Kruz-Kmiecik Fotografia
Wstęp

Realizując konstytucyjne prawo każdej osoby do ochrony życia prywatnego oraz postanowienia rozporządzenia Parlamentu
Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem
danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie
o ochronie danych) w celu zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych
osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenia danych przed ich
udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ww.
rozporządzenia oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, wprowadza się następujący zestaw procedur. 

Rozdział 1
Postanowienia ogólne

1. Ilekroć w dokumencie jest mowa o:
rozporządzeniu – rozumie się przez to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich
danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
danych osobowych – rozumie się przez to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej
(„osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub
pośrednio zidentyfikować, w szczególności na podstawie identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o
lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną,
genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
zbiorze danych – rozumie się przez to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów,
niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
przetwarzaniu danych – rozumie się przez to operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach
danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, organizowanie,
porządkowanie,przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez
przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub
niszczenie;
systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania
informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;
zabezpieczeniu danych w systemie informatycznym – rozumie się przez to wdrożenie i eksploatację stosownych środków
technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem;
usuwaniu danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie
tożsamości osoby, której dane dotyczą;
administratorze danych – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który
samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego
przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa
członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;
zgodzie osoby, której dane dotyczą – oznacza to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba,
której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej
danych osobowych;
odbiorcy danych – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia
się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w
ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za
odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi
zastosowanie stosownie do celów przetwarzania;
państwie trzecim – rozumie się przez to państwo nienależące do Europejskiego Obszaru Gospodarczego;
środkach technicznych i organizacyjnych – należy przez to rozumieć środki techniczne i organizacyjne niezbędne dla zapewnienia
poufności, integralności i rozliczalności przetwarzanych danych osobowych;
ograniczeniu przetwarzania – należy przez to rozumieć oznaczenie przechowywanych danych osobowych w celu ograniczenia ich
przyszłego przetwarzania;
profilowaniu – oznacza to dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu
danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy
aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań,

wiarygodności, zachowania, lokalizacji lub przemieszczania się;
pseudonimizacji – oznacza to przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej
osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane
osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do
zidentyfikowania osobie fizycznej;
podmiocie przetwarzającym – oznacza to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który
przetwarza dane osobowe w imieniu administratora;
naruszeniu ochrony danych osobowych – oznacza to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z
prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych
przesyłanych, przechowywanych lub w inny sposób przetwarzanych. 

Rozdział 2
Administrator danych

1. Administrator danych w szczególności:
wdraża środki techniczne i organizacyjne, uwzględniające charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia
praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia oraz umożliwiające przetwarzanie danych
zgodnie z rozporządzeniem. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane, prowadzi rejestr czynności
przetwarzania danych osobowych, w przypadku gdy ten obowiązek ma zastosowanie, wyznacza Inspektora Ochrony Danych (IOD),
w razie zaistnienia przesłanek określonych w rozporządzeniu. 

