Politique de confidentialité

Documentation

Accord d'utilisation

Règlement relatif au traitement et à la protection des données à caractère personnel dans les bases de données personnelles détenues par le vendeur

Sommaire

  1. Concepts généraux et champ d'application
  2. Liste des bases de données personnelles
  3. Finalité du traitement des données à caractère personnel
  4. Procédure de traitement des données à caractère personnel : obtention du consentement, notification des droits et actions concernant les données à caractère personnel de la personne concernée
  5. Emplacement de la base de données personnelles
  6. Conditions de divulgation des données à caractère personnel à des tiers
  7. Protection des données à caractère personnel : méthodes de protection, personne responsable, employés qui traitent directement des données à caractère personnel et/ou y ont accès dans le cadre de l'exercice de leurs fonctions officielles, période de conservation des données à caractère personnel.
  8. Droits de la personne concernée
  9. Procédure de traitement des demandes émanant de la personne concernée par les données à caractère personnel
  10. Enregistrement de la base de données personnelles par l'État

1. Concepts généraux et champ d'application

1.1. Définition des termes :

  • Base de données à caractère personnel: Ensemble nommé de données à caractère personnel organisées sous forme électronique et/ou sous forme de fichiers de données à caractère personnel;
  • Personne responsable: une certaine personne qui organise le travail lié à la protection des données à caractère personnel pendant leur traitement conformément à la loi;
  • Propriétaire de la base de données personnelles: Personne physique ou morale autorisée par la loi ou avec le consentement de la personne concernée à traiter ces données, qui approuve l'objectif du traitement des données personnelles dans cette base de données, établit la composition de ces données et les procédures de traitement, sauf disposition contraire de la loi;
  • Le registre national des bases de données à caractère personnel: Un système d'information national unifié qui permet de collecter, d'accumuler et de traiter des informations sur les bases de données à caractère personnel enregistrées;
  • Sources de données à caractère personnel accessibles au public: Annuaires, carnets d'adresses, registres, listes, catalogues, autres collections systématisées d'informations ouvertes contenant des données à caractère personnel, affichées et publiées avec le consentement de la personne concernée. Les réseaux sociaux et les ressources Internet où la personne concernée laisse ses données personnelles ne sont pas considérés comme des sources de données personnelles accessibles au public (sauf si la personne concernée déclare expressément que les données personnelles sont publiées dans le but de les diffuser et de les utiliser librement);
  • Consentement de la personne concernée: Toute expression documentée et volontaire de la volonté d'une personne d'autoriser le traitement de ses données à caractère personnel conformément à la finalité formulée de ce traitement;
  • Dépersonnalisation des données personnelles: Suppression des informations permettant d'identifier une personne;
  • Traitement des données à caractère personnel: Toute action ou ensemble d'actions effectuées en tout ou en partie dans un système d'information (automatisé) et/ou dans des fichiers de données à caractère personnel en rapport avec la collecte, l'enregistrement, l'accumulation, le stockage, l'adaptation, la modification, la mise à jour, l'utilisation et la distribution (distribution, vente, transfert), la dépersonnalisation, la destruction d'informations relatives à une personne physique;
  • Données à caractère personnel: Informations ou ensemble d'informations concernant une personne physique identifiée ou pouvant être identifiée de manière spécifique;
  • Responsable des données personnelles: Personne physique ou morale autorisée par le propriétaire de la base de données personnelles ou par la loi à traiter ces données. Une personne chargée par le propriétaire et/ou le gestionnaire de la base de données à caractère personnel d'effectuer des travaux techniques sur la base de données à caractère personnel sans avoir accès au contenu des données à caractère personnel n'est pas un gestionnaire de données à caractère personnel;
  • Personne concernée: Personne physique à l'égard de laquelle des données à caractère personnel sont traitées conformément à la loi ;
  • Tiers : Toute personne, à l'exception de la personne concernée, du propriétaire ou du gestionnaire de la base de données personnelles et de l'organisme public autorisé pour la protection des données personnelles, à laquelle le propriétaire ou le gestionnaire de la base de données personnelles transfère des données personnelles conformément à la loi;
  • Catégories particulières de données : Données à caractère personnel relatives à l'origine raciale ou ethnique, aux convictions politiques, religieuses ou idéologiques, à l'appartenance à un parti politique ou à un syndicat, ainsi que les données relatives à la santé ou à la vie sexuelle.

1.2. Le présent règlement est obligatoire pour la personne responsable et les employés du vendeur qui traitent directement des données à caractère personnel et/ou y ont accès dans le cadre de l'exercice de leurs fonctions officielles.

