Polityka prywatności w firmie VMG PRINT SP. Z O.O.
I. INFORMACJE PODSTAWOWE
§ 1.1
W trosce o zachowanie prawa do prywatności Klientów i Kontrahentów Firmy VMG Print Sp. z o.o. oraz Użytkowników serwisu internetowego prowadzonego pod adresem https://vmgprint.pl (dalej Serwis), wypełniając wymogi obowiązujących przepisów prawa, w tym przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO), publikujemy niniejszy dokument zwany dalej „Polityką Prywatności”, który opisuje obowiązujące w naszej Firmie zasady postępowania z danymi osobowymi, w tym zasady ich zbierania, przetwarzania i wykorzystywania.
§ 1.2
Zasadom Polityki Prywatności podlega każda osoba, której dane zostały udostępnione Firmie VMG Print Sp. z o.o., w szczególności każda osoba korzystająca lub zamierzająca skorzystać z usług Firmy VMG Print Sp. z o.o., zwana dalej „Klientem”, jak również każda osoba zamierzająca podjąć lub podejmująca współpracę z naszą Firmą zwana dalej „Współpracownikiem” lub „Kontrahentem”, pracownicy Firmy VMG Print Sp. z o.o., oraz każdy Użytkownik Serwisu, zwany dalej „Użytkownikiem”, w zakresie, w jakim udostępnia Firmie VMG Print Sp. z o.o. dane osobowe swoje lub innych osób.
Przez dane osobowe rozumie się wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
Każda osoba udostępniająca Firmie VMG Print Sp. z o.o. dane osobowe powinna zapoznać się z Polityką Prywatności i sprawdzić, czy ją akceptuje.
Każda osoba, która udostępnia Firmie VMG Print Sp. z o.o. dane osobowe osób trzecich, obowiązana jest poinformować te osoby o tym fakcie podając pełną nazwę, adres siedziby i dane kontaktowe Firmy VMG Print Sp. z o.o. oraz umożliwić i zagwarantować zapoznanie się tych osób z niniejszą Polityką Prywatności.
§ 1.3
- Firma VMG Print Sp. z o.o. przetwarza dane osobowe podane jej dobrowolnie przez Klienta/Współpracownika/Kontrahenta/Użytkownika w szczególności podczas:
- składania ofert;
- składania zlecenia/zamówienia na oferowane przez Firmę VMG Print Sp. z o.o. produkty lub usług - dotyczy składania zamówienia w jakiekolwiek formie (ustnej, pisemnej lub elektronicznej) zarówno w siedzibie Firmy VMG Print Sp. z o.o. jak i poza nią, w tym również za pomocą środków porozumiewania się na odległość (np. telefonu lub poczty elektronicznej);
- korzystania z Serwisu;
- negocjowania, zawierania i wykonywania umów cywilnoprawnych, w tym umów o świadczenie usług przez Firmę VMG Print Sp. z o.o., umów dostawy, umów o współpracy, umów przewozu i innych;
- realizowania dostaw;
- składania i rozpatrywania reklamacji lub innych zgłoszonych roszczeń;
- monitoringu wizyjnego na terenie pomieszczeń, obiektów i placów zajmowanych przez Firmę.
- Firma VMG Print Sp. z o.o. przetwarza dane osobowe podane jej dobrowolnie przez Pracownika w procesie rekrutacji, przy zawieraniu umowy o pracę oraz w okresie zatrudnienia.
- Firma VMG Print Sp. z o.o. zbiera również dane pobrane automatycznie podczas przeglądania Serwisu (np. numer IP).
§ 1.4
- Dane osobowe udostępnione przez Klienta/Współpracownika/Kontrahenta/Użytkownika są zbierane wyłącznie w celu:
- umożliwienia Użytkownikowi pełnego korzystania z funkcjonalności Serwisu;
- przyjmowania ofert lub przygotowania i złożenia oferty na prośbę Klienta lub Kontrahenta;
- przyjmowania i realizacji zleceń i zamówień Klientów lub Kontrahentów;
- negocjowania, zawierania i wykonywania umów z Klientami lub Kontrahentami, w tym, umów o świadczenie usług, umów o współpracy, umów dostawy i innych;
- doręczenia zamówionego towaru Klientowi/Kontrahentowi lub w inne miejsce przez niego wskazane;
- rozpoznawania reklamacji lub innych zgłaszanych roszczeń;
- spełnienia wymogów wynikających z przepisów prawa, w szczególności przepisów podatkowych i rachunkowych;
- zagwarantowania bezpieczeństwa osób i mienia oraz zapewnienia należytego funkcjonowania monitoringu wizyjnego;
- innym indywidualnie uzgodnionych z Klientem lub Kontrahentem/Współpracownikiem.
- Dane osobowe udostępnione przez Pracownika przetwarzane są w celach związanych z zatrudnieniem, podleganiem ubezpieczeniu społecznemu lub grupowemu ubezpieczeniu na życie bądź w celu skorzystania z innych świadczeń wynikających z przepisów prawa.