Rozdział 3
Środki techniczne i organizacyjne
1) Celem ochrony danych spełniono wymogi, określone w rozporządzeniu, w szczególności:
 1) przeprowadzono ocenę skutków dla ochrony danych zgodnie z załącznikiem nr 1, przeprowadzono analizę ryzyka w
stosunku do zasobów biorących udział w poszczególnych procesach, dopuszczono do przetwarzania danych osobowych
wyłącznie osoby upoważnione przez administratora danych,
 2) zawarto umowy powierzenia przetwarzania danych zgodnie ze wzorem stanowiącym załącznik nr 3, 2) została
opracowana i wdrożona niniejsza polityka bezpieczeństwa.
2. W celu zapewnienia ochrony danych osobowych stosuje się następujące środki ochrony fizycznej danych osobowych:
 1) zbiory danych osobowych przechowywane są w pomieszczeniu zabezpieczonym drzwiami zwykłymi
(niewzmacnianymi, nieprzeciwpożarowymi);
 2) zbiory danych osobowych przechowywane są w pomieszczeniu zabezpieczonym drzwiami o podwyższonej odporności
ogniowej >= 30 min; zbiory danych osobowych przechowywane są w pomieszczeniu zabezpieczonym drzwiami o
podwyższonej odporności na włamanie – drzwi klasy C;
 3) zbiory danych osobowych przechowywane są w pomieszczeniu, w którym okna zabezpieczone są za pomocą krat, rolet
lub folii antywłamaniowej;
 4) pomieszczenia, w którym przetwarzane są zbiory danych osobowych wyposażone są w przeciwwłamaniowy system
alarmowy;
 5) dostęp do pomieszczeń, w których przetwarzane są zbiory danych osobowych, objęty jest systemem kontroli dostępu;
 6) dostęp do pomieszczeń, w których przetwarzane są zbiory danych osobowych, kontrolowany jest przez system
monitoringu z zastosowaniem kamer przemysłowych;
 7) dostęp do pomieszczeń, w których przetwarzane są zbiory danych osobowych, jest w czasie nieobecności zatrudnionych
tam pracowników nadzorowany przez służbę ochrony;
 8) dostęp do pomieszczeń, w których przetwarzane są zbiory danych osobowych, przez całą dobę jest nadzorowany przez
służbę ochrony; zbiory danych osobowych w formie papierowej przechowywane są w zamkniętej niemetalowej szafie;
 9) zbiory danych osobowych w formie papierowej przechowywane są w zamkniętej metalowej szafie;
 10) zbiory danych osobowych w formie papierowej przechowywane są w zamkniętym sejfie lub kasie pancernej;
 11) kopie zapasowe/archiwalne zbiorów danych osobowych przechowywane są w zamkniętej niemetalowej szafie;
 12) kopie zapasowe/archiwalne zbiorów danych osobowych przechowywane są w zamkniętej metalowej szafie;
 13) kopie zapasowe/archiwalne zbiorów danych osobowych przechowywane są w zamkniętym sejfie lub kasie pancernej;
 14) zbiory danych osobowych przetwarzane są w kancelarii tajnej, prowadzonej zgodnie z wymogami określonymi w
odrębnych przepisach;
 15) pomieszczenia, w których przetwarzane są zbiory danych osobowych, zabezpieczone są przed skutkami pożaru za
pomocą systemu przeciwpożarowego i/lub wolnostojącej gaśnicy;
 16) dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą
niszczarek dokumentów.
3. W celu ochrony danych osobowych stosuje się następujące środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej:
 1) komputery służące do przetwarzania danych osobowych nie są połączone z lokalną siecią komputerową;

 2) zastosowano urządzenia typu UPS, generator prądu i/lub wydzieloną sieć elektroenergetyczną, chroniące system
informatyczny służący do przetwarzania danych osobowych przed skutkami awarii zasilania;
 3) dostęp do zbioru danych osobowych, który przetwarzany jest na wydzielonej stacji komputerowej/komputerze
przenośnym, zabezpieczony został przed nieautoryzowanym uruchomieniem za pomocą hasła BIOS;
 4) dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe, zabezpieczony jest za pomocą
procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła;
 5) dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe, zabezpieczony jest za pomocą
procesu uwierzytelnienia z wykorzystaniem karty procesorowej oraz kodu PIN lub tokena;
 6) dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe, zabezpieczony jest za pomocą
procesu uwierzytelnienia z wykorzystaniem technologii biometrycznej;
 7) zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy
użyciu systemów informatycznych;
 8) zastosowano systemowe mechanizmy wymuszający okresową zmianę haseł;
 9) zastosowano system rejestracji dostępu do systemu/zbioru danych osobowych;
 10) zastosowano środki kryptograficznej ochrony danych dla danych osobowych przekazywanych drogą teletransmisji;
 11) dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów uwierzytelnienia;
 12) zastosowano procedurę oddzwonienia (callback) przy transmisji realizowanej za pośrednictwem modemu;
 13) zastosowano macierz dyskową w celu ochrony danych osobowych przed skutkami awarii pamięci dyskowej;
 14) zastosowano środki ochrony przed szkodliwym oprogramowaniem, takim jak np. robaki, wirusy, konie trojańskie,
rootkity;
 15) użyto system Firewall do ochrony dostępu do sieci komputerowej;
 16) użyto system IDS/IPS do ochrony dostępu do sieci komputerowej.
4. Celem zapewnienia ochrony danych osobowych stosuje się następujące środki ochrony w ramach narzędzi programowych i baz
danych:
 1) wykorzystano środki pozwalające na rejestrację zmian wykonywanych na poszczególnych elementach zbioru danych
osobowych;
 2) zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego
zbioru danych osobowych;
 3) dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz
hasła;
 4) dostęp do zbioru danych osobowych wymaga uwierzytelnienia przy użyciu karty procesorowej oraz kodu PIN lub
tokena;
 5) dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem technologii biometrycznej;
 6) zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w
tym zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego;
 7) zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do zbioru danych osobowych;
 8) zastosowano kryptograficzne środki ochrony danych osobowych;
 9) zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe;
 10) zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania
danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.
5. W celu ochrony danych osobowych stosuje się następujące środki organizacyjne:
 1) osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych
osobowych;
 2) przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu
informatycznego;
 3) osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy;
 4) monitory komputerów, na których przetwarzane są dane osobowe, ustawione są w sposób uniemożliwiający wgląd
osobom postronnym w przetwarzane dane;
 5) kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się
serwer, na którym dane osobowe przetwarzane są na bieżąco. 

