POLITYKA PRYWATNOŚCI 

Administratora danych osobowych – Fundacji Beauty Will Save The World

Zważywszy, że:

1. Fundacja Beauty Will Save The World z siedzibą w Warszawie, 02-995, przy ul. Poranek 1. NIP: 0512596667; KRS: 0000030279; REGON: 528674072 (dalej jako Fundacja lub Administrator) jest administratorem danych osobowych kontrahentów, donatorów, osób objętych pomocą, współpracowników, osób zainteresowanych współpracą i innych osób kontaktujących się z Administratorem w sprawach związanych z prowadzoną działalnością (dalej jako Dane) uzyskiwanych w ramach prowadzonej statutowej działalności pożytku publicznego oraz działalności gospodarczej;
2. Polityka Ochrony Danych Osobowych, (dalej jako Polityka), ma zapewnić zgodność działalności Fundacji z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1), (dalej jako RODO), jak również innymi przepisami prawa dotyczącymi ochrony danych osobowych;
3. Wdrożenie Polityki i egzekwowanie jej stosowania przez osoby za to odpowiedzialne w Fundacji ma na celu zapewnienie należytej ochrony Danych w ramach prowadzonej działalności statutowej i gospodarczej, w tym zwłaszcza praw i bezpieczeństwa osób, których Dane dotyczą;
4. Dane przetwarzane są przez osoby upoważnione w siedzibie Fundacji (Biuro), a w przewidzianych w Polityce wypadkach – również poza siedzibą Fundacji;

Fundacja, jako Podmiot przetwarzający Dane, z dniem 19 kwietnia 2024 r. wprowadza Politykę Ochrony Danych Osobowych o następującej treści:

1. Zakres stosowania Polityki

1. Polityka reguluje w szczególności:
   1.  Zakres przetwarzania Danych;
   2.  Cel przetwarzania Danych;
   3.  Zasady przetwarzania Danych w Biurze i poza Biurem;
   4.  Bezpieczeństwo przetwarzania Danych;
   5.  Procedury związane z naruszeniem ochrony Danych;
   6.  Zasady odpowiedzialności za wykonanie i naruszenie Polityki;
2. Politykę stosuje się do wszelkich czynności związanych z przetwarzaniem Danych w Biurze, w tym w szczególności ewidencjonowania, przechowywania, udostępniania, zapewnienia nienaruszalności i integralności, zwrotu lub zniszczenia, postępowania w razie incydentu związanego z przetwarzaniem Danych. 
3. Politykę stosuje się także do wszelkich czynności związanych z przetwarzaniem Danych poza Biurem, w sytuacjach przewidzianych w Polityce.
4. Osobą kierującą wykonywaniem praw lub obowiązków w zakresie ochrony Danych w ramach niniejszej Polityki jest Inspektor Ochrony Danych (dalej jako IOD), z którym można skontaktować się za pośrednictwem adresu e-mail: 
5. Wszyscy pracownicy i współpracownicy Fundacji są zobowiązani do przestrzegania Polityki. W razie wątpliwości co do jej stosowania, osoby te zobowiązane są do zgłoszenia problemu do IOD.

2. Zakres przetwarzanych Danych 
   1. Dane osobowe przetwarzane przez Fundacje jako Administratora obejmują Dane:
      1.  Kontrahentów – podmiotów, od których nabywa towary lub usługi związane z prowadzoną przez Administratora działalnością gospodarczą.
      2.  Klientów – podmiotów, wobec których Administrator świadczy usługi lub którym dostarcza towary, w tym w ramach sklepu internetowego, oraz subskrybentów newsletterów, w tym również uczestników przedsięwzięć organizowanych przez Fundację, takich jak konkursy, szkolenia, wydarzenia społeczne, kulturalne, sportowe, prozdrowotne.
      3. Donatorów – podmiotów, które wspierają Fundację w działaniach statutowych w sposób materialny (rzeczowy, usługowy).
      4. Osób objętych pomocą, czy innymi działaniami statutowymi Fundacji.
      5.  Osób zainteresowanych współpracą – podmiotów, które zgłaszają się do Fundacji w celu realizacji zadań statutowych lub nawiązania relacji gospodarczych.
      6.  Innych osób kontaktujących się z Administratorem w sprawach związanych z prowadzoną działalnością statutową lub gospodarczą, w tym podmiotów zwracających się z różnymi pytaniami, prośbami o pomoc lub podjęcie inicjatywy itd. 
      7.  Dane powierzone do przetwarzania przez innych administratorów na podstawie umów dotyczących współpracy w ramach działalności statutowej gospodarczej. 
      8.  Dane osób w organach władz statutowych Fundacji, 
      9. Dane pracowników i współpracowników Administratora – na podstawie wewnętrznych aktów z zakresu prawa pracy, w szczególności regulaminu pracy.
   2. Przetwarzane Dane są to:
      1.  Dane Kontrahentów – Dane tych podmiotów lub osób działających na rzecz tych podmiotów, niezbędne w celu utrzymywania relacji w ramach działalności gospodarczej, takich jak dane identyfikujące Kontrahenta lub osoby działające w jego imieniu, w szczególności PESEL lub dane dokumentu tożsamości, stanowisko lub funkcja w danej organizacji oraz dane kontaktowe takie jak adres korespondencyjny, adres e-mail, numer telefonu.
      2.  Dane Klientów – Dane tych podmiotów lub osób działających na rzecz tych podmiotów, niezbędne w celu utrzymywania relacji w ramach działalności gospodarczej, takich jak dane identyfikujące Kontrahenta lub osoby działające w jego imieniu, w szczególności imię i nazwisko, PESEL lub dane dokumentu tożsamości, stanowisko lub funkcja w danej organizacji oraz dane kontaktowe takie jak adres korespondencyjny, adres e-mail, numer telefonu.
      3. Donatorów – Dane tych osób w zakresie wymaganych w szczególności przepisami Ordynacji Podatkowej, ustawy o rachunkowości, ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Dane te to w szczególności imię i nazwisko, PESEL lub dane dokumentu tożsamości, rola lub funkcja w danej organizacji oraz dane kontaktowe takie jak adres korespondencyjny, adres e-mail, numer telefonu.
      4.  Dane osób zainteresowanych współpracą – Dane tych podmiotów lub osób działających na rzecz tych podmiotów, niezbędne w celu ewentualnego nawiązania relacji w ramach działalności statutowej lub gospodarczej, takich jak dane identyfikujące tej osoby, w szczególności imię i nazwisko, oraz dane kontaktowe takie jak adres korespondencyjny, adres e-mail, numer telefonu.
      5.  Dane Innych osób kontaktujących się z Administratorem w sprawach związanych z prowadzoną działalnością statutową lub gospodarczą – dane identyfikujące te osoby (imię i nazwisko), oraz dane umożliwiające kontakt z nimi.
      6. Dane osób w organach władz statutowych Fundacji, dane pracowników i współpracowników, w tym wolontariuszy – dane identyfikujące (imię, nazwisko, PESEL), dane kontaktowe, w razie nawiązani stosunku pracy, zlecenia itp. – dane potrzebne do wypełnienia roli płatnika w rozumieniu przepisów prawa podatkowego, prawa pracy i prawa ubezpieczenia zdrowotnego i społecznego.  

