Polityka prywatności

2023-03-17 2023-07-14 16:17

Polityka prywatności

I Definicje
  1. Spółka, my, nas, nasze – KPM spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie, ul. Gąbińska 20 (01-703), wpisana do Krajowego Rejestr Przedsiębiorców, prowadzonego przez Sąd Rejonowy w Kielcach, X Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000942306, NIP: 6612383538, adres e-mail: kontakt@shareon.app, numer telefonu: 795625888, która występuje w roli administratora danych osobowych.
  2. Dane osobowe – informacje o osobie fizycznej zidentyfikowanej lub możliwej do zidentyfikowania poprzez jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość, w tym wizerunek, nagranie głosu, dane kontaktowe, dane o lokalizacji, informacje zawarte w korespondencji, informacje gromadzone za pośrednictwem sprzętu rejestrującego lub innej podobnej technologii.
  3. Dane szczególnych kategorii – dane wymienione w art. 9 ust. 1 RODO, czyli dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej.
  4. Dane karne – dane wymienione w art. 10 RODO, czyli dane dotyczące wyroków skazujących i naruszeń prawa
  5. Organ nadzorczy – Prezes Urzędu Ochrony Danych Osobowych lub ewentualnie właściwy organ nadzorczy w zakresie Danych osobowych wyznaczony przez inne państwo członkowskie Unii Europejskiej.
  6. Osoba – osoba fizyczna, której dotyczą Dane osobowe przetwarzane przez Spółkę.
  7. Podmiot przetwarzający – organizacja lub osoba, której powierzamy przetwarzanie danych osobowych (np. operator płatności mobilnych).
  8. Polityka – niniejsza Polityka ochrony Danych osobowych.
  9. Pracownik – osoba fizyczna zatrudniona przez Spółkę na podstawie umowy o pracę.
  10. Rejestr czynności – prowadzony przez Spółkę Rejestr Czynności Przetwarzania Danych Osobowych.
  11. Rejestr naruszeń – prowadzony przez Spółkę Rejestr naruszeń ochrony Danych osobowych.
  12. Rejestr żądań – prowadzony przez Spółkę Rejestr żądań podmiotów danych.
  13. RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
  14. Współpracownik – osoba fizyczna świadcząca na rzecz Spółki usługi na podstawie umowy cywilnoprawnej (np. umowa zlecenia, umowa o dzieło)
  15. Usługa ShareON – usługa pośrednictwa, udostępniana za pomocą aplikacji mobilnej o nazwie „ShareON”, umożliwiająca zakupienie od Wynajmującego przez Klienta usługi najmu dowolnego Pojazdu do celów prywatnych Klienta i mająca na celu doprowadzenie do zawarcia umowy najmu Pojazdu przez Klienta i Wynajmującego
II Uwagi wstępne
  1. Niniejsza Polityka ma za zadanie stanowić mapę wymogów, zasad i regulacji ochrony danych osobowych stosowanych przez Spółkę ze szczególnym uwzględnieniem świadczonej przez Spółkę usługi ShareON.
  2. Celem wdrożenia Polityki jest zapewnienie zgodności z RODO procesów przetwarzania Danych osobowych przez Spółkę oraz rzetelne poinformowanie Osób o ich prawach oraz procedurach bezpieczeństwa. 
  3. Odpowiedzialny za wdrożenie, utrzymanie, nadzór i monitorowanie niniejszej Polityki jest Zarząd Spółki, natomiast za stosowanie niniejszej Polityki odpowiedzialna jest Spółka oraz wszyscy jej Pracownicy i Współpracownicy.