2. Liste des bases de données personnelles

2.1. Le vendeur est le propriétaire de ces bases de données personnelles:

  • base de données des données personnelles des contreparties.

3. Finalité du traitement des données à caractère personnel

3.1. La finalité du traitement des données personnelles dans le système est d'assurer la mise en œuvre des relations civiles, la fourniture, la réception et le paiement des marchandises et services achetés, conformément à la loi polonaise "Sur la comptabilité et l'information financière en Pologne".

4. Procédure de traitement des données à caractère personnel : obtention du consentement, notification des droits et actions concernant les données à caractère personnel de la personne concernée

4.1. Le consentement de la personne concernée doit être l'expression volontaire de sa volonté d'autoriser le traitement de ses données à caractère personnel conformément à la finalité déclarée de ce traitement.

4.2. Le consentement de la personne concernée peut être fourni sous les formes suivantes :

  • un document sur papier comportant des détails qui permettent d'identifier ce document et une personne ;
  • un document électronique qui doit contenir des données obligatoires permettant d'identifier ce document et une personne. L'expression volontaire de la volonté d'une personne d'autoriser le traitement de ses données personnelles doit être certifiée par la signature électronique de la personne concernée;
  • une mention sur une page électronique d'un document ou d'un fichier électronique traité dans un système d'information sur la base de solutions logicielles et matérielles documentées.

4.3. Le consentement de la personne concernée est fourni lors de la formalisation des relations de droit civil conformément au droit applicable.

4.4. Notification à la personne concernée de l'inclusion de ses données personnelles dans la base de données personnelles, des droits définis par la loi polonaise "Sur la protection des données personnelles", de la finalité de la collecte des données et des personnes auxquelles ses données personnelles sont transférées au cours de l'enregistrement de la législation sur les relations civiles.

4.5. Le traitement des données personnelles relatives à l'origine raciale ou ethnique, aux convictions politiques, religieuses ou idéologiques, à l'appartenance à un parti politique ou à un syndicat, ainsi que des données relatives à la santé ou à la vie sexuelle (catégories particulières de données) est interdit.

5. Emplacement de la base de données personnelles

5.1. Les bases de données à caractère personnel visées à l'article 2 du présent règlement sont situées à l'adresse du vendeur.

6. Conditions de divulgation des données à caractère personnel à des tiers

6.1. La procédure d'accès aux données à caractère personnel de tiers est déterminée par les termes du consentement de la personne concernée au traitement de ces données fourni au propriétaire des données à caractère personnel, ou conformément aux exigences de la loi.

6.2. L'accès aux données personnelles n'est pas accordé à un tiers si cette personne refuse de s'engager à assurer le respect des exigences de la loi polonaise "Sur la protection des données personnelles" ou n'est pas en mesure de les fournir.

6.3. Un sujet de relations liées à des données à caractère personnel soumet une demande d'accès (ci-après dénommée la « demande ») aux données à caractère personnel au propriétaire des données à caractère personnel.

6.4. La demande comprend :

  • le nom, les prénoms et le patronyme, le lieu de résidence (localisation) et les détails du document attestant de la personne qui présente la demande (pour personnes physiques);
  • le nom, la localisation de l'entité juridique qui présente la demande, fonction, nom, prénom et patronyme de la personne qui certifie la demande;
  • confirmation que le contenu de la demande correspond aux pouvoirs de l'entité juridique (pour personnes morales);
  • le nom, les prénom et le patronyme, ainsi que d'autres informations permettant d'identifier la personne à l'égard de laquelle la demande est faite;
  • des informations sur la base de données à caractère personnel faisant l'objet de la demande, des informations sur le propriétaire ou le gestionnaire de cette base de données à caractère personnel;
  • liste des données personnelles demandée;
  • l'objectif et/ou la base juridique de la demande.

6.5. Le délai d'examen de la demande en vue de sa satisfaction ne peut excéder dix jours ouvrables à compter de la date de réception. Dans ce délai, le propriétaire de la base de données personnelles informe la personne qui a présenté la demande si celle-ci est suffisante ou si les données personnelles pertinentes ne peuvent pas être fournies, en indiquant les motifs spécifiés dans l'acte juridique réglementaire pertinent. La demande est satisfaite dans un délai de trente jours civils à compter de la date de réception, sauf disposition légale contraire.

6.6. Le report de l'accès aux données à caractère personnel de tiers est autorisé si les données nécessaires ne peuvent être fournies dans un délai de trente jours civils à compter de la date de réception de la demande. Dans ce cas, le délai total pour résoudre les questions soulevées dans la demande ne peut excéder quarante-cinq jours civils.

