3DFORM Sp. z o.o.
- 3DFORM Sp. z o.o. est le responsable du traitement des données personnelles au sens de l’article 4, paragraphe 7, du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JOUE L du 4 mai 2016), ci-après dénommé le Responsable.
- Afin d’assurer le traitement des données personnelles par le Responsable conformément à la loi en vigueur, et notamment de garantir la protection maximale des données personnelles traitées, le Responsable adopte la présente Politique.
- Cette Politique est conforme à:
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JOUE L du 4 mai 2016 – ci-après dénommé le RGPD);
- la loi du 10 mai 2018 sur la protection des données personnelles (JOUE 2018, n° 1000 – ci-après dénommée la LPDP);
- la loi du 18 juillet 2002 sur la prestation de services de la société de l’information (t. j. JOUE 2017, n° 1219, avec modifications ultérieures – ci-après dénommée la LSSI);
- la loi du 26 juin 1974 – Code du travail (t. j. JOUE 2018, n° 108, avec modifications ultérieures – ci-après dénommée le CT).
- La Politique fait partie intégrante du système de protection des données personnelles en vigueur chez le Responsable des données, précisant notamment :
- les principes de traitement des données personnelles par le Responsable des données ;
- les procédures utilisées par le Responsable des données ;
- les modèles de documents et de formulaires utilisés par le Responsable.
- Cette Politique constitue un instrument juridique prévu à l’article 24, paragraphe 2, du RGPD.
- Responsable de la mise en œuvre et de la maintenance de la présente Politique, le Responsable assure la surveillance du domaine de la protection des données.
- Les personnes responsables de l’application de la présente Politique sont :
- Le Responsable,
- Tous les membres du personnel travaillant pour le Responsable.
- Le Responsable doit également garantir la conformité des activités des partenaires commerciaux collaborant avec le Responsable sur la base de contrats civils avec la présente Politique dans la mesure nécessaire, lors du transfert de données personnelles par le Responsable et les membres du personnel travaillant pour le Responsable.
- Aux fins de la présente Politique, les définitions des concepts suivants sont adoptées :
- Données signifient toutes les informations sur une personne physique identifiée ou identifiable ; une personne identifiable est une personne qui peut être identifiée directement ou indirectement, notamment par un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou un ou plusieurs éléments spécifiques déterminant l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique ;
- Données spéciales signifient les données énumérées à l’article 9, paragraphe 1, du RGPD, à savoir les données personnelles révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données génétiques, biométriques dans le but d’identifier de manière unique une personne physique ou des données concernant la santé, la sexualité ou l’orientation sexuelle ;
- Données pénales signifient les données énumérées à l’article 10 du RGPD, à savoir les données relatives aux condamnations pénales et aux infractions ;
- Données concernant les enfants signifient les données des personnes de moins de un an ;
- Transfert de données signifie le transfert de données vers un pays tiers ou à une organisation internationale ;
- Personne signifie la personne concernée, sauf indication contraire du contexte ;
- Politique signifie la présente Politique de protection des données personnelles, sauf indication contraire du contexte ;
- Responsable du traitement signifie l’organisation ou la personne à laquelle le Responsable a confié le traitement des données personnelles ;
- Profilage signifie toute forme de traitement automatisé des données personnelles qui consiste à utiliser ces données personnelles pour évaluer certains aspects personnels d’une personne physique, en particulier pour analyser ou prédire des aspects relatifs au travail de cette personne physique, à sa situation économique, à sa santé, à ses préférences personnelles, à ses intérêts, à sa fiabilité, à son comportement, à sa localisation ou à ses mouvements ;
- Emploi signifie la relation de travail entre l’employeur et l’employé ;
- Employeur signifie la personne physique ou morale employant une ou plusieurs personnes sous un contrat de travail ;
- Employé signifie la personne physique qui a conclu un contrat de travail avec l’employeur ;
- Données personnelles signifient toutes les informations sur une personne physique identifiée ou identifiable (“personne concernée”) ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, en particulier par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques de son identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale ;
- Organisation signifie l’organisation qui fournit des services ou des biens à des tiers dans le cadre de ses activités économiques ;
- Partenaire commercial signifie une entité avec laquelle le Responsable a conclu un contrat civil afin de réaliser des objectifs communs ;
- Protection des données personnelles signifie l’ensemble des activités visant à garantir le respect des lois et des principes de confidentialité, d’intégrité et de disponibilité des données personnelles.
- La Politique est élaborée et mise en œuvre par le Responsable. La Politique est adoptée par le Responsable conformément aux procédures internes du Responsable.
- La Politique est entrée en vigueur à compter du [date].