- Adres e-mail Użytkownika może być wykorzystywany jedynie do wysyłania na niego linków do zakupionych plików lub innych komunikatów związanych z obsługą aktywności w Serwisie, w tym w szczególności związanych z realizacją złożonego zamówienia.
- Dane zbierane w trakcie korespondencji pomiędzy Użytkownikiem a Serwisem będą wykorzystane wyłącznie w celu odpowiedzi na przesłane przez Użytkownika zapytanie.
- Dane zbierane automatycznie podczas wizyt Użytkownika na stronach Serwisu mogą być użyte jedynie w celach statystycznych oraz analitycznych poprzez Google Analytics.
§ 1.5.
Podanie danych osobowych jest dobrowolne, jednakże niepodanie danych w przypadkach, gdy jest to niezbędne dla zawarcia lub wykonania umowy (złożenia lub realizacji zlecenia czy zamówienia) bądź podjęcia innych działań, może uniemożliwić zawarcie umowy lub jej wykonanie bądź podjęcie innych działań.
II. BEZPIECZEŃSTWO DANYCH OSOBOWYCH
§ 2.1
Dane osobowe przekazane Firmie VMG Print Sp. z o.o. przechowywane są w bazie danych Firmy VMG Print Sp. z o.o. (Administratora danych osobowych) i przetwarzane są zgodnie z obowiązującymi przepisami prawa, w tym zgodnie z RODO oraz powszechnie obowiązującymi przepisami prawa polskiego. Bazy danych Administratora posiadają wszelkie niezbędne i wymagane przez prawo zabezpieczenia przed wglądem osób trzecich lub ich utratą. Administrator zapewnia ich pełne bezpieczeństwo i ochronę.
III. PRZETWARZANIE DANYCH OSOBOWYCH
§ 3.1
Administratorem gromadzonych danych osobowych jest VMG PRINT SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ, UL. UNII LUBELSKIEJ 1, 61-249 POZNAŃ, KRS 0000171151, NIP 782-22-73-029, zwana dalej „Administratorem”.
§ 3.2
- Administrator przetwarza dane osobowe w zgodzie i w oparciu o:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako „RODO”),
- krajowe przepisy dotyczące ochrony danych osobowych, w szczególności przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, t.j. Dz. U. z 2016 r. poz. 922, z 2018 r. poz. 138, 723.
- Przetwarzanie danych osobowych odbywa się wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
- osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych;
- przetwarzanie jest niezbędne do wykonania umowy, której strona jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
- przetwarzanie jest niezbędne dla wypełnienia obowiązku prawnego ciążącego na Administratorze;
- przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym;
- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora.
- Dane zbierane są w niezbędnym zakresie w stosunku do celów, w jakich są przetwarzane.
§ 3.3
- Administrator posiada odpowiednie środki techniczne i organizacyjne by przetwarzanie danych spełniało wymogi RODO i przepisów prawa krajowego oraz chroniło prawa osób, których dane dotyczą. Administrator dokłada wszelkich starań, aby chronić dane osobowe przed nieuprawnionym dostępem osób trzecich.
- Odbiorcą danych osobowych mogą być wyłącznie instytucje upoważnione do ich otrzymania na mocy obowiązujących przepisów prawa lub podmioty współpracujące z Administratorem i realizujące niektóre zamówione usługi, takie jak serwis IT, serwis obsługujący płatności www.dotpay.pl, firmy obsługujące przesyłki kurierskie, firmy przewozowe lub spedycyjne, firmy prowadzące obsługę księgowo-rachunkową lub obsługę prawną, w zakresie, w jakim jest to niezbędne dla realizacji danej usługi.
- Powierzanie odbiorcom przetwarzania danych osobowych odbywa się przy spełnieniu wymogów RODO oraz przepisów prawa krajowego. Administrator korzysta wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetworzenie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
§ 3.4
Administrator danych nie będzie przekazywał danych osobowych do państwa trzeciego lub organizacji międzynarodowej.
§ 3.5
- Administrator przechowuje dane osobowe w zakresie i przez okres niezbędny dla obsługi złożonego zamówienia lub zlecenia oraz wywiązywania się przez Administratora z obowiązków wynikających z zawartej z Klientem/Współpracownikiem/Kontrahentem umowy oraz obwiązujących przepisów prawa (w szczególności prawa podatkowego), a także przez okres odpowiadający okresowi przedawnienia roszczeń. W przypadku wszczęcia postępowania sądowego okres przechowywania danych osobowych wydłuża się do momentu wykonania prawomocnego wyroku sądowego lub ugody sądowej.
