Polityka prywatności
I Definicje
- Spółka, my, nas, nasze – KPM spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie, ul. Gąbińska 20 (01-703), wpisana do Krajowego Rejestr Przedsiębiorców, prowadzonego przez Sąd Rejonowy w Kielcach, X Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000942306, NIP: 6612383538, adres e-mail: kontakt@shareon.app, numer telefonu: 795625888, która występuje w roli administratora danych osobowych.
- Dane osobowe – informacje o osobie fizycznej zidentyfikowanej lub możliwej do zidentyfikowania poprzez jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość, w tym wizerunek, nagranie głosu, dane kontaktowe, dane o lokalizacji, informacje zawarte w korespondencji, informacje gromadzone za pośrednictwem sprzętu rejestrującego lub innej podobnej technologii.
- Dane szczególnych kategorii – dane wymienione w art. 9 ust. 1 RODO, czyli dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej.
- Dane karne – dane wymienione w art. 10 RODO, czyli dane dotyczące wyroków skazujących i naruszeń prawa
- Organ nadzorczy – Prezes Urzędu Ochrony Danych Osobowych lub ewentualnie właściwy organ nadzorczy w zakresie Danych osobowych wyznaczony przez inne państwo członkowskie Unii Europejskiej.
- Osoba – osoba fizyczna, której dotyczą Dane osobowe przetwarzane przez Spółkę.
- Podmiot przetwarzający – organizacja lub osoba, której powierzamy przetwarzanie danych osobowych (np. operator płatności mobilnych).
- Polityka – niniejsza Polityka ochrony Danych osobowych.
- Pracownik – osoba fizyczna zatrudniona przez Spółkę na podstawie umowy o pracę.
- Rejestr czynności – prowadzony przez Spółkę Rejestr Czynności Przetwarzania Danych Osobowych.
- Rejestr naruszeń – prowadzony przez Spółkę Rejestr naruszeń ochrony Danych osobowych.
- Rejestr żądań – prowadzony przez Spółkę Rejestr żądań podmiotów danych.
- RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
- Współpracownik – osoba fizyczna świadcząca na rzecz Spółki usługi na podstawie umowy cywilnoprawnej (np. umowa zlecenia, umowa o dzieło)
- Usługa ShareON – usługa pośrednictwa, udostępniana za pomocą aplikacji mobilnej o nazwie „ShareON”, umożliwiająca zakupienie od Wynajmującego przez Klienta usługi najmu dowolnego Pojazdu do celów prywatnych Klienta i mająca na celu doprowadzenie do zawarcia umowy najmu Pojazdu przez Klienta i Wynajmującego
II Uwagi wstępne
- Niniejsza Polityka ma za zadanie stanowić mapę wymogów, zasad i regulacji ochrony danych osobowych stosowanych przez Spółkę ze szczególnym uwzględnieniem świadczonej przez Spółkę usługi ShareON.
- Celem wdrożenia Polityki jest zapewnienie zgodności z RODO procesów przetwarzania Danych osobowych przez Spółkę oraz rzetelne poinformowanie Osób o ich prawach oraz procedurach bezpieczeństwa.
- Odpowiedzialny za wdrożenie, utrzymanie, nadzór i monitorowanie niniejszej Polityki jest Zarząd Spółki, natomiast za stosowanie niniejszej Polityki odpowiedzialna jest Spółka oraz wszyscy jej Pracownicy i Współpracownicy.
- W związku z prowadzoną działalnością, w tym w związku z oferowaną przez nas usługą ShareON, Spóła jako administrator danych osobowych zbiera i przetwarza Dane osobowe zgodnie z właściwymi przepisami prawa, w tym w szczególności RODO, i przewidzianymi w nich zasadami przetwarzania. Zasady te, wymienione w pkt. 2.4.1 – 2.4.8 poniżej stanowią filary ochrony danych osobowych w Spółce:
- przetwarzamy Dane osobowe wyłącznie zgodnie z prawem i zawsze w oparciu o przynajmniej jedną z podstaw przetwarzania określonych w RODO, tj. w art. 6 ust. 1, art. 9 ust. 2 albo art. 10 (zasada legalizmu);
- zapewniamy rzetelność przetwarzania Danych, to znaczy zachowujemy uczciwość i lojalność wobec Osób, których dane dotyczą i zapewniamy pełną kooperację w celu zachowania ich praw (zasada rzetelności);
- zapewniamy przejrzystość przetwarzania Danych osobowych, w szczególności zawsze informujemy o przetwarzaniu Danych osobowych w momencie ich zbierania, w tym o celu i podstawie prawnej przetwarzania. W momencie pozyskiwania danych od Osoby przedstawiana jest odpowiednia klauzula informacyjna, z którą Osoba może się zapoznać. Ponadto nasze komunikaty i procedury z zakresu ochrony danych osobowych są formułowane jak najprostszym językiem przy zachowaniu pełnego sensu komunikatu (zasada transparentności);
- zapewniamy, że Dane osobowe są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie są przetwarzane dalej w sposób niezgodny z tymi celami (zasada ograniczenia celu);
- zapewniamy, że Dane osobowe nie są zbierane “na zapas”, to znaczy przetwarzamy je wyłącznie w zakresie niezbędnym do realizacji konkretnego celu, dla którego Dane osobowe zostały zebrane (zasada minimalizacji);
- zapewniamy, że dbamy o prawidłowość Danych osobowych, które są uaktualniane oraz podejmujemy wszelkie rozsądne działania, aby Dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane (zasada prawidłowości);
- Dane osobowe są przetwarzane nie dłużej niż potrzeba, czyli tylko przez okres, w którym jest to niezbędne dla zrealizowania celów przetwarzania (zasada czasowości);
- zapewniamy bezpieczeństwo Danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, poprzez wdrożenie odpowiednich środków technicznych lub organizacyjnych (zasada bezpieczeństwa).
