Przetwarzanie danych osobowych – obowiązek informacyjny

W dniu 25 maja 2018 r. weszły w życie nowe zasady dotyczące ochrony danych osobowych, wynikające z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Chcielibyśmy zapewnić, że dochowujemy szczególnej staranności przy przetwarzaniu danych osobowych, działamy zgodnie z prawem oraz wdrażamy odpowiednie środki techniczne i organizacyjne, aby zapewnić bezpieczeństwo danych osobowych nam powierzonych. O ochronę danych osobowych dbamy już podczas projektowania nowych działań.

ADMINISTRATOR DANYCH OSOBOWYCH

GNDM spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie, Al. Jerozolimskie 65/79 lok. 0A, 02, 00-697 Warszawa, REGON: 389040080, NIP: 7011035508 adres poczty elektronicznej: [email protected] jest administratorem danych osobowych (dalej: Administrator) swoich pracowników, współpracowników, klientów, kontrahentów oraz osób, które przekazały swoje dane za pośrednictwem formularzy dostępnych na stronie internetowej lub poczty elektronicznej, a także innych podmiotów, które na przetwarzanie danych osobowych wyraziły zgodę.

PODSTAWY PRAWNE I CELE PRZETWARZANIA DANYCH OSOBOWYCH

Administrator przetwarza dane osobowe tylko wtedy, gdy spełniony jest co najmniej jeden z poniższych warunków:

  1. osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych (art. 6 ust. 1a RODO),
  2. przetwarzanie jest niezbędne do wykonania umowy, której strona jest osoba, której dane dotyczą lub do podjęcia działań przed zawarciem umowy (art. 6 ust. 1b RODO),
  3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze (art. 6 ust. 1c RODO);
  4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej (art. 6 ust. 1d RODO);
  5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym (art. 6 ust. 1e RODO),
  6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub przez stronę trzecią (art. 6 ust. 1f RODO).

PRZETWARZANIE DANYCH OSOBOWYCH

Dane osób, których dotyczą przetwarzane są:

  1. w celu realizacji umowy o świadczenie usług;
  2. w celach informacyjnych i marketingowych na podstawie dobrowolnie wyrażonej zgody.

Dane osobowe zbierane w celu realizacji umowy o świadczenie usług przetwarzane są w zakresie niezbędnym do prowadzenia dokumentacji. Przetwarzane w tym celu dane obejmują:

  1. nazwisko i imię (imiona),
  2. adres do korespondencji,
  3. numer telefonu,
  4. adres poczty elektronicznej.

Dane osobowe przetwarzane do celów informacyjnych i marketingowych obejmują:

  1. imię i nazwisko,
  2. numer telefonu,
  3. adres poczty elektronicznej.

Przetwarzanie danych przekazanych Administratorowi za pośrednictwem poczty elektronicznej lub formularza na stronie internetowej odbywa się na podstawie art. 6 ust. 1 a), b), c) lub f) RODO i obejmuje między innymi takie dane jak: imię, nazwisko, adres poczty elektronicznej, nr telefonu oraz inne dane, które zostaną przekazane w korespondencji elektronicznej. Dane te przetwarzane są w celu, w jakim zostały udostępnione.

Dane przetwarzane na podstawie zgody (art. 6 ust. 1a RODO), w szczególności imię, nazwisko, adres poczty elektronicznej, nr telefonu, wykorzystywane są do celu, na jaki zgoda została udzielona i przetwarzane są do czasu cofnięcia zgody lub do momentu zrealizowania celu, dla którego zgoda została udzielona.

Dane przetwarzane w związku z zawarciem umowy na podstawie art. 6 ust. 1b RODO obejmują w szczególności imię, nazwisko, adres, nr telefonu, adres poczty elektronicznej i wykorzystywane są w celu realizacji umowy.

Dane osób, przy pomocy których kontrahenci wykonują umowy zawarte z Administratorem, przetwarzane są w oparciu o art. 6 ust. 1 f RODO i obejmują m. in. imię, nazwisko, adres poczty elektronicznej, nr telefonu. Dane te wykorzystywane są do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub przez stronę trzecią.

Dane powierzone do przetwarzania przez innych administratorów (imię, nazwisko, dane kontaktowe, adres poczty elektronicznej) przetwarzane są w zakresie określonym umową o powierzenie przetwarzania danych osobowych w celu i w sposób określony przez administratora przekazywanych danych osobowych.