- Dane osobowe Pracowników udostępnione w związku z zatrudnieniem przechowywane są przez cały okres zatrudnienia oraz przez 50 lat licząc od dnia zakończenia pracy
IV. PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ
§ 4.1
- Każdemu, kogo dane dotyczą, w każdym czasie przysługuje w stosunku do Administratora prawo:
- dostępu do treści swoich danych osobowych, to jest żądania od Administratora informacji o tym, czy i które dane osobowe przechowuje oraz uzyskania ich kopii;
- sprostowania swoich danych osobowych jeśli są one niepoprawne, a także do uzupełnienia niekompletnych danych;
- usunięcia swoich danych osobowych, jeżeli:
- dane te nie są już niezbędne do celów, do których zostały pobrane;
- zgoda na ich przetwarzanie została cofnięta zgodnie z postanowieniami § 4.2 i brak jest innej podstawy prawnej do przetwarzania tych danych;
- po wniesieniu sprzeciwu, o którym mowa w § 4.3, jeżeli nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania; dane każdorazowo są usuwane, jeżeli sprzeciw dotyczy danych przetwarzanych w celu marketingu bezpośredniego;
- dane osobowe były przetwarzane niezgodnie z prawem;
- obowiązek usunięcia danych wynika z obowiązujących przepisów prawa.
- ograniczenia przetwarzania w przypadku, gdy:
- osoba, której dane dotyczą, kwestionuje ich prawidłowość – na okres pozwalający Administratorowi sprawdzić prawidłowość tych danych;
- przetwarzania jest niezgodne z prawem a osoba, której dane dotyczą sprzeciwia się ich usunięciu żądając w zamian ograniczenia ich wykorzystania;
- Administrator nie potrzebuje już danych do celów przetwarzania, ale są one potrzebne osobie, której dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
- osoba, której dane dotyczą, wniosła sprzeciw, o którym mowa w § 4.3 – do czasu jego rozpoznania;
- przenoszenia swoich danych do innego podmiotu, jeżeli dane te są przetwarzane w sposób zautomatyzowany a nadto ich przetwarzanie odbywa się na podstawie udzielonej uprzednio zgody lub w celu wykonania umowy.
- Powyższe prawa realizowane poprzez kontakt z Administratorem pod adresem wskazanym w § 3.1 lub pod adresem mailowym administratorvmgprint@vmg.pl.
§ 4.2
- Każdemu kto wyraził zgodę na przetwarzanie swoich danych osobowych przez Administratora, w każdym czasie przysługuje prawo do cofnięcia tej zgody poprzez kontakt z Administratorem pod adresem wskazanym w § 4.1 lub pod adresem mailowym administratorvmgprint@vmg.pl.
- Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
- Prawo co cofnięcia zgody, o którym mowa w ustępie 1, nie dotyczy danych przetwarzanych w oparciu o co najmniej jedną z przesłanek określnych w § 3.2. ust. 2 podpunkty b) do e).
§ 4.3
Każdemu, kogo dane dotyczą, w każdym czasie przysługuje prawo do wniesienia sprzeciwu wobec przetwarzania jego danych w celach wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub na potrzeby marketingu bezpośredniego.
§ 4.4
Każdy, kto uważa, że jego dana osobowe przetwarzane są przez Firmę VMG Print Sp. z o.o. w niewłaściwy sposób, ma prawo wniesienia skargi do organu nadzorczego - Prezesa Urzędu Ochrony Danych Osobowych.
V. MONITORING
§ 5.1
- Firma VMG Print Sp. z o.o. jest również Administratorem danych osobowych pozyskanych za pomocą monitoringu wizyjnego, który jest zainstalowany w siedzibie Firmy lub w innych budynkach bądź placach zajmowanych przez Firmę VMG Print Sp. z o.o. na potrzeby jej działalności.
- Na każdym obiekcie lub terenie znajdującym się w zasięgu monitoringu wizyjnego Firmy VMG Print Sp. z o.o. znajduje się widoczna informacja o tym, że teren lub obiekt jest monitorowany i zainstalowane są na nim kamery.
- Przetwarzanie danych osobowych pozyskanych z monitoringu wizyjnego jest niezbędne co celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora, w szczególności w celu zagwarantowania bezpieczeństwa osób i mienia przed zagrożeniami zewnętrznymi i wewnętrznymi, w tym zwiększenia bezpieczeństwa pracowników i innych osób przebywających w budynkach, pomieszczenia i placach zajmowanych przez Firmę VMG Print Sp. z o.o. oraz zwiększenia bezpieczeństwa technologicznego, ochrony mienia, ograniczenia dewastacji oraz kradzieży, rejestracji zdarzeń umożliwiających ustalenie sprawcy szkody lub kradzieży.
- W stosunku do danych osobowych pozyskanych w wyniku monitoringu wizyjnego zastosowanie mają wszystkie postanowienia niniejszej Polityki Prywatności, w tym w szczególności postanowienia punktu IV dotyczące prawa osób, chyba, że co innego wynika z postanowień punktu V.