3. Cel przetwarzania Danych 
   1. Celem przetwarzania Danych jest umożliwienie Fundacji identyfikacji i komunikacji w stosunku do osób działających jako kontrahent, klient, osób objętych działalnością statutową, osób zainteresowanych współpracą, współpracowników, oraz innych osób kontaktujących się z Administratorem w różnych sprawach. 
   2. Dane dotyczące transakcji finansowych przetwarzane są dla celów podatkowych, rachunkowych i sprawozdawczych w zakresie uregulowanym prawem polskim.
   3. Dane Klientów przetwarzane są również w celu zawarcia i realizacji umów, dostarczenia i zwrotu zamówionych towarów, realizacji reklamacji, rozwiązywania ewentualnych sporów powstałych na tym tle.
   4. Cel przetwarzania danych osobowych pracowników Administratora opisany jest w odrębnych dokumentach wewnętrznych.

4. Zasady przetwarzania Danych
   1. Dane są przetwarzane przez Fundację (w tym pracowników i współpracowników) zgodnie z obowiązującymi regulacjami prawnymi, w szczególności RODO, niniejszą Polityką, oraz innymi aktami wewnętrznymi obowiązującymi w Fundacji.
   2. Dane te są:
      1.  przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
      2.  zbierane wyłącznie w konkretnym, wyraźnym i prawnie uzasadnionym celu, jakim jest identyfikacja osób objętych Danymi na potrzeby prowadzonej działalności statutowej i gospodarczej w zakresie wskazanym w Polityce („ograniczenie celu”);
      3.  adekwatne, stosowne oraz ograniczone do tego, co w ocenie Administratora jest niezbędne dla realizacji Celu („minimalizacja danych”);
      4.  prawidłowe i w razie potrzeby uaktualniane, z użyciem rozsądnych działań, aby Dane, które są zbędne lub nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („niezbędność”, „prawidłowość”);
      5.  przechowywane w formie umożliwiającej identyfikację osoby, której Dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których Dane te są przetwarzane („ograniczenie przechowywania”);
      6.  przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo Danych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”);
      7. Objęte ciągłą kontrolą w zakresie przestrzegania Polityki Prywatności przez IOD. 
   3. Fundacja zapewnia minimalizację przetwarzanych Danych, w szczególności poprzez:
      1.  Ograniczenie sposobu, zakresu i ilości przetwarzanych Danych w stopniu adekwatnym do Celów przetwarzania;
      2.  Ograniczenie dostępności do Danych wyłącznie do osób posiadających upoważnienie w tym zakresie oraz zobowiązanych do zachowania poufności;
      3.  Ograniczenie miejsc i urządzeń, w których dokonywane są czynności przetwarzania Danych osobowych;
      4.  Ograniczenie czasu przetwarzania danych osobowych wyłącznie do okresu wymaganego przepisami RODO oraz innymi przepisami prawa.
   4. Fundacja poprzez  odpowiednie  środki  techniczne  i  organizacyjne  zapewnia możliwość  wykazania  zgodności przetwarzania Danych osobowych z RODO oraz pozostałymi przepisami dotyczącymi Danych osobowych (rozliczalność). Opis środków technicznych i organizacyjnych stanowi załącznik nr 2 do Polityki.