  4. W związku z  prowadzoną działalnością, w tym w związku z oferowaną przez nas usługą ShareON, Spóła jako administrator danych osobowych zbiera i przetwarza Dane osobowe zgodnie z właściwymi przepisami prawa, w tym w szczególności RODO, i przewidzianymi w nich zasadami przetwarzania. Zasady te, wymienione w pkt. 2.4.1 – 2.4.8 poniżej stanowią filary ochrony danych osobowych w Spółce: 
    1. przetwarzamy  Dane osobowe wyłącznie zgodnie z prawem i zawsze w oparciu o przynajmniej jedną z podstaw przetwarzania określonych w  RODO, tj.  w  art.  6 ust.  1, art.  9 ust.  2 albo art. 10 (zasada legalizmu); 
    2. zapewniamy rzetelność przetwarzania Danych, to znaczy zachowujemy uczciwość i lojalność wobec Osób, których dane dotyczą i zapewniamy pełną kooperację w celu zachowania ich praw (zasada rzetelności); 
    3. zapewniamy przejrzystość przetwarzania Danych osobowych, w szczególności zawsze informujemy o przetwarzaniu Danych osobowych w momencie ich zbierania, w tym o celu i podstawie prawnej przetwarzania. W momencie pozyskiwania danych od Osoby przedstawiana jest odpowiednia klauzula informacyjna, z którą Osoba może się zapoznać. Ponadto nasze komunikaty i procedury z zakresu ochrony danych osobowych są formułowane jak najprostszym językiem przy zachowaniu pełnego sensu komunikatu (zasada transparentności);
    4. zapewniamy, że Dane osobowe są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie są przetwarzane dalej w sposób niezgodny z tymi celami (zasada ograniczenia celu);
    5. zapewniamy, że Dane osobowe nie są zbierane “na zapas”, to znaczy przetwarzamy je  wyłącznie w zakresie niezbędnym do realizacji konkretnego celu, dla którego Dane osobowe zostały zebrane  (zasada minimalizacji);
    6. zapewniamy, że dbamy o prawidłowość Danych osobowych, które są uaktualniane oraz podejmujemy wszelkie rozsądne działania, aby Dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane (zasada prawidłowości); 
    7. Dane osobowe są przetwarzane nie dłużej niż potrzeba, czyli tylko przez okres, w którym jest to niezbędne dla zrealizowania celów przetwarzania (zasada czasowości); 
    8. zapewniamy bezpieczeństwo Danych osobowych, w  tym ochronę przed niedozwolonym lub niezgodnym z  prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, poprzez wdrożenie odpowiednich środków technicznych lub organizacyjnych (zasada bezpieczeństwa).
  2. Mamy obowiązek wykazania zgodności przetwarzania Danych osobowych z przepisami, w szczególności RODO, co czynimy poprzez odpowiednio udokumentowane środki techniczne i  organizacyjne (rozliczalność).
  3. Zapewniamy przestrzeganie Polityki przez wszystkich Pracowników oraz Współpracowników Spółki. 
  4. Ułatwiamy Osobom korzystanie z ich praw i dbamy o ich świadomość z zakresu ochrony danych osobowych w Spółce. Zachęcamy do zapoznania się ze wszelkimi materiałami, które są łatwo dostępne poprzez zamieszczenie na stronie internetowej oraz poprzez funkcjonalność aplikacji mobilnych ShareON i ShareON Business
III System ochrony danych - części składowe

 

  1. Regularna inwentaryzacja danych:
    1. Inwentaryzacja danych jest elementem zapewniania stałej zgodności działania naszej organizacji z wymaganiami przewidzianymi m.in. w RODO.
      1. W ramach inwentaryzacji identyfikujemy, jakie dane osobowe posiadamy, gdzie je przechowujemy, jakie są między nimi zależności i sposoby ich wykorzystywania. 
      2. Monitorujemy również wszelkie zmiany w przepisach, wytycznych oraz orzecznictwie sądów i trybunałów.
      3. Upewniamy się czy nie przetwarzamy danych szczególnej kategorii lub danych karnych, tak aby zapewnić zgodność z prawem przetwarzania takich danych.
      4. W ramach inwentaryzacji weryfikujemy podstawy prawne przetwarzania Danych osobowych w Spółce, w szczególności sprawdzamy czy posiadamy odpowiednie i aktualne zgody Osób na przetwarzanie Danych osobowych.  
