1. WSTĘP I CEL
W ramach obsługi strony internetowej dostępnej pod adresem https://www.sfapoland.pl/("Strona internetowa"), SFA POLAND sp, administrator danych ("my", "nas", "nasze ") przetwarza dane osobowe użytkowników Strony Internetowej ("Podmioty Objęte Danymi").
Podejmujemy się przetwarzania danych osobowych Podmiotów Objętych Danymi zgodnie z mającymi zastosowanie przepisami ("Właściwe Przepisy"), a w szczególności z Rozporządzeniem nr 2016/679 (EU) z 27 kwietnia 2016 zwanym Ogólnym rozporządzeniem o ochronie danych ("RODO ").
W tym zakresie, zobowiązujemy się do poszanowania naszych zobowiązań do przejrzystości i informowania względem Podmiotów Danych poprzez udostępnienie im niniejszej polityki prywatności, celem której ma być informowanie ich o charakterystyce przetwarzania osobowych danych, które realizujemy w kontekście wykorzystywania Strony Internetowej i o prawach, które mają w tym zakresie.
2. DEFINICJE
Terminy pisane wielką literą są zdefiniowane w niniejszym dokumencie lub mają znaczenie nadane im w mających Zastosowanie Przepisach, a w szczególności RODO, np., w szczególności, terminy "Dane Osobowe", "Przetwarzanie", "Podmioty Objęte Danymi", "Administrator", "Podmiot Przetwarzający", "Odbiorca "lub "Naruszenie Bezpieczeństwa Danych".
3. CHARAKTERYSTYKA PRZETWARZANIA
Procesy, które realizujemy w zakresie Danych Osobowych Podmiotów Objętych Danymi, są przedstawione w następujących tabelach .
3.1 Formularz kontaktowy
Cel przetwarzania |
|
Podstawa prawna przetwarzania | Uzasadniony interes/Środki przedumowne |
Kategoria Danych Osobowych |
|
Czas przetwarzania |
1 rok od zebrania 3 lata w przypadku danych osobowych związanych z potencjalnym klientem, od daty, zebrania lub ostatniego kontaktu z potencjalnym klientem. |
3.2 Biuletyn
Cel przetwarzania |
|
Podstawa prawna przetwarzania | Uzasadniony interes |
Kategoria Danych Osobowych |
|
Czas przetwarzania | Przechowujemy adres e-mail do chwili, gdy Podmiot Objęty Danymi nie zrezygnuje z subskrypcji (poprzez link wyrejestrowania w biuletynie). |
3.3 Formularz rejestracji gwarancji
Cel przetwarzania |
|
Podstawa prawna przetwarzania | Realizacja umowy |
Kategoria Danych Osobowych |
|
Czas przetwarzania | 3 lata od zebrania lub od ostatniego kontaktu z klientem. |
3.4 Instalacja plików cookies
W celu uzyskania większej ilości informacji o przetwarzaniu Twoich danych w powiązaniu z instalacją plików cookies i innych narzędzi umożliwiających śledzenie, patrz nasza polityka plików cookie .
3.5 Zarządzanie ewentualnymi sporami, sporami prawnymi i postępowaniem przedprocesowym
Cel przetwarzania |
|
Podstawa prawna przetwarzania | Uzasadniony interes |
Kategoria Danych Osobowych | Wszystkie wyżej wymienione Dane. gdy tylko staną się konieczne do zarządzania sporem. |
Czas przetwarzania | Przechowywanie w całym okresie sporu i do wyczerpania środków odwoławczych (spór prawny). |
4. ODBIORCY DANYCH OSOBOWYCH
Możemy ujawnić Dane Osobowe Podmiotów Objętych Danymi autoryzowanym Odbiorcom podlegającym odpowiedniemu obowiązkowi zachowania poufności, którzy mogą być wewnętrzni lub zewnętrzni, zależnie od sytuacji:
Odbiorcy wewnętrzni są następujący:
- Członkowie naszego personelu, których obowiązki, funkcje i zadania świadczą, że przetwarzają oni Dane Osobowe Osób Objętych Danymi (n.p. dział komunikacji, dział marketingu, dział relacji z klientami i potencjalnymi klientami, dział IT) wyłącznie do celów przewidzianych w niniejszej Polityce Prywatności i w ramach środków technicznych i organizacyjnych, które wdrażamy w celu zapewnienia poufności i bezpieczeństwa Danych Osobowych szczegółowo określonych poniżej;
Odbiorcy zewnętrzni to:
- Spółki zależne Grupy SFA i spółka dominująca występujące w charakterze Podmiotów Przetwarzających, których obowiązki, funkcje i zadania uzasadniają przetwarzanie przez nich Danych Osobowych Podmiotów Objętych Danymi (np. SFA Tech odpowiedzialny za Usługi IT na poziomie Grupy);
- Usługodawcy lub Podmioty Przetwarzające, które możemy wykorzystywać w kontekście Przetwarzania (n.p. dostawcy usług hostingowych, call center, poczta elektroniczna);
- Podmioty odpowiedzialne za doradztwo, audyt i kontrolę finansową (audytor, prawnik);
- Organy administracyjne lub sądowe w zakresie ich uprawnień;
- W przypadku proponowanego zbierania funduszy, nabycia lub zbycia przedsiębiorstwa lub aktywów dowolnymi środkami, włączając poprzez zbycie przedsiębiorstwa obejmującego to przedsiębiorstwo lub posiadającego te aktywa, potencjalny nabywający i ich doradcy w ramach audytu wstępnego transakcji. W przypadku nabycia przez stronę trzecią, Dane Osobowe będą stanowić część przekazywanych aktywów i jako takie będą przetwarzane przez nabywcę, który będzie działać jako nowy Administrator Danych w ramach jego polityki prywatności.
5. PRAWA PODMIOTÓW OBJĘTYCH DANYMI
1. OŚWIADCZENIE O PRAWACH
Zgodnie z mającymi zastosowanie przepisami, Podmioty Objęte Danymi będą mieć następujące prawa w odniesieniu do ich danych osobowych:
- Prawo do poproszenia nas o potwierdzenie, że ich dane są przetwarzane, do uzyskania informacji na temat charakteru takiego przetwarzania, do uzyskania dostępu do takich danych i wymagania kopii (prawo dostępu do kopii);
- Prawo do poprawienia lub uzupełnienia danych ich dotyczących, które są błędne lub nieaktualne (prawo do sprostowania);
- Prawo do wycofania zgody w dowolnej chwili, przy czym dane Przetwarzanie jest oparte wyłącznie na tej podstawie prawnej (prawo do wycofania zgody);
- Prawo do sprzeciwu względem Przetwarzania Danych Osobowych z powodów dotyczących ich konkretnej sytuacji i do uzyskania ich usunięcia, w której to sytuacji uznamy ten wniosek, chyba że Przetwarzanie jest uzasadnione prawnymi i przekonującymi podstawami (prawo do uzasadnionego sprzeciwu i prawo do usunięcia);
- Prawo do uzyskania tymczasowego ograniczenia Przetwarzania w przypadku wniosku o sprostowanie lub uzasadnionego sprzeciwu na czas, w którym analizujemy wniosek, co w praktyce oznacza, że Dane Osobowe są przechowywane, ale nie możemy ich przetwarzać (prawo do ograniczenia);
- Prawo do przeniesienia Danych, tzn. prawo do uzyskania od nas zwrotu Danych Osobowych, które nam przekazali w powszechnie wykorzystywanym formacie, gdy przetwarzanie jest zautomatyzowane i oparte na zgodzie lub podpisaniu umowy;
- Prawo do sformułowania instrukcji w zakresie swoich Danych po ich śmierci i poproszenia nas o zachowanie, usunięcie lub przekazanie ich danych stronie trzeciej wskazanej w wyrażony sposób, przy czym po uzyskaniu przez nas informacji o śmierci Podmiotu Objętego Danymi i w przypadku braku instrukcji od niego, zobowiązuje się on do zniszczenia swoich Danych Osobowych, chyba że ich zachowanie jest konieczne w celach dowodowych lub w celach przestrzegania obowiązku prawnego (prawo post- mortem).
2. JAK WYKORZYSTAĆ TWOJE PRAWA
Jeżeli Podmiot Objęty Danymi chce skorzystać z dowolnych z powyższych praw, może on skontaktować się z nami pocztą pod następującym adresem: [email protected]
Wniosek Podmiotu Objętego Danymi może złożyć wyłącznie Podmiot Objęty Danymi (chyba że strona trzecia otrzyma upoważnienie w odpowiedniej formie) i musi być tak jasny i wyczerpujący jak to możliwe, w celu umożliwienia nam jak najszybszej odpowiedzi w ciągu jednego do trzech miesięcy, zależnie od poziomu złożoności.
