RODO

POLITYKA SERWISU TERIVE W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH

DEFINICJE

  1. Administrator – NEWCEPTION sp. z o. o. z siedzibą przyul. Twardej 18, 00-105 Warszawa, wpisana do Rejestru Przedsiębiorców prowadzonego przez XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000682264, NIP 8133747340, wysokość kapitału zakładowego 5 000,00 zł, (dalej Serwis TERIVE)
  2. Dane osobowe – wszystkie informacje o osobie fizycznej zidentyfikowanej lub możliwej do zidentyfikowania poprzez jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej, w tym wizerunek, nagranie głosu, dane kontaktowe, dane o lokalizacji, informacje zawarte w korespondencji, informacje gromadzone za pośrednictwem sprzętu rejestrującego lub innej podobnej technologii.
  3. Polityka – niniejsza Polityka Serwisu TERIVE w zakresie przetwarzania danych osobowych.
  4. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 7 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
  5. Osoba, której dane dotyczą – każda osoba fizyczna, której dane osobowe przetwarzane są przez Administratora.

PRZETWARZANIE DANYCH PRZEZ ADMINISTRATORA

W związku z prowadzoną przez siebie działalnością gospodarczą Administrator zbiera i przetwarza dane osobowe zgodnie z właściwymi przepisami, w tym w szczególności z RODO i przewidzianymi w nich zasadami przetwarzania danych.

Administrator zapewnia przejrzystość przetwarzania danych, w szczególności zawsze informuje o przetwarzaniu danych w momencie ich zbierania, w tym o celu i podstawie prawnej przetwarzania. Administrator dba o to, by dane były zbierane tylko w zakresie niezbędnym do wskazanego celu i przetwarzane tylko przez okres, w jakim jest to niezbędne.

Przetwarzając dane, Administrator zapewnia ich bezpieczeństwo i poufność oraz dostęp do informacji o tym przetwarzaniu dla osób, których dane dotyczą. W przypadku, gdyby, pomimo stosowanych środków bezpieczeństwa, doszło do naruszenia ochrony danych osobowych (np. „wycieku” danych lub ich utraty), Administrator podejmie działania wynikające z przepisów prawa, w tym – o ile taki obowiązek z przepisów prawa wynika -poinformuje o takim zdarzeniu osoby, których dane dotyczą.

Administrator przetwarza dane osobowe:

  • użytkowników korzystających odpłatnie z usług Serwisu TERIVE
    • użytkowników korzystających nieodpłatnie z usług Serwisu TERIVE
    • dostawców
    • pracowników
    • potencjalnych pracowników.

Dane osobowe przetwarzane przez Administratora gromadzone są w zbiorach danych.

Zbiory są prowadzone i przetwarzane przede wszystkim w formie cyfrowej tj. w plikach umiejscowionych na komputerach należących do Administratora oraz na serwerach stanowiących jego własność, jak również w formie papierowej w postaci:

  • umów cywilnoprawnych oraz dokumentacji księgowej w przypadku zbioru danych użytkowników korzystających odpłatnie z usług Serwisu TERIVE
  • umów cywilnoprawnych w przypadku zbioru danych pozostałych użytkowników Serwisu TERIVE
  • książki korespondencyjnej, umów cywilnoprawnych oraz dokumentacji księgowej w przypadku zbioru danych dostawców
  • dokumentacji kadrowo-płacowej w przypadku zbioru danych pracowników
  • dokumentacji rekrutacyjnej w przypadku zbioru danych potencjalnych pracowników.

Wykaz poszczególnych zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych u Administratora do przetwarzania tych danych oraz lokalizacją baz danych i miejscami przetwarzania danych osobowych stanowi Załącznik nr 1 do niniejszej Polityki.

W przypadku planowania nowych czynności przetwarzania Administrator dokonuje analizy ich skutków dla ochrony danych osobowych oraz uwzględnia kwestie ochrony danych w fazie ich projektowania.

BEZPIECZEŃSTWO DANYCH OSOBOWYCH

W celu zapewnienia integralności i poufności danych, Administrator wdrożył wewnętrzne procedury umożliwiające dostęp do danych osobowych jedynie osobom przez niego upoważnionym i jedynie w zakresie, w jakim jest to niezbędne ze względu na wykonywane przez nie zadania. Administrator stosuje rozwiązania organizacyjne i techniczne w celu zapewnienia, aby wszystkie operacje na danych osobowych były rejestrowane i dokonywane tylko przez osoby uprawnione.