- La Politique est rendue publique sur le site Web du Responsable.
- La Politique est disponible au bureau du Responsable.
4) Entités traitantes
- Le responsable du traitement peut confier le traitement des données personnelles à une entité traitante en fonction de ses besoins.
- Le responsable du traitement est tenu de confier le traitement des données personnelles uniquement à des entités traitantes qui garantissent la mise en œuvre de mesures techniques et organisationnelles adéquates pour que le traitement soit conforme au RGPD et protège les droits des personnes concernées par les données. Il est interdit de recourir à des services d’entités traitantes qui ne fournissent pas de telles garanties.
- Dans le cas où une entité traitante fait appel aux services d’une autre entité traitante qui ne fournit pas des garanties analogues à celles mentionnées au paragraphe 2, le responsable du traitement est tenu de s’opposer, et dans d’autres cas, il peut s’opposer s’il existe des motifs à cet effet.
- Le responsable du traitement est tenu de surveiller le respect par l’entité traitante des dispositions du RGPD pendant toute la durée du contrat.
- En cas de violation des dispositions du RGPD par une entité traitante, le responsable du traitement est tenu de cesser immédiatement sa collaboration avec ladite entité.
- Le responsable du traitement tient un registre des entités traitantes avec lesquelles il a conclu des contrats de traitement des données personnelles.
5. Destinataires des données personnelles :
- Le responsable du traitement ne divulgue les données personnelles aux destinataires des données personnelles qu’après avoir vérifié la base légale d’une telle divulgation.
- En l’absence de base légale visée au paragraphe 1, le responsable du traitement refuse de divulguer les données personnelles à tout destinataire.
- Le responsable du traitement tient un registre des destinataires des données.
14. Registre des activités de traitement des données
- Le RAPD constitue une forme de documentation des activités de traitement des données, joue le rôle d’une carte du traitement des données et est l’un des éléments clés permettant la mise en œuvre du principe fondamental sur lequel repose tout le système de protection des données personnelles, à savoir le principe de responsabilité.
- Le responsable tient un registre des activités de traitement des données dans lequel il répertorie et surveille la manière dont il utilise les données personnelles.
- Le registre des activités de traitement des données est l’un des outils fondamentaux permettant au responsable de rendre compte de la plupart des obligations de protection.
- Dans le registre, pour chaque activité de traitement de données que le responsable considère comme distincte aux fins du registre, au moins les éléments suivants sont enregistrés :
- le nom de l’activité,
- la finalité du traitement,
- la description des catégories de personnes concernées,
- la description des catégories de données,
- la base juridique du traitement, avec la spécification des catégories d’intérêts légitimes de l’autre partie et/ou du responsable si
la base est un intérêt légitime, – mode de collecte des données,
- la description des catégories de destinataires des données (y compris les traitants),
- l’information sur les transferts hors de l’UE/EEE;
- la description générale des mesures de protection techniques et organisationnelles
- Le modèle de registre est annexé à la Politique.
15. Gestion des risques :
- Le responsable du traitement met en œuvre et maintient une procédure de gestion
- Le responsable du traitement est tenu de prendre en compte le risque dans les processus de traitement des données personnelles planifiés et en cours.
- La procédure de gestion des risques est annexée à
16. Évaluation de l’impact sur la protection des données personnelles
- Dans les cas indiqués à l’article 35, paragraphe 1 du RGPD, à l’article 35, paragraphe 3 du RGPD ainsi qu’en ce qui concerne les opérations de traitement figurant dans la liste publiée par le Président de l’Office de protection des données personnelles en vertu de l’article 35, paragraphe 4 du RGPD, le Responsable du traitement des données personnelles est tenu de réaliser une évaluation de l’impact sur la protection des données personnelles.
- L’évaluation de l’impact sur la protection des données personnelles n’est pas requise pour les opérations de traitement figurant dans la liste publiée par le Président de l’Office de protection des données personnelles en vertu de l’article 35, paragraphe 5 du RGPD.
- La procédure d’évaluation de l’impact sur la protection des données personnelles est annexée à la Politique.
17. Consultations préalables avec le Président de l’Office de Protection des Données Personnelles :
- Si l’évaluation des impacts sur la protection des données personnelles révèle que le traitement entraînerait un risque élevé si le responsable des données n’appliquait pas de mesures pour minimiser ce risque, le responsable des données est tenu de consulter préalablement le Président de l’Office de Protection des Données Personnelles avant de commencer le traitement.
- La procédure de consultation préalable avec le Président de l’Office de Protection des Données Personnelles est annexée à la Politique.
