1. Celem niniejszej polityki prywatności (dalej: Polityka) jest określenie zasad przetwarzania danych osobowych, które pozwolą zapewnić ich bezpieczeństwo zgodnie z wymogami stawianymi przez przepisy dotyczące ochrony danych osobowych, w tym zwłaszcza przepisy rodo.
2. Polityka stanowi wykaz dokumentów, które używane są w Upgrade Anna Legan w celu zapewnienia bezpieczeństwa przetwarzania danych.
3. Niniejsza polityka prywatności ma charakter informacyjny, co oznacza, że nie jest ona źródłem obowiązków. Polityka obowiązuje wszystkich klientów odwiedzających serwisy internetowe Anny Legan i korzystających z aplikacji mobilnych.
4. Polityka znajduje się na stronie internetowej: annalegan.pl w wersji umożliwiającej jej edycję, pobranie lub wydrukowanie. Strona ­­­­www.annalegan.pl może zawierać linki do stron internetowych innych podmiotów, które mogą mieć własną politykę prywatności, z którą należy się zapoznać. Anna Legan nie ponosi odpowiedzialności za treści tam zawarte.

§2. Definicje

Na potrzeby niniejszego dokumentu wprowadza się następujące definicje:

1. Administrator – Anna Legan, prowadząca działalność gospodarczą pod firmą Upgrade Anna Legan z siedzibą w Gdańsku (80-392) przy ul. Szczecińskiej 33 lok. 73 NIP: 5842526107, dalej zwana „Administrator”. Kontakt z Administratorem możliwy jest pod adresem mailowym: upgrade@annalegan.pl, pod adresem korespondencyjnym siedziby lub pod numerem telefonu: +48459325154.
2. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności poprzez powołanie się na jeden lub kilka specyficznych czynników ją określających;
3. Przetwarzanie danych osobowych – jakakolwiek operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie usuwanie lub niszczenie;
4. Podmiot przetwarzający – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza lub będzie przetwarzał dane osobowe w imieniu Administratora;
5. Rodo – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych).

§3. Obowiązki Administratora danych osobowych

1. W celu zapewnienia bezpieczeństwa danych osobowych, Administrator jest zobowiązany w szczególności do:
2. stałego nadzoru nad treścią Polityki, instrukcji zarządzania systemem informatycznym oraz innymi dokumentami;
3. wydawania, odbierania, modyfikowania upoważnienia do przetwarzania danych osobowych osobom, które mają te dane przetwarzać.
4. prowadzenia wykazu osób upoważnionych do przetwarzania danych osobowych;
5. prowadzenia rejestru czynności przetwarzania danych osobowych;
6. zawierania umów powierzenia przetwarzania danych osobowych zgodnie z art. 28 Rodo w sytuacji, w której dochodzi do powierzenia przetwarzania danych osobowych.
7. Administrator, przetwarzając dane osobowe, kieruje się w szczególności następującymi zasadami:
8. zasadą przetwarzania danych osobowych zgodnie z prawem – przetwarzanie danych osobowych powinno następować na podstawie jednej z podstaw prawnych wskazanych w art. 6 ust. 1 Rodo;
9. zasadą minimalizacji danych osobowych – przetwarzane mogą być tylko dane osobowe adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
10. zasadą prawidłowości – przetwarzane mogą być tylko dane osobowe, które są prawidłowe i w razie potrzeby uaktualniane (Administrator powinien podejmować wszelkie działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane);
11. zasadą integralności i poufności danych osobowych – dane osobowe powinny być przetwarzane w sposób zapewniający odpowiednie ich bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych;
12. zasadą privacy by design – uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, kontekst, zakres i cele przetwarzania oraz ryzyko naruszenia praw lub wolności o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, Administrator – zarówno przy określeniu sposobów przetwarzania, jak   i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne                               i organizacyjne, takiej jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, czy minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak aby spełnić wymogi Rodo oraz chronić prawa osób, których dane dotyczą;
13. zasadą privacy by default – Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz dostępności. W szczególności środki te zapewniają, by domyślne dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej ilości osób fizycznych.
14. Dostęp do danych osobowych ma Administrator oraz upoważnione przez niego osoby. Wszyscy pracownicy i współpracownicy Administratora zostali odpowiednio przeszkoleni w zakresie ochrony danych osobowych.