5. Bezpieczeństwo przetwarzania danych osobowych
   1. Fundacja zapewnia środki organizacyjne i techniczne w celu zapewnienia realizacji obowiązujących oraz dobrowolnie przyjętych zasad ochrony Danych. Stosowane zabezpieczenia ochrony Danych odpowiadają możliwemu ryzyku naruszeniu praw osób, których Dane dotyczą.
   2. Dane osobowe powinny być przetwarzane w Biurze, wyłącznie w pomieszczeniach, do których nie mają niekontrolowanego dostępu osoby nieupoważnione przez Fundację jako Administratora do czynności przetwarzania Danych, chyba że Dane te są przechowywane w taki sposób, że osoby postronne nie mają do nich dostępu (np. w formie elektronicznej na zabezpieczonych serwerach, w formie papierowej w zamykanych szafach).
   3. Dane nie mogą być pozostawianie bez nadzoru osoby przetwarzającej te Dane w taki sposób, że dostęp do nich może uzyskać osoba niepowołana. W szczególności przy przetwarzaniu Danych obowiązuje zasada „czystego biurka” oraz „czystego ekranu” – w przestrzeni biurowej Dane nie mogą być wizualnie dostępne dla nikogo, kto aktualnie nie pracuje na tych Danych.
   4. Fundacja z udziałem IOD przeprowadza bieżące analizy ryzyka w zakresie przetwarzania Danych i na tej podstawie wprowadza nowe lub koryguje dotychczasowe środki i procedury w zakresie bezpieczeństwa przetwarzania Danych. 
   5. Przetwarzanie i przechowywanie Danych w formie elektronicznej dopuszczalne jest na przeznaczonych do tego serwerach i komputerach administrowanych przez Fundację, z wyłączeniem prywatnych urządzeń i nośników pracowników lub współpracowników, bez pisemnej zgody IOD, udzielonej po weryfikacji gwarancji bezpieczeństwa przetwarzania Danych. 
   6. Wszystkie osoby zaangażowane w przetwarzanie Danych są zobowiązane do zachowania w tajemnicy wszelkich informacji, które powzięli o Klientach, Kontrahentach i innych osobach, których Dane są przetwarzane.
   7. IOD z własnej inicjatywy lub na wniosek osoby przetwarzającej Dane, udziela porad, informacji, wskazówek, a także wiążących poleceń dotyczących ochrony danych osobowych, w tym wynikających z niniejszej Polityki.

6. Procedury związane z naruszeniem ochrony Danych 
   1. Fundacja jako Administrator zobowiązana jest do przeciwdziałania zagrożeniom Danych, oraz podejmowania wymaganych właściwymi przepisami RODO i wskazanych w niniejszej Polityce środków zaradczych.
   2. Wszystkie osoby przetwarzające Dane na polecenie Fundacji, zobowiązane są do przestrzegania warunków określonych w Polityce, zapobiegania naruszeniom ochrony Danych, niezwłocznego usuwania, względnie minimalizowania skutków zaistniałego naruszenia. 
   3. Przez naruszenie ochrony Danych należy rozumieć naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. 
   4. W przypadku wykrycia incydentu w postaci naruszenia ochrony Danych, jak również w przypadku stwierdzenia próby lub innego zwiększonego ryzyka takiego naruszenia (dalej jako Incydent), osoba przetwarzająca Dane jest zobowiązana do natychmiastowego podjęcia niezbędnych działań zaradczych oraz do zawiadomienia IOD. 
   5. Działania zaradcze polegają na:
      1. ustaleniu przyczyny zdarzenia,
      2. podjęciu niezwłocznie wszelkich czynności mających na celu usunięcie negatywnych  skutków zdarzenia i zabezpieczenie Danych w sposób należyty przed dalszymi takimi zdarzeniami,
      3.  zebraniu danych i dokumentów, które mogą pomóc w ustaleniu okoliczności wystąpienia zdarzenia i przeciwdziałaniu podobnym zdarzeniom w przyszłości, 
      4.  opracowaniu i wdrożeniu zmian, które zapobiegną takiemu zdarzeniu w przyszłości;
      5.  jeżeli zostanie to uznane za zasadne w danych okolicznościach, powiadomieniu o zdarzeniu organu nadzoru oraz osoby, na które te zdarzenie miało wpływ.

7. Rejestr naruszeń ochrony Danych.

Fundacja prowadzi w formie elektronicznej rejestr naruszeń ochrony Danych, w którym szczegółowo opisuje:

1. okoliczności naruszenia ochrony Danych,
2. skutki naruszenia ochrony Danych,
3. podjęte działania zaradcze.

Wzór rejestru naruszeń ochrony Danych stanowi załącznik nr 3.

8. Uprawnienia i upoważnienia do przetwarzania Danych 
   1. Fundacja jako Administrator ponosi odpowiedzialność za wdrożenie i przestrzeganie Polityki przez swoich pracowników i współpracowników. 
   2. Fundacja zapewnia, że osoby dokonujące czynności przetwarzania danych osobowych:
      1. zostały pisemnie upoważnione do przetwarzania danych osobowych i dokonują tego wyłącznie na polecenie Fundacji;
      2.  pisemnie zobowiązały się do zachowania w tajemnicy przetwarzanych danych osobowych; do przestrzegania Polityki i przepisów RODO oraz innych przepisów prawa w zakresie ochrony danych osobowych;
   3. Fundacja udziela upoważnienia do przetwarzania Danych wyłącznie członkom statutowych władz Fundacji, osobom pełniącym funkcję IOD, osobom zatrudnionym przez Fundację na podstawie umowy o pracę lub osobom, z którymi Fundacja zawarła pisemną umowę cywilnoprawną. Listę osób upoważnionych do przetwarzania danych prowadzi IOD.

9. Odpowiedzialność za naruszenie Polityki 
   1. Za naruszenie Polityki osoby zobowiązane do jej przestrzegania mogą ponosić odpowiedzialność na zasadach określonych w odrębnych przepisach, w tym odpowiedzialność dyscyplinarną za naruszenie podstawowych obowiązków pracowniczych. 
   2. W szczególności naruszenie Polityki może stanowić:
      1.  przyczynę uzasadniającą wypowiedzenie umowy o pracę;
      2.  ciężkie naruszenie podstawowych obowiązków pracowniczych uzasadniające rozwiązanie umowy o pracę bez wypowiedzenia z winy pracownika;
      3.  ważny powód wypowiedzenia umowy zlecenia lub umowy o świadczenie usług.