Rozdział 4

Procedura DPIA (Data Protection Impact Assessment)

1. Każdorazowy właściciel procesu wskazany przez administratora danych przeprowadza ocenę skutków dla ochrony danych
osobowych (DPIA) na podstawie arkusza stanowiącego załącznik nr 1 do niniejszej umowy.
2. DPIA jest przeprowadzana przy każdorazowej istotnej zmianie procesu przetwarzania danych osobowych, polegającej m.in. na
zmianie dostawcy usług, zmianie sposobu przetwarzania danych, wymianie zasobów biorących udział w procesie.
3. DPIA jest przeprowadzana wraz z analizą ryzyka nie rzadziej niż raz w roku w stosunku do procesów, które w wyniku poprzednio
przeprowadzonego DPIA wykazały wysokie ryzyko dla praw i wolności osób, których dane dotyczą. 

Rozdział 5

Procedura analizy ryzyka i plan postępowania z ryzykiem

1. Każdorazowy właściciel procesu wskazany przez administratora danych lub administrator danych samodzielnie przeprowadza
analizę ryzyka dla zasobów biorących udział w procesach.
2. Właściciel procesu lub administrator danych przeprowadza analizę ryzyka nie rzadziej niż raz w roku. Przeprowadzona analiza
ryzyka stanowi podstawę do aktualizacji sposobu postępowania z ryzykiem.
3. Właściciel procesu lub administrator danych samodzielnie wdrażają, w oparciu o wyniki przeprowadzonej analizy ryzyka, sposoby
postępowania z ryzykiem.
4. Każdorazowo administrator danych wybiera sposób postępowania z ryzykiem i określa, które ryzyka i w jakiej kolejności będą
rozpatrywane jako pierwsze. 

Rozdział 6

Procedura współpracy z podmiotami zewnętrznymi

1. Każdorazowe skorzystanie z usług podmiotu przetwarzającego poprzedzane jest zawarciem umowy powierzenia przetwarzania
danych osobowych zgodnie z załącznikiem nr 2.
2. Administrator danych weryfikuje zgodność z rozporządzeniem wszystkich podmiotów przetwarzających, z których usług korzysta
lub ma zamiar skorzystać z listy kontrolnej. Weryfikacja następuje nie rzadziej niż raz w roku oraz każdorazowo przed zawarciem
umowy powierzenia przetwarzania danych osobowych. 

Rozdział 7
Procedura domyślnej ochrony danych

1. Administrator danych realizując zamiar rozpoczęcia przetwarzania danych osobowych w nowym procesie, przeprowadza DPIA w
stosunku do tego procesu.
2. Administrator danych tworząc nowy produkt lub usługę uwzględnia prawa osób, których dane dotyczą, na każdym strategicznym
etapie jego projektowania i wdrażania. 

