Regulacje
Regulamin RODO
1. Informacje podstawowe
Administratorem danych osobowych (dalej: „Administrator”) jest:
Naprawa Bram Łukasz Zakrzewski
NIP: 7571495263
REGON: 540143371
Adres głównej siedziby: ul. Wyzwolenia 3, 06-216 Sypniewo
Filia i adres biura: Naprawa Bram Serwis Warszawa i okolice, ul. Skarbka z Gór 140C, 03-289 Warszawa
Tel.: 502-253-477
E-mail: naprawabramkontakt.pl@gmail.com
Godziny pracy:
Poniedziałek – Piątek: 7:00 – 20:00
Sobota: 7:00 – 20:00
2. Podstawa prawna przetwarzania danych osobowych
Dane osobowe są przetwarzane zgodnie z obowiązującymi przepisami prawa, w tym w szczególności:
a) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (tzw. RODO)
Rozporządzenie ogólne o ochronie danych osobowych, które reguluje zasady przetwarzania danych osobowych na terytorium Unii Europejskiej. Kluczowe przepisy RODO, mające zastosowanie w działalności Administratora, obejmują m.in.:
-
art. 6 ust. 1 lit. b RODO – przetwarzanie danych jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą (np. umowy o świadczenie usługi serwisu bramy),
-
art. 6 ust. 1 lit. c RODO – przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze (np. przechowywanie faktur zgodnie z przepisami o rachunkowości),
-
art. 6 ust. 1 lit. f RODO – przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora (np. dochodzenie roszczeń, obrona przed roszczeniami, zapewnienie bezpieczeństwa systemów informatycznych),
-
art. 6 ust. 1 lit. a RODO – przetwarzanie danych na podstawie wyraźnej zgody osoby, której dane dotyczą (np. w celach marketingowych).
Dodatkowo stosowane są zasady ogólne przetwarzania danych, określone w art. 5 RODO, takie jak: zasada legalności, rzetelności, przejrzystości, minimalizacji danych, ograniczenia celu, integralności i poufności oraz rozliczalności.
b) Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 z późn. zm.)
Ustawa krajowa dostosowująca polskie przepisy do RODO oraz regulująca funkcjonowanie organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Określa także zasady odpowiedzialności za naruszenie przepisów o ochronie danych oraz procedury postępowań administracyjnych i kontrolnych.
c) Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. 2020 poz. 344)
Ustawa ta ma zastosowanie m.in. w zakresie:
-
obsługi formularzy kontaktowych na stronie internetowej,
-
przesyłania informacji handlowych drogą elektroniczną (e-mail, SMS),
-
wymogu uzyskania zgody użytkownika na przesyłanie treści marketingowych drogą elektroniczną (art. 10 ustawy).
Zgodnie z ustawą, zgoda użytkownika musi być:
-
wyrażona dobrowolnie,
-
świadoma,
-
jednoznaczna (np. poprzez zaznaczenie odpowiedniego pola formularza),
-
możliwa do cofnięcia w każdej chwili.
d) Ustawa z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz.U. 2022 poz. 1648 z późn. zm.)
W szczególności art. 172 ustawy, który reguluje:
-
wykorzystywanie urządzeń końcowych użytkownika końcowego (np. komputer, telefon) dla celów marketingu bezpośredniego,
-
konieczność uzyskania uprzedniej zgody na użycie środków komunikacji elektronicznej (np. telefon, e-mail) do celów marketingowych.
Działania marketingowe prowadzone za pomocą telefonu, SMS lub e-maila wymagają zgody użytkownika zarówno na podstawie tej ustawy, jak i RODO.
e) Inne przepisy prawa krajowego i unijnego mające zastosowanie w zakresie ochrony danych osobowych, w tym w szczególności:
-
Ustawa z dnia 29 września 1994 r. o rachunkowości – określa obowiązek przechowywania dokumentów księgowych i faktur przez okres co najmniej 5 lat (art. 74),
-
Kodeks cywilny – przepisy o terminach przedawnienia roszczeń (art. 118 i n.),
-
Kodeks postępowania cywilnego – w zakresie obrony lub dochodzenia roszczeń,
-
Przepisy prawa podatkowego – np. ordynacja podatkowa, ustawa o VAT, ustawa o podatku dochodowym od osób fizycznych/przedsiębiorców,
-
Wytyczne Europejskiej Rady Ochrony Danych (EROD) – dotyczące m.in. przejrzystości, zgody, oceny skutków dla ochrony danych (DPIA), obowiązków informacyjnych.
