Polityka Prywatności

I. Informacje wstępne – kto jest administratorem danych osobowych? 

​

1. Administratorem danych osobowych jest CosmeEstetic Clinic x The Skin, Sabina Serafin-Cięciwa Al.Batorego 88, 33-300 Nowy Sącz, NIP 8691981133  (dalej także jako: Klinika i/lub Administrator).  
 

2. Administrator kieruje niniejszą informację do osób fizycznych w związku z koniecznością  realizacji obowiązków określonych w art. 13 ust. 1 i 2 oraz w art. 14 ust. 1 i 2 Ogólnego  rozporządzenia o ochronie danych z dnia 27 kwietnia 2016 r. (dalej jako: RODO).  
 

3. Administrator zidentyfikował szczegółowe kategorie podmiotów danych i jeżeli jest to  zasadne, to kieruje do nich odrębne komunikaty zawierające informacje o przetwarzaniu  danych osobowych. Przykładem takiego działania są klauzule informacyjne kierowane do  pacjentów Kliniki, kandydatów do pracy, czy też osób biorących udział w wydarzeniach  marketingowych organizowanych przez Klinikę.  
 

4. Administrator z należytą starannością dobrał i zastosował środki techniczne i organizacyjne  zapewniające ochronę przetwarzanych danych osobowych. Dane osobowe są zabezpieczone  przed ich udostepnieniem osobom nieupoważnionym, jak również przed ich przetwarzaniem z  naruszeniem obowiązujących przepisów prawa. 

 

II. Przetwarzanie danych osobowych osób zainteresowanych usługami Administratora  

​

1. Cel i podstawy prawne przetwarzania, które jest wykonywane na danych osobowych osób  zainteresowanych usługami Administratora:  
 

a. cel przetwarzania: udzielenie odpowiedzi na zadawane pytania w związku z  kontaktem nawiązywanym przez potencjalnych klientów, jak i kontrahentów  będących osobami fizycznymi (ew. także przez reprezentantów i osoby  powiązane z kontrahentami),  
 

b. podstawy prawne czynności przetwarzania: niezbędność przetwarzania do  realizacji działania podjętego przez Klinikę na żądanie podmiotu danych przed  zawarciem umowy, tj. art. 6 ust. 1 lit. b RODO i/lub prawnie uzasadniony  interes administratora danych osobowych, tj. art. 6 ust. 1 lit. f RODO – gdzie  za prawnie uzasadniony interes wskazuje się przede wszystkim kontakt z  potencjalnymi klientami i kontrahentami, odpowiedzi na przesłane wiadomości  i realizacje działalności statutowej.  

III. Przetwarzanie danych osobowych osób odwiedzających stronę internetową, jak i  konta w platformach mediów społecznościowych, które należą do Administratora 
 

1. Cel i podstawy prawne przetwarzania, które jest wykonywane na danych osobowych osób  odwiedzających stronę internetową, jak i konta w platformach mediów społecznościowych,  które należą do Administratora:  
 

a. cel przetwarzania: zapewnienie możliwości korzystania z treści  prezentowanych na stronie internetowej, jak i w ramach podstron platform  mediów społecznościowych Kliniki, a w tym także działania analityczne z  użyciem narzędzi zewnętrznych,  
 

b. podstawy prawne czynności przetwarzania: realizacja prawnie  uzasadnionych interesów administratora danych, tj. art. 6 ust. 1 lit. f RODO –  gdzie za prawnie uzasadniony interes wskazuje się przede wszystkim  marketing usług własnych, jak i działania podejmowane dla utrzymania i  poprawnego funkcjonowania stron internetowych oraz zgoda podmiotu  danych, tj. art. 6 ust. 1 lit. a RODO, która ma odniesienie do akceptacji  niektórych czynności analitycznych. 

​

IV. Przetwarzanie danych osobowych kontrahentów będących osobami fizycznymi, z  których usług korzysta Administrator, jak również przetwarzanie danych  reprezentantów, pełnomocników, czy też tzw. osób kontaktowych występujących w  imieniu kontrahentów

