Niniejsza Polityka Grupy w zakresie ochrony danych osobowych („Polityka ochrony danych”) określa zasady ochrony danych osobowych w CPI Property Group („CPIPG”) i jej spółkach powiązanych („Spółki CPIPG”). and other Member States’ national data privacy legislation. Przedstawia ona zasady ochrony danych osobowych, w tym związane z nimi obowiązki Spółek CPIPG. Polityka ochrony danych odzwierciedla zasady ochrony danych wymagane przez RODO oraz krajowe przepisy dotyczące ochrony danych innych państw członkowskich.
Spółki CPIPG poważnie traktują ochronę danych osobowych i obchodzą się z nimi z odpowiednią ostrożnością i odpowiedzialnością podczas prowadzenia swoich działań biznesowych. Naruszenie danych osobowych może spowodować poważne konsekwencje prawne i gospodarcze dla Spółek CPIPG, ich pracowników i osób, których dane dotyczą. Może również spowodować uszczerbek na reputacji Spółek CPIPG. Poprzez wdrożenie Polityki ochrony danych osobowych we wszystkich Spółkach CPIPG, ryzyko naruszenia ochrony danych, jak również wynikające z niego ryzyka zostają zminimalizowane.
Niniejsza Polityka ochrony danych jest wiążąca dla Spółek CPIPG i ich pracowników. Odnosi się do wszystkich przypadków przetwarzania danych osobowych, do których stosuje się RODO i przepisy krajowe państw członkowskich.
Poniższe postanowienia opisują procedury stosowane przez Spółki CPIPG podczas przetwarzania danych osobowych.
Ponadto postanowienia te przedstawiają krótki opis podziału kompetencji i kluczowych ról w Spółkach CPIPG w zakresie przetwarzania danych osobowych.
Spółki CPIPG podjęły i będą nadal podejmować odpowiednie środki techniczne i organizacyjne w celu zapewnienia ochrony danych osobowych przed niewłaściwym wykorzystaniem, utratą i uszkodzeniem oraz traktowania ich zgodnie z RODO i przepisami krajowymi państw członkowskich w zakresie prywatności danych. Ochrona danych dotyczy przetwarzania danych osobowych partnerów Spółek CPIPG, ich pracowników, członków ich rodzin, kandydatów do pracy, klientów i innych osób, których dane osobowe są przetwarzane przez spółki CPIPG.
Spółki CPIPG przestrzegają podstawowych zasad przewidzianych przez RODO przy przetwarzaniu danych osobowych. Odpowiednie podstawowe zasady zostały wymienione poniżej:
Przetwarzanie danych osobowych odbywa się zawsze w oparciu o podstawy prawne, do których zalicza się zgodę na przetwarzanie danych osobowych, wypełnienie obowiązku prawnego, wykonanie umowy, uzasadniony interes, interes publiczny lub ochronę interesów osoby, której dane dotyczą.
Szczególne kategorie danych osobowych oraz dane osobowe dotyczące spraw karnych są wyjątkowo wrażliwe, dlatego stosuje się wobec nich wysoki stopień ochrony. Każde przetwarzanie szczególnych kategorii danych osobowych jest konsultowane z IOD.
Spółki CPIPG mogą udostępniać dane osobowe stronom trzecim (w tym przekazywać dane osobowe w ramach grupy) tylko pod pewnymi warunkami. Dane osobowe mogą być udostępniane wyłącznie stronie trzeciej działającej jako podmiot przetwarzający na podstawie umowy o przetwarzaniu danych osobowych. Dane osobowe mogą być również udostępniane innej stronie trzeciej działającej jako administrator danych lub współadministrator danych w oparciu o odpowiednie porozumienia umowne.
W przypadku zaistnienia wymogu sprostowania lub usunięcia danych osobowych lub ograniczenia przetwarzania, w określonych okolicznościach, Spółki CPIPG powiadomią odpowiednie strony trzecie, którym udostępniono dane osobowe, chyba że jest to niewykonalne lub wymaga niewspółmiernego wysiłku. Spółki CPIPG informują osobę, której dane dotyczą o stronach trzecich, którym ujawniono dane osobowe, tylko wtedy, gdy zażąda tego osoba, której dane dotyczą.
