- Informacje ogólne
1.1. Celem niniejszej polityki przetwarzania danych osobowych SIA „InPass" (zwanej dalej „Administratorem") — zwanej dalej „Polityką prywatności" — jest dostarczenie ogólnych informacji na temat przetwarzania danych osobowych, celów, zakresu i ochrony tego przetwarzania, a także poinformowanie osoby, której dane dotyczą, o jej prawach i obowiązkach.
1.2. Przetwarzając dane osobowe, Administrator przestrzega obowiązujących przepisów Republiki Łotewskiej, a także rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych — RODO) oraz innych właściwych przepisów prawa w zakresie prywatności i przetwarzania danych.
1.3. Wszelkie pojęcia użyte w niniejszej Polityce prywatności są interpretowane zgodnie z definicjami zawartymi w ogólnym rozporządzeniu o ochronie danych (RODO).
1.4. W celu realizacji swoich funkcji oraz świadczenia usług w jak najefektywniejszy sposób Administrator zobowiązany jest do zbierania, przetwarzania i wykorzystywania określonych informacji o osobach, których dane dotyczą, oraz o organizacjach.
1.5. Administratorem danych osobowych jest SIA „InPass", nr rejestracyjny: 42103081883, adres: Klaipēdas 112-21, Liepāja, LV-3416, telefon: +371 20001778, adres e-mail: info@inpass.lv.
1.6. Dane kontaktowe inspektora ochrony danych: +371 29873054. - Gromadzenie i przetwarzanie danych osobowych
2.1. Administrator przetwarza dane osobowe zgodnie z postanowieniami niniejszej Polityki Prywatności jako podmiot przetwarzający, głównie w celu zapewnienia zarządzania personelem, wykonywania działalności gospodarczej i administracyjnej, zapewnienia utrzymania i funkcjonowania strony internetowej oraz administrowania systemami informatycznymi w celu obsługi klienta. - Administrator jako podmiot przetwarzający
3.1. Administrator może przetwarzać dane osobowe w imieniu swoich Klientów jako podmiot przetwarzający upoważniony przez inne osoby (np. w ramach świadczenia usług systemu monitorowania EDLUS dla wykonawców budowlanych). Do przetwarzania danych osobowych przez innych administratorów mogą mieć zastosowanie zasady ochrony prywatności, polityki lub wzajemne porozumienia tych administratorów. W takich przypadkach InPass nie jest uważany za administratora danych i nie ponosi odpowiedzialności za podstawę prawną przetwarzania danych.
3.2. Klient zapewnia prawne podstawy przetwarzania danych osobowych zgodnie z obowiązującymi przepisami o ochronie prywatności. Klient ocenia i ustala zakres ryzyk dla osób, których dane dotyczą, związanych z przetwarzaniem ich danych osobowych. Ponadto Klient, jako administrator danych, jest zobowiązany do informowania osób, których dane dotyczą, o przetwarzaniu ich danych osobowych.
3.3. W każdym przypadku InPass, jako podmiot przetwarzający, współpracuje z Klientem w celu zapewnienia zgodności z wymogami ogólnego rozporządzenia o ochronie danych (RODO), utrzymując wysoki poziom ochrony prywatności i poufności, o którym mowa w niniejszej Polityce prywatności.