​

1. Cel i podstawy prawne przetwarzania, które jest wykonywane na danych osobowych  kontrahentów będących osobami fizycznymi, z których usług korzysta Administrator, jak  również przetwarzanie danych reprezentantów, pełnomocników, czy też tzw. osób  kontaktowych występujących w imieniu kontrahentów:  
 

a. cel przetwarzania: realizacja umowy z dostawcą usług, czy też innego  rodzaju kontrahentem będącym osobą fizyczną oraz przetwarzanie danych 
osobowych pracowników, czy też reprezentantów realizujących działania na  rzecz dostawców usług i innych kontrahentów, które mogą pojawić się w  trakcie realizacji zawartych umów,  
 

b. podstawy prawne czynności przetwarzania: niezbędność przetwarzania dla  potrzeby realizacji umowy i/lub działanie podjęte przez Klinikę na żądanie  podmiotu danych przez zawarciem umowy, tj. art. 6 ust. 1 lit. b RODO oraz  realizacja prawnie uzasadnionych interesów administratora danych, tj. art. 6  ust. 1 lit. f RODO – gdzie za prawnie uzasadniony interes wskazuje się  realizację działalności statutowej Administratora, jak i wypełnienie  obowiązków prawnych ciążących na Administratorze danych, tj. m.in.  obowiązki rachunkowe i podatkowe – podstawa przetwarzania: realizacja  obowiązków prawnych ciążących na administratorze danych, tj. art. 6 ust. 1 lit. c RODO.  
 

V. Przetwarzanie danych osobowych osób objętych zakresem działania monitoringu  wizyjnego

​

1. Cel i podstawy prawne przetwarzania, które jest wykonywane na danych osobowych osób  objętych zakresem działania monitoringu wizyjnego:  
 

a. cel przetwarzania: zabezpieczenie mienia należącego do Administratora oraz  zapewnienie bezpieczeństwa pacjentów,  
 

b. podstawy prawne czynności przetwarzania: realizacja prawnie  uzasadnionych interesów administratora danych, tj. art. 6 ust. 1 lit. f RODO –  gdzie za prawnie uzasadniony interes wskazuje się ww. ochronę mienia i  bezpieczeństwa pacjentów, a w niektórych przypadkach także zgoda podmiotu  danych, tj. art. 6 ust. 1 lit. a RODO (jednocześnie Administrator wskazuje, że  zagadnienia dotyczące monitoringu są szczegółowo opisane m.in. w ostatniej  części niniejszego opracowania).  
 

VI. Przetwarzanie danych osób korzystających z usługi newsletter

​

1. Cel i podstawy prawne przetwarzania, które jest wykonywane na danych osobowych osób  korzystających z usługi newsletter:

​

a. cel przetwarzania: marketing usług własnych Administratora,  

​

b. podstawy prawne czynności przetwarzania: zgoda podmiotu danych, tj. art.  6 ust. 1 lit. a RODO.  

​

VII. Przetwarzanie danych beneficjentów i osób korzystających z realizowanych  programów sprzedażowych, promocji, czy też programów kart podarunkowych,  których regulaminy są dostępne w ramach niniejszej strony internetowej

​

1. Cel i podstawy prawne przetwarzania, które jest wykonywane na danych osobowych  beneficjentów i osób korzystających z realizowanych programów sprzedażowych, promocji,  czy też programów kart podarunkowych, których regulaminy są dostępne w ramach niniejszej  strony internetowej: 
 

a. cel przetwarzania: realizacja umowy lub usługi,  
 

b. podstawy prawne czynności przetwarzania: niezbędność przetwarzania dla  potrzeby realizacji umowy i/lub działanie podjęte przez Klinikę na żądanie  podmiotu danych przez zawarciem umowy, tj. art. 6 ust. 1 lit. b RODO oraz  realizacja prawnie uzasadnionych interesów administratora danych, tj. art. 6  ust. 1 lit. f RODO – gdzie za prawnie uzasadniony interes wskazuje się  realizację działalności statutowej Administratora, jak i wypełnienie  obowiązków prawnych ciążących na Administratorze danych, tj. m.in.  obowiązki rachunkowe, podatkowe – podstawa przetwarzania: realizacja  obowiązków prawnych ciążących na administratorze danych, tj. art. 6 ust. 1 lit.  c RODO.  
 

VIII. Źródła pochodzenia danych osobowych, które przetwarza Administrator

​

1. Klinika wskazuje, że jeżeli dane osobowe nie trafiły do nas bezpośrednio od podmiotu  danych, to źródłem ich pozyskania może być przede wszystkim:

a. kontrahent Kliniki (tj. przede wszystkim pracodawca, czy też zleceniodawca  tzw. osób kontaktowych, jak i reprezentantów wymienionych w umowach),  
 

b. źródło informacji ogólnodostępnych (tj. przede wszystkim ogólnodostępne  bazy rejestrowe podmiotów gospodarczych),  
 

c. inny administrator danych osobowych (tj. np. dostawcy platform mediów  społecznościowych). 
 