3. Cele przetwarzania danych osobowych
Dane osobowe klientów oraz potencjalnych klientów są przetwarzane przez Administratora wyłącznie w jasno określonych, zgodnych z prawem celach, zgodnie z zasadą ograniczenia celu (art. 5 ust. 1 lit. b RODO). Cele te są następujące:
1. Realizacja umowy o świadczenie usług związanych z naprawą, serwisem lub konserwacją bram
-
Zakres przetwarzania: imię i nazwisko, numer telefonu, adres e-mail, adres wykonania usługi, szczegóły dotyczące zamówienia, dane do faktury.
-
Podstawa prawna: art. 6 ust. 1 lit. b RODO – przetwarzanie jest niezbędne do wykonania umowy lub do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą.
-
Uzasadnienie: bez przetwarzania tych danych nie byłoby możliwe świadczenie usług, np. kontakt z klientem, dojazd do miejsca wykonania usługi czy realizacja zlecenia.
2. Obsługa zapytań kierowanych przez formularze kontaktowe, e-mail lub telefon
-
Zakres przetwarzania: imię, nazwisko (jeśli podane), adres e-mail, numer telefonu, treść zapytania.
-
Podstawa prawna:
-
art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Administratora polegający na prowadzeniu komunikacji z osobami zainteresowanymi ofertą,
-
w niektórych przypadkach: art. 6 ust. 1 lit. b RODO – jeżeli zapytanie dotyczy bezpośrednio zawarcia lub realizacji umowy.
-
-
Uzasadnienie: konieczność utrzymywania kontaktu z klientami i osobami zainteresowanymi usługami.
3. Wystawianie faktur oraz prowadzenie dokumentacji księgowej zgodnie z przepisami prawa podatkowego
-
Zakres przetwarzania: imię i nazwisko/nazwa firmy, adres zamieszkania/siedziby, numer NIP, dane dotyczące transakcji.
-
Podstawa prawna:
-
art. 6 ust. 1 lit. c RODO – obowiązek prawny wynikający z przepisów prawa krajowego,
-
art. 74 ust. 2 pkt 1 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz.U. 2023 poz. 120 z późn. zm.),
-
art. 86 §1 ustawy z dnia 29 sierpnia 1997 r. – Ordynacja podatkowa (Dz.U. 2023 poz. 2383 z późn. zm.).
-
-
Uzasadnienie: spełnienie obowiązków podatkowych i rachunkowych ciążących na przedsiębiorcy.
4. Dochodzenie lub obrona przed ewentualnymi roszczeniami
-
Zakres przetwarzania: dane kontaktowe, dane dotyczące realizacji usług, dokumentacja korespondencji i reklamacji.
-
Podstawa prawna: art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Administratora polegający na zabezpieczeniu roszczeń i obronie przed nimi.
-
Uzasadnienie: możliwość dochodzenia praw przed sądami lub organami administracyjnymi oraz dokumentowanie przebiegu współpracy.
5. Wysyłanie informacji handlowych lub marketing bezpośredni (newsletter, e-mail, telefon)
-
Zakres przetwarzania: imię, nazwisko (jeśli podane), adres e-mail, numer telefonu.
-
Podstawa prawna:
-
art. 6 ust. 1 lit. a RODO – zgoda osoby, której dane dotyczą,
-
art. 10 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną,
-
art. 172 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne.
-
-
Uzasadnienie: możliwość przesyłania ofert i promocji wyłącznie na podstawie dobrowolnie wyrażonej zgody. Zgoda może być w każdej chwili cofnięta bez wpływu na zgodność z prawem wcześniejszego przetwarzania.
6. Archiwizacja dokumentów zgodnie z przepisami o rachunkowości i archiwizacji
-
Zakres przetwarzania: dane zawarte w fakturach, umowach, dokumentach księgowych i reklamacyjnych.
-
Podstawa prawna:
-
art. 6 ust. 1 lit. c RODO – obowiązek wynikający z przepisów prawa,
-
art. 74 ustawy o rachunkowości – obowiązek przechowywania dokumentacji księgowej przez okres 5 lat od zakończenia roku obrotowego,
-
art. 118 Kodeksu cywilnego – terminy przedawnienia roszczeń (co do zasady 6 lat, a dla roszczeń okresowych – 3 lata).
-
-
Uzasadnienie: konieczność zachowania dokumentów do celów dowodowych, kontrolnych oraz zgodności z przepisami prawa.
7. Utrzymanie bezpieczeństwa systemów i danych (np. logi systemowe, monitorowanie dostępu)
-
Zakres przetwarzania: dane techniczne (np. adres IP, identyfikatory sesji), dane dotyczące korzystania z usług online (strona www).