10. Postanowienia końcowe

1. Każda osoba zobowiązana do przestrzegania Polityki może zgłaszać Administratorowi propozycje optymalizacji systemu ochrony Danych, mając na względzie przede wszystkim ochronę praw i wolności osób, których dane dotyczą oraz bezpieczeństwo Danych. Zgłoszone propozycje mogą w szczególności skutkować zmianą Polityki lub sposobu kontroli jej przestrzegania. 
2. W sprawach nieuregulowanych w Polityce stosuje się powszechnie obowiązujące przepisy prawa, w tym w szczególności przepisy RODO.
3. Opracowana przez Administratora polityka w zakresie tzw. Cookies objęta jest informacją na stronie www Administratora stanowiącą załącznik nr 4.
4. Opracowana przez Administratora klauzula informacyjna używana w kontaktach z osobami których Dane mogą być przetwarzane stanowi załącznik nr 5.
5. Treść informacji z zakresu RODO zawartych w stopce maili wysyłanych z adres poczty e-mail należących do Administratora zawiera załącznik nr 6.
6. Polityka wchodzi w życie z dniem 19 kwietnia 2024 r.  
7. Polityka obowiązuje do czasu jej zmiany lub uchylenia. W razie potrzeby, nie rzadziej niż raz w roku, Administrator dokonuje przeglądu Polityki, uwzględniając w szczególności analizę skutków jej obowiązywania dla ochrony Danych, wyniki kontroli oraz analizując zgłoszone do Polityki postulaty. 
8. Administrator dokona zmiany Polityki w szczególności w przypadku, gdy zmianie ulegną obowiązujące regulacje prawne w zakresie ochrony danych osobowych.
9. Polityka jest jawna a każda osoba przetwarzająca Dane pisemnie poświadczy, że się z nią zapoznała w załączniku nr 1. Poświadczenie ponawia się przynajmniej corocznie.

Załączniki: 

1. Podpisy osób dokonujących czynności przetwarzania Danych osobowych.
2. Opis środków technicznych i organizacyjnych.
3. Rejestr naruszeń ochrony danych osobowych – wzór.
4. Polityka Cookies.
5. Klauzula informacyjna.
6. Informacja w stopce e-mail. 

Załącznik nr 1. Podpisy osób dokonujących czynności przetwarzania danych osobowych 

Zapoznałam/em się z Polityką Prywatności Fundacji Beauty Will Save The World w wersji obowiązującej na dzień 19 kwietnia 2024 r.: 

Imię i nazwisko	Podpis

Załącznik Nr 2 – Opis Środków Technicznych i Organizacyjnych Ochrony Danych Osobowych Fundacji Beauty Will Save The World

