Niniejsza Polityka Przetwarzania Danych Osobowych (Polityka Prywatności) zawiera informacje dotyczące przetwarzania przez C2C sp. zo.o. danych osobowych osób odwiedzających lub korzystających z usług świadczonych przez C2C sp. zoo.
C2C sp zoo przywiązuje szczególną uwagę do najwyższych standardów obsługi swoich Klientów, w tym ich bezpieczeństwa, poszanowania ich prywatności oraz ochrony danych osobowych, w związku z czym udostępnia niniejszą Politykę Prywatności, aby każdy użytkownik wiedział w jakim zakresie jej/jego dane osobowe są przetwarzane, w tym mógł samodzielnie, świadomie i swobodnie decydować o tym, czy skorzysta z usług C2C sp zoo.
W ramach niniejszej Polityki Prywatności opisano w jaki sposób i w jakim zakresie zbierane są dane osobowe, do jakich celów są wykorzystywane, komu są udostępniane oraz jak chronione. Znajdują się tu również informacje o tym, jakie prawa przysługują osobom, których dane dotyczą, zgodnie z obowiązującymi przepisami o ochronie danych osobowych.
1. DEFINICJE
1.1. Administrator – C2C sp zoo z siedzibą w Lublinie, ul. Zawieprzycka 8i 20-228, wpisana do Krajowego Rejestru Sądowego pod nr KRS 00004111278 przez Sąd Rejonowy dla m.st. Lublin Wydział Gospodarczy, NIP: 9462637937, REGON: 061382936.
1.2. Dane osobowe – informacje o osobie fizycznej zidentyfikowanej lub możliwej do zidentyfikowania poprzez jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość, w tym wizerunek, nagranie głosu, dane kontaktowe, dane olokalizacji, informacje zawarte w korespondencji, informacje gromadzone za pośrednictwem sprzętu rejestrującego lub innej podobnej technologii.
1.3. Polityka – niniejsza polityka przetwarzania danych osobowych.
1.4. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
1.5. Podmiot danych – osoba fizyczna, której dotyczą dane osobowe przetwarzane przez Administratora.
2. PRZETWARZANIE DANYCH PRZEZ ADMINISTRATORA
2.1. W związku z prowadzoną działalnością gospodarczą Administrator zbiera i przetwarza Dane osobowe zgodnie z właściwymi przepisami prawa, w tym w szczególności z RODO, i przewidzianymi w nich zasadami przetwarzania danych.
2.2. Administrator zapewnia przejrzystość przetwarzania Danych osobowych, w szczególności zawsze informuje o przetwarzaniu danych w momencie ich zbierania, w tym o celu i podstawie prawnej przetwarzania (np. przy zawieraniu umowy sprzedaży towarów lub usług). Administrator dba o to, aby Dane osobowe były zbierane tylko w zakresie niezbędnym do realizacji wskazanego celu i przetwarzane tylko przez okres, w jakim jest to niezbędne.
2.3. Przetwarzając Dane osobowe, Administrator zapewnia ich bezpieczeństwo i poufność oraz dostęp do informacji o przetwarzaniu osobom, których dane dotyczą. Gdyby pomimo stosowanych środków bezpieczeństwa doszło do naruszenia ochrony Danych osobowych (np. „wycieku” danych lub ich utraty), Administrator poinformuje o takim zdarzeniu Podmioty danych w sposób zgodny z przepisami.
3. KONTAKT Z ADMINISTRATOREM
3.1. Kontakt z Administratorem jest możliwy poprzez adres e-mail: ochronadanych@ctoc.pl
lub adres korespondencyjny wskazany w pkt 1.1 powyżej.
3.2. Administrator wyznaczył osobę do kontaktu w sprawie danych, z któryą można skontaktować się poprzez adres e-mail: ochronadanych@ctoc.pl lub adres korespondencyjny wskazany w pkt 1.1 powyżej w każdej sprawie dotyczącej przetwarzania Danych osobowych przez Administratora.
4. BEZPIECZEŃSTWO DANYCH OSOBOWYCH
4.1. W celu zapewnienia integralności i poufności danych Administrator wdrożył procedury umożliwiające dostęp do Danych osobowych jedynie osobom upoważnionym i wyłącznie w zakresie, w jakim jest to niezbędne ze względu na wykonywane przez nie zadania. Administrator stosuje rozwiązania organizacyjne i techniczne w celu zapewnienia, że wszystkie operacje na danych osobowych są rejestrowane i dokonywane tylko przez osoby uprawnione.
4.2. Administrator podejmuje ponadto wszelkie niezbędne działania, by także jego podwykonawcy i inne podmioty współpracujące dawały gwarancję stosowania odpowiednich środków bezpieczeństwa w każdym przypadku, gdy przetwarzają Dane osobowe na zlecenie Administratora.
4.3. Administrator prowadzi na bieżąco analizę ryzyka związanego z przetwarzaniem Danych osobowych i monitoruje adekwatność stosowanych zabezpieczeń danych doidentyfikowanych zagrożeń. W razie konieczności Administrator wdraża dodatkowe środki i działania służące zwiększeniu bezpieczeństwa danych, w tym dostosowując te środki i działania, w miarę potrzeby, do zmian prawnych lub nowych technologii.
5. CELE ORAZ PODSTAWY PRAWNE PRZETWARZANIA KORESPONDENCJA E-MAILOWA I TRADYCYJNA
5.1. W przypadku kierowania do Administratora za pośrednictwem poczty e-mail lub tradycyjnej korespondencji niezwiązanej z usługami świadczonymi na rzecz nadawcy, inną zawartą z nim umową lub w inny sposób niepowiązanej z jakąkolwiek relacją z Administratorem, Dane osobowe zawarte w tej korespondencji są przetwarzane wyłącznie w celu komunikacji i rozwiązania sprawy, której dotyczy korespondencja.
5.2. Podstawą prawną przetwarzania jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO), polegający na prowadzeniu korespondencji kierowanej do niego w związku z jego działalnością gospodarczą.
5.3. Administrator przetwarza jedynie Dane osobowe istotne dla sprawy, której dotyczy korespondencja. Całość korespondencji jest przechowywana w sposób zapewniający bezpieczeństwo zawartych w niej Danych osobowych (oraz innych informacji) i ujawniana jedynie osobom upoważnionym.