§ 5.2
- Dostęp do monitoringu i zgromadzonych za jego pośrednictwem danych osobowych posiadają tylko osoby powołane do obsługi monitoringu oraz inne wyznaczone przez Administratora posiadające stosowne upoważnienie Administratora do przetwarzania danych osobowych i zobowiązane jednocześnie do zachowania ich w tajemnicy.
- Firma VMG Print Sp. z o.o. może zlecić firmom zewnętrznym obsługę monitoringu, badanie poprawności jego działania, dokonywanie napraw, rozbudowę sieci monitoringu. W zakresie, w jakim jest to niezbędne do wykonania powyższych usług, firmy te mogą być obiorcami danych osobowych pozyskanych z monitoringu wizyjnego, o których mowa w § 3.3.
§ 5.3
- Wszystkie dane rejestrowane poprzez monitoring są zapisywane na rejestratorze danych i są dostępne przez 30 dni. Po tym terminie dane są automatycznie usuwane (nadpisywane) z zastrzeżeniem ustępu 2 poniżej.
- Firma VMG Print Sp. z o.o. zabezpiecza dla celów dowodowych zdarzenia zarejestrowane przez monitoring, które stanowiły lub mogły stanowić zagrożenia dla bezpieczeństwa osób i mienia lub wypełniać znamiona czynu zabronionego bądź stanowić inne naruszenie prawa, w tym obowiązków umownych:
a) na wniosek osób trzecich,
b) na wniosek organów prowadzących postępowania np. policji, prokuratury, sądów,
c) jeżeli uzna to za celowe i konieczne dla ochrony własnych interesów.
- Zabezpieczenie danych monitoringu polega na ich zarejestrowaniu na nośniku danych, umożliwiającym ich powielanie.
- Nośniki danych zawierające zarejestrowane dane są zabezpieczane i przechowywane w specjalnie wyznaczonym do tego miejscu, do którego mają dostęp wyłącznie osoby upoważnione.
- Zabezpieczone dane z monitoringu są udostępniane tylko organom prowadzącym postępowanie w sprawie zarejestrowanego zdarzenia np. policji, prokuraturze, sądom, które działają na podstawie odrębnych przepisów. Zabezpieczone dane mogą być również przekazywane ubezpieczycielowi Firmy VMG Print Sp. z o.o. w ramach prowadzonej likwidacji szkody wyrządzonej osobie trzeciej lub ubezpieczycielowi osoby trzeciej odpowiedzialnej za szkodę w ramach prowadzonej likwidacji szkody wyrządzonej Firmie VMG Print SP. z o.o.
- Dane z monitoringu zabezpieczone na wniosek podmiotu uprawnionego są przechowywane przez okres jednego roku od dnia złożenia wniosku. Po upływie tego terminu zabezpieczone dane są usuwane.
VI. POLITYKA COOKIES
§ 6.1
Firma VMG Print Sp. z o.o. informuje, że może używać na swoich stronach technologii takich jak pliki cookies tj. plików tekstowych, tzw. Ciasteczek.
§ 6.2
Pliki cookies są to pliki zapisywane na urządzeniu końcowym Użytkownika, służące do identyfikacji przeglądarki Użytkownika w trakcie korzystania z serwisów. Pliki cookies używane są w celu dostosowania zawartości stron internetowych do preferencji Użytkownika oraz optymalizacji korzystania ze stron internetowych. Używane są również w celu tworzenia anonimowych, zagregowanych statystyk, które pomagają zrozumieć w jaki sposób użytkownik korzysta ze stron internetowych co umożliwia ulepszanie ich struktury i zawartości, z wyłączeniem personalnej identyfikacji użytkownika
§ 6.3
Cookies zawierają różne informacje o użytkowniku danej strony www i historii jego łączności ze stroną. Dzięki nim właściciel serwera, który wysłał cookies, może poznać adres IP użytkownika, a także na przykład sprawdzić, jakie strony przeglądał on przed wejściem na jego witrynę. Ponadto właściciel serwera może sprawdzić, jakiej przeglądarki używa użytkownik i czy nie nastąpiły informacje o błędach podczas wyświetlania strony. Warto jednak zaznaczyć, że dane te nie są kojarzone z konkretnymi osobami przeglądającymi strony (użytkownik anonimowy), bez podawania imienia i nazwiska Użytkownika, a jedynie z komputerem połączonym z Internetem, na którym cookies zostało zapisane (służy do tego adres IP). Dodatkowo, takie dane są zaszyfrowane w sposób uniemożliwiający dostęp do nich osobom nieuprawnionym.
§ 6.4.
W ramach Serwisu mogą być stosowane dwa rodzaje plików cookies– „sesyjne" oraz „stałe". Pierwsze z nich są plikami tymczasowymi, które pozostają na urządzeniu Użytkownika, aż do wylogowania ze strony internetowej lub wyłączenia oprogramowania (przeglądarki internetowej). „Stałe" pliki pozostają na urządzeniu Użytkownika przez czas określony w parametrach plików cookies albo do momentu ich ręcznego usunięcia przez Użytkownika.