-
Podstawa prawna: art. 6 ust. 1 lit. f RODO – uzasadniony interes Administratora polegający na zapewnieniu bezpieczeństwa informatycznego i ciągłości działania usług.
-
Uzasadnienie: ochrona przed nieautoryzowanym dostępem, wykrywanie incydentów, tworzenie kopii zapasowych.
4. Kategorie przetwarzanych danych osobowych
Administrator przetwarza dane osobowe wyłącznie w zakresie niezbędnym do realizacji określonych celów, zgodnie z zasadą minimalizacji danych (art. 5 ust. 1 lit. c RODO). Dane te dzielą się na następujące kategorie:
a) Dane identyfikacyjne:
-
Imię i nazwisko,
-
Nazwa firmy (w przypadku działalności gospodarczej lub osób prawnych),
-
Numer identyfikacyjny klienta (jeśli taki występuje w systemach Administratora),
-
PESEL lub seria i numer dowodu osobistego – tylko jeśli wymagane przepisami prawa lub niezbędne do dochodzenia roszczeń (np. w procedurze windykacyjnej).
Podstawa prawna przetwarzania: art. 6 ust. 1 lit. b i c RODO (realizacja umowy, obowiązki prawne), ewentualnie lit. f (uzasadniony interes Administratora).
b) Dane kontaktowe:
-
Adres zamieszkania lub siedziby (w przypadku firm),
-
Numer telefonu kontaktowego,
-
Adres e-mail (prywatny lub firmowy),
-
Adres korespondencyjny (jeśli inny niż zamieszkania).
Cel przetwarzania: kontakt z klientem, realizacja usługi, potwierdzanie zlecenia, przesyłanie faktur i dokumentacji.
c) Dane związane z realizacją usług:
-
Adres miejsca wykonania usługi (np. montaż, serwis bramy),
-
Opis zlecenia, charakterystyka urządzenia lub problemu technicznego,
-
Data i godzina wykonania usługi,
-
Informacje dotyczące realizacji gwarancji lub reklamacji.
Uwaga: Dane te mogą zawierać informacje dotyczące nieruchomości klienta, co w niektórych przypadkach (np. monitoring wizyjny, dane GPS) może wiązać się z analizą DPIA (oceny skutków dla ochrony danych osobowych), jeśli dane są systematycznie zbierane i profilowane.
d) Dane finansowe i księgowe:
-
Numer NIP (w przypadku firm lub osób prowadzących działalność gospodarczą),
-
Dane do faktury: imię, nazwisko/nazwa firmy, adres zamieszkania/siedziby,
-
Numer konta bankowego (jeśli płatność jest dokonywana przelewem),
-
Kwoty zapłaty, terminy płatności, status płatności,
-
Dane identyfikujące wystawcę i odbiorcę faktury.
Podstawa prawna: art. 6 ust. 1 lit. c RODO – obowiązki wynikające z przepisów podatkowych i rachunkowych (np. ustawa o rachunkowości, ordynacja podatkowa).
e) Inne dane przekazywane dobrowolnie przez klienta:
-
Informacje podane podczas kontaktu telefonicznego, mailowego lub przez formularz (np. preferencje co do terminu wizyty, prośby techniczne),
-
Dane dodatkowe, które klient uzna za stosowne do przekazania (np. opis sytuacji rodzinnej, dostęp do posesji).
Uwaga: Administrator przetwarza te dane wyłącznie w zakresie niezbędnym i zgodnie z ich przeznaczeniem. Dane nie są profilowane ani nie podlegają zautomatyzowanemu podejmowaniu decyzji (art. 22 RODO).
f) Dane zbierane automatycznie (w przypadku korzystania ze strony internetowej Administratora):
-
Adres IP,
-
Informacje o przeglądarce i systemie operacyjnym,
-
Pliki cookies i dane analityczne (jeśli stosowane),
-
Znaczniki lokalizacji (jeśli użytkownik wyraził zgodę na ich użycie).
Podstawa prawna: art. 6 ust. 1 lit. a i f RODO (zgoda użytkownika i uzasadniony interes Administratora, np. w zakresie bezpieczeństwa i poprawy jakości usług).
Dane szczególne (tzw. dane wrażliwe)
Administrator nie przetwarza szczególnych kategorii danych osobowych w rozumieniu art. 9 ust. 1 RODO, tj. danych ujawniających:
-
pochodzenie rasowe lub etniczne,
-
poglądy polityczne,
-
przekonania religijne lub światopoglądowe,
-
przynależność do związków zawodowych,
-
dane genetyczne, biometryczne (służące do jednoznacznej identyfikacji),
-
dane dotyczące zdrowia, seksualności lub orientacji seksualnej.