KONTAKT TELEFONICZNY
5.4. W przypadku kontaktowania się z Administratorem drogą telefoniczną, w sprawach niezwiązanych z zawartą umową lub świadczonymi usługami, Administrator może żądać podania Danych osobowych tylko wówczas, gdy będzie to niezbędne do obsługi sprawy, której dotyczy kontakt. Podstawą prawną jest w takim wypadku prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO), polegający na konieczności rozwiązania zgłoszonej sprawy związanej z prowadzoną przez niego działalnością gospodarczą.
MONITORING WIZYJNY ORAZ KONTROLA WSTĘPU
5.7. W związku z koniecznością zapewnienia bezpieczeństwa osób i mienia Administrator stosuje monitoring wizyjny oraz kontroluje wstęp do lokali i na teren przez niego zarządzany. Zebrane w ten sposób dane nie są wykorzystywane do żadnych innych celów niż opisane poniżej.
5.8. Dane osobowe w postaci nagrań z monitoringu oraz dane zbierane w rejestrze wejść i wyjść są przetwarzane w celu zapewnienia bezpieczeństwa osób i mienia oraz utrzymania porządku na terenie obiektów Administratora oraz ewentualnie w celu obrony przed roszczeniami wysuwanymi wobec Administratora lub ustalenia i dochodzenia roszczeń przez Administratora. Podstawą prawną przetwarzania danych osobowych jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO), polegający na zapewnieniu bezpieczeństwa osób i mienia znajdujących się na terenie zarządzanym przez Administratora oraz ochrony jego praw.
5.9. Obszar objęty przez Administratora monitoringiem jest oznakowany za pomocą odpowiednich znaków graficznych.
5.10. Nagrania z monitoringu, o którym mowa powyżej przechowywane są przez okres trzech miesięcy od dnia nagrania, a następnie są niszczone. Jeżeli nagrania te stanowią dowód w postępowaniu prowadzonym na podstawie prawa lub Administrator powziął wiadomość, iż mogą one stanowić dowód w postępowaniu, termin przechowywania nagrań ulega przedłużeniu do czasu prawomocnego zakończenia postępowania.
REKRUTACJA
5.11. W ramach procesów rekrutacyjnych Administrator oczekuje przekazywania Danych osobowych (np. w CV lub życiorysie) jedynie w zakresie określonym w przepisach prawa pracy. W związku z tym nie należy przekazywać informacji w szerszym zakresie. W razie, gdy przesłane aplikacje będą zawierać dodatkowe dane, wykraczające poza zakres wskazany przepisami prawa pracy, ich przetwarzanie będzie oparte na zgodzie kandydata (art. 6 ust. 1 lit. a RODO), wyrażonej poprzez jednoznaczną czynność potwierdzającą, jaką jest przesłanie przez kandydata dokumentów aplikacyjnych. W przypadku, gdy przesłane aplikacje będą zawierać informacje nieadekwatne do celu, jakim jest rekrutacja, nie będą one wykorzystywane ani uwzględniane w procesie rekrutacyjnym.
5.12. Dane osobowe są przetwarzane:
5.12.1. w przypadku, gdy preferowaną formą zatrudnienia jest umowa o pracę – w celu wykonania obowiązków wynikających z przepisów prawa, związanych z procesem zatrudnienia, w tym przede wszystkim Kodeksu pracy – podstawą prawną przetwarzania jest obowiązek prawny ciążący na Administratorze (art. 6 ust. 1 lit. c RODO w związku z przepisami prawa pracy);
5.12.2. w przypadku, gdy preferowaną formą zatrudnienia jest umowa cywilnoprawna – w celu prowadzenia procesu rekrutacyjnego – podstawą prawną przetwarzania danych zawartych w dokumentach aplikacyjnych jest podjęcie działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (art. 6 ust. 1 lit. b RODO);
5.12.3. w celu przeprowadzenia procesu rekrutacji w zakresie danych niewymaganych przepisami prawa ani przez Administratora, a także dla celów przyszłych procesów rekrutacyjnych – podstawą prawną przetwarzania jest zgoda (art. 6 ust. 1 lit. a RODO);
5.12.4. w celu weryfikacji kwalifikacji i umiejętności kandydata lub kandydatki oraz ustalenia warunków współpracy – podstawą prawną przetwarzania danych jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO). Prawnie uzasadnionym interesem Administratora jest weryfikacja kandydatów do pracy oraz określenie warunków ewentualnej współpracy;
5.12.5. w celu ustalenia lub dochodzenia przez Administratora ewentualnych roszczeń lub obrony przed roszczeniami wysuwanymi wobec Administratora – podstawą prawną przetwarzania danych jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO).
5.13. W zakresie, w jakim Dane osobowe są przetwarzane na podstawie wyrażonej zgody, zgodę tą można wycofać w każdym czasie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem. W przypadku wyrażenia zgody dla celów przyszłych procesów rekrutacyjnych, dane osobowe usuwane są po upływie dwóch lat – o ile wcześniej zgoda nie została wycofana.
5.14. Podanie danych w zakresie określonym w art. 22(1) Kodeksu pracy jest wymagane – w przypadku preferowania przez kandydata zatrudnienia w oparciu o umowę o pracę – przez przepisy prawa, w tym przede wszystkim przez Kodeks pracy, zaś w przypadku preferowania zatrudnienia w oparciu o umowę cywilnoprawną – przez Administratora. Konsekwencją niepodania tych danych jest brak możliwości rozpatrzenia danej kandydatury w procesie rekrutacyjnym. Podanie innych danych jest dobrowolne.
ZBIERANIE DANYCH W ZWIĄZKU ZE ŚWIADCZENIEM USŁUG LUB WYKONYWANIEM INNYCH UMÓW
5.15. W razie zbierania danych dla celów związanych z wykonaniem konkretnej umowy, Administrator przekazuje Podmiotowi danych szczegółowe informacje dotyczące przetwarzania jego danych osobowych w momencie zawierania umowy lub w momencie pozyskania danych osobowych w przypadku, gdy przetwarzanie jest niezbędne w celu podjęcia przez Administratora działań na żądanie Podmiotu danych, przed zawarciem umowy.
