договору (ст. 6 ч. 1 п. b GDPR);
  3. обробка є необхідною для виконання юридичного обов’язку, покладеного на Адміністратора (ст. 6 ч. 1 п. c GDPR);
  4. обробка є необхідною для захисту життєво важливих інтересів суб’єкта персональних даних або іншої фізичної особи (ст. 6 ч. 1 п. d GDPR);
  5. обробка є необхідною для виконання завдання, що здійснюється в інтересах суспільства (ст. 6 ч. 1 п. e GDPR);
  6. обробка є необхідною для реалізації законних інтересів Адміністратора або третьої особи (ст. 6 ч. 1 п. f GDPR).
  1. Персональні дані обробляються Адміністратором виключно для таких цілей:
    1. Укладення та виконання договору – правовою підставою обробки є ст. 6 ч. 1 п. b GDPR
      • У разі укладення договору персональні дані оброблятимуться з метою виконання такого договору та його фінансового врегулювання.
      • У разі отримання персональних даних через електронні форми, що дають змогу організувати зустріч, надані дані оброблятимуться з метою організації такої зустрічі та пов’язаних із нею контактів, а також для здійснення будь-яких фінансових розрахунків.
      • Для досягнення зазначеної мети персональні дані обробляються протягом строку виконання відповідних зобов’язань, а також протягом строків позовної давності, встановлених чинним законодавством.
    2. Ділові контакти – правовою підставою обробки є ст. 6 ч. 1 п. f GDPR.
      • Обробка персональних даних у межах цієї мети охоплює, зокрема, проведення ділових зустрічей, ведення службового листування, проведення переговорів, виконання договорів, надсилання пропозицій щодо співпраці, здійснення інформаційної та маркетингової діяльності, а також інші дії, пов’язані з професійною діяльністю.
      • У межах реалізації зазначеної мети суб’єкт персональних даних може періодично отримувати інформацію щодо послуг Адміністратора та іншу інформацію, що стосується діяльності Адміністратора.
      • Якщо суб’єкт даних є представником постачальника або надавача послуг Адміністратора, представники Адміністратора можуть також контактувати з ним для отримання пропозицій, інформації або документів.
      • Обробка персональних даних у такому випадку здійснюватиметься з метою реалізації законного інтересу Адміністратора щодо маркетингу та продажу послуг, а також побудови й зміцнення ділових відносин.
      • Суб’єкт персональних даних має право заперечити проти такої обробки персональних даних.
      • Адміністратор може обробляти контактні дані, надані через електронні форми, а також отримані в межах чинного договору.
      • Для зазначеної мети персональні дані обробляються до моменту врахування заперечення, поданого відповідно до ст. 21 GDPR.
    3. Відповідь на запит – правовою підставою обробки є ст. 6 ч. 1 п. а GDPR.
      • Під час заповнення контактної форми або подання запиту в інший спосіб (зокрема електронною поштою, телефоном або через соціальні мережі) зацікавлена особа надає згоду на обробку своїх персональних даних та на здійснення з нею комунікації з метою розгляду її звернення або запиту.
      • Така згода може бути відкликана в будь-який час, але відкликання згоди не впливає на законність обробки до її відкликання; крім того, відкликання згоди призводить до унеможливлення розгляду звернення і надання відповіді на запит.
      • Дані, отримані на підставі згоди, обробляються до моменту відкликання згоди або до досягнення мети, для якої згода була надана.
    4. Виконання укладеного договору між Адміністратором та іншим суб’єктом – Правовою підставою обробки є ст. 6 ч. 1 п. f GDPR.
      • Якщо суб’єкт даних визначений роботодавцем або іншим суб’єктом як контактна особа, дані такої особи можуть оброблятися з метою виконання та розрахунків за договором, укладеним між Адміністратором та роботодавцем цієї особи або іншим суб’єктом, для реалізації законного інтересу Адміністратора щодо захисту прав суб’єкта даних, виконання укладених договорів та отримання належної винагороди за ними.
      • Обробка даних у такому випадку включатиме поточні контакти, пов’язані з виконанням такого договору, підготовку та архівування документації щодо його виконання, а також пред’явлення вимог або захист від вимог іншої сторони.
      • Суб’єкт персональних даних має право заперечити проти такої обробки даних.
      • Для реалізації зазначеної мети персональні дані обробляються протягом строку виконання відповідних зобов’язань та строків позовної давності, встановлених законодавством, або до моменту врахування заперечення, поданого відповідно до ст. 21 GDPR.