W określonych warunkach Spółki CPIPG mogą również przekazywać dane osobowe do państw trzecich spoza EOG lub Unii Europejskiej lub do organizacji międzynarodowych. W celu oceny warunków prawnych, w jakich dane osobowe mogą być przekazywane do państw trzecich lub do organizacji międzynarodowych, Spółki CPIPG przeprowadzają konsultację z IOD.
Spółki CPIPG podejmują wszelkie niezbędne kroki w celu realizacji praw osób, których dane dotyczą, określonych w RODO. W odniesieniu do przetwarzania danych osobowych osobom, których dane dotyczą przysługują prawa obejmujące prawo dostępu do danych osobowych, prawo do sprostowania, ograniczenia przetwarzania, przenoszenia lub usunięcia danych osobowych, prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych oraz prawo do nie bycia podmiotem decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych.
Osoby, których dane dotyczą, mogą domagać się realizacji swoich praw na podstawie pisemnego lub ustnego wniosku. W celu zapewnienia wystarczającej ochrony danych osobowych przetwarzanych przez Spółki CPIPG oraz zapobieżenia nadużyciom w odniesieniu do danych osobowych, spółki CPIPG wprowadziły zasady weryfikacji tożsamości osób, których dane dotyczą, podane poniżej.
Pisemny wniosek
Aby zażądać wykonania określonego prawa w formie pisemnej, osoby, których dane dotyczą, wypełniają formularz wniosku ostępny do pobrania tutaj. Podpisy osób, których dane dotyczą, na formularzu wniosku muszą być urzędowo poświadczone. W zależności od lokalnego prawa, osoby, których dane dotyczą, mogą mieć możliwość poświadczenia swojego podpisu np. w kancelarii notarialnej, na poczcie, u adwokata/radcy prawnego, w konsulacie lub w urzędzie gminy/województwa. Podpis musi być urzędowo poświadczony w kraju, w którym wniosek jest składany odpowiedniej Spółce CPIPG osobiście w siedzibie danej spółki CPIPG, wysyłany pocztą za pomocą operatora usług pocztowych lub zweryfikowanych środków elektronicznych (np. skrzynek danych w Republice Czeskiej). Szczególnie w przypadku wysłania wniosku pocztą za pośrednictwem operatora usług pocztowych w krajach spoza EOG lub Unii Europejskiej, dana Spółka CPIPG może skontaktować się z osobą, której dane dotyczą, w celu dalszej weryfikacji tożsamości.
Ustny wniosek
Osoby, których dane dotyczą, mogą również zażądać wykonania swojego określonego prawa osobiście w siedzibie danej Spółki CPIPG. Ich tożsamość zostanie zweryfikowana przez wyznaczonego pracownika danej Spółki CPIPG (np. w recepcji), na podstawie przedłożenia jednego z następujących dokumentów: dowodu osobistego, paszportu lub innego dokumentu urzędowego ze zdjęciem, na podstawie którego możliwa jest jednoznaczna identyfikacja.
Realizacja praw osób, których dane dotyczą, nie narusza praw stron trzecich. W przypadku, gdy wnioski składane przez osoby, których dane dotyczą, są oczywiście nieuzasadnione lub nadmierne, w szczególności ze względu na ich powtarzalny charakter, Spółki CPIPG mogą zażądać uzasadnionej opłaty, nieprzekraczającej niezbędnych kosztów udzielenia wyżej wymienionych informacji lub organizacji wykonania praw osób, których dane dotyczą, w celu udzielenia odpowiedzi na ich wniosek.
Spółki CPIPG zapewniają wystarczającą komunikację i współpracę w celu przetworzenia wszystkich otrzymanych żądań w odpowiednim czasie. Spółki CPIPG ściśle współpracują w celu dostarczenia zainteresowanej osobie, której dane dotyczą, odpowiedzi w terminach ustawowych.