6.7. L'avis d'ajournement est communiqué par écrit au tiers qui a présenté la demande, en expliquant la procédure de recours contre cette décision.

6.8. L'avis d'ajournement précise :

  • les nom, prénom et patronyme de l'agent;
  • la date d'envoi du message;
  • le motif de l'ajournement;
  • le délai dans lequel il est fait droit à la demande.

6.9. Le refus d'accès aux données à caractère personnel est autorisé si l'accès à ces données est interdit par la loi.

6.10. L'avis de rejet contient les informations suivantes:

  • les nom, prénom et patronyme de l'agent refusant la demande;
  • la date d'envoi de l’avis;
  • le motif du refus.

6.11. La décision de reporter ou de refuser l'accès aux données à caractère personnel peut faire l'objet d'un recours en justice.

7. Protection des données à caractère personnel : méthodes de protection, personne responsable, employés qui traitent directement des données à caractère personnel et/ou y ont accès dans le cadre de l'exercice de leurs fonctions officielles, période de conservation des données à caractère personnel.

7.1. Le propriétaire de la base de données personnelles est équipé d'un système, de logiciels et de matériel, ainsi que de moyens de communication qui empêchent la perte, le vol, la destruction non autorisée, la déformation, la falsification, la copie d'informations et qui répondent aux exigences des normes internationales et nationales.

7.2. La personne responsable organise le travail lié à la protection des données à caractère personnel lors de leur traitement conformément à la loi. La personne responsable est déterminée par l'ordre du propriétaire de la base de données personnelles.

Les responsabilités de la personne responsable de l'organisation du travail liées à la protection des données à caractère personnel lors de leur traitement sont précisées dans la description du poste.

7.3. La personne responsable est tenue de:

  • connaître la législation polonaise dans le domaine de la protection des données personnelles;
  • élaborer des procédures d'accès aux données personnelles des employés conformément à leurs fonctions professionnelles ou officielles ou à leurs responsabilités en matière d'emploi;
  • s'assurer que les employés du Propriétaire de la base de données personnelles respectent les exigences de la législation polonaise dans le domaine de la protection des données personnelles et les documents internes régissant les activités du Propriétaire de la base de données personnelles en ce qui concerne le traitement et la protection des données personnelles dans les bases de données personnelles;
  • élaborer une procédure (procédure) de contrôle interne de la conformité à la législation polonaise dans le domaine de la protection des données personnelles et des documents internes régissant les activités du Propriétaire du traitement des données personnelles et de la protection des données personnelles dans les bases de données personnelles, qui devraient notamment contenir des règles de contrôle;
  • notifier au Propriétaire de la base de données personnelles des faits de violation par les employés de la législation polonaise dans le domaine de la protection des données personnelles et des documents internes régissant les activités du Propriétaire de la base dedonnées personnelles en ce qui concerne le traitement et la protection des données personnelles dans les bases de données personnelles, dans un délai d'un jour ouvrable à compter de ces violations;
  • assurer la conservation des documents confirmant que la personne concernée a donné son consentement au traitement de ses données à caractère personnel et qu'elle a été informée de ses droits.

7.4. Pour s'acquitter de ses tâches, la personne responsable a le droit de:

  • recevoir les documents nécessaires, en particulier les ordres et autres documents administratifs émis par le propriétaire de la base de données à caractère personnel en rapport avec le traitement des données à caractère personnel;
  • faire des photocopies des documents reçus, y compris des copies de dossiers, de tout enregistrement stocké dans les réseaux informatiques locaux et les systèmes informatiques autonomes;
  • participer aux discussions sur l'organisation des travaux relatifs à la protection des données à caractère personnel lors de leur traitement;
  • soumettre des propositions d'amélioration des activités et des méthodes de travail, soumettre des commentaires et des options pour éliminer les lacunes identifiées dans le processus de traitement des données à caractère personnel;
  • recevoir des explications sur le traitement des données personnelles;
  • signer et endosser les documents relevant de sa compétence.

7.5. Les employés qui traitent directement et/ou ont accès aux données personnelles dans le cadre de l'exercice de leurs fonctions officielles (emploi) sont tenus de se conformer aux exigences de la législation polonaise dans le domaine de la protection des données personnelles et des documents internes concernant le traitement et la protection des données personnelles dans les bases de données personnelles.