    5. Контакти із засобами масової інформації та просування в засобах масової інформації діяльності й послуг Адміністратора – правовою підставою обробки є ст. 6 ч. 1 п. a GDPR.
      • У випадку журналістів, редакторів, репортерів та інших осіб, які здійснюють журналістську діяльність, персональні дані обробляються з метою підтримання контактів представників Адміністратора із засобами масової інформації та просування діяльності, послуг і продуктів Адміністратора в засобах масової інформації.
      • Така діяльність може включати, зокрема, інформування про важливі події, діяльність, продукти, послуги та досягнення Адміністратора.
      • Встановлення контакту з представником Адміністратора буде вважатися згодою на такі контакти.
      • Надана згода є добровільною та може бути відкликана в будь-який час.
      • Відкликання згоди не впливає на законність обробки персональних даних, здійсненої до моменту її відкликання.
      • Для цієї мети персональні дані оброблятимуться до моменту відмови від контактів (відкликання згоди).
    6. Виконання юридичного обов’язку щодо оформлення та зберігання документації – правовою підставою обробки є ст. 6 ч. 1 п. c GDPR.
      • У разі виконання договору або надання іншої послуги на користь суб’єкта персональних даних Адміністратор також обробляє персональні дані, що містяться у рахунках-фактурах, бухгалтерських книгах і документах, які підтверджують укладення та виконання договору і готуються та зберігається відповідно до чинного законодавства.
      • Це стосується випадків, коли суб’єкт даних є стороною договору, а також коли стороною договору є його роботодавець або суб’єкт, з яким суб’єкт даних співпрацює.
      • Строк зберігання рахунків-фактур, бухгалтерських книг і документів, що підтверджують укладення та виконання договору, визначається положеннями законодавства.
    7. Підтвердження виконання зобов’язань та пред’явлення або захист від претензій – правовою підставою обробки є ст. 6 ч. 1 п. f GDPR.
      • Дані, надані через електронну форму, передані в межах договору або іншим чином надані Адміністратору, можуть оброблятися з метою зберігання документів та інформації, що підтверджують виконання обов’язків Адміністратора, а також для пред’явлення можливих вимог або захисту від вимог, висунутих до Адміністратора.
      • Це стосується ситуації, коли суб’єкт даних є стороною договору, а також ситуації, коли стороною договору є його роботодавець або суб’єкт, з яким він співпрацює, а також ситуації, коли Адміністратор був зобов’язаний на будь-якій підставі надати особі послугу або забезпечити реалізацію її прав.
      • Обробка даних у такому випадку здійснюється для реалізації законного інтересу Адміністратора, який полягає у захисті прав особи, підтвердженні виконання зобов’язань та отриманні належної винагороди за це.
      • Суб’єкт даних має право заперечити проти такої обробки даних.
      • Для реалізації цієї мети персональні дані оброблятимуться протягом строку виконання зобов’язань та строку позовної давності відповідно до чинного законодавства.
    8. Перевірка контрагента – правова підстава обробки: дані контрагента – ст. 6 ч. 1 п. b GDPR; дані осіб, визначених контрагентом для контактів – ст. 6 ч. 1 п. f GDPR.
      • До укладення договору та в період його виконання персональні дані субпідрядників, постачальників, надавачів послуг або партнерів, з якими співпрацює Адміністратор, а також дані визначених ними контактних осіб оброблятимуться з метою перевірки контрагента.
      • Перевірка може здійснюватися шляхом надсилання анкети для заповнення або перевірки даних та фінансового становища контрагента в загальнодоступних реєстрах чи через суб’єктів, що спеціалізуються на перевірці контрагентів.
      • Обробка даних осіб, зазначених контрагентом для контактів, здійснюватиметься для реалізації законного інтересу Адміністратора, який полягає у виконанні договору та захисті прав контрагента.
      • Після завершення реалізації цієї мети дані надалі оброблятимуться для виконання юридичного обов’язку щодо підготовки та ведення документації та для підтвердження виконання зобов’язань і пред’явлення або захисту від претензій.
      • Для реалізації цієї мети персональні дані оброблятимуться протягом усього періоду перевірки контрагента.
    •  