18. Privacy by design et privacy by default :
- Le responsable des données est tenu de prendre en compte la protection des données personnelles dès la conception de nouveaux systèmes, programmes, applications, services, ainsi que dans la conception de nouveaux processus et méthodes de traitement des données personnelles (privacy by design).
- Le responsable des données est tenu d’assurer une protection par défaut des données personnelles, c’est-à-dire que seules les données personnelles nécessaires à la réalisation d’un objectif spécifique de traitement peuvent être traitées par défaut (privacy by default). Renoncer à la confidentialité ou la limiter ne peut se faire que sur demande expresse de la personne concernée.
- La procédure privacy by design et privacy by default est annexée à
19. Minimisation :
- Le responsable des données est tenu de respecter le principe de
- Pour assurer le respect du principe de minimisation, le responsable des données :
- vérifie la quantité de données personnelles traitées – le responsable des données ne peut pas traiter plus de données personnelles que nécessaire pour atteindre l’objectif fixé ;
- vérifie la portée des données personnelles traitées – le responsable des données ne peut pas entreprendre plus d’actions de traitement que nécessaire
pour atteindre l’objectif fixé ;
- limite l’accès aux données personnelles en utilisant des mesures juridiques (contrats avec des clauses de confidentialité, système d’autorisations), des mesures physiques (contrôle d’accès des personnes aux bâtiments, pièces et systèmes) ainsi que des mesures logiques (contrôle des autorisations dans les systèmes informatiques et l’accès aux systèmes informatiques) ;
- limite la durée du traitement des données personnelles – le responsable des données ne peut pas traiter les données personnelles plus longtemps que nécessaire pour atteindre l’objectif fixé.
20. Bases légales du traitement
- Le responsable des données documente dans le Registre les bases légales du traitement des données pour chaque activité de traitement.
- En indiquant la base légale générale (consentement, contrat, obligation légale, intérêts vitaux, tâche d’intérêt public / autorité publique, intérêt légitime du responsable des données) le responsable des données précise la base de manière claire lorsque cela est nécessaire.
- Le responsable des données met en place des méthodes de gestion des consentements permettant l’enregistrement et la vérification du consentement de la personne pour le traitement de ses données spécifiques à des fins spécifiques, le consentement pour la communication à distance (email, téléphone, SMS, etc.) ainsi que l’enregistrement du refus de consentement, du retrait du consentement et des actions similaires (opposition, limitation, etc.).
21. Traitement des droits individuels et obligations d’information :
- Le responsable des données veille à la clarté et au style des informations transmises et de la communication avec les personnes dont les données sont traitées.
- Le responsable des données respecte les délais légaux d’exécution des obligations envers les personnes.
- Le responsable des données met en place des méthodes d’identification et d’authentification appropriées des personnes pour l’exécution des droits individuels et des obligations
- Pour l’exécution des droits individuels, le responsable des données fournit des procédures et des mécanismes permettant d’identifier les données spécifiques des personnes traitées par le responsable des données, d’intégrer ces données, de les modifier et de les supprimer de manière intégrée,
- Le responsable des données documente le traitement des obligations d’information, des notifications et des demandes des personnes.
– Obligations d’information :
- Le responsable des données détermine des moyens légaux et efficaces pour l’exécution des obligations d’information ;
- Le responsable des données informe la personne de la prolongation du délai de plus d’un mois pour examiner sa demande.
- Le responsable des données informe la personne du traitement de ses données lors de la collecte de données auprès de cette personne.
- Le responsable des données informe la personne du traitement de ses données lors de la collecte de données la concernant indirectement.
- Le responsable des données détermine la manière d’informer les personnes sur le traitement des données non identifiées, dans la mesure du possible ;
- Le responsable des données informe la personne du changement prévu dans le but du traitement des données ;
- Le responsable des données informe la personne avant de lever une restriction de traitement ;
- Le responsable des données informe les destinataires des données de la rectification, de la suppression ou de la limitation du traitement des données (sauf si cela nécessite un effort disproportionné ou est impossible) ;
- Le responsable des données informe la personne de son droit d’opposition au traitement des données au plus tard lors du premier contact avec cette personne ;
- Le responsable des données informe rapidement la personne d’une violation de la protection des données personnelles si elle peut entraîner un risque élevé pour les droits ou libertés de cette personne.
– Demandes des personnes :
- Droits des tiers. En exerçant les droits des personnes concernées, le responsable des données met en place des garanties procédurales pour protéger les droits et libertés des tiers. En particulier, en cas de réception d’une information crédible selon laquelle l’exercice d’une demande de copie des données ou du droit à la portabilité des données pourrait porter préjudice aux droits et libertés d’autres personnes. Le responsable des données peut demander des éclaircissements à la personne ou prendre d’autres mesures autorisées par la loi, y compris refuser de satisfaire à la demande.