5.16. Dane osobowe są przetwarzane:
5.16.1. w celu wykonania umowy, w szczególności realizacji sprzedaży, zamówień i dostawy, rozliczeń (w tym płatności bezgotówkowych), obsługi reklamacji oraz zgłoszeń a także do zawiadamiania Podmiotu danych w przypadku zaistnienia konieczności wycofania ze sprzedaży produktów niezgodnych z wymogami prawa Unii Europejskiej – podstawą prawną przetwarzania jest wykonanie umowy, której stroną jest Podmiot danych lub podjęcie działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (art. 6 ust. 1 lit. b RODO);
5.16.2. w celu wypełnienia obowiązku prawnego ciążącego na Administratorze, tj. przepisy prawa wymagają od Administratora przetwarzania danych dla celów podatkowych i rachunkowych, np. wystawianie faktur i przechowywanie ich przez określony czas – podstawą prawną przetwarzania jest art. 6 ust. 1 lit. c RODO;
5.16.3. w celu ustalenia lub dochodzenia przez Administratora ewentualnych roszczeń lub obrony przed roszczeniami wysuwanymi wobec Administratora – podstawą prawną przetwarzania danych jest prawnie uzasadniony interes Administratora, którym jest obsługa roszczeń z tytułu prowadzonej przez Administratora działalności (art. 6 ust. 1 lit. f RODO);
5.16.4. w celu analitycznym lub statystycznym do analiz finansowych i sprzedażowych – podstawą prawną przetwarzania danych jest prawnie uzasadniony interes Administratora, którym jest poprawa jakości usług oraz potrzeba wewnętrznego raportowania i wyznaczania optymalnych kierunków rozwoju Administratora (art. 6 ust. 1 lit. f RODO);
5.16.5. w celu marketingu bezpośredniego za pośrednictwem poczty tradycyjnej lub pracowników Administratora – podstawą prawną przetwarzania danych jest prawnie uzasadniony interes Administratora, którym jest potrzeba informowania o ofertach i usługach Administratora (art. 6 ust. 1 lit. f RODO);
5.16.6. w celu oceny wiarygodności kredytowej (scoring) w przypadku ubiegania się przez Podmiot danych o linię kredytową – podstawą prawną przetwarzania danych jest prawnie uzasadniony interes Administratora, którym jest ocena wiarygodności kredytowej (art. 6 ust. 1 lit. f RODO);
5.16.7. w celu analizy i kształtowania osobistych preferencji Podmiotu danych – podstawą prawną przetwarzania danych jest prawnie uzasadniony interes Administratora, którym jest dostosowanie usług, produktów i treści Administratora do potrzeb Podmiotu danych (art. 6 ust. 1 lit. f RODO);
5.16.8. w celu kierowania treści marketingowych za pośrednictwem poczty e-mail i/lub telefonu – podstawą prawną przetwarzania danych jest zgoda Podmiotu danych (art. 6 ust. 1 lit. a RODO).
PRZETWARZANIE DANYCH OSOBOWYCH CZŁONKÓW PERSONELU KONTRAHENTÓW LUB KLIENTÓW WSPÓŁPRACUJĄCYCH Z ADMINISTRATOREM
5.17. W związku z zawieraniem umów handlowych w ramach prowadzonej działalności gospodarczej, Administrator pozyskuje od kontrahentów / klientów dane osób zaangażowanych w realizację takich umów (np. osób uprawnionych do kontaktu, składających zamówienia, wykonujących zlecenia, podwykonawców, itp.). Zakres przekazywanych danych jest w każdym wypadku ograniczony do stopnia niezbędnego dla wykonania umowy i zazwyczaj nie obejmuje innych informacji niż imię i nazwisko oraz służbowe dane kontaktowe.
5.18. Takie dane osobowe są przetwarzane w celu realizacji prawnie uzasadnionego interesu Administratora oraz jego kontrahenta (art. 6 ust. 1 lit. f RODO), polegającego na umożliwieniu prawidłowego i efektywnego wykonywania umowy. Takie dane mogą być ujawniane osobom trzecim zaangażowanym w realizację umowy, a także podmiotom uzyskującym dostęp do danych w oparciu o przepisy z zakresu jawności informacji publicznej oraz postępowań prowadzonych w oparciu o prawo zamówień publicznych, w zakresie przewidzianym przez te przepisy.
5.19. Dane przetwarzane są przez okres niezbędny do realizacji powyższych interesów oraz wykonania obowiązków wynikających z przepisów.
ZBIERANIE DANYCH W INNYCH PRZYPADKACH
5.20. W związku z prowadzoną działalnością Administrator zbiera Dane osobowe także w innych przypadkach – np. poprzez budowanie i wykorzystywanie trwałych, wzajemnych kontaktów biznesowych (networking) podczas spotkań biznesowych, na wydarzeniach branżowych czy też poprzez wymianę wizytówek – w celach związanych z inicjowaniem i utrzymywaniem kontaktów biznesowych. Podstawą prawną przetwarzania jest w tym wypadku prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO), polegający na tworzeniu sieci kontaktów w związku z prowadzoną działalnością.
5.21. Dane osobowe zebrane w takich przypadkach przetwarzane są wyłącznie w celu, dla jakiego zostały zebrane a Administrator zapewnia ich odpowiednią ochronę.
NEWSLETTER / KOMUNIKACJA MARKETINGOWA
5.22. Zaprenumerowanie elektronicznych i bezpłatnych newsletterów należących do Administratora wymaga podania w odpowiednim formularzu imienia i nazwiska lub numeru NIP oraz adresu e-mail i/lub numeru telefonu. Uzyskane w ten sposób dane dodane zostaną do listy mailingowej w celu kierowania treści marketingowych a także przesyłania ankiet badania satysfakcji Klientów w celu poprawy jakości świadczonych przez Administratora usług.
5.23. Każdy użytkownik ma możliwość zapisania się do ww. elektronicznych i bezpłatnych newsletterów oraz w dowolnym momencie może zrezygnować z chęci ich otrzymywania, bez podawania przyczyny.
