§1
Zgodnie z art. 24 ust. 2 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (opubl. Dz. Urz. UE L 2016, Nr 119, str. 1, dalej jako: RODO), niniejszym wdraża się niniejszą politykę ochrony danych osobowych.

§ 2
1. Administratorami danych osobowych są: Emilia Kaczorowska, prowadząca działalność gospodarczą pod firmą Emilia Kaczorowska, NIP:7282864978, REGON:522790529, oraz Kinga Wiktorowicz, prowadząca działalność gospodarczą pod firmą Kinga Wiktorowicz, NIP: 7272861458, REGON: 522787770, (współadministratorzy w rozumieniu art. 26 ust. 1 RODO), prowadzące działalność gospodarczą w formie spółki cywilnej Dietetyczki spółka cywilna pod adresem ul. Mazowiecka 3, 92-215 Łódź, NIP: 7282865469, REGON: 522890107.
2. Osobami, których dane dotyczą, są:
a. Klienci, tj. osoby, na rzecz których świadczona jest lub ma być usługa dietetyczna,
b. Kontrahenci, tj. osoby, które świadczą usługi na rzecz współadministratorów,
3. Przetwarzane dane osobowe:
a. co do wszystkich osób, których dane dotyczą, obejmują takie dane, jak: imię, nazwisko, nazwa, firma, numer telefonu, adres zamieszkania, adres siedziby, adres e-mail, adresy komunikatorów internetowych itp. (dane osobowe zwykłe),
b. co do Klientów, obejmują także, za ich zgodą, szczególne dane osobowe, tj dane o stanie zdrowia lub stanie psychofizycznym, jak wzrost, waga, wiek, schorzenia, alergie,wyniki badań, przyjmowane leki, dotychczasowe zwyczaje żywieniowe (dalej jako: dane o stanie zdrowia).

§ 3
1. Współadministratorzy ustalają na podstawie art. 26 ust. 1 zd. 2 RODO, iż:
a. administrowaniedanymi osobowymi, ze względu na formę prawną prowadzonej działalności, prowadzone jest wspólnie przez każdego ze współadministratorów – za wyjątkiem danych o stanie zdrowia, te bowiem administrowane są wyłącznie przez tego ze współadministratorów, który osobiście świadczy usługi dietetyczne na rzecz danego Klienta;
b. obowiązki związane z wykonywaniem obowiązków RODO, jak przekazywanie klauzuli informacyjnej, realizowanie praw Klienta, zawiadamianie organu ochrony danych osobowych o przypadku naruszenia bezpieczeństwa danych osobowych, spoczywa na tym ze współadministratorów, który osobiście świadczy usługi dietetyczne na rzecz danego Klienta;
c. wyrażanie zgody na czynności związane z przetwarzaniem danych osobowych innym osobom wymaga zgody obydwu współadministratorów.

§ 4
Bezpieczeństwo danych osobowych zapewniane jest poprzez:
a. utrzymanie danych osobowych w poufności – poprzez uniemożlwienie dostępu osobom nieupoważnionym do danych osobowych oraz poprzez zobowiązanie do zachowania w poufności danych osobowych wszystkich podmiotów, które będą brały udział w ich przetwarzaniu;
b. zapewnienia integralność danych osobowych– poprzez wyłącznie możliwości dostępu do danych podmiotom, które nie uzyskały po temu zgody ze strony współadministratorów;
c. rozliczalność danych – poprzez zapewnienie możliwości ustalenia każdorazowo, jaka osoba dokonywała danej czynności przetwarzania danych osobowych;
d. dostępność danych osobowych – poprzez zapewnienie osobom, których dane dotyczą, możliwości realizacji praw związanych z zapoznaniem, przeniesieniem, poprawieniem, ograniczeniem lub zakończeniem przetwarzania danych tym osobom.

§ 5
Po przeprowadzeniu analizy ryzyka, na podstawie art. 37 ust. 1 lit. b i lit. c RODO, Współadministratorzy zadecydowali o niewyznaczaniu inspektora danych osobowych, bowiem główna działalność współadministratorównie polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagałyby regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, ani też nie polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO, bowiem dane takie nie są przetwarzane, za wyjątkiem danych o stanie zdrowia,oraz nie polega w ogóle na przetwarzaniu danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 RODO.

§ 6
Politykę ochrony danych osobowych stosuje się w szczególności do:
1) danych osobowych przetwarzanych w formie papierowej,
2) danych osobowych przetwarzanych w systemach informatycznych,
3) informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych,
4) rejestru osób dopuszczonych do przetwarzania danych osobowych,
5) innych dokumentów zawierających dane osobowe.

§ 7
Do stosowania niniejszej polityki ochrony danych osobowych zobowiązane są wszelkie osobymające dostęp do danych osobowych, za wyjątkiem podmiotów zewnętrznych, które przetwarzają dane osobowe powierzone im do przetwarzania przez współadministratorów danych osobowych na podstawie stosownych umów powierzenia. Podmioty te stosują własne procedury i środki bezpieczeństwa związane z ochroną danych osobowych wymagane przez przepisy prawa, do czego zobowiązały się w ramach zawartych umów powierzenia przetwarzania danych osobowych.