- Non-traitement. Le responsable des données informe la personne qu’il ne traite pas ses données si cette personne a fait une demande concernant ses droits.
- Refus. Le responsable des données informe la personne, dans un délai d’un mois à compter de la réception de la demande, du refus de traiter la demande et des droits de la personne liés à ce refus.
- Accès aux données. À la demande de la personne concernée concernant l’accès à ses données, le responsable des données informe la personne si ses données sont traitées et lui fournit des informations détaillées sur le traitement, conformément à l’article 15 du RGPD (la portée correspond à l’obligation d’information lors de la collecte de données), et fournit à la personne l’accès à ses données. L’accès aux données peut être effectué en fournissant une copie des données, à condition que la copie des données fournie dans
le cadre de l’exercice du droit d’accès aux données par le responsable des données ne soit pas considérée comme la première copie gratuite des données aux fins des frais de copie des données.
- Copies des données. À la demande de la personne, le responsable des données fournit une copie de ses données et enregistre la remise de la première copie de données. Le responsable des données établit et maintient une grille tarifaire pour les copies de données, conformément à laquelle il perçoit des frais pour les copies de données suivantes. Le prix des copies de données est calculé sur la base du coût unitaire estimé de traitement de la demande de copie de données.
- Rectification des données. Le responsable des données corrige les données inexactes à la demande de la personne. La société peut refuser de corriger les données, sauf si la personne démontre raisonnablement l’inexactitude des données qu’elle demande de corriger. En cas de correction de données, le responsable des données informe la personne des destinataires des données, sur demande de celle-ci.
- Complément des données. Le responsable des données complète et met à jour les données à la demande de la personne. Le responsable des données peut refuser de compléter les données si le complément est incompatible avec les objectifs du traitement des données. Le responsable des données peut se fier à la déclaration de la personne concernant les données complétées, sauf si elle est insuffisante au regard des procédures adoptées par le responsable des données.
- Effacement. À la demande de la personne, le responsable des données supprime les données lorsque :
- la personne a formulé une objection efficace contre le traitement de ces données,
- les données ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées ou traitées à d’autres fins,
- le consentement au traitement a été retiré et qu’il n’existe pas d’autre base légale pour le traitement,
- les données ont été traitées illégalement,
- la suppression est requise par une obligation légale,
- la demande concerne les données d’un enfant collectées sur la base du consentement en vue de fournir des services de société de l’information directement à l’enfant (par exemple, le profil de l’enfant sur un réseau social, la participation à un concours sur un site Web).
- Limitation du traitement. Le responsable des données limite le traitement des données à la demande de la personne lorsque :
- la personne conteste l’exactitude des données – pour une période permettant de vérifier leur exactitude,
- le traitement est illégal et que la personne dont les données sont concernées s’oppose à la suppression des données en demandant à la place de limiter leur utilisation,
- le responsable des données n’a plus besoin des données personnelles, mais elles sont nécessaires à la personne dont les données sont concernées pour établir, exercer ou défendre des réclamations,
- la personne a fait objection au traitement pour des raisons liées à sa situation particulière – jusqu’à ce que le responsable des données détermine si des motifs légitimes impérieux pour le traitement prévalent sur les intérêts, droits et libertés de la personne concernée ou s’il y a lieu de déterminer, d’exercer ou de défendre des réclamations.
- Portabilité des données. À la demande de la personne, le responsable des données fournit dans un format structuré, couramment utilisé et lisible par machine, ou transmet à un autre responsable de traitement, si possible, les données la concernant qu’elle a fournies au responsable des données, traitées sur la base de son consentement ou pour l’exécution d’un contrat avec elle, dans les systèmes d’information du responsable des données.
- Opposition dans des situations particulières. Si une personne exprime une objection motivée par sa situation particulière contre le traitement de ses données, et que les données sont traitées par le responsable des données sur la base de l’intérêt légitime du responsable des données ou d’une tâche confiée au responsable des données dans l’intérêt public, le responsable des données tient compte de l’opposition, sauf s’il existe des motifs légitimes impérieux pour le traitement du responsable des données qui prévalent sur les intérêts, droits et libertés de la personne opposante, ou des motifs pour établir, exercer ou défendre des réclamations.
- Opposition dans le cadre de recherches scientifiques, historiques ou à des fins statistiques. Si le responsable des données mène des recherches scientifiques, historiques ou traite des données à des fins statistiques, la personne peut s’opposer pour des raisons liées à sa situation particulière à un tel traitement. Le responsable des données prendra en compte cette objection, sauf si le traitement est nécessaire à l’exécution d’une mission effectuée pour des raisons d’intérêt public.