ŚRODKI TECHNICZNE I ORGANIZACYJNE

1. PRZETWARZANIE DANYCH OSOBOWYCH odbywa się w systemach przetwarzania danych, dla których wdrożono środki techniczne i organizacyjne służące ochronie DANYCH OSOBOWYCH.  W tym zakresie Fundacja jako Administrator podejmuje środki wymagane do przetwarzania DANYCH OSOBOWYCH w systemach przetwarzania danych ADMINISTRATORA zgodnie z OBOWIĄZUJĄCYMI PRZEPISAMI I WYMOGAMI DOTYCZĄCYMI OCHRONY DANYCH.
2. ADMINISTRATOR wdraża środki mające na celu:
   1. Odmowę dostępu osobom nieupoważnionym do sprzętu służącego do przetwarzania DANYCH OSOBOWYCH (kontrola dostępu do sprzętu) – dostęp do stacji roboczej ma wyłącznie osoba posiadająca login nadany przez administratora LAN, dostęp do centrum danych mają wyłącznie osoby upoważnione pisemnie przez ADMINISTRATORA.
   2. Zapobieganie nieupoważnionemu odczytywaniu, kopiowaniu, modyfikowaniu lub usuwaniu nośników danych (kontrola nośników danych) – nośniki danych są przechowywane w zamykanych na klucz serwerowniach do których mają dostęp wyłącznie administrator LAN, oraz inne osoby upoważnione pisemnie przez ADMINISTRATORA. 
   3. Zapobieganie nieupoważnionemu wprowadzaniu DANYCH OSOBOWYCH oraz nieuprawnionej inspekcji, modyfikacji lub usuwaniu przechowywanych DANYCH OSOBOWYCH (kontrola przechowywania) – modyfikacji DANYCH OSOBOWYCH dokonują osobiście i wyłącznie osoby upoważnione pisemnie przez ADMINISTRATORA.
   4. Uniemożliwienie korzystania z systemów automatycznego przetwarzania danych przez osoby nieupoważnione, korzystające ze sprzętu do przekazywania danych. 
   5. Zapewnienie, aby osoby upoważnione do korzystania ze zautomatyzowanego systemu przetwarzania danych miały dostęp wyłącznie do DANYCH OSOBOWYCH objętych ich upoważnieniem dostępu (kontrola dostępu do danych).
   6. Zapewnienie możliwości sprawdzenia i ustalenia, którym osobom fizycznym DANE OSOBOWE zostały lub mogą być przekazywane lub udostępniane za pomocą sprzętu do przekazywania danych (kontrola komunikacji) – systemy przetwarzające dane posiadają logi z historią logowania użytkowników, przy czym nie przechowuje się pełnej historii zmian ról przypisanych do użytkowników;
   7. Zapewnienie możliwości późniejszej weryfikacji i ustalenia, które DANE OSOBOWE zostały wprowadzone do systemów przetwarzania danych oraz kiedy i przez kogo zostały wprowadzone (kontrola wprowadzania) – stosowanie logów systemowych. 
   8. Zapobieganie nieuprawnionemu odczytywaniu, kopiowaniu, modyfikowaniu lub usuwaniu DANYCH OSOBOWYCH podczas przekazywania tych danych lub podczas transportu nośników danych (kontrola transportu, szyfrowanie danych); 
   9. Zapewnienie, aby zainstalowane systemy mogły, w przypadku przerwy, zostać przywrócone (odzyskiwanie) – Administrator LAN tworzy kopie zapasowe w oparciu o procedury oparte na standardach branżowych;
   10. Zapewnienie, że funkcje systemu działają, że pojawienie się błędów w funkcjach jest zgłaszane (niezawodność) i że przechowywane DANE OSOBOWE nie mogą zostać uszkodzone w wyniku nieprawidłowego działania systemu (integralność) – błędy w funkcjach są systemowo wykrywane lub zgłaszane przez użytkowników. 
3. ADMINISTRATOR stworzył plan ochrony i bezpieczeństwa danych w zakresie przetwarzania danych (Polityka ochrony danych osobowych).   
4. Żadna osoba nie zostanie wyznaczona przez ADMINISTRATORA do przetwarzania DANYCH OSOBOWYCH, jeśli ta osoba nie jest: (i) kompetentna i wykwalifikowana do wykonywania określonych zadań powierzonych jej przez ADMINISTRATORA; (ii) autoryzowana przez ADMINISTRATORA; oraz (iii) w pełni poinstruowana przez ADMINISTRATORA w zakresie obowiązujących procedur dotyczących wykonywania obowiązków ADMINISTRATORA.                  
5. Zabronione jest kopiowanie na użytek inny niż służbowy jakichkolwiek DANYCH OSOBOWYCH przetwarzanych przez ADMINISTRATORA. 
6. ADMINISTRATOR dokumentuje wszelkie naruszenia ochrony DANYCH OSOBOWYCH, w tym okoliczności naruszenia ochrony DANYCH OSOBOWYCH, jego skutki oraz podjęte działania zaradcze w sposób, który pozwala organowi nadzorczemu weryfikowanie przestrzegania realizacji artykułu 33 ust. 5 rozporządzenia RODO.

OPIS TECHNICZNYCH I ORGANIZACYJNYCH ŚRODKÓW BEZPIECZEŃSTWA WDROŻONYCH PRZEZ ADMINISTRATORA: 

Zabezpieczenia techniczne:

• Budynek w którym mieści się biuro posiada całodobowy monitoring alarmowy, elektroniczny system kontroli dostępu, system kamer zewnętrznych i wewnętrznych oraz sygnalizację alarmową.
• Pomieszczenie serwerowni w której jest przechowywany zbiór DANYCH OSOBOWYCH mieści się w biurze które posiada całodobowy monitoring alarmowy, elektroniczny system kontroli dostępu, system kamer oraz sygnalizacje alarmową i wykrywacze dymu.
• Zbiór DANYCH OSOBOWYCH przechowywany jest w pomieszczeniu zabezpieczonym standardowymi drzwiami  zamykanymi na klucz.
• Dostęp do pomieszczeń całego biura objęty jest systemem monitoringu z zastosowaniem kamer przemysłowych.
• Dostęp do pomieszczeń całego biura jest w czasie nieobecności zatrudnionych tam pracowników nadzorowany przez monitoring alarmowy.
• Pomieszczenia całego biura, w których przetwarzane są DANE OSOBOWE są zabezpieczone przed skutkami pożaru za pomocą systemu przeciwpożarowego i wolnostojących gaśnic.
• Dostęp do systemu operacyjnego komputera, w którym przetwarzane są DANE OSOBOWE zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz bezpiecznego hasła.
• Zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity.
• Używany jest system Firewall do ochrony dostępu do sieci komputerowej.
• Wykorzystywane są środki pozwalające na rejestrację zmian wykonywanych na poszczególnych elementach zbioru danych osobowych w systemie informatycznym.
• Zastosowane są środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego w systemie informatycznym zbioru danych osobowych.
• Dostęp do DANYCH OSOBOWYCH w systemie informatycznym wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz bezpiecznego hasła.
• Wszystkie DANE OSOBOWE przetwarzane są w macierzach dyskowych zabezpieczających przed skutkami awarii pamięci masowej.
• W przypadku awarii dysku zawierającego DANE OSOBOWE, dane są kasowane przy pomocy programów zamazujących dane, przed jego przekazaniem do naprawy. Jeżeli naprawa dysku jest niemożliwa, po usunięciu danych jest on niszczony fizycznie.
• Wprowadzony jest mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania DANYCH OSOBOWYCH w przypadku dłuższej nieaktywności pracy użytkownika.

Zabezpieczenia organizacyjne:

• Wyznaczony został Inspektor Ochrony Danych.