      5. Zidentyfikujemy również przypadki profilowania lub automatycznego podejmowania decyzji.
  2. Rejestr czynności:
    1. Opracowywany przez Spółkę Rejestr czynności jest podstawowym narzędziem systemu ochrony danych. Stanowi podstawę identyfikacji wszelkich naszych obowiązków (w tym np. stanowi podstawę do przeprowadzenia analizy ryzyka przetwarzania danych osobowych)  i umożliwia realizację zasady rozliczalności wobec Organu nadzorczego.
  3. Dokumentacja podstaw prawnych oraz celów przetwarzania
    1. Jako narzędzie do realizacji zasady ograniczania celu oraz zasady legalizmu stosujemy Rejestr czynności, w którym dokumentujemy m.in. podstawy prawne oraz cele przetwarzania danych dla poszczególnych czynności przetwarzania danych.
    2. Osoby są o nich szczegółowo informowane poprzez przedstawienie im odpowiedniej klauzuli informacyjnej najpóźniej w momencie zbierania od nich danych.
    3. Wdrażamy odpowiednie metody zarządzania zgodami, które stanowią jedną z podstaw prawnych przetwarzania Danych osobowych. Rejestrujemy oraz weryfikujemy zgody Osób na przetwarzanie Danych osobowych, a także ich odmowy udzielenia zgody, jej cofnięcie itp.
  4. Spełnianie obowiązków informacyjnych
    1. Jako administrator danych osobowych ciążą na nas różnorodne obowiązki informacyjne  w stosunku do Osób, których dane dotyczą. 
    2. Wywiązujemy się z wyżej wymienionego obowiązku poprzez:
      1. poinformowanie Osoby o przedłużeniu terminu na zrealizowanie żądania osoby w związku z procedurą, o której mowa w pkt. 3.5. poniżej;
      2. poinformowanie Osoby o przetwarzaniu jej danych w momencie pozyskiwania danych niebezpośrednio od niej wraz z pełnym, wymaganym prawem zestawem informacji; 
      3. poinformowanie Osoby o przetwarzaniu jej danych w momencie pozyskiwania od niej danych wraz z pełnym, wymaganym prawem zestawem informacji . Obowiązek ten spełniamy poprzez prezentację w momencie pozyskiwania danych odpowiednich klauzul informacyjnych;
      4. poinformowanie Osoby w przypadku zmiany celu przetwarzania;
      5. poinformowanie Osoby przed uchyleniem ograniczenia przetwarzania;
      6. poinformowanie odbiorców danych o dokonaniu sprostowania, usunięcia lub ograniczenia przetwarzania danych (chyba że będzie to wymagało niewspółmiernie dużego wysiłku lub będzie niemożliwe);
      7. poinformowanie o przysługującym Osobie prawie sprzeciwu względem przetwarzania danych najpóźniej przy pierwszym kontakcie z osobą;
      8. w przypadku naruszenia ochrony danych osobowych, jeżeli może ono powodować wysokie naruszenia praw lub wolności Osoby zawiadomienie Osoby bez zbędnej zwłoki.
  5. Realizowanie uprawnień i obsługa praw Osób
    1. Osobom, które są podmiotami Danych osobowych przetwarzanych przez Spółkę przysługuje szereg praw, które zobowiązujemy się realizować w specjalnej procedurze.