- Mamy obowiązek wykazania zgodności przetwarzania Danych osobowych z przepisami, w szczególności RODO, co czynimy poprzez odpowiednio udokumentowane środki techniczne i organizacyjne (rozliczalność).
- Zapewniamy przestrzeganie Polityki przez wszystkich Pracowników oraz Współpracowników Spółki.
- Ułatwiamy Osobom korzystanie z ich praw i dbamy o ich świadomość z zakresu ochrony danych osobowych w Spółce. Zachęcamy do zapoznania się ze wszelkimi materiałami, które są łatwo dostępne poprzez zamieszczenie na stronie internetowej oraz poprzez funkcjonalność aplikacji mobilnych ShareON i ShareON Business
III System ochrony danych - części składowe
- Regularna inwentaryzacja danych:
- Inwentaryzacja danych jest elementem zapewniania stałej zgodności działania naszej organizacji z wymaganiami przewidzianymi m.in. w RODO.
- W ramach inwentaryzacji identyfikujemy, jakie dane osobowe posiadamy, gdzie je przechowujemy, jakie są między nimi zależności i sposoby ich wykorzystywania.
- Monitorujemy również wszelkie zmiany w przepisach, wytycznych oraz orzecznictwie sądów i trybunałów.
- Upewniamy się czy nie przetwarzamy danych szczególnej kategorii lub danych karnych, tak aby zapewnić zgodność z prawem przetwarzania takich danych.
- W ramach inwentaryzacji weryfikujemy podstawy prawne przetwarzania Danych osobowych w Spółce, w szczególności sprawdzamy czy posiadamy odpowiednie i aktualne zgody Osób na przetwarzanie Danych osobowych.
- Zidentyfikujemy również przypadki profilowania lub automatycznego podejmowania decyzji.
- Inwentaryzacja danych jest elementem zapewniania stałej zgodności działania naszej organizacji z wymaganiami przewidzianymi m.in. w RODO.
- Rejestr czynności:
- Opracowywany przez Spółkę Rejestr czynności jest podstawowym narzędziem systemu ochrony danych. Stanowi podstawę identyfikacji wszelkich naszych obowiązków (w tym np. stanowi podstawę do przeprowadzenia analizy ryzyka przetwarzania danych osobowych) i umożliwia realizację zasady rozliczalności wobec Organu nadzorczego.
- Dokumentacja podstaw prawnych oraz celów przetwarzania
- Jako narzędzie do realizacji zasady ograniczania celu oraz zasady legalizmu stosujemy Rejestr czynności, w którym dokumentujemy m.in. podstawy prawne oraz cele przetwarzania danych dla poszczególnych czynności przetwarzania danych.
- Osoby są o nich szczegółowo informowane poprzez przedstawienie im odpowiedniej klauzuli informacyjnej najpóźniej w momencie zbierania od nich danych.
- Wdrażamy odpowiednie metody zarządzania zgodami, które stanowią jedną z podstaw prawnych przetwarzania Danych osobowych. Rejestrujemy oraz weryfikujemy zgody Osób na przetwarzanie Danych osobowych, a także ich odmowy udzielenia zgody, jej cofnięcie itp.
- Spełnianie obowiązków informacyjnych
- Jako administrator danych osobowych ciążą na nas różnorodne obowiązki informacyjne w stosunku do Osób, których dane dotyczą.