7.6. Les employés qui ont accès aux données personnelles, y compris ceux qui les traitent, sont tenus d'empêcher la divulgation de quelque manière que ce soit des données personnelles qui leur ont été confiées ou qui ont été portées à leur connaissance dans le cadre de l'exercice de leurs fonctions professionnelles ou officielles ou de leur emploi. Cette obligation reste valable après la cessation de leurs activités impliquant des données à caractère personnel, sauf dans les cas prévus par la loi.

7.7. Les personnes qui ont accès aux données personnelles, y compris leur traitement, en cas de violation des exigences de la loi polonaise "Sur la protection des données personnelles" sont responsables en vertu des lois polonaises.

7.8. Les données à caractère personnel ne doivent pas être conservées plus longtemps que nécessaire au regard de la finalité pour laquelle elles sont stockées, mais en aucun cas plus longtemps que la période de conservation des données, un certain consentement de la personne concernée par les données à caractère personnel au traitement de ces données.

8. Droits de la personne concernée

8.1. La personne concernée a le droit de:

  • connaître l'emplacement de la base de données personnelles contenant ses données personnelles, son objectif et le nom, l'emplacement et/ou le lieu de résidence (séjour) du propriétaire ou du gestionnaire de cette base de données ou de donner l'ordre correspondant d'obtenir ces informations aux personnes autorisées par lui, sauf dans les cas prévus par la loi;
  • recevoir des informations sur les conditions d'octroi de l'accès aux données à caractère personnel, y compris des informations sur les tiers auxquels ses données à caractère personnel contenues dans la base de données à caractère personnel concernée sont transférées;
  • avoir accès à leurs données à caractère personnel contenues dans la base de données à caractère personnel concernée;
  • de recevoir, au plus tard trente jours civils à compter de la date de réception de la demande, sauf dans les cas prévus par la loi, une réponse indiquant si ses données à caractère personnel sont stockées dans la base de données à caractère personnel concernée, ainsi que de recevoir le contenu de ses données à caractère personnel qui sont stockées;
  • de présenter une demande motivée avec une objection au traitement de leurs données personnelles par les autorités de l'État, les organes autonomes locaux dans l'exercice des pouvoirs prévus par la loi;
  • présenter une demande motivée de modification ou de destruction de leurs données personnelles par tout propriétaire et gestionnaire de cette base de données si ces données sont traitées illégalement ou ne sont pas fiables;
  • protéger leurs données à caractère personnel contre tout traitement illicite et contre la perte accidentelle, la destruction, les dommages dus à la dissimulation intentionnelle, à l'absence de communication ou à la communication tardive, ainsi que de se protéger contre la communication d'informations inexactes ou portant atteinte à l'honneur, à la dignité et à la réputation commerciale d'une personne;
  • demander la protection de leurs droits en matière de données à caractère personnel aux autorités de l'État et aux organismes locaux d'administration autonome autorisés à protéger les données à caractère personnel;
  • appliquer les recours légaux en cas de violation de la législation sur la protection des données à caractère personnel.

9. Procédure de traitement des demandes des personnes concernées par les données à caractère personnel

9.1. La personne concernée a le droit d'obtenir toute information la concernant de la part de tout sujet de relations liées aux données personnelles sans spécifier le but de la demande, sauf dans les cas prévus par la loi.

9.2. L'accès de la personne concernée aux données la concernant est gratuit.

9.3. La personne concernée soumet une demande d'accès (ci-après dénommée la « demande ») aux données à caractère personnel au propriétaire de la base de données à caractère personnel.

La demande comprend :

  • les nom, prénom et patronyme, le lieu de résidence (localisation) et les détails de la pièce d'identité de la personne concernée par les données à caractère personnel ;
  • autres informations permettant d'identifier la personne concernée;
  • des informations sur la base de données à caractère personnel faisant l'objet de la demande, des informations sur le propriétaire ou le gestionnaire de cette base de données;
  • une liste des données à caractère personnel demandées.

9.4. Le délai d'examen de la demande en vue de sa satisfaction ne peut excéder dix jours ouvrables à compter de la date de réception. Au cours de cette période, le propriétaire de la base de données personnelles informe la personne concernée si la demande est suffisante ou si les données personnelles pertinentes ne peuvent pas être fournies, en indiquant les motifs spécifiés dans l'acte juridique réglementaire pertinent.

9.5. La demande est satisfaite dans un délai de trente jours civils à compter de la date de réception, sauf disposition légale contraire.

10. Enregistrement public de la base de données personnelles

10.1. L'enregistrement public des bases de données personnelles est effectué conformément à la loi polonaise "Sur la protection des données personnelles".