Rozdział 8
Procedura zarządzania incydentami

1. Administrator danych weryfikuje każdy przypadek potencjalnego ryzyka naruszenia praw lub wolności osób fizycznych w
związku z przetwarzaniem danych osobowych.
2. W przypadku stwierdzenia ryzyka naruszenia praw lub wolności osób fizycznych w związku z przetwarzaniem danych
osobowych, administrator danych zawiadamia o tym fakcie organ nadzorczy niezwłocznie, jednak nie później niż w ciągu 72 godzin
od identyfikacji naruszenia.
3. Administrator danych zawiadamia osoby, których dane dotyczą, w przypadku wystąpienia wobec nich naruszeń skutkujących
ryzykiem naruszenia ich praw lub wolności. Konieczność zawiadomienia osób, których dane dotyczą, nie zachodzi, jeżeli
administrator danych zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka wystąpienia ww. naruszenia.
4. Administrator danych dokumentuje naruszenia, które skutkują naruszeniem praw i wolności osób fizycznych. 

Rozdział 9
Procedura realizacji praw osób

1. Administrator danych rozpatruje indywidualnie każde zgłoszenie przez osobę, której dane dotyczą, woli skorzystania z praw
określonych w rozporządzeniu.
2. Administrator danych niezwłocznie realizuje następujące prawa osób, których dane dotyczą:
 1) prawo dostępu do danych,
 2) prawo do sprostowania danych,
 3) prawo do usunięcia danych,
 4) prawo do przenoszenia danych,
 5) prawo do sprzeciwu wobec przetwarzania danych,
 6) prawo do niepodlegania decyzjom oparty wyłącznie na profilowaniu.
3. Administrator danych niezwłocznie informuje odbiorców danych, którym udostępnił dane osobowe o realizacji prawa do
sprostowania, usunięcia i ograniczenia przetwarzania danych, chyba że jest to niemożliwe albo wymaga podjęcia niewspółmiernie
dużego wysiłku.
4. Administrator danych odmawia realizacji praw osób, których dane dotyczą, jeżeli możliwość taka wynika z przepisów

rozporządzenia. Każda odmowa realizacji praw osób, których dane dotyczą, wymaga podania uzasadnienia z powołaniem podstawy
prawnej wynikającej z rozporządzenia. 

Rozdział 10

Procedura odbierania zgód oraz informowania osób

1. Administrator danych informuje osobę, której dane dotyczą, o każdym przypadku pobierania danych, zgodnie z załącznikiem nr 3.
2. Administrator danych informuje osobę, której dane dotyczą o każdym przypadku pobierania danych z innych źródeł której dane
dotyczą. Przedmiotowa informacja jest przekazywana niezwłocznie, jednak nie później niż przy pierwszym kontakcie z osobą, której
dane dotyczą, zgodnie z załącznikiem nr 3.
3. Administrator danych korzysta z klauzul zgody, według wzorów zawartych w załączniku nr 3 w każdym przypadku odbierania
zgody od osoby, której dane dotyczą. 

Rozdział 11
Postanowienia końcowe

1. Wszelkie zasady opisane w niniejszym dokumencie są przestrzegane przez osoby upoważnione do przetwarzania danych
osobowych ze szczególnym uwzględnieniem dobra osób, których dane te dotyczą.
2. Dokument niniejszy obowiązuje od dnia jego zatwierdzenia przez administratora danych.

Załączniki:
– Arkusz DPIA (załącznik nr 1),
– Umowa powierzenia przetwarzania danych osobowych (załącznik nr 2)
– Przykładowe klauzule (załącznik nr 3)

II. Podstawowe pojęcia.

1. dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane
dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w
szczególności na podstawie identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator
internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną,
ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
2. przetwarzaniu danych – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w
sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, organizowanie, porządkowanie,
przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie,
rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
3. naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem
zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych
przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
4. Użytkownik – osoba fizyczna, której dane są przetwarzane przez Katarzyna Kruz-Kmiecik Fotografia
5. Klient – podmiot, na rzecz którego Katarzyna Kruz-Kmiecik Fotografia dokonuje sprzedaży produktu. 

III. Administrator Danych Osobowych.

Administratorem danych osobowych Użytkowników jest Katarzyna Kruz-Kmiecik Fotografia z siedzibą w Wielopole 214 A, 33-311
Wielogłowy ,wpisana do rejestru przedsiębiorców Nip 7732222985 Regon 365716620 

IV. Zasady zbierania danych osobowych Użytkowników.

1. Katarzyna Kruz-Kmiecik Fotografia , w zakresie zgodnym z prawem, może gromadzić informacje dotyczące Użytkowników, za
pośrednictwem różnych źródeł.