- Wywiązujemy się z wyżej wymienionego obowiązku poprzez:
- poinformowanie Osoby o przedłużeniu terminu na zrealizowanie żądania osoby w związku z procedurą, o której mowa w pkt. 3.5. poniżej;
- poinformowanie Osoby o przetwarzaniu jej danych w momencie pozyskiwania danych niebezpośrednio od niej wraz z pełnym, wymaganym prawem zestawem informacji;
- poinformowanie Osoby o przetwarzaniu jej danych w momencie pozyskiwania od niej danych wraz z pełnym, wymaganym prawem zestawem informacji . Obowiązek ten spełniamy poprzez prezentację w momencie pozyskiwania danych odpowiednich klauzul informacyjnych;
- poinformowanie Osoby w przypadku zmiany celu przetwarzania;
- poinformowanie Osoby przed uchyleniem ograniczenia przetwarzania;
- poinformowanie odbiorców danych o dokonaniu sprostowania, usunięcia lub ograniczenia przetwarzania danych (chyba że będzie to wymagało niewspółmiernie dużego wysiłku lub będzie niemożliwe);
- poinformowanie o przysługującym Osobie prawie sprzeciwu względem przetwarzania danych najpóźniej przy pierwszym kontakcie z osobą;
- w przypadku naruszenia ochrony danych osobowych, jeżeli może ono powodować wysokie naruszenia praw lub wolności Osoby zawiadomienie Osoby bez zbędnej zwłoki.
- Realizowanie uprawnień i obsługa praw Osób
- Osobom, które są podmiotami Danych osobowych przetwarzanych przez Spółkę przysługuje szereg praw, które zobowiązujemy się realizować w specjalnej procedurze.
- Tymi prawami są:
- prawo do informacji o przetwarzaniu danych – przekazujemy osobie zgłaszającej żądanie informację o przetwarzaniu Danych osobowych, w tym przede wszystkim o celach i podstawach prawnych przetwarzania, zakresie posiadanych Danych osobowych, podmiotach, którym są ujawniane, i planowanym terminie usunięcia Danych osobowych;
- prawo uzyskania kopii danych – przekazujemy osobie zgłaszającej żądanie kopię Danych osobowych, które jej dotyczą;
- prawo do sprostowania danych – usuwamy na żądanie ewentualne niezgodności lub błędy przetwarzanych Danych osobowych oraz uzupełniamy dane niekompletne
- prawo do usunięcia danych – na żądanie usuwamy albo anonimizujemy Dane osobowe, których przetwarzanie nie jest już niezbędne do realizowania żadnego z celów, dla których zostały zebrane lub nie ma podstaw do przetwarzania danych;
- prawo do ograniczenia przetwarzania danych – na żądanie przestajemy wykonywać operacje na Danych osobowych – z wyjątkiem operacji, na które Osoba wyraził zgodę – oraz przestajemy przechowywać je, zgodnie z przyjętymi zasadami retencji lub dopóki nie ustaną przyczyny ograniczenia przetwarzania Danych osobowych (np. zostanie wydana decyzja Organu nadzorczego zezwalająca na dalsze przetwarzanie);
- prawo do przenoszenia danych – w zakresie, w jakim Dane osobowe są przetwarzane w sposób zautomatyzowany w związku z zawartą umową lub wyrażoną zgodą, na żądanie wydajemy Dane osobowe dostarczone przez osobę, której dotyczą, w formacie pozwalającym na odczyt Danych osobowych przez komputer;
- prawo sprzeciwu wobec przetwarzania danych w celach marketingowych – Osoba może w każdym momencie sprzeciwić się przetwarzaniu Danych osobowych w celach marketingowych, bez konieczności uzasadnienia takiego sprzeciwu;
- prawo sprzeciwu wobec innych celów przetwarzania danych – Osoba może w każdym momencie sprzeciwić się – z przyczyn związanych z jego szczególną sytuacją – przetwarzaniu Danych osobowych, które odbywa się na podstawie prawnie uzasadnionego interesu Spółki;
- prawo wycofania zgody – jeśli Dane osobowe przetwarzane są na podstawie wyrażonej zgody, Osoba ma prawo wycofać ją w dowolnym momencie, co jednak nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem.
- Wszelkie żądania dotyczące powyżej wymienionych praw można złożyć nieodpłatnie przesyłając maila na adres kontakt@shareon.app.
- Wszystkie żądania o których mowa powyżej są rejestrowane w prowadzonym przez Spółkę Rejestrze żądań.
- Jeśli żądanie będzie dla nas niejasne poprosimy o dodatkowe wyjaśnienia.
- Spółka nie zrealizuje żądań oraz nie udzieli informacji osobom nieupoważnionym. W tym celu przeprowadzimy weryfikację tożsamości osoby zwracającej się do nas o realizację uprawnień.
- Potwierdzenie tożsamości będzie przybierać formę żądania podania dodatkowych danych przez Osobę w celu jednoznacznego potwierdzenia tożsamości.