§ 6.5.
Przeglądarka internetowa bardzo często domyślnie dopuszcza przechowywanie plików cookies w urządzeniu końcowym Użytkownika. Użytkownicy mogą dokonać w każdym czasie zmiany ustawień dotyczących plików cookies. Ustawienia te mogą zostać zmienione np. w taki sposób, by blokować automatyczną obsługę plików cookies w ustawieniach przeglądarki internetowej bądź informować o ich każdorazowym zamieszczeniu w urządzeniu Użytkownika. Szczegółowe informacje o możliwości i sposobach obsługi plików cookies dostępne są w ustawieniach przeglądarki internetowej: Chrome, Firefox, Internet Explorer, Safari, Opera.
VII. ZASTRZEŻENIA
§ 7.1
Polityka Prywatności została wprowadzona w dniu 24 maja 2018 r. i obowiązuje bezterminowo. VMG Print Sp. z o.o. zastrzega sobie prawo do zmiany postanowień Polityki Prywatności.
Poznań, dnia 24 maja 2018 r.
Regulamin powierzania przetwarzania danych osobowych przez podwykonawców obowiązujący w firmie VMG PRINT SP. Z O.O.
I. INFORMACJE PODSTAWOWE
§ 1.1
W trosce o zachowanie prawa do prywatności Klientów i Kontrahentów Firmy VMG Print Sp. z o.o., wypełniając wymogi obowiązujących przepisów prawa, w tym przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO), publikujemy niniejszy Regulamin przetwarzania danych osobowych przez podwykonawców, zwany dalej „Regulaminem”, który opisuje obowiązujące w naszej Firmie zasady powierzania przetwarzania danych podmiotom, którym w związku z prowadzoną współpracą czy świadczonymi przez nie usługami, powierzamy do przetwarzania udostępnione nam dane osobowe.
§ 1.2
- Regulamin wiąże wszystkie podmioty współpracujące z Firmą VMG Print Sp. z o.o. lub świadczące na jej rzecz usługi, którym w związku z prowadzoną współpracą lub świadczonymi przez nie usługami Firma VMG Print Sp. z o.o. powierza do przetwarzania dane osobowe, którymi administruje. Podmioty te zwane są dalej „Podwykonawcami” lub „Procesorem”.
- Regulamin ma zastosowanie do wszystkich danych osobowych, których przetwarzanie Firma VMG Print Sp. z o.o. powierza swoim Podwykonawcom.
- Jeżeli Podwykonawca zawarł z Firmą VMG Print Sp. z o.o. osobną umowę dotyczącą powierzenia przetwarzania danych, postanowienia tej umowy mają pierwszeństwo przed postanowieniami niniejszego Regulaminu. W zakresie nieuregulowanym w umowie zastosowanie mają postanowienia Regulaminu.
§ 1.3
Dla potrzeb niniejszego Regulaminu ustala się następujące znaczenie niżej wymienionych pojęć:
- Administrator – VMG PRINT SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ, UL. UNII LUBELSKIEJ 1, 61-249 POZNAŃ, KRS 0000171151;
- RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia
27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1);
- Podwykonawca/Procesor – podmiot przetwarzający dane osobowe na polecenie Administratora i w sposób ustalony przez Administratora;
- Współpraca – współpraca pomiędzy Administratorem a Podwykonawcą, w związku z którą Administrator powierza Podwykonawcy przetwarzanie danych osobowych;
- Umowa – umowa o świadczenie usług lub inna umowa cywilnoprawna łącząca Administratora z Podwykonawcą, w związku z którą Administrator powierza Podwykonawcy przetwarzanie danych osobowych;
II. ZAKRES, CEL I CHARAKTER PRZETWARZANIA DANYCH OSOBOWYCH
§ 2.1.
Każdy Podwykonawca (Procesor), któremu w związku z prowadzoną Współpracą lub zawartą Umową Administrator powierza przetwarzanie danych osobowych, zobowiązany jest do przetwarzania powierzonych mu danych osobowych zgodnie z zasadami określonymi w niniejszym Regulaminie oraz obowiązującymi przepisami prawa.
§ 2.2
- Powierzenie przetwarzania danych osobowych Procesorowi może dotyczyć w szczególności danych następujących kategorii osób:
- pracowników i współpracowników Administratora;
- osób wchodzących w skład organów Administratora;
- klientów i kontrahentów Administratora;
- pracowników, współpracowników, podwykonawców lub kontrahentów osób, o których mowa w punkcie c);
- właścicieli zakupionych lub odsprzedawanych pojazdów;
- Zakres powierzanych Procesorowi do przetwarzania danych osobowych może obejmować:
- imię i nazwisko;
- adres zamieszkania;
- adres e-mail;
- numer telefonu;
- numer rachunku bankowego;
- dane identyfikujące osobę – PESEL, NIP, seria i numer dokumentu tożsamości;
- dane dotyczące prowadzonej działalności gospodarczej
§2.3
- Powierzenie Procesorowi przetwarzania danych osobowych następuje w takim zakresie, w jakim jest to niezbędne do realizacji celów Współpracy lub należytego wykonania Umowy.