    2. Tymi prawami są:
      1. prawo do informacji o przetwarzaniu danych – przekazujemy osobie zgłaszającej żądanie informację o  przetwarzaniu Danych osobowych, w tym przede wszystkim o celach i podstawach prawnych przetwarzania, zakresie posiadanych Danych osobowych, podmiotach, którym są ujawniane, i planowanym terminie usunięcia Danych osobowych; 
      2. prawo uzyskania kopii danych – przekazujemy osobie zgłaszającej żądanie kopię Danych osobowych, które jej dotyczą; 
      3. prawo do sprostowania danych –  usuwamy na żądanie ewentualne niezgodności lub błędy przetwarzanych Danych osobowych oraz uzupełniamy dane niekompletne
      4. prawo do usunięcia danych – na żądanie usuwamy albo anonimizujemy Dane osobowe, których przetwarzanie nie jest już niezbędne do realizowania żadnego z celów, dla których zostały zebrane lub nie ma podstaw do przetwarzania danych; 
      5. prawo do ograniczenia przetwarzania danych – na żądanie przestajemy wykonywać operacje na Danych osobowych – z wyjątkiem operacji, na które Osoba wyraził zgodę –  oraz przestajemy przechowywać je, zgodnie z  przyjętymi zasadami retencji lub dopóki nie ustaną przyczyny ograniczenia przetwarzania Danych osobowych (np. zostanie wydana decyzja Organu nadzorczego zezwalająca na dalsze przetwarzanie); 
      6. prawo do przenoszenia danych – w zakresie, w jakim Dane osobowe są przetwarzane w  sposób zautomatyzowany w  związku z  zawartą umową lub wyrażoną zgodą, na żądanie wydajemy Dane osobowe dostarczone przez osobę, której dotyczą, w formacie pozwalającym na odczyt Danych osobowych przez komputer; 
      7. prawo sprzeciwu wobec przetwarzania danych w  celach marketingowych – Osoba może w każdym momencie sprzeciwić się przetwarzaniu Danych osobowych w celach marketingowych, bez konieczności uzasadnienia takiego sprzeciwu; 
      8. prawo sprzeciwu wobec innych celów przetwarzania danych –  Osoba może w  każdym momencie sprzeciwić się –  z  przyczyn związanych z jego szczególną sytuacją – przetwarzaniu Danych osobowych, które odbywa się na podstawie prawnie uzasadnionego interesu Spółki; 
      9. prawo wycofania zgody –  jeśli Dane osobowe przetwarzane są na podstawie wyrażonej zgody, Osoba ma prawo wycofać ją w dowolnym momencie, co jednak nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem.
    3. Wszelkie żądania dotyczące powyżej wymienionych praw można złożyć nieodpłatnie przesyłając maila na adres kontakt@shareon.app.
    4. Wszystkie żądania o których mowa powyżej są rejestrowane w prowadzonym przez Spółkę Rejestrze żądań.
    5. Jeśli żądanie będzie dla nas niejasne poprosimy o dodatkowe wyjaśnienia.
    6. Spółka nie zrealizuje żądań oraz nie udzieli informacji osobom nieupoważnionym. W tym celu przeprowadzimy weryfikację tożsamości osoby zwracającej się do nas o realizację uprawnień.
    7. Potwierdzenie tożsamości będzie przybierać formę żądania podania dodatkowych danych przez Osobę w celu jednoznacznego potwierdzenia tożsamości.
    8. Przy realizacji żądań Osób dbamy o dotrzymanie terminów wynikających z przepisów prawa to znaczy:
      1. zobowiązujemy się udzielić odpowiedzi lub podjąć właściwe działania niezwłocznie, lecz nie później niż w terminie miesiąca od dnia jego otrzymania;
      2. jeśli koniec terminu wypada w dzień ustawowo wolny od pracy, za ostatni dzień terminu będzie uważać się najbliższy dzień powszedni;
      3. w przypadku, gdy okaże się konieczne ustalenie lub weryfikacja tożsamości Osoby zgłaszającej żądanie lub doprecyzowanie treści żądania to zobowiązujemy się w terminie miesiąca od otrzymania żądania na podjęcie działań, aby ustalić potrzebne informacje (tzn. zwrócić się o nie do Osoby wystosowując żądanie). Dopiero w momencie ich otrzymania zaczyna biec termin udzielenia odpowiedzi o którym mowa wyżej w pkt. 3.4.8.1.;
      4. przewidujemy możliwość przedłużenia miesięcznego terminu na udzielenie odpowiedzi na żądanie o kolejne dwa miesiące w przypadku, gdy dochowanie miesięcznego terminu nie jest możliwe z uwagi na skomplikowany charakter żądania lub dużą liczbę zgłoszonych żądań.