- Opposition au marketing direct. Si une personne s’oppose au traitement de ses données par le responsable des données à des fins de marketing direct (y compris éventuellement le profilage), le responsable des données prend en compte l’opposition et cesse un tel traitement.
- Droit à une intervention humaine en cas de traitement automatisé. Si le responsable des données traite des données de manière automatisée, notamment en profilant des personnes, et prend ensuite des décisions ayant des conséquences juridiques ou des effets significatifs sur une personne, la Société fournit la possibilité de faire appel à l’intervention et à la décision humaine du côté du responsable des données, sauf si une telle décision automatique (i) est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et le responsable des données ; ou (ii) est expressément autorisée par la loi ; ou
(iii) est fondée sur le consentement explicite de la personne concernée.
22. Transfert de données personnelles vers des pays tiers ou des organisations internationales :
- Le responsable du traitement des données est tenu de vérifier s’il transfère des données personnelles vers des pays tiers ou des organisations internationales, en particulier lorsqu’il utilise les services d’autres entités.
- Le responsable du traitement des données est tenu d’identifier et de vérifier la base légale du transfert de données personnelles vers des pays tiers ou des organisations internationales.
- Le responsable du traitement des données est tenu de surveiller les changements.
- Les cas de transfert de données personnelles vers des pays tiers ou des organisations internationales sont enregistrés dans le registre des activités de traitement des données.
23. Formations :
- Le responsable du traitement des données est tenu de prendre des mesures pour sensibiliser ses employés à la protection des données personnelles et pour améliorer leurs connaissances et qualifications dans ce domaine.
- Le responsable du traitement des données assure des formations en matière de protection des données personnelles à ses employés, la fréquence et le niveau de sophistication dépendant du poste occupé dans le système de protection des données.
24. Dispositions finales
- En ce qui concerne les questions non régies par la présente Politique, les dispositions légales générales, en particulier celles relatives à la protection des données personnelles, s’appliquent.
- En cas de modification de la législation entraînant une incompatibilité de la présente Politique avec la loi, ladite disposition devient caduque. Le responsable du traitement des données prend des mesures immédiates pour adapter cette Politique au nouvel état.
- La présente Politique peut être modifiée ou annulée de la même manière qu’elle a été adoptée.
- La présente Politique entre en vigueur le 25 mai 2018.
26. Liste des annexes :
Toutes les annexes faisant partie intégrante de la présente Politique sont détenues par le responsable et seront fournies sur demande écrite – sous réserve de l’intérêt légitime des parties dont les données figurent dans ces annexes.
Politique relative aux cookies:
Les fichiers cookies sont des données informatiques stockées sur l’appareil final de l’utilisateur et destinées à être utilisées sur les sites Web.
Les cookies contiennent généralement le nom du site Web d’origine, la durée de leur stockage sur l’appareil final et un numéro.
Le service ne collecte pas automatiquement d’informations, à l’exception des informations contenues dans les fichiers cookies.
L’opérateur qui place des cookies sur l’appareil final de l’utilisateur et qui y accède est la société 3DFORM Sp. z o.o., Włókniarek 10, 67-100 Nowa Sól.
Les cookies sont utilisés pour :
Optimiser l’utilisation des sites Web.
Élaborer des statistiques qui aident à comprendre comment les utilisateurs du service utilisent les sites Web, ce qui permet d’améliorer leur structure et leur contenu.
Dans le cadre du service, les types de cookies suivants sont utilisés : cookies de session et cookies persistants.
Les cookies persistants sont stockés sur l’appareil final de l’utilisateur pour la durée spécifiée dans les paramètres des cookies.
Les cookies de session sont des fichiers temporaires qui sont stockés sur l’appareil final jusqu’à la déconnexion ou la sortie du site Web.
Dans le cadre du service, des cookies sont créés via un logiciel externe de la société Google. Ces fichiers sont utilisés pour collecter le trafic et les statistiques du service via les services Google Analytics et Google Webmasters.
Dans de nombreux cas, les navigateurs Web permettent par défaut le stockage de cookies sur l’appareil de l’utilisateur.
Les utilisateurs peuvent modifier les paramètres des cookies eux-mêmes. Des informations détaillées sur les possibilités et les méthodes de gestion des cookies sont disponibles dans les paramètres du navigateur Web.
Ces paramètres permettent, entre autres, de modifier le blocage automatique des cookies et d’être informé de leur placement sur l’appareil à chaque fois.
Pour plus d’informations sur les cookies, consultez la section “Aide” du menu de votre navigateur Web.