- Dane osobowe określone w § 2.2 przetwarzane są:
- wyłącznie w celach wynikających z przedmiotu Współpracy lub z przedmiotu Umowy, w tym również w celu wykonania jednorazowej usługi zleconej doraźnie w innej formie niż pisemna,
oraz
- w zakresie, w jakim jest to niezbędne dla realizacji celów Współpracy lub Umowy.
- Dane nie mogą być przetwarzane w innym celu lub w szerszym zakresie niż określony w ustępie 2 niniejszego paragrafu.
- Przetwarzanie przez Procesora powierzonych danych osobowych w szerszym zakresie lub dla realizacji innych celów niż wskazane w ustępach 1 i 2 niniejszego paragrafu, przy braku dysponowania odpowiednią podstawą prawną, będzie stanowiło naruszenie przepisów RODO oraz Regulaminu, co może stanowić podstawę zaprzestania współpracy lub składania dalszych zleceń przez Administratora oraz wyciągnięcia konsekwencji przewidzianych przepisami prawa.
§ 2.4
- Dane osobowe mogą być przekazywane Procesorowi w formie pisemnej lub elektronicznej (np. w formie papierowej, w wiadomości sms, przez telefon, za pośrednictwem poczty elektronicznej, pocztą tradycyjną) osobiście lub na wskazany przez Procesora numer telefonu, adres e-mail, adres korespondencyjny.
- Przetwarzanie danych osobowych przez Procesora może odbywać się w formie papierowej lub przy wykorzystaniu systemów informatycznych w zależności od tego, w jakim celu dane są przetwarzane.
III. OKRES POWIERZENIA
§ 3.1
- Powierzenie przetwarzania danych osobowych Procesorowi, z zastrzeżeniem postanowień ustępu 2 niniejszego paragrafu, następuje na czas trwania Współpracy lub Umowy.
- Po zakończeniu Współpracy lub rozwiązaniu bądź wygaśnięciu Umowy Procesor jest uprawniony do przechowywania powierzonych mu danych osobowych tylko w zakresie i przez okres niezbędny dla wywiązywania się przez Procesora z obowiązków wynikających z przepisów prawa (w szczególności prawa podatkowego), a także przez okres odpowiadający okresowi przedawnienia roszczeń wynikających ze Współpracy lub Umowy.
§ 3.2
Po upływie okresu, o którym mowa w § 3.1, Procesor - zależnie od decyzji Administratora - usunie lub zwróci Administratorowi wszelkie powierzone mu dane osobowe oraz zniszczy wszelkie ich istniejące kopie w terminie 7 dni roboczych od dnia doręczenia decyzji Administratora, chyba że prawo Unii Europejskiej lub prawo polskie nakazują przechowywanie danych osobowych.
IV. PRAWA I OBOWIĄZKI ADMINISTRATORA
§ 4.1
- Administrator, audytor lub inna osoba upoważniona przez Administratora ma prawo do przeprowadzenia kontroli przestrzegania przez Procesora zasad przetwarzania danych osobowych.
- Administrator, audytor lub inna osoba upoważniona przez Administratora uprawniony jest do kontrolowania przestrzegania przez Procesora zasad przetwarzania danych osobowych w szczególności poprzez żądanie udzielenia informacji dotyczących przetwarzania przez Procesora danych osobowych lub dokonywanie kontroli w miejscach, w których są przetwarzane powierzone dane osobowe.
§ 4.2
- Administrator zobowiązany jest współdziałać z Podwykonawcą w wykonaniu obowiązków wynikających z Regulaminu oraz udzielać wyjaśnień w razie wątpliwości co do legalności poleceń Administratora.
- Uprawnienia określone w niniejszym paragrafie przysługują Administratorowi odpowiednio w stosunku do podmiotów, o których mowa w punkcie VI - w przypadku wyrażania przez Administratora zgody na powierzenie przez Procesora przetwarzania powierzonych mu danych innym podmiotom przetwarzającym (podprzetwarzanie).
V. OBOWIĄZKI PROCESORA
§ 5.1
- Procesor przetwarza dane wyłącznie na udokumentowane polecenie Administratora przy czym za takie udokumentowane polecenie uważa się również polecenie przekazywane drogą elektroniczną na wskazany przez Procesora adres e-mail lub za pośrednictwem wiadomości sms na wskazany przez Procesora numer telefonu.
- Procesor bez wyraźnej zgody Administratora nie może przetwarzać danych osobowych do państwa trzeciego lub organizacji międzynarodowej, tj. poza obszar EOG (Europejski Obszar Gospodarczy), chyba, że obowiązek taki nakłada na niego prawo Unii Europejskiej lub przepisy prawa krajowego.