Administrator nie przetwarza również danych dotyczących wyroków skazujących i naruszeń prawa (art. 10 RODO), z wyjątkiem sytuacji, gdy obowiązek ten wynika z przepisów prawa (np. przy współpracy z organami ścigania na ich żądanie).
5. Wysyłanie informacji handlowych lub marketing bezpośredni (newsletter, e-mail, telefon)
Zakres przetwarzanych danych:
W celu realizacji działań marketingowych i promocyjnych, Administrator może przetwarzać następujące dane osobowe:
-
imię i nazwisko (jeśli podane),
-
adres e-mail,
-
numer telefonu,
-
preferencje marketingowe (np. forma kontaktu – e-mail/SMS/telefon),
-
ewentualna historia interakcji z wysyłanymi komunikatami (np. otwarcia wiadomości e-mail – w celach statystycznych, jeśli stosowane są narzędzia do analityki marketingowej, za zgodą użytkownika).
Cele przetwarzania:
-
Przesyłanie klientom i osobom zainteresowanym informacji handlowych, w tym aktualnych ofert, rabatów, promocji, nowych usług,
-
Marketing bezpośredni za pomocą środków komunikacji elektronicznej: e-mail, SMS, telefon,
-
Budowanie relacji z klientami, informowanie o dostępnych usługach, wydarzeniach branżowych, zmianach organizacyjnych.
Podstawy prawne przetwarzania danych:
-
Art. 6 ust. 1 lit. a RODO – zgoda osoby, której dane dotyczą.
Dane osobowe są przetwarzane wyłącznie na podstawie dobrowolnie wyrażonej, świadomej i jednoznacznej zgody. -
Art. 10 ust. 1 i 2 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. 2020 poz. 344):
Zakaz przesyłania niezamówionej informacji handlowej za pomocą środków komunikacji elektronicznej (np. e-mail, SMS), bez uprzedniej zgody adresata. -
Art. 172 ust. 1 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz.U. 2022 poz. 1648):
Zakaz używania telekomunikacyjnych urządzeń końcowych (np. telefon, komputer) do celów marketingu bezpośredniego bez uprzedniej zgody użytkownika końcowego.
Zasady udzielania zgody:
-
Zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna, np. wyrażona poprzez zaznaczenie odpowiedniego checkboxa na formularzu kontaktowym.
-
Zgoda nie może być domyślnie zaznaczona – zgodnie z orzecznictwem Trybunału Sprawiedliwości UE (sprawa C-673/17 – Planet49).
-
Osoba, której dane dotyczą, ma prawo do cofnięcia zgody w dowolnym momencie, bez wpływu na legalność przetwarzania, którego dokonano przed jej cofnięciem (art. 7 ust. 3 RODO).
Sposób wyrażenia i cofnięcia zgody:
-
Zgoda może być udzielona np. w formularzu kontaktowym, podczas rejestracji, w rozmowie telefonicznej (w sposób możliwy do udokumentowania).
-
Cofnięcie zgody może nastąpić poprzez:
-
kliknięcie w link „zrezygnuj z subskrypcji” w otrzymanej wiadomości e-mail,
-
wysłanie wiadomości e-mail na adres: naprawabramkontakt.pl@gmail.com,
-
kontakt telefoniczny lub pisemny z Administratorem.
-
Profilowanie i zautomatyzowane podejmowanie decyzji:
-
Administrator nie stosuje zautomatyzowanego podejmowania decyzji, w tym profilowania (art. 22 RODO), chyba że klient wyraził na to wyraźną zgodę i został uprzednio poinformowany o zasadach takiego działania.
Bezpieczeństwo przetwarzania:
-
Dane wykorzystywane w celach marketingowych są chronione przed nieuprawnionym dostępem i nie są udostępniane osobom trzecim, z wyjątkiem podmiotów obsługujących narzędzia do wysyłki wiadomości (np. system newsletterowy), z którymi zawarto odpowiednie umowy powierzenia przetwarzania danych.
Okres przechowywania danych:
-
Dane są przechowywane do momentu:
-
wycofania zgody przez osobę, której dane dotyczą,
-
przedawnienia ewentualnych roszczeń wynikających z marketingu bezpośredniego, nie dłużej niż 3 lata od ostatniego kontaktu lub reakcji klienta (zgodnie z zasadą rozliczalności – art. 5 ust. 2 RODO).