ROZWIĄZANIA ORGANIZACYJNE

  • Administrator prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych, która stanowi Załącznik nr 2 do niniejszej Polityki.
  • Osoby upoważnione do przetwarzania danych przez Administratora są zaznajomione z przepisami dotyczącymi ochrony danych osobowych i zobowiązane do zachowania przetwarzanych danych w tajemnicy – osoby, o których mowa powyżej, przed dopuszczeniem do przetwarzania danych, powinny zobowiązać się do przestrzegania ww. przepisów i zachowania przetwarzanych danych w tajemnicy poprzez podpisanie oświadczenia użytkownika, stanowiącego Załącznik nr 3 do niniejszej Polityki.
  • Dostęp do pomieszczeń, w których przechowywane i/lub przetwarzane są dane osobowe umożliwiany jest wyłącznie osobom upoważnionym do przetwarzania danych osobowych przez Administratora.
  • Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane, w tym stosowane są wygaszacze ekranów.

ROZWIĄZANIA TECHNICZNE

  • Wszystkie pomieszczenia, w których przechowuje się i/lub przetwarza dane osobowe są zamykane na klucz, w przypadku opuszczenia pomieszczenia przez ostatnią osobę upoważnioną do przetwarzania danych osobowych – także w godzinach pracy.
  • Pomieszczenia, w których przetwarzane są zbiory danych osobowych zabezpieczone są przed skutkami pożaru za pomocą wolnostojącej gaśnicy.
  • Dane osobowe przechowywane w wersji papierowej po zakończeniu pracy są przechowywane w zamykanych na klucz meblach biurowych; klucze od szafek przechowywane są w miejscu niedostępnym dla osób nieupoważnionych do przetwarzania danych osobowych.
  • Dane osobowe przechowywane w wersji elektronicznej (pamięć komputera, konta poczty elektronicznej, systemy informatyczne, w tym systemy internetowej komunikacji) są zabezpieczone hasłem dostępu do komputera, hasłem do konta poczty  elektronicznej oraz hasłem do systemu informatycznego.
  • Każdy system IT zapewnia, że operacje na danych osobowych można powiązać z konkretnym użytkownikiem.
  • Na komputerach, na których przetwarzane są dane osobowe, stosowane są programy antywirusowe z zaporą antywłamaniową.

Administrator podejmuje ponadto wszelkie niezbędne działania, by także jego podwykonawcy i inne podmioty z nim współpracujące dawały gwarancję stosowania odpowiednich środków bezpieczeństwa w każdym przypadku, gdy przetwarzają dane osobowe na zlecenie Administratora.

Administrator na bieżąco prowadzi analizę ryzyka i monitoruje adekwatność stosowanych zabezpieczeń danych do identyfikowanych zagrożeń. W razie konieczności Administrator wdraża dodatkowe środki organizacyjne i techniczne służące zwiększeniu bezpieczeństwa danych.

CELE ORAZ PODSTAWY PRAWNE PRZETWARZANIA DANYCH PRZEZ ADMINISTRATORA

Korespondencja e-mailowa oraz tradycyjna

W przypadku kierowania do Administratora korespondencji e-mailowej lub drogą tradycyjną, niezwiązanej z realizacją umowy zawartej z nadawcą, dane osobowe zawarte w tej korespondencji są przetwarzane wyłącznie w celu komunikacji i załatwienia sprawy, której dotyczy ta korespondencja.

Podstawą prawną przetwarzania jest uzasadniony interes Administratora (art. 6 ust. 1 lit. f) RODO), polegający na prowadzeniu korespondencji kierowanej do niego w związku z prowadzoną działalnością gospodarczą.

Administrator przetwarza jedynie dane osobowe odpowiednie dla sprawy, której dotyczy korespondencja. Całość korespondencji jest przechowywana w sposób zapewniający bezpieczeństwo zawartych w niej danych osobowych oraz innych informacji i ujawniana jedynie osobom upoważnionym.

Kontakt telefoniczny

W przypadku kontaktowania się z Administratorem drogą telefoniczną w sprawach niezwiązanych z realizacją zawartej umowy można żądać podania danych osobowych tylko wówczas, gdy będzie to niezbędne do obsługi sprawy, której dotyczy kontakt. Podstawą prawną jest w takim wypadku uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO), polegający na konieczności załatwienia zgłoszonej sprawy związanej z prowadzoną działalnością gospodarczą.

Rekrutacja

W ramach procesów rekrutacyjnych Administrator oczekuje przekazywania danych osobowych jedynie w zakresie określonym w przepisach prawa pracy. W związku z tym nie należy przekazywać informacji w szerszym zakresie. W razie, gdy przesłane aplikacje będą zawierać tego rodzaju dodatkowe dane, nie będą one wykorzystywane ani uwzględniane w procesie rekrutacyjnym i będą niszczone.