- W przypadku obowiązku lub zamiaru przekazania danych osobowych poza EOG, Procesor, zobowiązany jest, o ile prawo tego nie zabrania, poinformować o tym Administratora w celu umożliwienia Administratorowi podjęcia decyzji i działań niezbędnych dla zapewnienia zgodności przetwarzania z prawem lub zakończenia powierzenia przetwarzania.
§ 5.2.
- Procesor zobowiązany jest zapewnić, aby do przetwarzania powierzonych mu danych osobowych były dopuszczone wyłącznie osoby posiadające upoważnienie do przetwarzania danych osobowych, o którym mowa w art. 29 RODO, i które zostały przeszkolenie z zakresu przepisów dotyczących ochrony danych osobowych.
- Procesor zobowiązany jest również zapewnić, by osoby upoważnione do przetwarzania powierzonych mu danych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
- Procesor ma obowiązek prowadzenia ewidencji osób upoważnionych do przetwarzania powierzonych mu danych osobowych oraz przekazywania tejże ewidencji na każde żądanie Administratora.
§ 5.3.
- Procesor zobowiązany jest do wdrożenia i utrzymywania przez cały okres przetwarzania danych odpowiednich środków technicznych i organizacyjnych, jakie są niezbędne do należytego zabezpieczenia powierzonych mu danych osobowych, w szczególności do zabezpieczenia tych danych (np. poprzez zabezpieczenie telefonu lub komputera hasłem nieudostępnianym osobom trzecim) przed dostępem do nich osób nieuprawnionych.
- Procesor zobowiązany jest zachować w tajemnicy powierzone mu dane osobowych oraz sposoby ich zabezpieczenia.
- Procesor ma obowiązek poinformowania Administratora z wyprzedzeniem o planowanych zmianach w sposobie przetwarzania danych, w taki sposób i terminach, aby zapewnić Administratorowi realną możliwość reagowania, jeżeli planowane przez Procesora zmiany w opinii Administratora zagrażają bezpieczeństwu danych lub zwiększają ryzyko naruszenia praw lub wolności osób, których dane dotyczą.
§ 5.4
- Obowiązkiem Procesora jest udzielanie Administratorowi pomocy w wywiązaniu się z obowiązku odpowiadania na żądanie osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO, to jest w szczególności w zakresie realizacji prawa tej osoby do:
- dostępu do treści jej danych;
- sprostowania jej danych;
- usunięcia jej danych;
- ograniczenia przetwarzania jej danych;
- przenoszenia jej danych do innego podmiotu;
- cofnięcia zgody na przetwarzanie jej danych;
- wniesienia sprzeciwu wobec przetwarzania jej danych.
- Pomoc, o której mowa w ustępie 1 niniejszego paragrafu, udzielana jest poprzez odpowiednie środki techniczne i organizacyjne.
- W każdym przypadku Procesor ma obowiązek udzielić pomocy nie później niż w terminie 7 dni od dnia otrzymania wezwania od Administratora.
- Procesor zobowiązany jest do poinformowania Administratora o fakcie lub zamiarze wykorzystywania zautomatyzowanego przetwarzania danych, w tym profilowania, w zakresie i celu niezbędnym do wykonania przez Administratora obowiązku informacyjnego.
§ 5. 5
Procesor ma nadto obowiązek udzielania Administratorowi pomocy w wywiązaniu się z obowiązków określonych w art. 32-36 RODO, w szczególności:
- zgłaszania Administratorowi jakiegokolwiek naruszenia danych osobowych w terminie nie późniejszym niż 24 godziny od momentu wykrycia naruszenia, w tym informowania co najmniej o:
- charakterze naruszenia, kategorii i przybliżonej liczbie osób, których dane dotyczą, przybliżonej liczbie wpisów danych osobowych, których dotyczy naruszenie,
- możliwych konsekwencjach naruszenia ochrony danych osobowych,
- środkach zastosowanych lub proponowanych w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków
oraz przekazania Administratorowi niezbędnej dokumentacji dotyczącej naruszenia, aby umożliwić Administratorowi spełnienie obowiązku powiadomienia organu nadzoru;
- przekazania Administratorowi oceny skutków planowanych operacji przetwarzania dla ochrony danych – jeżeli dany rodzaj przetwarzania z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych – w przypadku gdyby w toku wykonywania niniejszej umowy ocena ryzyka uległa zmianie bądź gdyby pojawiły się nowe ryzyka;
- dokumentowania wszelkich naruszeń ochrony danych osobowych w postaci Rejestru Naruszeń zawierającej co najmniej informacje o okolicznościach naruszenia ochrony danych osobowych, skutkach tego naruszenia oraz działaniach zaradczych.