-
6. Odbiorcy danych osobowych
Dane osobowe mogą być udostępniane lub powierzane do przetwarzania wyłącznie podmiotom, z którymi Administrator współpracuje w zakresie niezbędnym do realizacji celów opisanych w niniejszym regulaminie. Administrator zapewnia, że wszystkie podmioty przetwarzające dane działają zgodnie z przepisami RODO i na podstawie zawartych umów powierzenia przetwarzania danych osobowych (zgodnie z art. 28 RODO).
Katalog odbiorców danych:
Podmioty świadczące usługi księgowe, prawne i doradcze:
Podstawa prawna: art. 6 ust. 1 lit. c RODO (wypełnienie obowiązku prawnego) oraz art. 6 ust. 1 lit. f RODO (uzasadniony interes Administratora).
-
biura rachunkowe prowadzące rozliczenia podatkowe i księgowe,
-
kancelarie prawne wspierające w zakresie windykacji, sporów cywilnych i zabezpieczania interesów Administratora,
-
doradcy podatkowi lub biznesowi.
Firmy IT i dostawcy narzędzi informatycznych:
Umowy powierzenia zawierają zapisy zgodne z art. 28 ust. 3 RODO – m.in. obowiązek zachowania poufności i stosowania odpowiednich środków bezpieczeństwa.
-
dostawcy usług hostingowych (np. serwerów strony internetowej, poczty elektronicznej),
-
administratorzy systemów CRM, ERP lub systemów obsługi zgłoszeń,
-
podmioty zapewniające obsługę i zabezpieczenie techniczne systemów informatycznych.
Operatorzy płatności i banki:
Podstawa prawna: art. 6 ust. 1 lit. b i c RODO – realizacja umowy i obowiązek wynikający z przepisów prawa (np. rachunkowości, przeciwdziałania praniu pieniędzy).
-
banki i instytucje finansowe realizujące przelewy lub rozliczenia,
-
operatorzy terminali płatniczych (jeśli stosowane).
Firmy kurierskie i pocztowe:
Zakres danych: imię i nazwisko, adres dostawy, numer telefonu (w celu powiadomień SMS).
-
podmioty realizujące dostawę korespondencji, dokumentów lub sprzętu (np. części zamienne).
Organy publiczne i instytucje państwowe:
Podstawa prawna: art. 6 ust. 1 lit. c RODO – wypełnienie obowiązku prawnego.
-
urzędy skarbowe, ZUS, sądy, organy ścigania, w razie żądania zgodnego z przepisami prawa.
Podmioty obsługujące działania marketingowe (jeśli stosowane):
Podstawa prawna: art. 6 ust. 1 lit. a RODO – zgoda osoby, której dane dotyczą (dla celów marketingowych lub analitycznych).
-
platformy mailingowe do wysyłki newsletterów,
-
zewnętrzne agencje marketingowe realizujące kampanie na zlecenie Administratora,
-
narzędzia analityczne (np. Google Analytics) – wyłącznie po wyrażeniu zgody przez użytkownika.
Przekazywanie danych poza Europejski Obszar Gospodarczy (EOG)
Co do zasady, Administrator nie przekazuje danych osobowych do państw trzecich (poza EOG) ani do organizacji międzynarodowych.
Wyjątki mogą mieć miejsce wyłącznie w przypadku korzystania z usług dostawców technologicznych mających siedzibę lub infrastrukturę poza EOG, takich jak:
-
Google LLC (np. Google Workspace, Gmail, Google Analytics),
-
Meta Platforms Ireland Ltd. (Facebook, Messenger),
-
Microsoft Corporation (Outlook, OneDrive).
W takich przypadkach dane mogą być przekazywane do USA lub innych państw trzecich zgodnie z mechanizmami zapewniania odpowiedniego poziomu ochrony danych, np.:
-
na podstawie decyzji stwierdzającej odpowiedni stopień ochrony (np. EU–U.S. Data Privacy Framework),
-
na podstawie standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską (art. 46 RODO),
-
po uzyskaniu wyraźnej zgody osoby, której dane dotyczą (art. 49 ust. 1 lit. a RODO), po uprzednim poinformowaniu o potencjalnych ryzykach.
Użytkownik zostanie każdorazowo poinformowany o zamiarze przekazania danych poza EOG, o stosowanych zabezpieczeniach oraz przysługujących mu prawach.