2. Katarzyna Kruz-Kmiecik Fotografia uzyskuje dane osobowe Użytkowników:
 1) bezpośrednio od swoich Klientów
 2) pośrednio: od podmiotów współpracujących z Katarzyna Kruz-Kmiecik Fotografia w zakresie marketingu
bezpośredniego świadczonych przez Katarzyna Kruz-Kmiecik Fotografia 

V. Sposób przetwarzania danych osobowych.

1. Katarzyna Kruz-Kmiecik Fotografia .zapewnia odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo
danych osobowych udostępnionych przez Użytkowników, w szczególności uniemożliwiające dostęp do nich osobom trzecim lub ich
przetwarzanie z naruszeniem przepisów RODO, zapobiegające utracie danych, ich uszkodzeniu lub zniszczeniu.
2. Katarzyna Kruz-Kmiecik Fotografia oświadcza, że:
 1) przetwarza dane osobowe zgodnie z prawem;
 2) zbiera dane osobowe dla oznaczonych, zgodnych z prawem celów i poddaje je dalszemu przetwarzaniu z
uwzględnieniem tych celów;
 3) przechowuje dane osobowe tak długo, jak jest to niezbędne dla realizacji celu, dla którego dane osobowe zostały
zgromadzone, chyba że co innego wynika z przepisów obowiązującego prawa.
3. Dane osobowe gromadzone przez Katarzyna Kruz-Kmiecik Fotografia mogą być wykorzystywane m.in. w następujących celach:
 1) sprzedaży produktów, administrowanie nimi i informowanie o nich przez Katarzyna Kruz-Kmiecik Fotografia
 2) szacowanie ryzyka i doskonalenie usług świadczonych przez Katarzyna Kruz-Kmiecik Fotografia polegające w
szczególności na rozwoju świadczonych usług oraz zarządzanie komunikacją;
 3) spełnienia wymogów wynikających z przepisów prawa;
 4) na potrzeby działań promocyjnych i handlowych Katarzyna Kruz-Kmiecik Fotografia
4. Katarzyna Kruz-Kmiecik Fotografia zapewnia kontrolę nad rodzajem i zakresem przetwarzanych danych osobowych, okresem
oraz sposobem ich przetwarzania, a także osobami upoważnionymi do ich przetwarzania.
5. Dostęp do danych osobowych posiada:Katarzyna Kruz-Kmiecik Fotografia , jej pisemnie upoważnieni pracownicy,
współpracownicy oraz osoby świadczące usługi na rzeczKatarzyna Kruz-Kmiecik Fotografia oraz na rzecz jej Klientów w ramach
realizacji umowy. Dostęp do danych osobowych przez wyżej wymienione osoby odbywa się w wyłącznie celu i zakresie określonym
przez Katarzyna Kruz-Kmiecik Fotografia
6.Katarzyna Kruz-Kmiecik Fotografia prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych. Osoby
upoważnione do przetwarzania danych, są zobowiązane do zachowania w ścisłej tajemnicy danych osobowych oraz zastosowania
środków zapewniających ochronę przetwarzanych danych osobowych. 

VI. Udostępnianie i powierzanie przetwarzania danych osobowych.

1.Katarzyna Kruz-Kmiecik Fotografia nie udostępnia, nie sprzedaje ani nie ujawnia w jakikolwiek inny sposób zbieranych danych
osobowych dotyczących Użytkowników, z wyjątkiem sytuacji opisanych w Polityce lub gdy wynika to z powszechnie
obowiązujących przepisów prawa.
2. Katarzyna Kruz-Kmiecik Fotografia może powierzyć przetwarzanie danych osobowych osobom świadczącym usługi na rzecz
Katarzyna Kruz-Kmiecik Fotografia oraz na rzecz jej Klientów, zgodnie z zawartymi umowami powierzenia przetwarzania danych
osobowych. Katarzyna Kruz-Kmiecik Fotografia prowadzi ewidencję osób, z którymi zawarła umowę powierzenia przetwarzania
danych osobowych. Osoby, którym powierzono przetwarzanie danych osobowych zobowiązane są do zachowania wysokiego stopnia
ochrony prywatności i bezpieczeństwa danych osobowych przetwarzanych przez nie w imieniu Katarzyna Kruz-Kmiecik Fotografia 