§ 5.6
Do obowiązków Procesora należy również:
- udostępnienie Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków wskazanych w Regulaminie lub przepisach regulujących ochronę danych osobowych, w terminie 5 roboczych od dnia otrzymania żądania Administratora;
- umożliwienie Administratorowi, audytorowi lub innej osobie upoważnionej przez Administratora, przeprowadzenia audytów, w tym inspekcji, współpracując przy działaniach sprawdzających i naprawczych w terminie uzgodnionym z Procesorem, przy czym ustalenie nastąpi nie później na 7 dni przed planowanym audytem;
- stosowanie się do zaleceń pokontrolnych przekazanych przez Administratora w terminie wskazanych przez Administratora;
- niezwłocznego informowania Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów Unii Europejskiej lub przepisów prawa krajowego o ochronie danych osobowych;
- niezwłocznego powiadomienia Administratora:
- o kontroli przetwarzania danych osobowych, zapowiedzianej lub prowadzonej przez organy państwowe upoważnione do przeprowadzania takich kontroli, oraz wszelkich decyzjach lub postanowieniach administracyjnych wydanych wobec Procesora w związku z kontrolą;
- wszczętych lub toczących się postępowaniach administracyjnych, sądowych lub przygotowawczych związanych z powierzeniem Procesorowi przetwarzania danych osobowych, a także o wszelkich decyzjach, postanowieniach lub orzeczeniach wydanych wobec Procesora w związku z powyższym.
VI.DALSZE POWIERZENIE PRZETWARZANIA DANYCHOSOBOWYCH
§ 6.1
- Na dalsze powierzenie przetwarzania danych osobowych przez Procesora jego podwykonawcy (tzw. podpowierzenie) wymagana jest pisemna zgoda Administratora. Zgoda może mieć charakter ogólny lub szczególny.
- Zgoda udzielana jest pod warunkiem, że:
- zakres i cel podpowierzenia nie będzie szerszy niż wynikający z niniejszej Regulaminu lub osobno zawartej z Administratorem umowy o powierzenie przetwarzania danych;
- przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa Administratora, zostaną zachowane w umowie podpowierzenia odpowiednio do warunków opisanych w Regulaminie lub osobno zawartej przez Procesora z Administratorem umowie o powierzenie przetwarzania danych osobowych;
- Podpowierzenie będzie niezbędne dla realizacji celów Współpracy lub wykonania Umowy;
- Podpowierzenie nie naruszy interesów Administratora;
- umowa podpowierzenia zostanie zawarta na piśmie i zgodnie z obowiązującymi przepisami dotyczącymi powierzania przetwarzania danych osobowych oraz nakładać będzie na podwykonawcę Procesora obowiązek realizacji wszystkich obowiązków Procesora wynikających z niniejszej Umowy;
- Procesor w umowie podpowierzenia zobowiąże swoich podwykonawców do przestrzegania przy przetwarzaniu powierzonych danych obowiązków dotyczących ochrony danych na poziomie co najmniej określonym w Regulaminie lub osobno zawartej przez Procesora z Administratorem umowie o powierzeniu przetwarzania danych oraz w RODO i przepisach prawa krajowego, a także do wykonywania bezpośrednio w stosunku do Administratora obowiązków informacyjnych wynikających z Regulaminu, w szczególności w zakresie realizacji uprawnień osób, których dane dotyczą, oraz naruszeń bezpieczeństwa danych.
- Administrator w każdym czasie może z uzasadnionych i udokumentowanych przyczyn cofnąć zgodę na podpowierzenie w stosunku do konkretnego podwykonawcy Procesora. W razie cofnięcia zgody Procesor nie ma prawa w dalszym ciągu powierzać przetwarzania danych danemu podwykonawcy.
§ 6.2
Podpowierzanie bez zgody Administratora będzie stanowiło naruszenie przepisów RODO i niniejszego Regulaminu, co może stanowić podstawę zaprzestania Współpracy lub korzystania z usług Procesora oraz wyciągnięcia konsekwencji przewidzianych przepisami prawa.
VII ODPOWIEDZIALNOŚĆ
§ 7.1
- Procesor ponosi pełną odpowiedzialność wobec Administratora lub osób trzecich za szkody spowodowane przetwarzaniem danych osobowych niezgodnie z przepisami RODO lub innymi przepisami prawa dotyczącego ochrony danych osobowych, w szczególności, gdy nie dopełnił obowiązków określonych w RODO, innych przepisach prawa oraz w Regulaminie lub osobnej umowie o powierzenie przetwarzania danych zawartej z Administratorem.
- Przetwarzający odpowiada wobec Administratora za działania i zaniechania podwykonawcy, któremu podpowierzył przetwarzanie danych, jak za działania i zaniechania własne.
VIII POSTANOWIENIA KOŃCOWE
§ 8.1
Regulamin został wprowadzony w dniu 24 maja 2018 r. i obowiązują bezterminowo. Firma VMG Print Sp. z o.o. zastrzega sobie prawo do jego zmiany. Podwykonawcy zostaną poinformowani o zakresie zmian z co najmniej 14 dniowym wyprzedzeniem.