SKLEP INTERNETOWY
5.24. Złożenia zamówienia na produkty będące w ofercie Administratora jest również możliwe za pośrednictwem sklepu internetowego www.ezaopatrzenie.pl. Wszystkie Dane osobowe, które Podmiot danych udostępnia w sklepie internetowym, będą wykorzystywane wyłącznie w celu zawarcia oraz wykonania umowy. Podstawą prawną tego przetwarzania jest art. 6 ust. 1 lit. f RODO. Udostępnienie Danych osobowych jest bowiem niezbędne w celu zawarcia oraz wykonania umowy i bez ich podania nie będzie możliwe zawarcie umowy, w tym złożenie zamówienia. Dane osobowe będą przechowywane jedynie do momentu zakończenia zawartej umowy, z wyłączeniem sytuacji dalszego przechowywania danych wymaganego przepisami prawa, np. w celu przedstawienia ich organom podatkowym. Podstawą prawną takiego przechowywania Danych osobowych i udostępniania ich organom publicznym w celu wywiązania się z obowiązków prawnych jest art. 6 ust. 1 lit. c RODO. Dane adresowe będą przekazane w imieniu Podmiotu danych do dostawców usług logistycznych w celu dostawy zamówionych towarów. Takie przetwarzanie jest konieczne do wykonania zawartej umowy a podstawą prawną jest art. 6 ust. 1 lit. b RODO. Dane osobowe będą przechowywane przez dostawców usług logistycznych wyłącznie do momentu dostarczenia zamówionych towarów, z wyłączeniem sytuacji, w której dostawcy usług logistycznych są prawnie zobowiązani do dalszego przechowywania danych, tj. w celu przedstawienia ich organom podatkowym. W przypadku zawarcia umowy i wyboru metody płatności kartą kredytową, dane karty kredytowej zostaną przekazane operatorowi kart kredytowych, który wydał kartę w celu realizacji płatności. Takie przetwarzanie jest konieczne do wykonania umowy a podstawą prawną jest art. 6 ust. 1 lit. b RODO. Dane osobowe będą przechowywane przez operatora kart kredytowych wyłącznie do momentu realizacji płatności, z wyłączeniem sytuacji, w której operator kart kredytowych jest prawnie zobowiązany do dalszego przechowywania danych, tj. w celu przedstawienia ich organom podatkowym. W przypadku zawarcia umowy i wyboru metody płatności przelewem bankowym, dane bankowe zostaną udostępnione bankowi w celu realizacji płatności. Takie przetwarzanie jest konieczne do wykonania umowy a podstawą prawną jest art. 6 ust. 1 lit. b RODO. Dane osobowe będą przechowywane przez bank wyłącznie do momentu realizacji płatności, z wyłączeniem sytuacji, w której bank jest prawnie zobowiązany do dalszego przechowywania danych, tj. w celu przedstawienia ich organom podatkowym.
5.25. Podmiot danych może utworzyć konto na stronie internetowej Administratora korzystając z podanego linku. Utworzenie takiego konta nie jest obowiązkowe do robienia zakupów w sklepie internetowym Administratora, ale jeśli Podmiot danych utworzy takie konto, nie będzie musiał podawać swoich danych za każdym razem, gdy dokonuje zakupu. Po wypełnieniu formularza i wpisaniu swoich Danych osobowych, Podmiot danych otrzyma nazwę użytkownika i hasło w wiadomości e-mail na udostępniony przez siebie adres mailowy. Aby zakończyć rejestrację, należy kliknąć w link „aktywuj konto” podany w tej wiadomości. Nazwa użytkownika i hasło umożliwia logowanie się na swoje konto i dalsze korzystanie z niego. Dane osobowe, które Podmiot danych wpisuje w formularzu rejestracyjnym, będą przetwarzane wyłącznie w celu utworzenia i prowadzenia konta i jedynie wtedy, gdy Podmiot danych wyraził zgodę na przetwarzanie swoich danych. Podstawą prawną przetwarzania tych danych jest art. 6 ust. 1 lit. a RODO. Udostępnienie Danych osobowych jest dobrowolne. Podmiot danych nie ma obowiązku podawać swoich Danych osobowych, ani też nie jest to konieczne do wywiązania się z ustawowego lub umownego wymogu lub wymogu niezbędnego do zawarcia umowy. Nieudostępnienie Danych osobowych nie niesie ze sobą żadnych niekorzystnych konsekwencji dla Podmiotu danych, poza tym, że Administrator nie będzie mógł utworzyć konta Klienta. Dane osobowe będą przechowywane wyłącznie do momentu dezaktywacji konta przez Podmiot danych. Zmiany danych i usunięcia danych można wykonać po zalogowaniu do palenu klienta, deaktywacji profilu dokonuje administrator www.ezaopatrzenie.pl na prośbę klienta. Po dezaktywacji konta Dane osobowe będą niezwłocznie usunięte, a dalsze korzystanie z konta stanie się niemożliwe.
6. ODBIORCY DANYCH
6.1. W związku z prowadzeniem działalności wymagającej przetwarzania, Dane osobowe są ujawniane zewnętrznym podmiotom, w tym w szczególności dostawcom odpowiedzialnym za obsługę systemów informatycznych i sprzętu (np. wyposażenia CCTV w zakresie monitoringu wizyjnego), agencjom marketingowym czy rekrutacyjnym, przewoźnikom, firmom kurierskim i pocztowym, drukarniom, bankom i instytucjom płatniczym, dostawcom usług consultingowych, prawnych, księgowych, windykacyjnych lub audytowych, podmiotom świadczącym usługi promocji sprzedaży, usługi badania rynku i opinii. Dane osobowe mogą też zostać ujawnione podmiotom powiązanym organizacyjnie z Administratorem.
6.2. Administrator zastrzega sobie prawo ujawnienia wybranych informacji dotyczących Podmiotu danych właściwym organom bądź osobom trzecim, które zgłoszą żądanie udzielenia takich informacji, opierając się na odpowiedniej podstawie prawnej oraz zgodnie z przepisami obowiązującego prawa.