3.4. InPass, przetwarzając dane osobowe powierzone przez Klienta jako podmiot przetwarzający, zapewnia co najmniej następujące techniczne i organizacyjne środki bezpieczeństwa:
3.4.1. Cztery poziomy uprawnień użytkowników, zapewniające każdemu użytkownikowi dostęp wyłącznie do informacji niezbędnych do wykonywania jego obowiązków (zasada minimalizacji danych);
3.4.2. Dane osobowe są przechowywane wyłącznie na terytorium Unii Europejskiej lub Europejskiego Obszaru Gospodarczego — konkretnie w Liepai na Łotwie;
3.4.3. Dostęp do repozytorium danych mają wyłącznie osoby upoważnione;
3.4.4. Informacje w repozytorium danych są przechowywane w zaszyfrowanej formie i w czasie przechowywania nie mogą być odczytywane, kopiowane, modyfikowane ani przesyłane bez autoryzacji;
3.4.5. Repozytorium danych umożliwia retrospektywne ustalenie i weryfikację wszystkich operacji wykonanych na przechowywanych danych;
3.4.6. Repozytorium danych automatycznie tworzy kopię zapasową raz w tygodniu, dostępną wyłącznie po autoryzacji;
3.4.7. Kopie zapasowe repozytorium danych są przechowywane w miejscu odrębnym od głównej lokalizacji przechowywania;
3.4.8. Hasło użytkownika musi mieć co najmniej dziewięć znaków i zawierać przynajmniej jedną wielką literę, jedną małą literę alfabetu łacińskiego oraz cyfrę lub znak specjalny. Platforma automatycznie raz na trzy miesiące żąda od użytkownika zmiany hasła.
3.4.9. Stosowanie zasad ochrony danych osobowych już w fazie projektowania (privacy by design) oraz domyślnej ochrony danych (privacy by default) w działaniu systemu, w tym prowadzenie dzienników audytu (logów) rejestrujących wszelkie operacje na danych osobowych (tj. każdą operację lub zestaw operacji wykonywanych na danych osobowych lub zbiorach danych osobowych, z użyciem lub bez użycia środków automatycznych — m.in. rejestrację, przekształcenie, dodanie, przeglądanie, usunięcie), z odnotowaniem daty, godziny oraz osoby (użytkownika), która dokonała operacji na danych osobowych. - Zasady ochrony danych
4.1. Przetwarzając dane, Administrator przestrzega następujących zasad:
4.1.1. Przetwarza dane osobowe w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem, przy użyciu odpowiednich środków technicznych lub organizacyjnych. Administrator podejmuje właściwe środki w celu zapewnienia, że przetwarzanie danych osobowych odbywa się zgodnie z wymogami prawa;
4.1.2. Przetwarza dane osobowe w sposób zgodny z prawem, rzetelny i przejrzysty dla osoby, której dane dotyczą;
4.1.3. Zbiera dane osobowe wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie przetwarza ich dalej w sposób niezgodny z tymi celami — z wyjątkiem przypadków, gdy jest to niezbędne do wypełnienia obowiązków i funkcji określonych przepisami prawa.
4.1.4. Przetwarza dane osobowe w zakresie adekwatnym, stosownym i ograniczonym do tego, co niezbędne do celów, w których dane są przetwarzane;
4.1.5. Przetwarza wyłącznie prawidłowe dane osobowe i w razie potrzeby dokonuje ich aktualizacji;
4.1.6. Przechowuje dane osobowe przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane;
4.2. Dane osobowe przekazane przez osobę, której dane dotyczą, nie są przekazywane ani przetwarzane poza Unią Europejską ani Europejskim Obszarem Gospodarczym. - Cele i podstawy prawne przetwarzania danych osobowych
5.1. Administrator przetwarza dane osobowe Podmiotu Danych wyłącznie w przypadku istnienia ku temu podstawy prawnej.
5.2. W celu wypełnienia obowiązków prawnych przewidzianych w przepisach prawa, umożliwiających Administratorowi realizację jego funkcji i zadań, w celu rozpatrywania otrzymanych wniosków, prowadzenia ewidencji księgowej itp.
5.3. W celu nawiązania, utrzymania i wykonania zobowiązań umownych z Podmiotem Danych, w celu zawarcia umów o pracę lub umów o świadczenie usług itp.