- Przy realizacji żądań Osób dbamy o dotrzymanie terminów wynikających z przepisów prawa to znaczy:
- zobowiązujemy się udzielić odpowiedzi lub podjąć właściwe działania niezwłocznie, lecz nie później niż w terminie miesiąca od dnia jego otrzymania;
- jeśli koniec terminu wypada w dzień ustawowo wolny od pracy, za ostatni dzień terminu będzie uważać się najbliższy dzień powszedni;
- w przypadku, gdy okaże się konieczne ustalenie lub weryfikacja tożsamości Osoby zgłaszającej żądanie lub doprecyzowanie treści żądania to zobowiązujemy się w terminie miesiąca od otrzymania żądania na podjęcie działań, aby ustalić potrzebne informacje (tzn. zwrócić się o nie do Osoby wystosowując żądanie). Dopiero w momencie ich otrzymania zaczyna biec termin udzielenia odpowiedzi o którym mowa wyżej w pkt. 3.4.8.1.;
- przewidujemy możliwość przedłużenia miesięcznego terminu na udzielenie odpowiedzi na żądanie o kolejne dwa miesiące w przypadku, gdy dochowanie miesięcznego terminu nie jest możliwe z uwagi na skomplikowany charakter żądania lub dużą liczbę zgłoszonych żądań.
- W przypadku zgłoszenia żądania elektronicznie, forma naszej odpowiedzi również będzie elektroniczna.
- Zachowujemy prawo do odmowy podjęcia żądanych przez Osobę działań jeśli jest ono ewidentnie nieuzasadnione lub żądania Osoby są nadmierne, w szczególności gdy ich zgłaszanie ma charakter ustawiczny.
- Bezpieczeństwo
- Przed udzieleniem dostępu do przetwarzania Danych osobowych zapoznajemy każdego Pracownika, Współpracownika lub inne osoby przetwarzające Dane osobowe z jego upoważnienia z Polityką, w tym procedurami i zasadami dotyczącymi ochrony Danych osobowych obowiązującymi w Spółce.
- Pracownicy i Współpracownicy przetwarzający Dane osobowe są zobowiązani w szczególności do:
- przetwarzania Danych osobowych zgodnie z posiadanym upoważnieniem oraz z należytą starannością;
- w przypadku zaobserwowania zdarzenia mogącego stanowić naruszenie ochrony Danych osobowych niezwłocznego informowania o nim bezpośredniego przełożonego
- uczestnictwa w organizowanych szkoleniach z zakresu ochrony Danych osobowych;
- zachowania poufności Danych osobowych oraz informacji na temat sposobu ich zabezpieczenia, zgodnie z podpisaną klauzulą poufności.
- Współpraca z Podmiotami przetwarzającymi
- W przypadku współpracy z Podmiotami przetwarzającymi spółka stara się zapewnić jak największe bezpieczeństwo dla Osób, których dane dotyczą.
- W szczególności zasady współpracy z takimi podmiotami określone są w odpowiednich umowach przetwarzania danych, które regulować będą współpracę między nami a Podmiotem przetwarzającym i dawać odpowiednie gwarancje i zabezpieczenia ochrony praw osób, których dane dotyczą.
IV Eksport danych i przetwarzanie transgraniczne
- Poziom ochrony Danych osobowych poza Europejskim Obszarem Gospodarczym (EOG) różni się od tego zapewnianego przez prawo europejskie. Z tego powodu Spółka przekazuje Dane osobowe do państwa trzeciego tylko wtedy, gdy jest to konieczne, i z zapewnieniem odpowiedniego stopnia ochrony, przede wszystkim poprzez:
- współpracę z podmiotami przetwarzającymi Dane osobowe w państwach, w odniesieniu do których została wydana stosowna decyzja Komisji Europejskiej dotycząca stwierdzenia zapewnienia odpowiedniego stopnia ochrony Danych osobowych;
- stosowanie standardowych klauzul umownych wydanych przez Komisję Europejską.
V Zgłaszanie naruszeń ochrony Danych osobowych
- Zapewniamy, że przypadki naruszeń ochrony Danych osobowych traktowane są z najwyższą powagą i w przypadku każdego takiego naruszenia Spółka przeprowadza ich identyfikację, ocenę i zgłoszenie takiego naruszenia do Organu nadzorczego w terminie 72 godzin od ustalenia naruszenia.
- Dokumentujemy wszelkie naruszenia ochrony Danych osobowych w prowadzonym przez nas Rejestrze naruszeń.
VI Postanowienia końcowe
- W trosce o zachowanie najwyższych standardów ochrony Danych osobowych zachowujemy prawo do aktualizacji niniejszej Polityki.
- W przypadku wprowadzenia istotnych zmian, poinformujemy cię o tym z odpowiednim wyprzedzeniem za pośrednictwem aplikacji lub mailowo.