7. PRZEKAZYWANIE DANYCH POZA EOG
7.1. Poziom ochrony Danych osobowych poza Europejskim Obszarem Gospodarczym („EOG”) różni się od tego zapewnianego przez prawo europejskie. Z tego powodu Administrator przekazuje Dane osobowe poza EOG tylko wtedy, gdy jest to konieczne, i z zapewnieniem odpowiedniego stopnia ochrony, przede wszystkim poprzez:
7.1.1. współpracę z podmiotami przetwarzającymi Dane osobowe w państwach, w odniesieniu do których została wydana stosowna decyzja Komisji Europejskiej dotycząca stwierdzenia zapewnienia odpowiedniego stopnia ochrony Danych osobowych;
7.1.2. stosowanie standardowych klauzul umownych wydanych przez Komisję Europejską;
7.1.3. stosowanie wiążących reguł korporacyjnych zatwierdzonych przez właściwy organ nadzorczy;
7.1.4. w razie przekazywania danych do USA – współpracę z podmiotami uczestniczącymi w programie/umowie Tarcza Prywatności (ang. Privacy Shield) zatwierdzonym decyzją Komisji Europejskiej.
7.2. Administrator zawsze informuje o zamiarze przekazania Danych osobowych poza EOG na etapie ich zbierania.
8. OKRES PRZETWARZANIA DANYCH OSOBOWYCH
8.1. Okres przetwarzania danych przez Administratora zależy od rodzaju świadczonej usługi i celu przetwarzania. Okres przetwarzania danych może także wynikać z przepisów (np. podatkowych czy rachunkowych), gdy stanowią one podstawę przetwarzania. W przypadku przetwarzania danych na podstawie uzasadnionego interesu Administratora (np. ze względów bezpieczeństwa), dane przetwarzane są przez okres umożliwiający realizację tego interesu lub do zgłoszenia skutecznego sprzeciwu względem przetwarzania danych. Jeśli przetwarzanie odbywa się na podstawie zgody, dane przetwarzane są do czasu jej wycofania. Gdy podstawę przetwarzania stanowi niezbędność do zawarcia i wykonania umowy, dane są przetwarzane do momentu jej rozwiązania.
8.2. Okres przetwarzania danych może zostać przedłużony w przypadku, gdy przetwarzanie jest niezbędne do ustalenia lub dochodzenia roszczeń lub obrony przed roszczeniami, a po tym okresie – jedynie w przypadku i w zakresie, w jakim będą wymagać tego przepisy prawa.
9. OBOWIĄZEK PODANIA DANYCH OSOBOWYCH
9.1. Korzystanie z usług Administratora oraz podanie Danych osobowych jest dobrowolne, ale niezbędne do m. in. zawarcia umowy (w szczególności realizacji sprzedaży, zamówień i dostawy), obsługi reklamacji oraz zgłoszeń kierowanych do Administratora przez Podmiot danych.
9.2. Konsekwencją niepodania Danych osobowych jest brak możliwości świadczenia przez Administratora ww. usług. Niepodanie wymaganych danych zablokuje czynność, której te dane dotyczyły, jeśli niepodane dane są wymagane do jej poprawnego wykonania.
9.3. Podanie Danych osobowych w celach marketingowych jest dobrowolne.
10. PASYWNE ZBIERANIE INFORMACJI
10.1. Podczas poruszania się po stronie internetowej Administratora pewne anonimowe informacje mogą zostać zebrane w sposób pasywny (to znaczy bez ich aktywnego przekazania przez użytkownika), przy zastosowaniu różnych technologii, takich jak pliki Cookies, znaczniki internetowe czy pliki „Web beacon” oraz przez zbieranie danych nawigacyjnych (za pomocą plików rejestrów, rejestrów serwera czy mechanizmu „clickstream”). Przeglądarka internetowa automatycznie przekazuje do tej strony pewne anonimowe informacje, takie jak adres URL strony, z której użytkownik korzystał bezpośrednio wcześniej oraz adres IP i wersję przeglądarki internetowej zainstalowanej na komputerze użytkownika. Strona ta może także pobierać anonimowe informacje z komputera użytkownika za pomocą plików Cookies, znaczników internetowych lub plików „Web beacon”. Istnieje możliwość ustawienia w przeglądarce, aby informowała ona, kiedy wysyłany jest plik Cookie lub aby odrzucała ona wszystkie pliki Cookies, jednak bez włączonej opcji obsługi plików Cookies pewne funkcje tej strony mogą nie działać lub działać w sposób nieprawidłowy.
10.2. Zebrane w pasywny sposób anonimowe informacje Administrator będzie wykorzystywać w celu zapewnienia odwiedzającym stronę lepszej obsługi, dostosowania strony do ich preferencji, kompilowania i analizowania danych
statystycznych i trendów, administrowania stroną i jej doskonalenia. Takie informacje nie są łączone z Danymi osobowymi zebranymi w inny sposób na stronie, o ile użytkownik nie wyrazi na to zgody.
10.3. Szczegółowe informacje na temat plików Cookies opisane są w zakładce „Cookies” dostępnej na stronie www.ctoc.pl
11. LOGI SYSTEMOWE / DANE TECHNICZNE
11.1. Do celów statystycznych Administrator zbiera informacje o wykorzystywaniu stron internetowych przez użytkowników posługując się logami systemowymi serwerów Administratora. Zbierane są m. in. następujące informacje: data połączenia, adres IP, URL odwiedzanej strony, rodzaj systemu operacyjnego, rodzaj przeglądarki. Administrator posługuje się tymi danymi, aby dostosowywać swoje systemy do wymogów użytkowników.
12. CIASTECZKA (ANG. COOKIES) I FUNKCJA ŚLEDZENIA
12.1. Aby jeszcze bardziej uatrakcyjnić Podmiotowi danych odwiedziny na stronie internetowej Administratora oraz aby umożliwić mu korzystanie z pewnych funkcji, na różnych stronach Administrator używa tak zwanych „ciasteczek”. Są to niewielkie pliki tekstowe przechowywane na urządzeniu końcowym Podmiotu danych. Niektóre z nich są usuwane po zakończeniu sesji przeglądania przez Podmiot danych, tj. po zamknięciu przeglądarki (tak zwane „ciasteczka sesyjne”). Inne pozostają na urządzeniu końcowym i umożliwiają Administratorowi lub jego firmom partnerskim rozpoznawanie przeglądarki Podmiotu danych przy następnej wizycie („ciasteczka trwałe”). Podmiot danych może ustawić swoją przeglądarkę w taki sposób, aby być informowanym oddzielnie o ustawieniach ciasteczek i decydować indywidualnie o ich akceptacji bądź wykluczeniu ciasteczek w określonych przypadkach lub ogólnie. Aby uzyskać więcej informacji na ten temat, należy skorzystać z opcji pomocy w swojej przeglądarce internetowej. W przypadku braku akceptacji ciasteczek funkcjonalność strony internetowej może być ograniczona. Szczególe rodzaje ciasteczek są opisane poniżej.