Spółki CPIPG i ich organy statutowe są odpowiedzialne za zapewnienie zgodności z RODO i odpowiednimi krajowymi przepisami państw członkowskich dotyczącymi prywatności danych.
Spółki CPIPG z siedzibą w UE, wymienione w załącznikach, wyznaczyły inspektora ochrony danych (IOD), który jest funkcjonalnie i organizacyjnie odpowiedzialny za przestrzeganie przepisów prawnych i wewnętrznych regulacji spółek CPIPG dotyczących ochrony danych osobowych.
Z IOD można się skontaktować za pośrednictwem poczty elektronicznej pod adresem dpo@cpipg.com lub za pośrednictwem poczty pod adresem Vladislavova 1390/17, 110 00 Praga 1, Republika Czeska, z wyjątkiem włoskich Spółki CPIPG, które mają własnego inspektora ochrony danych (IOD), którego dane kontaktowe i listę spółek, dla których został wyznaczony, można znaleźć w załączniku do niniejszej Polityka ochrony danych.
Spółki CPIPG spoza UE wymienione w załączniku wyznaczyły Przedstawiciela UE, który jest funkcjonalnie i organizacyjnie odpowiedzialny za przestrzeganie przepisów prawnych dotyczących ochrony danych osobowych. Przedstawicielem UE jest spółka Vilanel, a.s. , z siedzibą pod adresem Vladislavova 1390/17, Praga 1, Republika Czeska, zarejestrowana w Sądzie Miejskim w Pradze pod nr B13297, numer identyfikacyjny: 28211367. Z Przedstawicielem UE można się kontaktować za pośrednictwem poczty elektronicznej representative@vilanel.cz lub za pośrednictwem poczty pod powyższym adresem. Więcej informacji o Przedstawicielu UE można znaleźć tutaj.
Wszyscy właściciele danych w ramach Spółek CPIPG i wszyscy pracownicy są zobowiązani do przetwarzania danych osobowych zgodnie z wewnętrznymi politykami spółek CPIPG, RODO i krajowymi przepisami dotyczącymi prywatności danych w innych państwach członkowskich.
Spółki CPIPG zgłaszają niezwłocznie, w każdym razie nie później niż w ciągu 24 godzin, wszelkie domniemane naruszenia bezpieczeństwa danych osobowych do odpowiedniego IOD/Przedstawiciela UE. Jeśli naruszenie danych osobowych spełnia wymagania dotyczące zgłoszenia do odpowiedniego organu nadzorczego lub osób, których dane dotyczą, IOD/Przedstawiciel UE wypełnia ten obowiązek w ciągu 72 godzin od naruszenia danych osobowych.
Spółki CPIPG przetwarzają dane osobowe tylko przez niezbędny okres. Dane osobowe są usuwane lub anonimizowane w następujących okolicznościach:
Spółki CPIPG kładą nacisk na przestrzeganie niezbędnych środków bezpieczeństwa podczas usuwania danych lub ich anonimizacji.
CPIPG obsługuje dokumenty zgodnie z RODO. Zasady przyjmowania, rejestrowania, obiegu, przechowywania i usuwania dokumentów w CPIPG są określone w aktualnych wytycznych CPIPG dotyczących retencji.
Po zakończeniu okresu archiwizacji, dokumenty są niszczone zgodnie z ustaloną procedurą niszczenia, z zachowaniem dowodu ewidencji (zgoda właściciela dokumentu, zgoda właściwego państwowego lokalnego archiwum, zaświadczenie o zniszczeniu).
Spółki CPIPG mogą publikować dane osobowe w intranecie, Internecie lub innych mediach wyłącznie za zgodą zainteresowanej osoby, której dane dotyczą, chyba że w szczególnych przypadkach istnieje inna podstawa prawna.