VII. Prawa Użytkowników.

1. Użytkownik ma prawo do kontroli przetwarzania przez Katarzyna Kruz-Kmiecik Fotografia danych osobowych, które jego
dotyczą, w szczególności uzyskania informacji o celu, zakresie i sposobie przetwarzania danych.
2. Użytkownik ma prawo dostępu do swoich danych osobowych, a także dokonywania zmian, uzupełniania, sprostowania i
aktualizacji, a także żądania ograniczenia ich przetwarzania lub żądania ich usunięcia, jeżeli są one niekompletne, nieaktualne,
nieprawdziwe lub zostały zebrane z naruszeniem przepisów prawa.
3. Jeżeli przetwarzanie danych osobowych przez Katarzyna Kruz-Kmiecik Fotografia odbywa się na podstawie zgody udzielonej
przez Klienta, o której mowa w art. 6 ust. 1 lit. a) RODO, Użytkownik ma prawo do cofnięcia zgody w dowolnym momencie bez
wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
4. Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego Użytkownik ma prawo w dowolnym momencie

wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w
zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.
5. Użytkownik ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jego szczególną sytuacją. W
przypadku wniesienia sprzeciwu,Katarzyna Kruz-Kmiecik Fotografia nie będzie mogła przetwarzać danych osobowych, chyba że
wykaże ona istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności
Klienta lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
6. Użytkownik ma prawo do wniesienia skargi do organu nadzorczego, którym jest Prezes Urzędu Ochrony Danych Osobowych.
7. Użytkownik może skontaktować się w sprawach ochrony swoich danych osobowych i realizacji swoich praw w następujący
sposób: listownie:Katarzyna Kruz-Kmiecik Wielopole 214 A, 33-311 Wielogłowy na e-mail: info@kruzkmiecik.pl tel. 502-356-796 

VIII. Pliki cookies i oprogramowanie analizujące.

IX. Zasady przechowywania i wykorzystywania danych osobowych.

1. Dane osobowe Użytkowników pozyskane w celu zawarcia umowy przechowywane będą przez okres wykonania umowy oraz do
końca roku kalendarzowego następującego po roku, w którym nastąpił ostatni kontakt z Klientem w przedmiocie jej zawarcia.
2. Dane osobowe Klientów pozyskane w związku z zawarciem umowy będą przetwarzane do końca okresu przedawnienia
potencjalnych roszczeń z zawartej umowy.
3. Administrator przechowuje podstawowe dane kontaktowe dla potrzeb marketingu bezpośredniego produktów i usług do czasu
zgłoszenia sprzeciwu względem ich przetwarzania danych osobowych w tym celu, cofnięcia wyrażonej zgody marketingowej bądź w
przypadku stwierdzenia przez Administratora, że zgody te uległy dezaktualizacji.
4. Katarzyna Kruz-Kmiecik Fotografia zastrzega sobie prawo do przechowywania uzyskanych informacji tak długo, jak jest to
dozwolone ze względów prawnych, regulacyjnych, oraz ze względu na usprawiedliwione cele biznesowe.
5. Katarzyna Kruz-Kmiecik Fotografia ma prawo wykorzystywać dane osobowe Użytkowników do celów badań rynkowych oraz
dla innych celów marketingowych, pod warunkiem ówczesnego uzyskania zgody od użytkowników na wykorzystanie ich danych do
celów wskazanych w niniejszym ustępie.
6. Katarzyna Kruz-Kmiecik Fotografia nie będzie przekazywał danych osobowych Użytkowników do państwa trzeciego, poza
sytuacjami w których następuje to na wniosek osoby, której dane dotyczą̨. 

X. Zmiany Polityki Ochrony Prywatności.

Katarzyna Kruz-Kmiecik Fotografia zastrzega sobie prawo zmiany Polityki Ochrony Prywatności poprzez opublikowanie nowej
Polityki na stronie internetowej. Po dokonaniu zmiany Polityka Prywatności ukaże się na stronie z nową datą.