IX. Jaki zakres danych osobowych jest przetwarzany przez Klinikę?

 

1. W trakcie realizacji czynności przetwarzania Administrator stosuje zasadę minimalizacji  danych. Jeżeli katalog danych nie jest określony wprost przepisami prawa lub gdy nie  otrzymujemy go osobiście od pomiotu danych, to Administrator ogranicza taki katalog do  niezbędnych danych.  
 

2. Klinika wskazuje, iż podmioty danych są zobowiązane do wskazywania danych pełnych,  aktualnych i prawdziwych.  
 

3. Realizacja celów przetwarzania, które zostały opisane powyżej, w zdecydowanej większości  przypadków, nie wymaga przetwarzania szczególnych kategorii danych osobowych, tj. także  danych dotyczących stanu zdrowia. W związku z powyższym osoby decydujące się na  przekazanie danych osobowych Administratorowi, powinny nie realizować takiego  przekazania w nadmiernym katalogu.  
 

4. Jeżeli Klinika przetwarza danych osobowe osób fizycznych pozyskane z innego źródła, to  zakres przetwarzanych danych z reguły ogranicza się do: imienia i nazwiska, podstawowych  danych kontaktowych i adresowych oraz wskazań dotyczących przynależności służbowej, czy  też rodzaju wykonywanej działalności gospodarczej. Klinika może także przetwarzać dane  takie jak adres IP, preferencje dotyczące przeglądania stron internetowych, czy też inne dane  osobowe generowane przez użytkowników platform mediów społecznościowych.
 

X. Kto może być odbiorcą danych osobowych przetwarzanych przez Klinikę?

​

1. Przetwarzane przez Administratora dane osobowe mogą być udostępniane podmiotom  uprawnionym
do ich otrzymania na mocy obowiązujących przepisów prawa, a w tym  właściwym organom państwowym.  
 

2. Ponadto przetwarzane przez Administratora dane osobowe, w zależności od celu  przetwarzania,

mogą być udostępniane:  
 

a. podmiotom przetwarzającym, takim jak: zewnętrzny podmiot świadczący  obsługę księgową, zewnętrzne podmioty realizując obsługę informatyczną  Administratora, a w tym także hosting skrzynek mailowych i, dostawcy  oprogramowania, zewnętrzne podmioty doradcze i audytorskie, agencje  marketingowe oraz ewentualne podmioty, które w inny sposób współpracują z  Kliniką, co dotyczy także podmiotów zaangażowanych w obsługę pacjentów,  
 

b. odbiorcom będącym odrębnymi administratorami danych osobowych, takim  jak: podmiot świadczący usługi pocztowe, kurier, kancelarie prawne,  dostawcy platform mediów społecznościowych oraz pozostali kontrahenci kliniki.  
 

3. Administrator wskazuje, iż dane osobowe mogą być transferowane poza EOG, tj. do państw  trzecich
w przypadku przetwarzania danych osobowych w platformach mediów  społecznościowych, czy też w przypadku korzystania z niektórych narzędzi IT.  
 

Szczegóły dotyczące zabezpieczenia takiego transferu są dostępne w regulaminach  dostawców platform mediów społecznościowych. Kraj transferu to w zdecydowanej  większości przypadków USA, a deklarowane zabezpieczenie to standardowe klauzule  umowne. Administrator informuje, iż nie przewiduje i nie dokonuje transferu danych  osobowych do organizacji międzynarodowych.  
 

XI. Jak długo Klinika przechowuje dane osobowe?

​

1. Zasadniczym kryterium, które wyznacza okres przechowania danych osobowych jest  czas niezbędny do zrealizowania celu przetwarzania.  
 

2. Jeżeli przetwarzanie odbywa się na podstawie zgody, to taką zgodę można wycofać w  każdym momencie. Administrator wskazuje jednak, że w przypadku takiego działania  mogą istnieć inne przesłanki uzasadniające dalsze przetwarzanie danych osobowych.  
 