ОБОВ'ЯЗОК НАДАННЯ ДАНИХ ТА НАСЛІДКИ ЇХ НЕНАДАННЯ

1.    У разі заповнення електронних форм надання даних є добровільним, однак ненадання даних, позначених як обов’язкові, унеможливлює надсилання форми та, залежно від її типу, розгляд звернення або надання відповіді на запит.

2.    У випадку даних, зібраних представниками Адміністратора в межах діяльності, пов’язаної з його бізнесом, надання даних є повністю добровільним, а наслідком їх ненадання може бути неможливість зв’язатися із зацікавленою особою в майбутньому.

3.    У випадку даних осіб, які є стороною договору, укладеного з Адміністратором, надання даних, необхідних для виконання договору та юридичних обов’язків, є умовою укладення та виконання договору.

4.    У разі ненадання таких даних виконання договору буде неможливим.

5.    Надання даних для інформаційних і маркетингових цілей є добровільним.

ПРАВА СУБ'ЄКТІВ ДАНИХ

  1. Відповідно до статей 15–22 GDPR суб’єкт даних має такі права:
    1. Право на інформацію про обробку персональних даних – особі, яка подала відповідний запит, Адміністратор надає інформацію про обробку персональних даних, цілі та правові підстави обробки, обсяг наявних даних, суб’єктів, яким розкриваються персональні дані, та заплановану дату їх видалення.
    2. Право на отримання копії даних – Адміністратор надає копію оброблюваних даних, що стосуються особи, яка подала запит.
    3. Право на виправлення – Адміністратор на запит уповноваженої особи усуває будь-які невідповідності або помилки щодо оброблюваних персональних даних, а також доповнює або оновлює їх, якщо вони є неповними або змінилися.
    4. Право на видалення – уповноважена особа може вимагати видалення даних, обробка яких більше не є необхідною для реалізації цілей, для яких вони були зібрані. Право на видалення надається лише у випадках, передбачених GDPR. Адміністратор може відмовити у видаленні даних, якщо застосовується один із винятків, передбачених GDPR.
    5. Право на обмеження обробки – на цій підставі Адміністратор припиняє виконання операцій з персональними даними, за винятком операцій, на які погодився суб’єкт даних, та їх зберігання відповідно до прийнятих правил зберігання, або до моменту припинення підстав для обмеження обробки (наприклад, у разі прийняття рішення наглядовим органом, що дозволяє подальшу обробку). Право вимагати обмеження обробки надається лише у випадках, передбачених положеннями GDPR.
    6. Право на перенесення даних – на цій підставі, якщо дані обробляються у зв’язку з договором або на підставі згоди, Адміністратор надає дані, які були надані суб’єктом даних. Право на перенесення даних застосовується лише у випадку, якщо правовою підставою обробки є згода або виконання договору.
    7. Право на заперечення проти обробки даних для маркетингових цілей – суб’єкт даних може в будь-який час заперечити проти обробки персональних даних для маркетингових цілей без необхідності обґрунтовувати таке заперечення.
    8. Право на заперечення щодо інших цілей обробки – суб’єкт даних може в будь-який час заперечити проти обробки персональних даних. Заперечення повинно містити обґрунтування та підлягає оцінці Адміністратора. У деяких випадках Адміністратор може відмовити у врахуванні заперечення щодо обробки даних на підставі законного інтересу Адміністратора. Така відмова можлива, якщо існують вагомі законні підстави для обробки, що переважають інтереси, права та свободи суб’єктів даних, або якщо існують підстави для встановлення, пред’явлення чи захисту вимог. Таке право не надається Адміністратору, якщо дані обробляються для цілей прямого маркетингу (наприклад, комерційних контактів).
    9. Право на відкликання згоди – якщо дані обробляються на підставі згоди, суб’єкт даних має право відкликати її в будь-який час, що, однак, не впливає на законність обробки, здійсненої до відкликання такої згоди.
    10. Право на подання скарги – якщо обробка персональних даних вважається такою, що порушує GDPR або інші закони про захист даних, суб’єкт даних може подати скаргу до наглядового органу.
  2. Запит щодо реалізації прав суб’єктів даних може бути поданий електронною поштою за адресою: iod@wsei.lublin.pl
  3. Відповідь на заявки буде надано протягом одного місяця з моменту їх отримання. Якщо виникне необхідність продовжити цей строк, Адміністратор повідомить заявника про причини такого продовження.
  4. Відповідь буде надіслана на адресу електронної пошти, з якої було надіслано заяву, а у випадку заяв, надісланих поштою, – рекомендованим листом на адресу, вказану заявником, якщо тільки в змісті листа не зазначено бажання отримати відповідь на електронну пошту (у такому випадку необхідно вказати адресу електронної пошти).

ОДЕРЖУВАЧІ ДАНИХ, ПЕРЕДАЧА ДО ТРЕТІХ КРАЇН

1.    Як правило, Адміністратор не передає дані до країни за межами ЄС. У разі передачі даних до третьої країни, щодо якої не було прийнято рішення Європейської Комісії про належний рівень захисту, Адміністратор застосовує відповідні гарантії шляхом використання стандартних положень про захист даних, затверджених Європейською Комісією або наглядовим органом (відповідно до ст. 46 ч. 2 п. c та d GDPR).

2.    Дані можуть передаватися постачальникам, надавачам послуг та партнерам, з якими Адміністратор співпрацює, у межах, необхідних для надання послуг клієнтам, здійснення ділових контактів, маркетингової діяльності та ведення своєї діяльності.

3.    Третя сторона, яка має доступ до персональних даних, обробляє їх лише на підставі договору про доручення обробки персональних даних та виключно за вказівками Адміністратора.

4.    З питань щодо обробки даних та способу отримання копії стандартних положень про захист даних слід звертатися до інформації, наведеної в пункті 2 розділу «ПРАВА ОСІБ, ЯКИХ СТОСУЮТЬСЯ ДАНІ».

ІНФОРМАЦІЯ ПРО АВТОМАТИЗОВАНЕ ПРИЙНЯТТЯ РІШЕНЬ

1.    Адміністратор може автоматично адаптувати певний контент до потреб клієнтів та осіб, які надали згоду на обробку персональних даних, тобто здійснювати профілювання, використовуючи надані ними персональні дані.

2.    Профілювання, яке здійснюється Адміністратором, не призводить до прийняття рішень, що спричиняють несприятливі правові наслідки для суб’єктів даних або іншим чином істотно впливають на них.