Poufność i zabezpieczenie danych przez odbiorców
Administrator zobowiązuje wszystkich odbiorców danych do:
-
zachowania poufności danych osobowych,
-
przetwarzania danych wyłącznie w zakresie określonym przez Administratora,
-
wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych zgodnie z art. 32 RODO.
7. Okres przechowywania danych osobowych
Administrator przechowuje dane osobowe wyłącznie przez okres niezbędny do realizacji celów, dla których zostały zebrane, a następnie – przez czas wymagany przepisami prawa lub niezbędny do zabezpieczenia interesów prawnych Administratora. Okresy przechowywania ustalane są zgodnie z przepisami RODO oraz ustawami szczególnymi.
1. Dane przetwarzane w związku z realizacją umowy
-
Przykład: dane klientów korzystających z usług naprawy, montażu, konserwacji bram.
-
Okres przechowywania: przez czas trwania umowy, a następnie do momentu przedawnienia ewentualnych roszczeń cywilnoprawnych.
-
Podstawa prawna:
-
art. 6 ust. 1 lit. b RODO – realizacja umowy,
-
art. 118 Kodeksu cywilnego – ogólny termin przedawnienia wynosi 6 lat (a dla roszczeń okresowych i związanych z prowadzeniem działalności gospodarczej – 3 lata).
-
Uwaga: w przypadku prowadzenia korespondencji dotyczącej reklamacji, serwisu pogwarancyjnego lub napraw, dane mogą być przechowywane dłużej – do upływu przedawnienia roszczeń związanych z tymi usługami.
2. Dane przetwarzane w celach księgowych i podatkowych
-
Dotyczy: faktury, ewidencje VAT, deklaracje podatkowe, rejestry sprzedaży, dokumentacja księgowa.
-
Okres przechowywania: co najmniej 5 lat, licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku.
-
Podstawa prawna:
-
art. 74 ust. 2 pkt 1 i 4 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz.U. 2023 poz. 120 z późn. zm.),
-
art. 86 §1 ustawy z dnia 29 sierpnia 1997 r. – Ordynacja podatkowa (Dz.U. 2023 poz. 2383 z późn. zm.).
-
3. Dane przetwarzane na podstawie zgody (np. marketing, newsletter)
-
Dotyczy: danych przetwarzanych na podstawie zgody osoby, której dane dotyczą, w szczególności w celach marketingowych, statystycznych lub przesyłania informacji handlowych.
-
Okres przechowywania: do momentu cofnięcia zgody, chyba że wcześniej dojdzie do ustania celu przetwarzania (np. zakończenie kampanii).
-
Podstawa prawna:
-
art. 6 ust. 1 lit. a RODO – zgoda,
-
art. 7 ust. 3 RODO – możliwość cofnięcia zgody w dowolnym momencie.
-
Po cofnięciu zgody Administrator usuwa dane bez zbędnej zwłoki, chyba że dalsze ich przechowywanie jest uzasadnione inną podstawą prawną (np. dla celów dowodowych, w razie sporu).
4. Dane przetwarzane na podstawie uzasadnionego interesu Administratora
-
Dotyczy: danych przetwarzanych w celu dochodzenia roszczeń, obrony przed roszczeniami, archiwizacji, monitorowania kontaktów, analityki wewnętrznej.
-
Okres przechowywania: do czasu wypełnienia prawnie uzasadnionego interesu lub do momentu wniesienia skutecznego sprzeciwu (zgodnie z art. 21 RODO).
-
Uzasadnienie: potrzeba obrony praw i interesów prawnych Administratora, np. w postępowaniach sądowych lub kontrolnych.
5. Dane przetwarzane automatycznie (np. pliki cookies, dane techniczne z formularzy internetowych)
-
Okres przechowywania: w zależności od rodzaju pliku cookie lub narzędzia (np. sesyjne – do zakończenia sesji, trwałe – do kilku lat), zgodnie z ustawieniami przeglądarki lub systemu użytkownika.
-
Zgoda i podstawy prawne: art. 6 ust. 1 lit. a lub lit. f RODO oraz ustawa – Prawo telekomunikacyjne (art. 173).
6. Archiwizacja danych
-
Dokumenty, które muszą zostać zachowane do celów dowodowych lub kontrolnych (np. protokoły, raporty serwisowe), mogą być przechowywane przez okres do 10 lat, jeśli taki obowiązek wynika z przepisów prawa lub interesu prawnego Administratora.
Zasada minimalizacji przechowywania
Po upływie powyższych okresów dane osobowe są:
-
trwale usuwane lub
-
anonimizowane, jeśli ich dalsze przetwarzanie jest konieczne wyłącznie do celów statystycznych lub archiwizacyjnych (zgodnie z art. 89 RODO).