Dane osobowe są przetwarzane:

  • w celu wykonania obowiązków wynikających z przepisów prawa, związanych z procesem zatrudnienia, w tym przede wszystkim Kodeksu pracy – podstawą prawną przetwarzania jest obowiązek prawny ciążący na Administratorze (art. 6 ust. 1 lit c RODO w związku z przepisami Kodeksu pracy);
  • w celu przeprowadzenia procesu rekrutacji w zakresie danych nie wymaganych przepisami prawa, a także dla celów przyszłych procesów rekrutacyjnych – podstawą prawną przetwarzania jest zgoda potencjalnego pracownika (art. 6 ust. 1 lit a RODO);
  • w celu ustalenia lub dochodzenia ewentualnych roszczeń lub obrony przed takimi roszczeniami – podstawą prawną przetwarzania danych jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit f RODO).

Zbieranie danych w związku z wykonywaniem umów

W razie zbierania danych dla celów związanych z wykonaniem konkretnej umowy, Administrator przekazuje osobie, której dane dotyczą, szczegółowe informacje dotyczące przetwarzania jej danych osobowych.

Zbieranie danych w innych przypadkach

W związku z prowadzoną działalnością Administrator zbiera dane osobowe także w innych przypadkach – np. podczas spotkań biznesowych czy poprzez wymianę wizytówek – w celach związanych z nawiązywaniem i utrzymywaniem kontaktów biznesowych. Podstawą prawną przetwarzania jest w tym wypadku uzasadniony interes Administratora (art. 6 ust. 1 lit f RODO) polegający na tworzeniu sieci kontaktów w związku z prowadzoną działalnością.

Dane osobowe zebrane w takich przypadkach przetwarzane są wyłącznie w celu, dla jakiego

zostały zebrane, a Administrator zapewnia ich odpowiednią ochronę.

KONTAKT Z ADMINISTRATOREM

Kontakt z Administratorem w sprawach dotyczących przechowywania, przetwarzania i ochrony danych osobowych jest możliwy poprzez adres e-mail: biuro@newception.pl lub pisemnie na adres: NEWCEPTION Sp. z o. o., ul  Twarda 18, Warszawa  00-105

OBOWIĄZKI I ODPOWIEDZIALNOŚĆ OSÓB UPOWAŻNIONYCH PRZEZ ADMINISTRATORA DO PRZETWARZANIA DANYCH OSOBOWYCH

Każdy osoba upoważniona przez Administratora do przetwarzania danych osobowych zobowiązana jest do:

  • zachowania w poufności danych osobowych jak i sposobu ich zabezpieczenia,
    • zapoznania i stosowania się do zapisów niniejszej Polityki oraz dokumentów wewnętrznych wydanych na podstawie niniejszej Polityki,
    • pisemnego potwierdzenia zapoznania się z przepisami o ochronie danych osobowych i  niniejszą Polityką,
    • przestrzegania przepisów o ochronie danych osobowych w szczególności RODO,
    • nieudostępniania (bez wyjątku nikomu) swoich haseł do systemów IT,
    • nieudostępniania lub nieumożliwiania dostępu do danych osobowych osobom nieupoważnionym,
    • zgłaszania każdego zauważonego incydentu naruszenia ochrony danych osobowych lub niniejszej Polityki Administratorowi lub osobie przez niego wskazanej,
    • zgłaszania Administratorowi lub osobie przez niego wskazanej wszelkich wątpliwości z zakresu przetwarzania danych osobowych.

ODBIORCY DANYCH

W związku z prowadzeniem działalności wymagającej przetwarzania danych osobowych dane te są ujawniane zgodnie z przepisami obowiązującego prawa zewnętrznym podmiotom, w tym w szczególności dostawcom odpowiedzialnym za obsługę systemów informatycznych i sprzętu, podmiotom świadczącym usługi prawne lub księgowe, agencjom marketingowym.

Administrator zastrzega sobie prawo ujawnienia wybranych informacji dotyczących osoby, której dane dotyczą, właściwym organom bądź osobom trzecim, które zgłoszą żądanie udzielenia takich informacji, w oparciu o odpowiednią podstawę prawną oraz zgodnie z przepisami obowiązującego prawa.

OKRES PRZETWARZANIA DANYCH OSOBOWYCH

Okres przetwarzania danych przez Administratora zależy od celu i zakresu przetwarzania. Okres przetwarzania danych może także wynikać z przepisów w sytuacji, gdy stanowią one podstawę przetwarzania.

W przypadku przetwarzania danych na podstawie uzasadnionego interesu Administratora, dane przetwarzane są przez okres umożliwiający jego realizację lub do zgłoszenia skutecznego sprzeciwu względem przetwarzania danych.

Jeśli przetwarzanie odbywa się na podstawie zgody, dane przetwarzane są do jej wycofania.

W przypadku, gdy podstawę przetwarzania stanowi niezbędność do zawarcia i wykonania umowy, dane będą przetwarzane do momentu jej wygaśnięcia lub rozwiązania.