§ 8
1. Dane osobowe w formie papierowej przetwarzane są wyłącznie w siedzibie współadministratorów.
2. Dostęp do pomieszczeń składających się na siedzibę współadministratorów mają tylko Współadministratorzy oraz administrator budynku.
3. Dane osobowe w formie papierowej przechowywane są w szafkach zamykanych na klucz. Kluczami dysponują wyłącznie Współadministratorzy.

§ 9
1. Dane osobowe w formie elektronicznej przetwarzane są w obrębie siedziby Współadministratorów danych osobowych oraz mogą być przetwarzane z dowolnego miejsca i w dowolnym czasie, ponieważ przetwarzanie odbywa się z wykorzystaniem komputerów oraz innych urządzeń przenośnych. Ponadto, przetwarzanie odbywa się w ramach systemów informatycznych, instalowanych lokalnie na komputerach oraz takich, do których dostęp następuje on-line, a systemy te nie są zainstalowane lokalnie.
2. Niezależnie od powyższego:
a. fizyczny dostęp do pomieszczenia, w którym znajdują się komputery, na których przetwarzane są dane osobowe, mają tylko Współadministratorzy oraz administrator budynku;
b. każdy ze Współadministratorów dysponuje komputerem przypisanym do swojej osoby, zabezpieczonym hasłem, którego nie zna nikt inny, także drugi ze Współadministratorów,
c. każdy ze Współadministratorów dysponuje aparatem telefonicznym (smartfonem), przypisanym do swojej osoby, zabezpieczonym hasłem, którego nie zna nikt inny, także drugi ze Współadministratorów,
d. każdy ze Współadministratorów dysponuje adresem poczty elektronicznej, przypisanym do swojej osoby, zabezpieczonym hasłem, którego nie zna nikt inny, także drugi ze Współadministratorów,
e. dostęp do wspólnego e-maila mają tylko Współadministratorzy.
3. Współadministratorzy stosują zabezpieczenia informatyczne zapewniająca bezpieczeństwo danych osobowych, w tym w szczególności hasła o cechach pozwalających na zakwalifikowanie ich jako tzw. hasła mocne (znaki wielkie, małe, specjalne, cyfry każdorazowo w danym haśle) oraz stosowne programy antywirusowe.

§ 10
W przypadku powierzenia przetwarzania danych osobowych podmiotom trzecim, do przetwarzania danych osobowych dochodzi również w innych lokalizacjach oraz w ramach obcych systemów informatycznych, w tym jednak zakresie czynności przetwarzania dokonuje podmiot trzeci lub ewentualnie podmioty do tego przez niego upoważnione. Podmioty takie zawsze zostają zobowiązane do stosowania odpowiednich środków ochrony i bezpieczeństwa danych osobowych wymaganych przez przepisy prawa i składają w tym przedmiocie odpowiednie oświadczenia.

§ 11
W celu zapewnienia odpowiedniego poziomu ochrony danych osobowych wprowadzone zostają zabezpieczenia organizacyjne i techniczne. Zabezpieczenia te obejmują:
a. sporządzenie i wdrożenieniniejszejpolityki ochrony danych osobowych,
b. do przetwarzania danych osobowych zostać mogą dopuszczone wyłącznie osoby posiadające upoważnienia nadane przez współadministratorów danych osobowych, po zapoznaniu z niniejszą polityką ochrony danych osobowych, stosownych przeszkoleniu z zasad ochrony danych osobowych oraz zobowiązaniu do zachowania w poufności wszelkich danych osobowych,
c. dane osobowe przetwarzane są w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych, co opisano powyżej,
d. dokumenty zawierające dane osobowe są po ustaniu przydatności niszczone z wykorzystaniem niszczarek, a w przypadku danych osobowych przechowywanych na nośnikach informatycznych – w sposób uniemożliwiający ich łatwe odzyskanie,
e. po zakończeniu czynności przetwarzania danego dnia, stosowana jest zasada „czystego biurka” (wszelkie dokumenty są chowane do zamykanych szafek), a urządzenia elektroniczne są wyłączane w sposób powodujący konieczności podania loginów i haseł w celu ponownego z nich skorzystania,

§ 12
1. Każde naruszenie ochrony danych osobowych podlega niezwłocznemu zgłoszeniu przez Współadministratoromdanych osobowych.
2. Współadministratorzy dokumentują wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia, jego skutki oraz podjęte w związku z nimi czynności.
3. W przypadku naruszenia ochrony danych osobowych, każdy ze Współadministratorów ma prawo i obowiązek zawiadomienia organu ochrony danych osobowych oraz zawiadomienia osób, których naruszone dane dotyczą, chyba, że drugi ze Współadministratorów wykonał już te obowiązki.