§4. Zbieranie danych osobowych

1. W przypadku zbierania danych osobowych od osób, których dane dotyczą, Administrator, dokonując tej czynności, jest zobowiązany przekazać wymienionym osobom informacje, o których mowa w art. 13 Rodo, tj:
2. informacje o osobie Administratora i danych kontaktowych lub – gdy ma to zastosowanie – dane Inspektora Ochrony Danych Osobowych,
3. cele przetwarzania danych osobowych,
4. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez Administratora,
5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
6. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia,
7. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
8. informacje, o których mowa w § 6 Polityki,
9. informacje, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
10. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
11. Jeżeli Administrator nie pozyskał danych osobowych od osób, których dane dotyczą, jest zobowiązany przekazać tym osobom informacje, o których mowa w art. 14 Rodo. Informacje te należy podać:
12. w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca- mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
13. jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą, lub
14. jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
15. W przypadku, gdy osoba, której dane osobowe są przetwarzane, zgłosi żądanie dotyczące dostępu do danych osobowych, ich sprostowania, usunięcia, ograniczenia, przeniesienia czy prawa do sprzeciwu przetwarzania danych osobowych, Administrator stosuje Procedurę obsługi żądań osób, których dane są przetwarzane, która stanowi załącznik nr 1 do Polityki.
16. Administrator zapewnia przejrzystość przetwarzania danych, w szczególności zawsze informuje o przetwarzaniu danych w momencie ich zbierania, w tym o celu
    i podstawie prawnej przetwarzania. Administrator dba o to, by dane były zbierane tylko w zakresie niezbędnym do wskazanego celu i przetwarzane tylko przez okres, w jakim jest to niezbędne.
17. W związku z prowadzoną działalnością Administrator zbiera dane osobowe także w innych przypadkach – np. podczas spotkań biznesowych, na eventach branżowych czy poprzez wymianę wizytówek – w celach związanych z inicjowaniem i utrzymywaniem kontaktów biznesowych. Podstawą prawną przetwarzania jest w tym wypadku uzasadniony interes tego Administratora (art. 6 ust. 1 lit f Rodo) polegający na tworzeniu sieci kontaktów w związku z prowadzoną działalnością.
18. W przypadku kontaktowania się z danym Administratorem drogą telefoniczną, w sprawach niezwiązanych z zawartą umową lub świadczonymi usługami, dany Administrator może żądać podania danych osobowych tylko wówczas, gdy będzie to niezbędne do obsługi sprawy, której dotyczy kontakt. Podstawą prawną jest w takim wypadku uzasadniony interes tego Administratora (art. 6 ust. 1 lit f Rodo) polegający na konieczności rozwiązania zgłoszonej sprawy związanej z prowadzoną przez niego działalnością gospodarczą.
19. W przypadku kierowania do Administratora za pośrednictwem poczty e-mail lub tradycyjnej korespondencji niezwiązanej z usługami świadczonymi na rzecz nadawcy lub inną zawartą z nim umową, dane osobowe zawarte w tej korespondencji są przetwarzane wyłącznie w celu komunikacji i rozwiązania sprawy, której dotyczy korespondencja. Podstawą prawną przetwarzania jest uzasadniony interes tego Administratora (art. 6 ust. 1 lit f Rodo) polegający na prowadzeniu korespondencji kierowanej do niego w związku z jego działalnością gospodarczą. Administrator przetwarza jedynie dane osobowe istotne dla sprawy, której dotyczy korespondencja. Całość korespondencji jest przechowywana w sposób zapewniający bezpieczeństwo zawartych w niej danych osobowych (oraz innych informacji) i ujawniana jedynie osobom upoważnionym.
20. Upgrade Anna Legan może wykorzystywać wizerunek osób trzecich, w tym klientów, w celach marketingowych  (umieszczenie zdjęcia na stronie internetowej) wyłącznie za uprzednią pisemną i wyraźną zgodą.