3. Gdy przetwarzanie odbywa się ze względu na konieczność wypełnienia obowiązku  prawnego ciążącego na Administratorze, czy też w związku z realizacją umowy lub  dla potrzeb realizacji prawnie uzasadnionego interesu Administratora, to okresy i  kryteria decydujące o czasie przechowania mogą być podyktowane m.in.:  
 

a. okresem realizacji danego stosunku umownego,  
 

b. obowiązkiem przechowania dowodów księgowych – 5 lat od początku roku  następującego po roku obrotowym, w którym dana transakcja została  ostatecznie zakończona, czy też rozliczona, 
 

c. potrzebą zabezpieczenia lub późniejszego dochodzenia roszczeń –  podstawowy termin 6 lat od dnia, w którym roszczenie stało się wymagalne.  
 

XII. Jakie prawa przysługują osobom fizycznym w związku z przetwarzaniem ich  danych osobowych przez Administratora?

​

1. W zależności od realizowanej czynności przetwarzania katalog praw, który może  przysługiwać osobom fizycznym określa poniższe zestawienie:

 
a. prawo dostępu do danych,  
b. prawo do sprostowania danych,  
c. prawo do usunięcia danych,  
d. prawo do ograniczenia przetwarzania,  
e. prawo do przenoszenia danych,  
f. prawo do sprzeciwu.  

2. Skorzystanie z uprawnień może być realizowane poprzez wysłanie stosownego  żądania na adres e-mail: klinika@cosmeestetic.pl  

3. Administrator wskazuje także, iż podmiotom danych przysługuje prawo do wniesienia  skargi do organu nadzorczego, tj. Prezesa Urzędu Ochrony Danych Osobowych.  
 

XIII. Konieczność podania danych osobowych Administratorowi i informacje końcowe

​

1. Jeżeli obowiązek podania danych osobowych nie wynika wprost z postanowień umownych,  czy też z przepisu prawa, to podanie danych osobowych jest działaniem dobrowolnym, lecz  niezbędnym do realizacji współpracy z Kliniką, skorzystania z usług Kliniki, czy też  nawiązania kontaktu z Kliniką.  

2. Niniejszy dokument przedstawia zbiorczo większość informacji dotyczących przetwarzania  danych osobowych. Szczegółowe informacje dotyczące konkretnych czynności przetwarzania  można uzyskać kontaktując się z inspektorem ochrony danych osobowych przy użyciu adres  e-mail: klinika@cosmeestetic.pl  
 

XIV. Informacja o plikach cookie 

​

1. Dla poprawnego działania swojej strony internetowej Administrator stosuje pliki  cookie, w tym w sposób dostosowany do indywidualnych potrzeb.  

2. Korzystanie z witryny bez zmian ustawień dotyczących cookie oznacza, że będą one  zapisywane na urządzeniu końcowym osoby korzystającej ze strony internetowej  Administratora. Osoba taka może, w każdym czasie, dokonać zmiany ustawień  dotyczących cookie w swojej przeglądarce internetowej. 
 

3. Pliki cookie, a w tym cookie sesyjne mogą również dostarczyć informacji na temat  urządzenia końcowego, jak i wersji przeglądarki, która jest używana przez osobę  fizyczną. Zadania te realizowane są dla prawidłowego wyświetlania treści w ramach  witryny Administratora.  
 

4. Cookie to krótkie pliki tekstowe, które w żadnym wypadku nie umożliwiają  personalnej identyfikacji osoby odwiedzającej witrynę i nie są w nim zapisywane  informacje mogące taką identyfikację umożliwić. 
 

XV. Dodatkowe informacje o stosowaniu monitoringu wizyjnego 

​

1. Klinika stosuje monitoring wizyjny zarówno w odniesieniu do terenów otaczających  obiekty należące do Kliniki, jak i w pomieszczeniach wewnątrz tych obiektów.  Mowa tutaj o monitorowaniu pomieszczeń ogólnodostępnych (korytarze, recepcja,  klatki schodowe i innych miejsc przebywania pacjentów.

 
2. Podstawowe cele zastosowania monitoringu wizyjnego to zabezpieczenie mienia  należącego do Administratora oraz zapewnienie bezpieczeństwa pacjentów.  

3. Podstawy prawne przetwarzania danych osobowych, w zależności od celu  przetwarzania, wynikają ze zgody lub prawnie uzasadnionego interesu  administratora danych, co jest opisane w odrębnych i szczegółowych klauzulach  informacyjnych.  

4. Podmiotem zewnętrznym, który ma stały dostęp do nagrań z monitoringu wizyjnego  jest zewnętrzna obsługa informatyczna Kliniki.  

5. Podstawowy okres przechowania nagrań z monitoringu nie przekracza 3 miesięcy  od dnia rejestracji nagrania. 

​