PRZETWARZANIE DANYCH OSOBOWYCH W ZWIĄZKU Z OBOWIĄZKAMI WYNIKAJĄCYMI Z USTAWY O PRZECIWDZIAŁANIU PRANIU PIENIĘDZY I PRZECIWDZIAŁANIU TERRORYZMOWI

Na mocy przepisów Ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu z 01.03.2018 r. (dalej: u.p.p.p.) Administrator jako tzw. instytucja obowiązana ma obowiązek:

  1. identyfikować i weryfikować tożsamość klientów, osób upoważnionych w imieniu klienta, beneficjentów rzeczywistych (art. 34 ust. 2 u.p.p.p.) i w tym celu kopiować dokumenty tożsamości klienta, osób upoważnionych, beneficjentów rzeczywistych (art. 34 ust. 4 u.p.p.p.);
  2. oceniać ryzyko związane z praniem pieniędzy i finansowaniem terroryzmu odnoszące się do ich działalności, biorąc pod uwagę czynniki ryzyka dotyczące klientów – w tym osób fizycznych (art. 27, 33 u.p.p.p.);
  3. oceniać ryzyko prania pieniędzy dla transakcji okazjonalnej oraz stosunków gospodarczych ze swoimi klientami, w tym osobami fizycznymi (art. 33 u.p.p.p.);
  4. stosować środki bezpieczeństwa finansowego inne niż identyfikacja (art. 34 ust. 1 u.p.p.p.), a w tym oceniać stosunki gospodarcze klienta, w tym pozyskiwać informacje na temat tych stosunków i dopytywać o nie, monitorować stosunki gospodarcze klienta, w tym analizować jego transakcje, badać źródła pochodzenia pieniędzy i innego majątku (art. 34 ust. 1 pkt 3 i 4 u.p.p.p.);
  5. ustalać, czy klient lub beneficjent rzeczywisty jest osobą zajmującą eksponowane stanowisko polityczne (PEP);
  6. przetwarzać informacje otrzymane od sygnalistów i dotyczące sygnalistow (art. 53 u.p.p.p.);
  7. raportować o transakcjach ponadprogowych, czyli o wpłatach i wypłatach oraz transferach (z wyjątkami) ponad 15 000 euro
  8. przekazywać informacje wskazane w art. 72 u.p.p.p,
  9. raportować o okolicznościach podejrzanych, czyli zawiadamiać o podejrzeniu prania pieniędzy lub finansowania terroryzmu (art. 74 u.p.p.p.);
  10. wstrzymywać transakcje podejrzane (art. 86 u.p.p.p.);
  11. zawiadamiać prokuratora o podejrzeniu pochodzenia wartości majątkowych z przestępstwa innego niż pranie pieniędzy (art. 89 u.p.p.p.);
  12. stosować szczególne środki ograniczające – czyli odcinać podmioty i osoby wpisane na listy sankcyjne od pieniędzy (art. 117 u.p.p.p.).

Podstawą prawną przetwarzania danych osobowych jest wypełnianie obowiązku prawnego ciążącego na Administratorze (art. 6 ust. 1 lit. c RODO) i obejmuje w przypadku osoby fizycznej zawierającej z Administratorem transakcję podlegającą przepisom u.p.p.p następujące dane:

  • a) imię i nazwisko,
  • b) obywatelstwo,
  • c) numer Powszechnego Elektronicznego Systemu Ewidencji Ludności (PESEL) lub datę urodzenia – w przypadku, gdy nie nadano numeru PESEL, oraz państwa urodzenia,
  • d) serię i numer dokumentu stwierdzającego tożsamość osoby,
  • e) adres zamieszkania – w przypadku posiadania tej informacji przez instytucję obowiązaną,
  • f) nazwę (firmę), numer identyfikacji podatkowej (NIP) oraz adres głównego miejsca wykonywania działalności gospodarczej – w przypadku osoby fizycznej prowadzącej działalność gospodarczą”.

OBOWIĄZEK PODAWANIA DANYCH I KONSEKWENCJE NIEPODANIA DANYCH

Podanie danych dla celów realizacji umowy jest dobrowolne, lecz niezbędne do jej wykonania. W przypadku odmowy udostępnienia danych, realizacja celu umowy nie będzie możliwa.

Podanie danych dla celów informacyjnych i marketingowych jest dobrowolne. W przypadku odmowy wyrażenia zgody na przetwarzanie danych w tym zakresie nie będzie możliwe wykonanie przez Administratora określonych czynności, w szczególności takich jak: informowanie o aktualnych pakietach, promocjach, nowym zakresie usług obowiązujących u Administratora.