12.2. Administrator rozróżnia dwa rodzaje ciasteczek – niezbędne i promocyjne. Ciasteczka niezbędne są wymagane dla poprawnego działania strony internetowej Administratora. Odrzucenie takich ciasteczek zmieni doświadczenie użytkownika (ang. user experience) podczas przeglądania strony internetowej i z tego powodu pewne usługi tej strony nie będą dostępne. Ciasteczka promocyjne są opisane poniżej. Akceptując powiadomienie o ciasteczkach Podmiot danych wyraża zgodę na przetwarzanie danych za pomocą takich ciasteczek. Podstawą prawną przetwarzania tych danych jest art. 6 ust. 1 lit. a RODO.
1) Google Analytics
Korzystamy z Google Analytics – usługi świadczonej przez Google Inc. („Google”). Google Analytics również stosuje ciasteczka. Informacje generowane przez takie pliki i dotyczące korzystania ze strony przez Podmiot danych są zwykle przekazywane do serwera Google w Stanach Zjednoczonych i tam przechowywane, jednak Google skróci adres IP dla krajów członkowskich Unii Europejskiej lub dla innych krajów będących stronami Porozumienia o Europejskim Obszarze Gospodarczym. Jedynie w wyjątkowych przypadkach wysyłany jest adres IP w pełnej formie, którego skrócenie następuje już na serwerach Google w Stanach Zjednoczonych. W imieniu operatora takiej strony Google wykorzystuje takie informacje do oceny sposobu korzystania ze strony internetowej przez użytkownika, do tworzenia raportów dotyczących aktywności Klienta na stronie internetowej dla operatorów takiej strony, jak również do świadczenia innych usług związanych z korzystaniem ze strony i internetu. Adres IP przekazywany przez przeglądarkę użytkownika w kontekście Google Analytics nie jest połączony z innymi danymi Google. Podmiot danych może zrezygnować z ciasteczek wybierając odpowiednie ustawienia w swojej przeglądarce. Można również uniemożliwić gromadzenie przez Google danych generowanych przez ciasteczka, a związanych z korzystaniem ze strony internetowej przez Podmiot danych (w tym adres IP), jak też przetwarzanie takich danych przez Google poprzez pobranie i zainstalowanie wtyczki do przeglądarki dostępnej pod linkiem https://tools.google.com/dlpage/gaoptout?hl=en.
Inną usługą Google Analytics, z której korzysta Administator są Sygnały Google (ang. Google Signals). Sygnały Google zbierają dane o różnych urządzeniach od użytkowników, którzy zalogowali się na swoje konto Google na wielu urządzeniach i mają włączoną personalizację reklam na swoim koncie, takim jak: Gmail, Google+, YouTube, Google Play oraz inne platformy Google. Ta funkcja umożliwia tworzenie spersonalizowanych tematyk dla użytkowników, wyświetlając interesujące ich kampanie, korzystając z różnych urządzeń i analizując ich zachowanie, korzystając z określonych raportów, w których nie są gromadzone Dane osobowe umożliwiające identyfikację. Więcej informacji na ten temat można uzyskać na stronie https://support.google.com/ads/answer/2662856?co=GENIE.Platform%3DAndroid&hl=en.
2) Google AdWords
Administrator jest klientem AdWords i korzysta z Google Conversion Tracking. Jest to usługa świadczona przez Google Inc. (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; „Google”). Google AdWords stosuje się do wyświetlania stron Administratora w przestrzeni reklamowej Google. W przypadku korzystania ze strony internetowej Administratora za pomocą
Google, Google Adwords ustawia ciasteczka na urządzeniu końcowym Podmiotu danych („ciasteczka konwersji”). Takie ciasteczka wygasają po 30 dniach i nie są stosowane do osobistej identyfikacji użytkownika. Jeśli ciasteczka nie wygasają przy odwiedzaniu określonych stron, zarówno Administrator, jak i Google może zarejestrować, że ktoś kliknął na reklamę i został przekierowany na daną stronę Administratora. Każdy klient AdWords dostaje inne ciasteczko, dlatego nie mogą one być śledzone przez strony klientów AdWords. Informacje zbierane przez ciasteczka konwersji są wykorzystywane do generowania statystyk dotyczących konwersji dla klientów AdWords preferujących śledzenie konwersji. Klienci AdWords mogą zobaczyć ogólną liczbę użytkowników, którzy kliknęli na ich reklamę i zostali przekierowani na stronę z tagiem śledzenia konwersji.
W takiej sytuacji jednak klient AdWords nie będzie otrzymywał żadnych informacji, które umożliwiłyby identyfikację użytkowników. Jeśli Podmiot danych nie chce uczestniczyć w procesie śledzenia, może zrezygnować z ustawienia takich ciasteczek, na przykład zmieniając ustawienia przeglądarki, które ogólnie dezaktywują automatyczne ustawienia ciasteczek. Można również dezaktywować ciasteczka do śledzenia konwersji poprzez zmianę ustawień przeglądarki tak, aby zablokować ciasteczka z domeny „googleadservices.com” ulepszenie marketingu internetowego i nakierowanie go na potrzeby Podmiotu danych tak, aby otrzymywał on reklamy dopasowane do jego potrzeb.