Okres przetwarzania danych może być przedłużony w przypadku, gdy przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony przed ewentualnymi roszczeniami, a po tym

okresie – jedynie w przypadku i w zakresie, w jakim będą wymagać tego przepisy prawa. Po upływie okresu przetwarzania dane są nieodwracalnie usuwane lub anonimizowane.

UPRAWNIENIA ZWIĄZANE Z PRZETWARZANIEM DANYCH OSOBOWYCH

Prawa osób, których dane dotyczą

Osobom, których dane dotyczą, przysługują następujące prawa:

  • Prawo do informacji o przetwarzaniu danych osobowych

Na tej podstawie osobie zgłaszającej takie żądanie Administrator przekazuje informację o: przetwarzaniu danych, w tym przede wszystkim o celach i podstawach prawnych przetwarzania, zakresie posiadanych danych, podmiotach, którym są ujawniane, i planowanym terminie ich usunięcia.

  • Prawo uzyskania kopii danych

Na tej podstawie Administrator przekazuje kopię przetwarzanych danych dotyczących osoby zgłaszającej żądanie.

  • Prawo do sprostowania

Na tej podstawie można żądać od Administratora usunięcia ewentualnych niezgodności lub błędów przetwarzanych danych osobowych, a także uzupełnienia ich, jeśli są niekompletne.

  • Prawo do usunięcia danych

Na tej podstawie można żądać usunięcia danych, których przetwarzanie nie jest już niezbędne do realizowania żadnego z celów, dla jakich zostały zebrane.

  • Prawo do ograniczenia przetwarzania

W razie zgłoszenia takiego żądania Administrator zaprzestaje dokonywania operacji na danych osobowych, z wyjątkiem operacji, na które wyraziła zgodę osoba, której dane dotyczą, oraz ich przechowywania.

  • Prawo do przenoszenia danych

Na tej podstawie, w zakresie, w jakim dane są przetwarzane w związku z zawartą umową lub wyrażoną zgodą, Administrator wyda dane dostarczone przez osobę, której one dotyczą, w formacie pozwalającym na ich odczyt przez komputer. Możliwe jest także zażądanie przesłania tych danych innemu podmiotowi – jednak pod warunkiem, że istnieją w tym zakresie techniczne możliwości zarówno po stronie Administratora, jak i tego innego podmiotu.

  • Prawo sprzeciwu wobec przetwarzania danych w innych celach

Osoba, której dane dotyczą, może w każdym czasie wnieść sprzeciw wobec przetwarzania danych osobowych z przyczyn związanych z jej szczególną sytuacją, w przypadkach, gdy przetwarzanie odbywa się na podstawie uzasadnionego interesu Administratora. Sprzeciw w tym zakresie powinien zawierać uzasadnienie.

  • Prawo wycofania zgody

Jeśli dane przetwarzane są na podstawie wyrażonej zgody, osoba, której dane dotyczą, ma prawo ją wycofać w dowolnym momencie, co jednak nie wpływa na zgodność z prawem przetwarzania dokonanego przed wycofaniem tej zgody.

  • Prawo do skargi

Jeśli osoba, której dane dotyczą uzna, że przetwarzanie danych osobowych narusza przepisy RODO lub inne przepisy dotyczące ochrony danych osobowych, może złożyć skargę do właściwego organu nadzoru.

Zgłaszanie żądań związanych z realizacją praw w zakresie danych osobowych

W celu skorzystania z któregokolwiek z uprawnień związanych z przetwarzaniem danych osobowych, osoba, której dane dotyczą, składa stosowny wniosek:

  • w formie pisemnej na adres: NEWCEPTION Sp. z o. o., ul  Twarda 18, Warszawa  00-105 lub
  • drogą e-mailową na adres: biuro@newception.pl

Wniosek powinien, w miarę możliwości, precyzyjnie wskazywać, czego dotyczy żądanie, tj. w

szczególności:

  • z jakiego uprawnienia chce skorzystać osoba składająca wniosek;
  • jakiego procesu przetwarzania dotyczy żądanie;
  • jakich celów przetwarzania dotyczy żądanie.

Jeżeli Administrator nie będzie w stanie ustalić treści żądania lub zidentyfikować osoby składającej wniosek w oparciu o dokonane zgłoszenie, zwróci się do wnioskodawcy o dodatkowe informacje.

Odpowiedź na złożony wniosek powinna być udzielona w ciągu miesiąca od jego otrzymania. W razie konieczności przedłużenia tego terminu Administrator informuje wnioskodawcę o przyczynach takiego przedłużenia.

Odpowiedź udzielana jest w formie pisemnej, chyba że wniosek został złożony drogą e-mailową lub zażądano w nim przekazania odpowiedzi w formie elektronicznej.

Postępowanie w sprawie składanych wniosków jest nieodpłatne.

ZMIANY POLITYKI PRZETWARZANIA DANYCH OSOBOWYCH

Polityka jest na bieżąco weryfikowana i w razie potrzeby aktualizowana.