§5. Przekazywanie, powierzenie przetwarzania danych

1. Z uwagi na konieczność zapewnienia odpowiedniej organizacji działalności w Upgrade Anna Legan, niezbędne jest korzystanie przez Administratora z usług podmiotów zewnętrznych (takich jak np. podmioty obsługujące płatności elektroniczne lub kartą płatniczą, dostawcy usług zaopatrujący Administratora w rozwiązania techniczne, informatyczne oraz organizacyjne, umożliwiające Administratorowi prowadzenie działalności gospodarczej, dostawcy usług księgowych, prawnych i doradczych zapewniający Administratorowi wsparcie księgowe, prawne lub doradcze, w szczególności biuro księgowe, kancelaria prawna lub firma windykacyjna). Administrator korzysta wyłącznie z usług takich podmiotów przetwarzających, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, tak by przetwarzanie spełniało wymogi Rodo i chroniło prawa osób, których dane dotyczą. Przekazanie danych przez Administratora nie następuje w każdym wypadku i nie do wszystkich wskazanych w polityce prywatności odbiorców lub kategorii odbiorców – Administrator przekazuje dane wyłącznie wtedy, gdy jest to niezbędne do realizacji danego celu przetwarzania danych osobowych i tylko w zakresie niezbędnym do jego zrealizowania. W tym celu Administrator zawiera stosowne umowy powierzenia przetwarzania danych osobowych.
2. Administrator jest uprawniony do ujawnienia danych osobowych podmiotom upoważnionym na podstawie właściwych przepisów prawa. Administrator przekazuje zebrane dane osobowe Użytkownika organom administracji państwowej, organom ścigania oraz organom wymiaru sprawiedliwości na ich wyraźne żądanie i w przypadkach określonych przez przepisy prawa.

§6. Prawa podmiotów danych osobowych

1. Podmiotom, których dane są przetwarzane, przysługuje prawo do:

1. informacji o przetwarzaniu danych osobowych – na tej podstawie Administrator przekazuje informację o przetwarzaniu danych osobie zgłaszającej żądanie, w tym przede wszystkim o celach i podstawach prawnych przetwarzania, zakresie posiadanych danych, podmiotach, którym są ujawniane, i planowanym terminie usunięcia danych;
2. uzyskania kopii danych – na tej podstawie Administrator przekazuje kopię przetwarzanych danych dotyczących osoby zgłaszającej żądanie;
3. sprostowania – Administrator zobowiązany jest usuwać ewentualne niezgodności lub błędy przetwarzanych danych osobowych oraz uzupełniać je, jeśli są niekompletne;
4. usunięcia danych – na tej podstawie można żądać usunięcia danych, których przetwarzanie nie jest już niezbędne do realizowania żadnego z celów, dla których zostały zebrane;
5. ograniczenia przetwarzania – w razie zgłoszenia takiego żądania dany Administrator zaprzestaje wykonywania operacji na danych osobowych – z wyjątkiem operacji, na które wyraziła zgodę osoba, której dane dotyczą – oraz ich przechowywania, zgodnie z przyjętymi zasadami retencji lub dopóki nie ustaną przyczyny ograniczenia przetwarzania danych (np. zostanie wydana decyzja organu nadzorczego zezwalająca na dalsze przetwarzanie danych);
6. przenoszenia danych – na tej podstawie – w zakresie, w jakim dane są przetwarzane      w związku z zawartą umową lub wyrażoną zgodą – dany Administrator wydaje dane dostarczone przez osobę, której one dotyczą, w formacie pozwalającym na ich odczyt przez komputer. Możliwe jest także zażądanie przesłania tych danych innemu podmiotowi – jednak pod warunkiem, że istnieją w tym zakresie techniczne możliwości zarówno po stronie Administratora, jak również tego innego podmiotu;
7. sprzeciwu wobec przetwarzania danych w celach marketingowych – osoba, której dane dotyczą, może w każdym momencie sprzeciwić się przetwarzaniu danych osobowych w celach marketingowych, bez konieczności uzasadnienia takiego sprzeciwu;
8. sprzeciwu wobec innych celów przetwarzania danych – osoba, której dane dotyczą, może w każdym momencie sprzeciwić się przetwarzaniu danych osobowych, które odbywa się na podstawie uzasadnionego interesu Administratora (np. dla celów analitycznych lub statystycznych albo ze względów związanych z ochroną mienia). Sprzeciw w tym zakresie powinien zawierać uzasadnienie;
9. wycofania zgody – jeśli dane przetwarzane są na podstawie wyrażonej zgody, osoba, której dane dotyczą, ma prawo ją wycofać w dowolnym momencie, co jednak nie wpływa na zgodność z prawem przetwarzania dokonanego przed wycofaniem zgody;
10. skargi – w przypadku uznania, że przetwarzanie danych osobowych narusza przepisy Rodo lub inne przepisy dotyczące ochrony danych osobowych, osoba, której dane dotyczą, może złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych.
    2. Wniosek dotyczący realizacji praw podmiotów danych można złożyć:
11. w formie pisemnej na adres siedziby Administratora
12. drogą e-mailową na adres: upgrade@annalegan.pl
    3. Jeżeli Administrator nie będzie w stanie zidentyfikować osoby składającej wniosek na podstawie dokonanego zgłoszenia, zwróci się do wnioskodawcy o dodatkowe informacje.
    4. Wniosek może być złożony osobiście lub za pośrednictwem pełnomocnika (np. członka rodziny). Ze względu na bezpieczeństwo danych Administrator zachęca do posługiwania się pełnomocnictwem w formie poświadczonej przez notariusza lub upoważnionego radcę prawnego bądź adwokata, co istotnie przyśpieszy weryfikację autentyczności wniosku.
       Odpowiedź na zgłoszenie powinna zostać udzielona w ciągu miesiąca od jego otrzymania. W razie konieczności przedłużenia tego terminu, Administrator informuje wnioskodawcę o przyczynach opóźnienia. Odpowiedź udzielana jest za pośrednictwem poczty tradycyjnej, chyba że wniosek został złożony drogą e-mailową lub zażądano przekazania odpowiedzi w formie elektronicznej.