Administrator regularnie dokonuje przeglądów przechowywanych danych i wdraża mechanizmy automatyzujące ich usuwanie po upływie wskazanych okresów.
8. Prawa osób, których dane dotyczą
Każdej osobie, której dane osobowe są przetwarzane przez Administratora, przysługują określone prawa wynikające z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO). Administrator zapewnia możliwość realizacji tych praw w sposób przejrzysty, łatwy i nieodpłatny, z zachowaniem przepisów prawa oraz zasad bezpieczeństwa.
1. Prawo dostępu do danych osobowych (art. 15 RODO)
Osoba, której dane dotyczą, ma prawo do uzyskania od Administratora:
-
potwierdzenia, czy jej dane są przetwarzane,
-
dostępu do tych danych,
-
informacji o celach przetwarzania, kategoriach danych, odbiorcach, okresie przechowywania,
-
kopii danych (pierwsza kopia jest bezpłatna, kolejne mogą być objęte opłatą administracyjną).
2. Prawo do sprostowania danych (art. 16 RODO)
W przypadku, gdy dane są nieprawidłowe, niekompletne lub nieaktualne, osoba, której dane dotyczą, może zażądać ich niezwłocznego:
-
sprostowania (poprawienia),
-
uzupełnienia (np. przez dodatkowe oświadczenie).
3. Prawo do usunięcia danych („prawo do bycia zapomnianym”) (art. 17 RODO)
Osoba, której dane dotyczą, ma prawo zażądać usunięcia jej danych osobowych, jeżeli:
-
dane nie są już potrzebne do celów, dla których zostały zebrane,
-
osoba cofnęła zgodę (jeśli przetwarzanie było oparte na zgodzie),
-
zgłoszono sprzeciw wobec przetwarzania i nie występują nadrzędne podstawy prawne,
-
dane były przetwarzane niezgodnie z prawem,
-
obowiązek usunięcia wynika z przepisów prawa.
Ograniczenie: prawo to nie ma zastosowania w zakresie, w jakim przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego lub do ustalenia, dochodzenia bądź obrony roszczeń (np. dane księgowe).
4. Prawo do ograniczenia przetwarzania danych (art. 18 RODO)
Można zażądać ograniczenia przetwarzania danych osobowych w następujących przypadkach:
-
kwestionowania prawidłowości danych (na czas ich sprawdzenia),
-
sprzeciwienia się usunięciu danych przy niezgodnym z prawem przetwarzaniu,
-
gdy Administrator nie potrzebuje już danych, ale są one potrzebne osobie do dochodzenia roszczeń,
-
wniesienia sprzeciwu wobec przetwarzania – do czasu rozpatrzenia.
W okresie ograniczenia przetwarzania Administrator może jedynie przechowywać dane.
5. Prawo do przenoszenia danych (art. 20 RODO)
Dotyczy danych przetwarzanych na podstawie zgody lub umowy, w sposób zautomatyzowany. Osoba, której dane dotyczą, ma prawo:
-
otrzymać swoje dane osobowe w formacie nadającym się do odczytu maszynowego (np. CSV, XML),
-
przesłać je bez przeszkód do innego administratora.
6. Prawo do wniesienia sprzeciwu wobec przetwarzania danych (art. 21 RODO)
Przysługuje, gdy przetwarzanie odbywa się na podstawie uzasadnionego interesu Administratora.
W szczególności osoba może wnieść sprzeciw wobec:
-
przetwarzania danych w celach marketingu bezpośredniego,
-
profilowania związanego z takim marketingiem.
W przypadku wniesienia sprzeciwu dane nie będą dalej przetwarzane w tych celach.
7. Prawo do cofnięcia zgody (art. 7 ust. 3 RODO)
Jeżeli dane są przetwarzane na podstawie zgody, osoba, której dane dotyczą, ma prawo w każdej chwili:
-
cofnąć zgodę, bez podawania przyczyny,
-
zachować zgodność z wcześniejszym przetwarzaniem (cofnięcie zgody nie działa wstecz).
Skutek: Administrator zaprzestaje przetwarzania danych w celach, do których zgoda została cofnięta (np. marketing, newsletter).
Sposób realizacji praw
Wnioski dotyczące realizacji powyższych praw można składać:
-
mailowo: na adres e-mail: naprawabramkontakt.pl@gmail.com,
-
pisemnie: na adres siedziby głównej lub filii Administratora.
W treści zgłoszenia warto wskazać, z którego prawa chce się skorzystać oraz w jakim zakresie.