W przypadku gdy Spółki CPIPG uzyskują dane osobowe dotyczące osób, których dane dotyczą, bezpośrednio od tych osób - te osoby, których dane dotyczą, otrzymują informacje o przetwarzaniu ich danych osobowych w momencie uzyskania takich danych osobowych. Jeżeli dane osobowe nie są uzyskiwane bezpośrednio od osób, których dane dotyczą, informacje o przetwarzaniu są im przekazywane w późniejszym czasie, najczęściej w trakcie pierwszej komunikacji z taką osobą.
Informacje o wybranym przetwarzaniu danych osobowych, w przypadkach gdy informacje o przetwarzaniu nie są dostępne dla osób, których dane dotyczą w momencie uzyskania danych osobowych, są dostępne tutaj: Informacja o wybranym przetwarzaniu danych osobowych przez Spółki CPIPG.
Osoba, której dane dotyczą
Zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna, której dane osobowe są przetwarzane; możliwa do zidentyfikowania osoba fizyczna to osoba fizyczna, którą można bezpośrednio lub pośrednio zidentyfikować, głównie na podstawie określonego identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych elementów fizycznej, fizjologicznej, genetycznej, psychicznej, ekonomicznej, kulturowej lub społecznej tożsamości osoby fizycznej.
Administrator danych
Osoba fizyczna lub prawna, organ publiczny, agencja lub inny podmiot, który samodzielnie lub wspólnie z innymi określa cele i sposoby przetwarzania danych osobowych.
Podmiot przetwarzający
Osoba fizyczna lub prawna, organ publiczny, agencja lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Dane osobowe
Wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie.
Szczególne kategorie
Dane osobowe stanowiące informacje o pochodzeniu rasowym lub etnicznym, poglądach politycznych, przekonaniach religijnych lub filozoficznych lub przynależności do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia lub danych dotyczących życia seksualnego lub orientacji seksualnej osoby fizycznej.
RODO
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Przetwarzanie danych osobowych
Każda operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, dostosowywanie lub zmienianie, odzyskiwanie, przeglądanie, wykorzystywanie, ujawnianie przez przekazywanie, rozpowszechnianie lub udostępnianie w inny sposób, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
IOD
Inspektor ochrony danych.
Przedstawiciel UE
Osoba fizyczna lub prawna z siedzibą w UE, wyznaczona na piśmie przez administratora lub podmiot przetwarzający na mocy art. 27 RODO, reprezentuje administratora lub podmiot przetwarzający w zakresie wykonywania odpowiednich obowiązków wynikających z RODO.
Informacje zanonimizowane
Informacje niedotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, w tym dane osobowe zanonimizowane tak, że osoba, której dane dotyczą, nie jest lub przestała być możliwa do zidentyfikowania.
Strona trzecia
Każdy podmiot prawny lub osoba fizyczna, która nie jest pracownikiem Spółki, z wyjątkiem osób, których dane dotyczą.
Zgoda
Każde dobrowolne, konkretne, świadome i jednoznaczne wskazanie woli osoby, której dane dotyczą, przez które osoba ta, poprzez oświadczenie lub wyraźne działanie potwierdzające, wyraża zgodę na przetwarzanie dotyczących jej danych osobowych.
Lista spółek CPIPG z wyznaczonym IOD (z wyłączeniem spółek włoskich, patrz poniżej)
Lista włoskich spółek CPIPG z wyznaczonym IOD
Lista spółek CPIPG spoza UE z wyznaczonym Przedstawicielem UE
Formularz wniosku RODO osoby, którego dane dotyczą
W przypadku jakichkolwiek pytań związanych z wnioskami z zakresu RODO uprzejmie prosimy o kontakt mailowy na adres dpo@cpipg.com (IOD) / dpo@innlab.it (IOD we Włoszech) / representative@vilanel.cz (Przedstawiciel UE). Przypominamy, że komunikacja mailowa nie jest w 100% bezpiecznym środkiem komunikacji, a jej bezpieczeństwo, źródło lub dostarczenie nie jest gwarantowane.