• Do przetwarzania DANYCH OSOBOWYCH zostały dopuszczone wyłącznie osoby przeszkolone i posiadające upoważnienie, w tym celu prowadzona jest ewidencja osób przeszkolonych upoważnionych do przetwarzania danych.
• Została opracowana i wdrożona Polityka Ochrony Danych Osobowych,
• Osoby zatrudnione przy przetwarzaniu DANYCH OSOBOWYCH zostały zaznajomione z przepisami i procedurami dotyczącymi ochrony danych osobowych. 
• Osoby zatrudnione przy przetwarzaniu DANYCH OSOBOWYCH obowiązane zostały do zachowania ich w tajemnicy.
• Kopie zapasowe zbioru DANYCH OSOBOWYCH przechowywane są w innym miejscu (poza BIUREM), wdrożono cross backup pomiędzy serwerowniami oraz kopię geolokacyjną).
• Wprowadzona i przestrzegana polityka „czystego biurka” i polityka „czystego ekranu”. 
• Wprowadzona i przestrzegana „polityka kluczy”. 

Środki umożliwiające pseudonimizację i szyfrowanie danych osobowych: DANE OSOBOWE są/nie są pseudonimizowane/szyfrowane.

Środki zapewniające zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania:

• Szyfrowane kanały przepływu danych. 
• Uwierzytelnienie użytkownika – możliwość włączenia dwuetapowego logowania. 
• Automatyczne procedury wylogowania na wypadek utraty zasilania. 
• Zarządzanie upoważnieniami dostępu do danych (np. w zakresie eksperckich usług zewnętrznych – eksperci nie mają dostępu do DANYCH OSOBOWYCH przechowywanych przez ADMINISTRATORA jako użytkownika serwera).
• Procedury związane z bezpieczeństwem są monitorowane na bieżąco (system alertów), sprawdzane, testowane i aktualizowane, dostosowywane do aktualnych wymogów prawa, wdrożono procedury wewnętrzne oparte na standardach branżowych.

Środki zapewniające zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego:

• Tworzenie kopii zapasowych – miejsce przechowywania kopii zapasowych jest w innej lokalizacji niż serwer główny. Opracowane są techniczne procedury i czynności dotyczące sprawdzania poprawności tworzenia backupów. 
• Wprowadzona replikacja danych czyli proces powielania informacji pomiędzy serwerami w czasie rzeczywistym. 

Procesy umożliwiające regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania:

• Weryfikacja sprawności systemów zabezpieczających (w tym cykliczna weryfikacja poprawności wykonania backupu poprzez odtworzenie bazy do testowej lokalizacji, badanie szczelności zabezpieczeń, badanie przestrzegania procedur bezpieczeństwa przez personel).
• Założenie zasady, że każda materializacja ryzyka będzie skutkować przeprowadzeniem ponownego szacowania ryzyka i wdrożeniem zaleceń dla wzmocnienia systemu ochrony danych.

Środki umożliwiające identyfikację i autoryzację użytkowników:

• Opracowanie procedur zasad identyfikacji (ustalenie tożsamości danej osoby w celu weryfikacji uprawnień) i autoryzacji (zagwarantowanie użytkownikowi odpowiednich uprawnień do korzystania z danych zasobów).
• Uwierzytelnianie jako weryfikacja tożsamości danej osoby poprzez system loginu i hasła, kart magnetycznych.

Środki zapewniające ochronę DANYCH OSOBOWYCH w czasie ich przekazywania:

• Stosowania środków zabezpieczających adekwatnych do oszacowanego ryzyka. 
• Stosowanie zabezpieczeń w zakresie IT i weryfikacji uprawnień dostępu analogicznych do stosowanych przy przechowywaniu danych.
• Stosowanie programów antywirusowych i innych regularnie aktualizowanych narzędzi ochrony. 
• Stosowanie ochrony kryptograficznej danych przesyłanych drogą teleinformatyczną.

Środki zapewniające ochronę danych w czasie ich przechowywania, przenoszenie danych i zapewnienie ich usuwania:

• Stosowanie przyjętych i opisanych wyżej systemowych zabezpieczeń technicznych i organizacyjnych. 

Środki służące zapewnieniu bezpieczeństwa fizycznego miejsc, w których przetwarzane są dane osobowe

• Zabezpieczenia fizyczne, mechaniczne i elektroniczne, opisane wyżej.
• Wprowadzenie i bieżąca analiza systemu monitorowania i rejestracji incydentów przez ADMINISTRATORA.  

Środki służące do konfiguracji systemu, w tym konfiguracji domyślnej oraz zarządzania wewnętrznym systemem IT i bezpieczeństwem IT:

• System informatyczny jest chroniony poprzez odpowiednią konfigurację systemu aktualizacji systemu operacyjnego, aktualizacje systemów na serwerach i stacjach roboczych są realizowane na bieżąco, zabezpieczania krytyczne są wdrażane w miarę możliwości w ciągu 24 godzin.

Środki dotyczące certyfikacji i zapewnienia jakości procesów IT:

W zakresie certyfikacji przyjęto zasady, iż mechanizmy certyfikacji będą wprowadzane w zależności od wyniku audytów i rzeczywistych potrzeb w tym zakresie. ADMINISTRATOR przewiduje zapewnienie odpowiednich środków finansowych i technicznych na wprowadzenie powyższych mechanizmów, analizuje na bieżąco potrzeby oraz podejścia do certyfikacji przez właściwy organ nadzorczy a także wprowadza weryfikację własnych ustaleń w tym zakresie w ramach każdego audytu.  

Środki zapewniające minimalizację danych, odpowiednią jakość danych, ograniczone zatrzymywanie danych, oraz rozliczalność

• Realizacja założeń prywatności opartych na zasadzie przetwarzania danych osobowych wynikającej z art. 5 RODO, zgodnie z którą dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. 
• Przetwarzanie DANYCH OSOBOWYCH Wyłącznie w zakresie i w sposób ustalony przez ADMINISTRATORA. 