Z tego względu przechowywane są ciasteczka na serwerze Administratora, które umożliwiają analizę sposobu korzystania ze strony internetowej Administratora przez Podmiot danych oraz inne osoby. Dzięki takim ciasteczkom informacje na temat korzystania z witryny są rejestrowane, a następnie są przekazywane i przechowywane na serwerze obsługiwanym przez usługodawcę Administratora. Wykorzystuje on te informacje w celu przedstawiania Administratorowi ofert na innych stronach, zwłaszcza w postaci reklamy banerowej. Ustawiając ciasteczka gromadzone są czysto pseudonimowe informacje zawierające informacje techniczne, takie jak częstotliwość reklam i dane nośników reklamowych, przeglądarki, a nawet zainstalowanego systemu operacyjnego. W żadnym wypadku takie dane pseudonimowe nie będą kojarzone z Danymi osobowymi Podmiotu danych.
Podmiot danych ma prawo w każdej chwili zrezygnować z tej usługi ze skutkiem na przyszłość. Po zgłoszeniu rezygnacji nie będą już przechowywane żadne dane, a te zgromadzone do tej pory nie będą już wykorzystywane. Należy zauważyć, że rezygnacja jest możliwa dzięki zapisaniu ciasteczka na komputerze Podmiotu danych. Bez takiego ciasteczka nie byłoby możliwe uznanie i uszanowanie tej rezygnacji. Takie ciasteczko zawiera jednak wyłącznie informację o rezygnacji z wykorzystywania danych w trakcie retargetingu. Należy pozostawić do przechowania taki plik na swoim urządzeniu, aby rezygnacja została aktywowana na stałe. Po usunięciu ciasteczka opt-out należy ponownie dokonać wyboru opt-out. Podobnie w przypadku korzystania z innego komputera i przeglądarki – wówczas także należy ponownie dokonać wyboru opt-out. Warto pamiętać, że wyżej opisana opcja opt-out jest aktywna jedynie wtedy, gdy ciasteczka są zaakceptowane na przeglądarce Podmiotu danych i działa wyłącznie w tym czasie.
3) Odnośniki do dostawców usług medialnych / wtyczki społecznościowe (ang. social plugins)
Strona internetowa Administratora korzysta z wtyczek dostępnych na niżej wymienionych sieciach społecznościowych (zwanych dalej „sieciami społecznościowymi”):
Facebook (operator: Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA) Twitter (operator: Twitter Inc., 795 Folsom St., Suite 600, San Francisco, CA 94107, USA) Google Plus (operator: Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA)
Aby zapewnić najbardziej kompleksową ochronę danych Podmiotu danych, Administrator stosuje rozwiązania techniczne, które gwarantują, że udostępnianie danych za pomocą wtyczek społecznościowych odpowiedniemu dostawcy usług sieci społecznościowej nie nastąpi bez uprzedniej aktywacji wtyczki społecznościowej przez Podmiot danych. Takie wtyczki są początkowo nieaktywne i nie nawiązują połączenia z serwerami Facebooka ani innymi operatorami sieci społecznościowych bez ich aktywacji. Aktywacja takiej wtyczki poprzez kliknięcie opcji „Aktywuj media społecznościowe” na stronie internetowej Administratora jest równoznaczna z wyrażeniem zgody na przekazanie Danych osobowych określonych w niniejszym ustępie stronom społecznościowym. W takim przypadku podstawą prawną przetwarzania tych danych jest art. 6 ust. 1 lit. a RODO. Po aktywacji wtyczki społecznościowe nawiązują połączenie z odpowiednią siecią społecznościową. Następnie klikając na kolejną opcję można wysłać rekomendację do odpowiedniej sieci społecznościowej. Jeśli Klient jest zalogowany na taką sieć w czasie, gdy odwiedza strony internetowe Administratora, nie będzie musiał ponownie się logować. Można anulować swoją zgodę w dowolnym czasie klikając w opcję „Dezaktywuj media społecznościowe”. W przypadku aktywacji wtyczek społecznościowych, które są domyślnie nieaktywne, nawiązuje się połączenie z serwerami sieci społecznościowych. Następnie każda wtyczka społecznościowa przekazuje dane do odpowiedniej sieci. Administrator nie ma żadnego wpływu na ilość danych, które są gromadzone przez sieci społecznościowe za pomocą takiej wtyczki. Według wiedzy Administratora sieci społecznościowe otrzymują informacje dotyczące tego, które strony Podmiot danych ostatnio odwiedzał, aktóre odwiedzał wcześniej. Dla każdej aktywowanej wtyczki społecznościowej przy każdym wybraniu odpowiedniej strony ustawiany jest plik ciasteczka z unikatowym identyfikatorem, co pozwala na stworzenie sieci społecznościowej profilu zachowań użytkownika. Nie można wykluczyć, że taki
profil może być przypisany do Podmiotu danych, nawet jeśli zarejestruje się on w sieci społecznościowej po raz pierwszy w późniejszym terminie.
Jeśli Podmiot danych jest już zalogowany w sieci społecznościowej w trakcie odwiedzania stron Administratora, operator takiej sieci społecznościowej może przypisać taką wizytę do jego osobistego konta, gdy tylko aktywuje on wtyczki społecznościowe. Przy korzystaniu z funkcji wtyczek społecznościowych (np. opcji polubienia – „Like”, wpisując komentarze), informacje na ten temat są przekazywane bezpośrednio z przeglądarki Podmiotu danych do odpowiedniej sieci społecznościowej i tam przechowywane. To samo dotyczy wywoływania strony internetowej operatora mediów społecznościowych poprzez kliknięcie w odpowiednią ikonę.
Jeśli Podmiot danych nie jest członkiem sieci społecznościowych, mogą one nadal otrzymywać i przechowywać jego adres IP oraz informacje na temat przeglądarki i systemu operacyjnego używanego przez niego po aktywowaniu wtyczek społecznościowych. W zakresie i w celu zbierania danych, ich przetwarzania i korzystania z nich przez sieci społecznościowe, jak również aby uzyskać informacje o prawach i opcjach rekrutacyjnych dotyczących ochrony prywatności, należy zapoznać się z informacją o ochronie danych.
Strony internetowe Administratora zawierają również proste linki do stron: Facebook. W tym przypadku udostępnianie danych powyższym operatorom mediów społecznościowych może nastąpić wtedy, gdy użytkownik kliknie na odpowiednią ikonę (np. „f” to Facebook). W przypadku kliknięcia ikony otwiera się wybrana strona operatora strony społecznościowej w wyskakującym okienku.