Administrator udziela odpowiedzi nie później niż w terminie 1 miesiąca od otrzymania żądania (art. 12 ust. 3 RODO). W szczególnie skomplikowanych przypadkach termin ten może zostać przedłużony o kolejne 2 miesiące, o czym osoba zostanie uprzednio poinformowana.
9. Prawo do skargi
W przypadku naruszenia przepisów dotyczących ochrony danych osobowych, osobie, której dane dotyczą, przysługuje prawo wniesienia skargi do:
Prezes Urzędu Ochrony Danych Osobowych
ul. Stawki 2, 00-193 Warszawa
https://uodo.gov.pl/
10. Środki bezpieczeństwa
Administrator wdrożył i utrzymuje odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa przetwarzanych danych osobowych, zgodnie z wymogami art. 24, 25 i 32 RODO. Środki te mają na celu ochronę danych przed przypadkowym lub bezprawnym zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub dostępem.
1. Środki techniczne:
Zabezpieczenia logiczne systemów informatycznych:
-
stosowanie silnych haseł dostępu i ich cykliczna zmiana,
-
dwuskładnikowe uwierzytelnianie (2FA) do systemów wewnętrznych i kont e-mail,
-
szyfrowanie danych w spoczynku i podczas transmisji (np. SSL, TLS, VPN),
-
regularne tworzenie kopii zapasowych (backupów) i ich przechowywanie w bezpiecznej lokalizacji,
-
kontrola dostępu – ograniczenie uprawnień tylko do osób upoważnionych,
-
stosowanie zapór sieciowych (firewall), programów antywirusowych i oprogramowania wykrywającego zagrożenia (antymalware),
-
zabezpieczenia urządzeń mobilnych i przenośnych nośników danych (szyfrowanie dysków, blokada urządzeń).
Zabezpieczenia dokumentacji papierowej:
-
przechowywanie dokumentów zawierających dane osobowe w zamykanych szafach,
-
dostęp do dokumentacji tylko dla upoważnionych pracowników,
-
stosowanie polityki czystego biurka (clean desk policy),
-
niszczenie dokumentów zawierających dane osobowe za pomocą niszczarki (co najmniej poziom DIN 3).
2. Środki organizacyjne:
Przeszkolenie personelu:
-
regularne szkolenia z zakresu ochrony danych osobowych i bezpieczeństwa informacji,
-
informowanie pracowników o obowiązujących procedurach, zasadach poufności i odpowiedzialności karnej oraz cywilnej za naruszenia RODO,
-
wdrożenie zasady "need-to-know" – dostęp tylko do danych niezbędnych do realizacji obowiązków służbowych.
Polityki i procedury wewnętrzne:
-
opracowanie i wdrożenie polityki ochrony danych osobowych, w tym polityki bezpieczeństwa informacji,
-
rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania (art. 30 RODO),
-
procedury reagowania na naruszenia ochrony danych osobowych (w tym obowiązki notyfikacyjne z art. 33 i 34 RODO),
-
okresowy przegląd i aktualizacja dokumentacji RODO.
3. Ocena ryzyka i zasada rozliczalności:
Administrator stosuje podejście oparte na analizie ryzyka:
-
identyfikuje możliwe zagrożenia związane z przetwarzaniem danych,
-
ocenia prawdopodobieństwo ich wystąpienia i możliwe skutki,
-
wdraża środki adekwatne do poziomu ryzyka.
Zasada rozliczalności (art. 5 ust. 2 RODO): Administrator jest w stanie wykazać, że stosuje środki zgodne z przepisami RODO, prowadzi dokumentację przetwarzania danych i regularnie monitoruje skuteczność zastosowanych zabezpieczeń.
4. Współpraca z podmiotami zewnętrznymi:
Administrator zawiera umowy powierzenia przetwarzania danych (art. 28 RODO) z każdą firmą zewnętrzną, która przetwarza dane w jego imieniu (np. księgowość, IT, marketing).
W umowach tych uwzględnia się m.in.:
-
obowiązek zachowania poufności,
-
zastosowanie odpowiednich środków technicznych i organizacyjnych,
-
ograniczenie celu i czasu przetwarzania.
11. Zmiany w regulaminie
Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszym regulaminie w przypadku zmiany przepisów prawa, orzecznictwa, wytycznych RODO lub zmian organizacyjnych.
O istotnych zmianach użytkownicy będą informowani z odpowiednim wyprzedzeniem.
Regulacje Cookies
I'm a paragraph. Click here to add your own text and edit me. It's easy.