Załącznik nr 3 – Rejestr naruszeń ochrony danych osobowych – wzór.

Lp.	Data stwierdzenia naruszenia	Osoba zgłaszająca	Opis naruszenia ze wskazaniem kategorii danych i kategorii osób	Ocena możliwych skutków i ryzyka ich wystąpienia	Obowiązek zgłoszenia incydentu  Administratorowi, Organowi Nadzorczemu, Poszkodowanemu (tak/nie i uzasadnienie)	Podjęte działania naprawcze	Uwagi dodatkowe

Załącznik 4 – Polityka plików cookies Fundacji Beauty Will Save The World

1. WSTĘP

Strona internetowa Fundacji używa plików cookies. W poniższym dokumencie informujemy o korzystaniu z plików cookies na stronie Fundacji.

2. CZYM SĄ PLIKI COOKIES?

Pliki cookies to małe fragmenty tekstu, które są wysyłane do przeglądarki i które przeglądarka wysyła z powrotem przy następnych wejściach na witrynę. Niektóre cookies są czasem zapisywane na danym urządzeniu podczas przeglądania strony Fundacji. Istnieją różne rodzaje plików cookies. Pliki cookies używane na stronie Fundacji zostały podzielone na następujące kategorie:

a) niezbędne pliki cookies

b) funkcjonalne 

c) analityczne

Gromadzone w dziennikach logów dane są wykorzystywane wyłącznie do celów administrowania serwisem. Nie zabiegamy o identyfikację użytkowników stron Fundacji. Żadne dane identyfikacyjne, do żadnych celów, nie są przekazywane do jakiejkolwiek trzeciej strony.

3. Z JAKICH PLIKÓW COOKIES KORZYSTAMY?

Niezbędne pliki cookies – pliki cookies, które są niezbędne do korzystania ze strony służą m.in. do zapewnienia stabilności jej funkcjonowania (mierzą ruch, zabezpieczając przed jej przeciążeniem). Te pliki cookie są niezbędne, aby strona mogła świadczyć usługi.

Funkcjonalne pliki cookies – zapamiętania wybranych przez Państwa preferencji dotyczących prywatności, wypełnienia udostępnionych przez nas formularzy on-line, zapamiętania ustawień strony internetowej.

Analityczne pliki cookies – pozostałe pliki cookies wykorzystujemy jedynie wówczas, gdy wyrażą Państwo na to zgodę. Te pliki cookies pomagają nam ulepszać i mierzyć wydajność strony poprzez zbieranie i raportowanie informacji o tym, jak z niego korzystasz.

4. ZGODA NA STOSOWANIE PLIKÓW COOKIES

Podczas wizyty na stronie zostanie wyświetlony komunikat informujący, że wykorzystuje on pliki cookies.

5. MODYFIKOWANIE USTAWIEŃ PLIKÓW COOKIES

W większości przeglądarek internetowych można: kasować pliki typu cookies z twardego dysku komputera (z poziomu ustawień przeglądarki), zablokować wszystkie przysyłane pliki typu cookies lub ustawić ostrzeżenie przed zapisaniem ich na dysku.

Należy mieć na uwadze, że zmiany ustawień tych plików polegające na ograniczeniu ich stosowania mogą wpłynąć na niektóre funkcjonalności dostępne na stronach internetowych je stosujących.

Poniżej wskazujemy sposób zmiany ustawień cookies w najbardziej popularnych wyszukiwarkach:

Google Chrome

Menu > Ustawienia > Prywatność i bezpieczeństwo – należy wybrać odpowiednią opcję.

Internet Explorer

Menu > Ustawienia > Pliki cookie i uprawnienia witryny – należy wybrać odpowiednią opcję.

Mozilla Firefox

Menu > Preferencje > Prywatność i bezpieczeństwo > Ciasteczka i dane witryn – należy wybrać odpowiednią opcję.

Opera

Menu > Ustawienia > Prywatność i bezpieczeństwo – należy wybrać odpowiednią opcję.

Safari

Menu > Preferencje > Prywatność > Pliki cookies – należy wybrać odpowiednią opcję. 

6. GROMADZENIE DANYCH

Zgodnie z przyjętą praktyką większości serwisów WWW, przechowujemy zapytania HTTP kierowane do naszego serwera. Przeglądane zasoby identyfikowane są poprzez adresy URL. Dokładny wykaz informacji przechowywanych w plikach logów serwera WWW jest następujący: 

• publiczny adres IP komputera z którego nadeszło zapytanie (może to być bezpośrednio komputer użytkownika)
• nazwę stacji klienta – identyfikacja realizowana przez protokół HTTP o ile jest możliwa,
• nazwa użytkownika podawana w procesie autoryzacji,
• czas nadejścia zapytania,
• pierwszy wiersz żądania HTTP,
• kod odpowiedzi HTTP,
• liczbę wysłanych przez serwer bajtów,
• adres URL strony poprzednio odwiedzanej przez użytkownika (referer link) – w przypadku gdy przejście do strony nastąpiło przez odnośnik,
• informacje o przeglądarce użytkownika,
• informacje o błędach, jakie nastąpiły przy realizacji transakcji HTTP.

Dane te nie są kojarzone z konkretnymi osobami przeglądającymi strony. Dla zapewnienia jak najwyższej jakości serwisu, okazjonalnie analizujemy pliki z logami w celu określenia: które strony odwiedzane są najczęściej, jakie przeglądarki stron WWW są stosowane, czy struktura strony nie zawiera błędów itp.