5.4. W celu realizacji prawnie uzasadnionych interesów Administratora, w tym administrowania systemem itp.
5.5. W przypadku, gdy Administrator oferuje określone usługi, przetwarzanie danych Podmiotu Danych może odbywać się na podstawie zgody Podmiotu Danych, na przykład na otrzymywanie wiadomości e-mail z najnowszymi ofertami lub na wykorzystywanie plików cookie na stronie internetowej. - Kategorie przetwarzanych danych osobowych
6.1. Kategorie danych osobowych przetwarzanych przez Administratora zależą od usług Administratora, z których korzystają osoby fizyczne. Na przykład:
a) W przypadku pisemnego kontaktu z Administratorem może zostać zapisana treść komunikacji i czas jej nawiązania, a także informacje o użytym narzędziu komunikacyjnym (adres e-mail);
b) Na podstawie umowy zawartej z Klientem lub jego pracownikiem przetwarzane są następujące dane osobowe: imię, nazwisko, stanowisko, numer telefonu, adres e-mail, przypisana nazwa użytkownika (ID) oraz hasło początkowe; - Przechowywanie danych osobowych
7.1. Administrator przechowuje dane osobowe przez okres określony w przepisach prawa lub do momentu osiągnięcia celu, dla którego dane zostały zebrane.
7.2. Dane osobowe przekazane przez osobę, której dane dotyczą, na podstawie jej zgody, Administrator przechowuje do momentu realizacji celu ich zebrania lub do czasu cofnięcia zgody przez tę osobę. - Prawa osoby, której dane dotyczą
8.1. Przed pozyskaniem danych osobowych lub w momencie ich pozyskania Administrator poinformuje osobę, której dane dotyczą, o tym, dlaczego dane te są potrzebne Administratorowi. Osoba, której dane dotyczą, może zostać poinformowana za pośrednictwem odrębnych klauzul informacyjnych, informacji zawartych na formularzach, informacji ujętych w umowach, tabliczek informacyjnych lub ustnie — o tym, dlaczego Administrator potrzebuje jej danych osobowych i co będzie z nimi robił, zgodnie z art. 13 ogólnego rozporządzenia o ochronie danych (RODO).
8.2. Osoba, której dane dotyczą, ma prawo — po złożeniu wniosku do Administratora osobiście z okazaniem dokumentu tożsamości lub drogą elektroniczną w formie dokumentu opatrzonego podpisem elektronicznym — do:
8.2.1. Zwrócenia się do Administratora z prośbą o informacje na temat przetwarzania jej danych osobowych przez Administratora;
8.2.2. Żądania uzupełnienia lub sprostowania swoich danych osobowych, ich usunięcia lub ograniczenia przetwarzania, a także wniesienia sprzeciwu wobec przetwarzania jej danych osobowych oraz skorzystania z prawa do przenoszenia danych. Administrator rozpatrzy wniosek osoby, której dane dotyczą, i wykona przysługujące jej prawa zgodnie z wymogami przepisów prawa;
8.2.3. Cofnięcia zgody na przetwarzanie swoich danych osobowych, jeżeli podstawą ich przetwarzania jest zgoda osoby, której dane dotyczą — bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
8.2.4. Złożenia skargi do Państwowego Inspektora Ochrony Danych w przypadku wątpliwości co do zgodności z prawem przetwarzania jej danych osobowych;
8.2.5. Realizacji wszystkich pozostałych praw osoby, której dane dotyczą, określonych w rozdziale III ogólnego rozporządzenia o ochronie danych (RODO).
8.3. Administrator rozpatrzy wniosek osoby, której dane dotyczą, i wykona przysługujące jej prawa zgodnie z wymogami przepisów prawa. Administrator udzieli odpowiedzi na wniosek osoby, której dane dotyczą, nie później niż w ciągu jednego miesiąca. W szczególnych przypadkach Administrator może przedłużyć termin udzielenia odpowiedzi o kolejne dwa miesiące, o czym poinformuje osobę, której dane dotyczą; - Kontakt z Administratorem
9.1. W przypadku jakichkolwiek pytań lub wątpliwości dotyczących przetwarzania danych osobowych przez Administratora, osoby, których dane dotyczą, powinny skontaktować się z Administratorem, korzystając z danych kontaktowych podanych w punkcie 1.