§7. Rejestr czynności przetwarzania danych

1. Prowadzony przez Administratora rejestr czynności przetwarzania danych osobowych zawiera informacje, o których mowa w art. 30 Rodo, tj.
2. imię i nazwisko lub nazwę oraz dane kontaktowe Administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie inspektora ochrony danych;
3. cele przetwarzania;
4. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
5. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
6. gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej,
7. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
8. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

§8. Środki techniczne i organizacyjne niezbędne

dla zapewnienia bezpieczeństwa, poufności, integralności i rozliczalności danych osobowych

1. Administrator stosuje środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności danych osobowych oraz przetwarzania danych osobowych zgodnie z instrukcją zarządzania systemami informatycznymi, która stanowi załącznik nr 2 do Polityki.
2. Administrator przed dopuszczeniem pracowników, współpracowników do przetwarzania danych osobowych, zapoznaje ich z instrukcją zarządzania systemami informatycznymi.

§9. Naruszenie bezpieczeństwa danych osobowych

1. W przypadku zaistnienia okoliczności, które mogą wskazywać na naruszenie ochrony danych osobowych, Administrator, pracownik lub współpracownik Administratora jest zobowiązany postępować zgodnie z procedurą zgłaszania naruszeń bezpieczeństwa danych osobowych, która stanowi załącznik nr 3 do Polityki.
2. Administrator, przed dopuszczeniem pracowników lub współpracowników do przetwarzania danych osobowych, zapoznaje ich z procedurą zgłaszania naruszeń bezpieczeństwa danych osobowych.

§10. Postanowienia końcowe

1. Niniejsza Polityka obowiązuje od dnia jej zatwierdzenia przez Administratora, tj. od 20 lipca 2021 roku.
2. Polityka może być okresowo modyfikowana. Modyfikacje mają na celu uwzględnienie zmian w praktykach Administratora dotyczących postępowania z danymi osobowymi i wzmocnienie systemu ochrony danych osobowych. Istotne zmiany w Polityce lub jej aktualizacje będą sygnalizowane za pomocą dobrze widocznych komunikatów umieszczonych na stronie annalegan.pl.
3. Administrator deklaruje, że w przypadku niezgodności postanowień Polityki z przepisami prawa powszechnie obowiązującego, pierwszeństwo mają te przepisy.