Mechanizm Cookies nie jest wykorzystywany do pozyskiwania jakichkolwiek informacji o użytkownikach serwisu ani śledzenia ich nawigacji. Pliki Cookies stosowane na stronie nie przechowują żadnych danych osobowych ani innych informacji zebranych od użytkowników.

7. ODNOŚNIKI DO INNYCH STRON

Strona zawiera odnośniki do innych stron WWW. Nie możemy ponosić odpowiedzialności za zasady zachowania prywatności obowiązujące na tych stronach. Namawiamy, by po przejściu na inne strony, zapoznać się z polityka prywatności tam ustaloną. Niniejsza polityka prywatności dotyczy tylko strony Fundacji. 

8. ZMIANY

W przypadku zmiany obowiązującej polityki prywatności, wprowadzone zostaną odpowiednie modyfikacje do powyższego zapisu.

Załącznik nr 5

Klauzula informacyjna

1. Administratorem Pani/Pana danych osobowych podanych przez Panią/Pana jest Fundacja Beauty Will Save The World z siedzibą w Warszawie, 02-995, przy ul. Poranek 1. NIP: 0512596667; KRS: 0000030279; REGON: 528674072 (dalej jako Fundacja lub Administrator).
2. Administrator powołał Inspektora Ochron Danych (IOD), z którym można się kontaktować pisemnie na adres Administratora lub mailem na adres hello@bwsw.pl .
3. Fundacja przetwarza Pani/Pana dane osobowe dla celów związanych z prowadzoną działalnością statutową lub gospodarczą, na podstawie prawnie uzasadnionego interesu Administratora, którym jest zapewnienie ciągłości komunikacji i umożliwienie kontaktowania się z Administratorem w sprawach prowadzonej działalności statutowej lub gospodarczej (art. 6 ust. 1 lit. f RODO) oraz możliwość zidentyfikowania Pani/Pana w ramach dalszej współpracy i relacjach z nią związanych.
4. Fundacja jest zobowiązana przetwarzać Pani/Pana dane osobowe również w celu wypełniania obowiązków prawnych w związku z prowadzeniem działalności gospodarczej (art. 6 ust. 1 lit. c RODO), w tym przykładowo w celu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu.
5. Podanie przez Panią/Pana danych osobowych jest dobrowolne i nie jest wymogiem ustawowym, lecz brak podania tych danych może uniemożliwić współpracę z Fundacją, w tym zawierania umów i korzystania ze sklepu internetowego. W określonych przypadkach, podanie przez Panią/Pana danych osobowych może być niezbędne do realizacji celów wynikających ze wskazanych wyżej, prawnie uzasadnionych interesów Administratora.
6. Pani/Pana dane osobowe mogą być udostępnianie w niezbędnym zakresie podmiotom wspierającym Administratora w procesach biznesowych, takim jak firmy świadczące usługi hostingu danych, podmioty świadczące usługi prawnicze, księgowe, doradcze itp., firmy kurierskie dostarczające przesyłki zamówione w sklepie internetowym, a także podmiotom z którymi Fundacja współpracuje w celu realizacji działań statutowych.
7. Pani/Pana dane osobowe będą przechowywane przez okres wykonywania działań uzasadniających ich podanie (np. zawarcia i wykonywania umowy), a następnie będą usuwane. Ponadto dane mogą być przechowywane przez okres wynikający z obowiązujących przepisów prawa oraz przez okres, w którym mogą być dochodzone ewentualne roszczenia przez lub przeciwko Fundacji. 
8. Pani/Pana dane osobowe nie będą wykorzystane do profilowania lub do zautomatyzowanego podejmowania wobec Pani/Pana jakichkolwiek decyzji.
9. Przysługuje Pani/Panu prawo:

1. dostępu do Pani/Pana danych osobowych, w tym prawo do uzyskania kopii tych danych;
2. żądania sprostowania (poprawiania) Pani/Pana danych osobowych;
3. żądania usunięcia Pani/Pana danych osobowych;
4. żądania ograniczenia przetwarzania Pani/Pana danych osobowych;
5. przenoszenia Pani/Pana danych osobowych (pod warunkiem, że przetwarzanie odbywa się na podstawie zawartej z Panią/Panem umowy lub na podstawie Pani/Pana zgody);
6. sprzeciwu wobec przetwarzania Pani/Pana danych osobowych.

10. Niezależnie od powyższych, przysługuje Pani prawo do wniesienia skargi do właściwego organu nadzorczego, w szczególności – w Polsce – Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
11. Pełna Polityka Prywatności Fundacji dostępna jest tutaj.
12. Jeśli ma Pani/Pan pytania dotyczące sposobu lub zakresu przetwarzania Pani/Pana danych osobowych przez Fundację, prosimy o kontakt na adres korespondencyjny Administratora wskazany w pkt 1 lub kontakt z IOD na adres hello@bwsw.pl .

Załącznik nr 6 

Informacja w stopce e-mail.

Informacje zawarte w tej wiadomości są przeznaczone wyłącznie dla osoby, do której są adresowane.

Jeśli nie jesteś zamierzonym adresatem, prosimy abyś zawiadomił o tym Fundację na adres z którego otrzymałaś/eś tę wiadomość i usunął wiadomość z systemu.

Fundacja przetwarza Państwa dane osobowe. Prosimy o zapoznanie się z Klauzulą Informacyjną, dostępną tutaj oraz Polityką Prywatności, dotyczącą przetwarzania danych osobowych przez Fundację, dostępną tutaj