Podanie danych osobowych w związku z zawieraną umową inną aniżeli świadczenie usług jest dobrowolne, ale konieczne do zawarcia i wykonania umowy oraz dokonania związanych z tym rozliczeń finansowych.

Wyrażenie zgody na przetwarzanie danych osobowych w celach marketingowych czy informacyjnych jest dobrowolne, a zgoda może być w każdej chwili cofnięta, bez wpływu na zgodność z prawem przetwarzania dokonanego na podstawie zgody przed jej wycofaniem.

Wskazanie adresu poczty elektronicznej oraz innych danych w korespondencji drogą elektroniczną jest dobrowolne. Cofnięcie zgody na przetwarzanie danych spowoduje brak możliwości prowadzenia dalszej korespondencji elektronicznej.

OKRES PRZECHOWYWANIA DANYCH OSOBOWYCH

Dane osobowe pozyskane w celu wykonywania umowy, przechowywane są do czasu przedawnienia roszczeń związanych z zawartą umową lub do czasu wygaśnięcia obowiązku przechowywania danych wynikającego z przepisów prawa, w szczególności obowiązku przechowywania dokumentów finansowo-księgowych.

W przypadku, gdy wyłączną podstawę przetwarzania stanowi udzielona zgoda, dane przetwarzane są do czasu cofnięcia zgody lub do momentu zrealizowania celu, dla którego zgoda została udzielona z zastrzeżeniem, że cofnięcie zgody pozostaje bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.

Dane przekazane Administratorowi za pośrednictwem poczty elektronicznej przetwarzane są w celu w jakim zostały udostępnione i są usuwane po jego zrealizowaniu.

Dane osobowe powierzone do przetwarzania przez innych administratorów przechowywane będą przez okres wskazany przez administratora danych osobowych.

PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ

Osoba, której dane dotyczą, ma prawo dostępu do treści swoich danych osobowych, prawo do ich sprostowania, żądania usunięcia, jak również prawo do ograniczenia ich przetwarzania, prawo do przenoszenia danych, prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych.

W przypadku, gdy podstawą prawną przetwarzania danych osobowych jest wyrażona zgoda, przysługuje prawo do cofnięcia zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.

Ponadto w przypadku uznania, iż przetwarzanie danych osobowych narusza przepisy unijnego rozporządzenia RODO, przysługuje prawo wniesienia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych (https://uodo.gov.pl/pl/p/kontakt).

ODBIORCY DANYCH OSOBOWYCH

Dane osobowe mogą być udostępnione podmiotom trzecim za zgodą osoby, której dane dotyczą.

Ponadto dane osobowe mogą zostać udostępnione w celu realizacji obowiązków Administratora bądź w przypadku, gdy jest to niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora.

Podmioty, którym mogą zostać udostępnione dane to w zależności od kategorii danych: dostawcy usług IT, podmiot świadczący usługi księgowe, podmioty współpracujące z Administratorem w zakresie świadczonych usług oraz inne instytucje upoważnione z mocy prawa takie jak Urząd Skarbowy, Sąd lub ZUS.

W przypadku przetwarzania danych osobowych na zlecenie podmiotów trzecich, Administrator działa jako procesor, a dane są udostępniane zgodnie z zasadami określonymi przez ten podmiot.

INFORMACJA O ZAUTOMATYZOWANYM PODEJMOWANIU DECYZJI

Administrator może automatycznie dopasowywać pewne treści do potrzeb Klientów oraz osób, które przekazały swoje dane za pośrednictwem formularza na stronie internetowej lub poczty elektronicznej, a także innych podmiotów, które na przetwarzanie danych osobowych wyraziły zgodę, tj. dokonywać profilowania, wykorzystując do tego podane przez nich dane osobowe.

Profilowanie to polega przede wszystkim na automatycznej ocenie, jakimi produktami mogą być zainteresowane te osoby, na podstawie ich dotychczasowych działań podejmowanych w Internecie, w tym w ramach stron internetowych Administratora i na wyświetlaniu profilowanych w ten sposób reklam produktów.

Profilowanie, dokonywane przez Administratora nie skutkuje podejmowaniem decyzji wywołujących wobec tych osób określonych skutków prawnych lub wpływających na nie w podobnie istotny sposób.

DANE KONTAKTOWE

Użytkownicy mogą skontaktować się z Administratorem:

  • drogą korespondencyjną – na adres siedziby Administratora
  • za pomocą poczty elektronicznej na adres: [email protected]