    9. W przypadku zgłoszenia żądania elektronicznie, forma naszej odpowiedzi również będzie elektroniczna.
    10. Zachowujemy prawo do odmowy podjęcia żądanych przez Osobę działań jeśli jest ono ewidentnie nieuzasadnione lub żądania Osoby są nadmierne, w szczególności gdy ich zgłaszanie ma charakter ustawiczny.
  6. Bezpieczeństwo
    1. Przed udzieleniem dostępu do przetwarzania Danych osobowych zapoznajemy każdego Pracownika, Współpracownika lub inne osoby przetwarzające Dane osobowe z  jego upoważnienia z  Polityką, w  tym procedurami i zasadami dotyczącymi ochrony Danych osobowych obowiązującymi w Spółce.
    2. Pracownicy i Współpracownicy przetwarzający Dane osobowe są zobowiązani w szczególności do: 
      1. przetwarzania Danych osobowych zgodnie z posiadanym upoważnieniem oraz z należytą starannością; 
      2. w przypadku zaobserwowania zdarzenia mogącego stanowić naruszenie ochrony Danych osobowych niezwłocznego informowania o  nim bezpośredniego przełożonego
      3. uczestnictwa w  organizowanych szkoleniach z  zakresu ochrony Danych osobowych; 
      4. zachowania poufności Danych osobowych oraz informacji na temat sposobu ich zabezpieczenia, zgodnie z podpisaną klauzulą poufności.
    3. Współpraca z Podmiotami przetwarzającymi 
      1. W przypadku współpracy z Podmiotami przetwarzającymi spółka stara się zapewnić jak największe bezpieczeństwo dla Osób, których dane dotyczą.
      2. W szczególności zasady współpracy z takimi podmiotami określone są w odpowiednich umowach przetwarzania danych, które regulować będą współpracę między nami a Podmiotem przetwarzającym i dawać odpowiednie gwarancje i zabezpieczenia ochrony praw osób, których dane dotyczą.
IV Eksport danych i przetwarzanie transgraniczne
  1. Poziom ochrony Danych osobowych poza Europejskim Obszarem Gospodarczym (EOG) różni się od tego zapewnianego przez prawo europejskie. Z tego powodu Spółka przekazuje Dane osobowe do państwa trzeciego tylko wtedy, gdy jest to konieczne, i z zapewnieniem odpowiedniego stopnia ochrony, przede wszystkim poprzez:
    1. współpracę z podmiotami przetwarzającymi Dane osobowe w państwach, w odniesieniu do których została wydana stosowna decyzja Komisji Europejskiej dotycząca stwierdzenia zapewnienia odpowiedniego stopnia ochrony Danych osobowych;
    2. stosowanie standardowych klauzul umownych wydanych przez Komisję Europejską.
V Zgłaszanie naruszeń ochrony Danych osobowych
  1. Zapewniamy, że przypadki naruszeń ochrony Danych osobowych traktowane są z najwyższą powagą i w przypadku każdego takiego naruszenia Spółka przeprowadza ich identyfikację, ocenę i zgłoszenie takiego naruszenia do Organu nadzorczego w terminie 72 godzin od ustalenia naruszenia.
  2. Dokumentujemy wszelkie naruszenia ochrony Danych osobowych w prowadzonym przez nas Rejestrze naruszeń.
VI Postanowienia końcowe
  1. W trosce o zachowanie najwyższych standardów ochrony Danych osobowych zachowujemy prawo do aktualizacji niniejszej Polityki.
  2. W przypadku wprowadzenia istotnych zmian, poinformujemy cię o tym z odpowiednim wyprzedzeniem za pośrednictwem aplikacji lub mailowo.