Możemy poprosić Podmiot Objęty Danymi o uzupełnienie jego wniosku, jeżeli nie jest wystarczająco dokładny, jeśli prawo, które chce on wykorzystać nie jest łatwe do zidentyfikowania, lub, jeżeli nie może on ujawnić swojej tożsamości, w której to sytuacji możemy poprosić o dodatkowe informacje, włączając dowód tożsamości, który zostanie usunięty, gdy tylko będzie to możliwe po weryfikacji jego tożsamości.
Dodatkowo, nie będziemy zobowiązani do odpowiedzi na wniosek Podmiotu Objętego Danymi, jeżeli jest on w sposób oczywisty bezzasadny lub zbyt szeroki, a w szczególności jeżeli wniosek powtarza się lub jest zbyt złożony, by go przetworzyć a jego celem lub skutkiem byłoby zdestabilizowanie naszej działalności.
6. BEZPIECZEŃSTWO
Wdrażamy właściwe techniczne i organizacyjne środki bezpieczeństwa w celu zapewnienia poufności i bezpieczeństwa Danych Osobowych, które przetwarzamy oraz w celu zapobiegania ich nieautoryzowanemu zniszczeniu, utracie, modyfikacji lub ujawnieniu.
Jako przykład, następujące środki zostały wdrożone i udokumentowane w planie bezpieczeństwa:
- Hosting Danych Osobowych na serwerach zlokalizowanych w obrębie Unii Europejskiej na terenie kraju członkowskiego;
- Nasz personel wie kto przetwarza Dane Podmiotów Objętych Danymi;
- Funkcje uwierzytelniania użytkownika z dostępem osobistym i zabezpieczonym z wykorzystaniem silnych, poufnych i często zmienianych loginów i haseł;
- Procedura zarządzania autoryzacjami (definicje i przeglądy profili autoryzacyjnych zgodnie z profilem użytkowników jego systemu informacyjnego, usuwanie nieaktualnych dostępów);
- Śledzenie dostępów, rejestrowanie połączeń, zarządzanie incydentami, i, w razie konieczności, szyfrowanie określonych Danych Osobowych;
- Regularne wdrażanie audytów wewnętrznych i, w razie konieczności, zróżnicowanych testów penetracji w celu kontrolowania i oceny efektywności wdrożonych środków bezpieczeństwa;
- Ochrona fizyczna lokali (kody, klucze i identyfikatory dostępowe) i stacji roboczych (automatyczne blokowanie sesji, program antywirusowy i zapora sieciowa).
Jeżeli wykorzystujemy Podmioty Przetwarzające, tzn. dostawców usług, którym powierzyliśmy całość lub część operacji przetwarzania, i którzy przetwarzają Dane Osobowe Podmiotów Objętych Danymi zgodnie z naszym instrukcjami, zobowiązujemy się do wymagania od nich zapewnienia gwarancji bezpieczeństwa równych tym, które wdrażamy w celu zabezpieczenia ich Danych Osobowych i zastrzegamy prawo do audytowania ich w celu zapewnienia przestrzegania ich zobowiązań.
W przypadku Naruszenia Bezpieczeństwa Danych, zobowiązujemy się do powiadomienia właściwego organu nadzoru w sposób przewidziany przez właściwe przepisy i, jeżeli wspomniane Naruszenie stwarza wysokie ryzyko dla Podmiotów Objętych Danymi, do powiadomienia ich i do zapewnienia im wszelkich niezbędnych informacji, wytycznych i zaleceń.
7. AKTUALIZOWANIE NINIEJSZEJ POLITYKI
Możemy zmienić, uzupełnić lub zaktualizować niniejszą politykę w dowolnym momencie w celu uwzględnienia zmian prawnych, regulacyjnych i/lub orzeczniczych, zmian w charakterze Przetwarzania lub wdrożenia nowego Przetwarzania.
8. KONTAKTY
Podmioty Objęte Danymi mogą kierować wszelkie pytania lub skargi dotyczące niniejszej polityki lub przekazywać zalecenia lub uwagi dotyczące niniejszej polityki na piśmie, na następujący adres
- Pocztą: ul. Białołęcka 168, 03-253 Warszawa.
- Pocztą elektroniczną: [email protected]
Podmioty Objęte Danymi mogą także zadawać wszelkie pytania właściwemu organowi nadzoru lub złożyć skargę na jego ręce.