13. ZAUTOMATYZOWANE PRZETWARZANIE DANYCH OSOBOWYCH, PROFILOWANIE
13.1. Dane osobowe mogą być przetwarzane dla potrzeb analizy i kształtowania preferencji osób, których dane dotyczą. Takie przetwarzanie może obejmować m. in. badania rynku, badania opinii, analizę, segmentację i profilowanie. Takie przetwarzanie danych ułatwia Administratorowi lepsze poznanie zainteresowań i potrzeb Podmiotu danych oraz umożliwia uwzględnianie tych potrzeb i podejmowanie odpowiednich działań, np. komunikowanie się z Podmiotem danych w sposób zindywidualizowany.
13.2. Dane osobowe nie będą przetwarzane w sposób zautomatyzowany, tj. bez ingerencji człowieka.
14. UPRAWNIENIA ZWIĄZANE Z PRZETWARZANIEM DANYCH OSOBOWYCH
PRAWA PODMIOTÓW DANYCH 14.1. Podmiotom danych przysługują następujące prawa:
14.1.1. prawo do informacji o przetwarzaniu danych osobowych – na tej podstawie Administrator przekazuje osobie fizycznej zgłaszającej żądanie informację o przetwarzaniu danych, w tym przede wszystkim o celach i podstawach prawnych przetwarzania, zakresie posiadanych danych, podmiotach, którym są ujawniane, i planowanym terminie usunięcia danych;
14.1.2. prawo uzyskania kopii danych – na tej podstawie Administrator przekazuje kopię przetwarzanych danych dotyczących osoby fizycznej zgłaszającej żądanie;
14.1.3. prawo do sprostowania – Administrator zobowiązany jest usuwać ewentualne niezgodności lub błędy przetwarzanych Danych osobowych oraz uzupełniać je, jeśli są niekompletne;
14.1.4. prawo do usunięcia danych – na tej podstawie można żądać usunięcia danych, których przetwarzanie nie jest już niezbędne do realizowania żadnego z celów, dla których zostały zebrane;
14.1.5. prawo do ograniczenia przetwarzania – w razie zgłoszenia takiego żądania Administrator zaprzestaje wykonywania operacji na Danych osobowych – z wyjątkiem operacji, na które wyraziła zgodę osoba, której dane dotyczą – oraz ich przechowywania, zgodnie z przyjętymi zasadami retencji lub dopóki nie ustaną przyczyny ograniczenia przetwarzania danych (np. zostanie wydana decyzja organu nadzorczego zezwalająca na dalsze przetwarzanie danych);
14.1.6. prawo do przenoszenia danych – na tej podstawie – w zakresie, w jakim dane sąprzetwarzane w sposób zautomatyzowany w związku z zawartą umową lub wyrażoną zgodą – Administrator wydaje dane dostarczone przez osobę, której one dotyczą, w formacie pozwalającym na odczyt danych przez komputer. Możliwe jest także zażądanie przesłania tych danych innemu podmiotowi, jednakże pod warunkiem, że istnieją w tym zakresie techniczne możliwości zarówno po stronie Administratora, jak również wskazanego podmiotu;
14.1.7. prawo sprzeciwu wobec przetwarzania danych w celach marketingowych – Podmiot danych może w każdym momencie sprzeciwić się przetwarzaniu Danych osobowych w celach marketingowych, bez konieczności uzasadnienia takiego sprzeciwu;
14.1.8. prawo sprzeciwu wobec innych celów przetwarzania danych – Podmiot danych może w każdym momencie sprzeciwić się – z przyczyn związanych z jego szczególną sytuacją – przetwarzaniu Danych osobowych, które odbywa się napodstawie prawnie uzasadnionego interesu Administratora (np. dla celów analitycznych lub statystycznych albo ze względów związanych z ochroną mienia); sprzeciw w tym zakresie powinien zawierać uzasadnienie;
14.1.9. prawo wycofania zgody – jeśli dane przetwarzane są na podstawie wyrażonej zgody, Podmiot danych ma prawo wycofać ją w dowolnym momencie zawiadamiając o tym Administratora (np. pod adresem email: ochronadanych@ctoc.pl, osobiście w siedzibie, co jednak nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem; nieudzielenie lub cofnięcie zgody nie wywiera dla Podmiotu danych żadnych niekorzystnych konsekwencji;
14.1.10. prawo do skargi – w przypadku uznania, że przetwarzanie Danych osobowych narusza przepisy RODO lub inne przepisy dotyczące ochrony Danych osobowych, Podmiot danych może złożyć skargę do
Prezes Urzędu Ochrony Danych
Osobowych.
ZGŁASZANIE ŻĄDAŃ ZWIĄZANYCH Z REALIZACJĄ PRAW
14.2. ŻądaniedotyczącerealizacjiprawPodmiotówdanychmożnazgłosić:
14.2.1. w formie pisemnej na adres korespondencyjny wskazany w pkt 1.1 powyżej;
14.2.2. drogą elektroniczną na adres e-mail: ochronadanych@ctoc.pl.
14.3. Jeżeli Administrator nie będzie w stanie zidentyfikować osoby fizycznej na podstawie zgłoszonego żądania, zwróci się do wnioskodawcy o dodatkowe informacje. Podanie takich danych nie jest obowiązkowe, jednak brak ich podania będzie skutkować odmową realizacji żądania.
14.4. Odpowiedź na zgłoszenie powinna zostać udzielona w ciągu miesiąca od jego otrzymania. W razie konieczności przedłużenia tego terminu Administrator informuje wnioskodawcę o przyczynach tego działania.
14.5. W przypadku, w którym żądanie zostało skierowane do Administratora elektronicznie, odpowiedzi udziela się w tej samej formie, chyba że wnioskodawca zażądał udzielenia odpowiedzi w innej formie. W innych przypadkach odpowiedzi udziela się pisemnie. W przypadku, gdy termin realizacji żądania uniemożliwia udzielenie odpowiedzi drogą pisemną, a zakres danych wnioskodawcy przetwarzanych przez Administratora umożliwia kontakt drogą elektroniczną, Administrator udzieli odpowiedzi drogą elektroniczną.