POLITYKA PRYWATNOŚCI
w odniesieniu do usług DEKRA
Wstęp
Poniższe informacje mają na celu przedstawienie sposobu, w jaki przetwarzamy Państwa dane osobowe, oraz wyszczególnienie Państwa praw wynikających z przepisów o ochronie danych osobowych. Konkretne rodzaje danych oraz sposób ich wykorzystania przez nas determinuje typ usługi, którą dla Państwa realizujemy, z tego względu nie wszystkie informacje wskazane w tym dokumencie będą Państwa dotyczyć.
Kto jest odpowiedzialny za przetwarzanie danych i z kim mogę się kontaktować w tej sprawie?
Administratorem Państwa danych osobowych w znaczeniu prawa ochrony danych osobowych jest ta spółka z Grupy DEKRA, która samodzielnie lub we współpracy z innymi podmiotami, podejmuje decyzje o celach i sposobach przetwarzania Państwa danych osobowych. Standardowo, jest to/są to spółka/spółki z grupy DEKRA, która(e) wykonują usługi dla Państwa lub które wykonają je w przyszłości.
W zdecydowanej większości przypadków Administratorem Państwa danych osobowych będzie więc, w zależności od rodzaju świadczonych usług:
DEKRA Certification Sp. z o.o.
ul. Legnicka 48H, 54-202 Wrocław
lub
DEKRA Polska Sp. z o.o.
ul. Konstruktorska 12A, 02-673 Warszawa
Mogą Państwo skontaktować się z naszym Inspektorem Ochrony Danych pod adresem e-mail: odo.pl@dekra.com
Spółką dominującą w Grupie DEKRA jest:
DEKRA SE
Handwerkstr. 15, 70565 Stuttgart
Mogą Państwo skontaktować się z naszym grupowym Inspektorem Ochrony Danych pod adresem e-mail: konzerndatenschutz@dekra.com
Z jakich źródeł korzystamy?
Przetwarzamy dane osobowe, które otrzymujemy od naszych klientów lub od innych podmiotów, których te dane dotyczą, w toku prowadzenia naszych relacji biznesowych. Dodatkowo możemy przetwarzać dane osobowe, które pozyskujemy z publicznie dostępnych źródeł (takich jak np. dostępne rejestry, prasa, Internet), w sposób dozwolony prawnie lub też dane przekazane nam zgodnie z prawem przez inne spółki z Grupy DEKRA, lub przez strony trzecie (np. wywiadownie gospodarcze).
Zazwyczaj przetwarzane przez nas dane osobowe obejmują: dane dotyczące identyfikacji osób (takie jak: imię i nazwisko, adres lub inne dane teleadresowe), dane wykorzystywane do potwierdzenia Państwa tożsamości (jak np. informacje z dowodu osobistego i podpisy), dane dotyczące zamówień lub dane związane ze spełnieniem naszych zobowiązań umownych (np. dokumentacja związana z realizacją usługi), dane reklamowe i sprzedażowe (włącznie z wynikami reklam), dane z dokumentów (np. notatki ze spotkań) oraz inne dane porównywalne z powyższymi kategoriami.
W jakim celu przetwarzamy Państwa dane (cel przetwarzania) oraz na jakiej podstawie prawnej?
Przetwarzamy Państwa dane osobowe zgodnie z przepisami RODO obowiązującymi w Unii Europejskiej (rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku - w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE) a także innymi obowiązującymi przepisami w tym zakresie.
a. w celu spełnienia zobowiązań umownych (art. 6 ust. 1 b RODO)
Dane są przetwarzane w celu świadczenia naszych usług, wykonywania postanowień zawartych przez nas umów z klientami lub w celu wykonania działań niezbędnych przed realizacją usługi/zawarciem umowy. Cele przetwarzania danych są zazwyczaj determinowane przez konkretne rodzaje naszych usług (np. przygotowanie opinii eksperckiej, przeprowadzenie inspekcji). Szczegółowe informacje na temat celów przetwarzania danych są dostępne w odpowiednich dokumentach umownych, takich jak np. Ogólne Warunki Handlowe, klauzule informacyjne dotyczące przetwarzania danych osobowych lub w informacjach o ochronie danych zawartych w politykach prywatności na naszych stronach internetowych, np.: www.dekra-certification.com.pl (DEKRA Certification Sp. z o.o.), www.dekra.pl (DEKRA Polska Sp. z o.o.), www.dekra.de/de/datenschutz-informationen (DEKRA SE).
b. do celów wynikających z prawnie uzasadnionych interesów (art. 6 ust. 1 f RODO)
W razie konieczności, przetwarzamy Państwa dane w celu realizacji zarówno własnych uzasadnionych interesów, jak i interesów stron trzecich wychodzących poza zakres umowny. Przykłady:
- utrzymanie bezpośredniego kontaktu z klientami
- reklama bezpośrednia podobnych/powiązanych usług realizowanych dla klientów oraz badanie rynku i opinii, pod warunkiem braku sprzeciwu na wykorzystanie Państwa danych w tym celu
- rozpatrywanie reklamacji
- zabezpieczenie, dochodzenie a także obrona przed roszczeniami
- zapewnianie bezpieczeństwa w zakresie IT oraz działalności IT
- zapobieganie i wyjaśnianie czynów przestępczych
- działania związane z zarządzaniem biznesem i dalszym rozwojem usług i produktów
- kontrola ryzyka w Grupie DEKRA
c. na podstawie wyrażonej przez Państwa zgody (art. 6 ust. 1 a RODO)
W przypadku wyrażenia zgody na przetwarzanie przez nas Państwa danych osobowych w określonym celu (np. wysłanie newslettera, wykonanie zdjęć w czasie konferencji, przekazanie danych wewnątrz Grupy DEKRA do celów marketingowych), legalność przetwarzania tych danych jest determinowana przez udzieloną przez Państwa zgodę. Wyrażenie zgody może też nastąpić przez tzw. „wyraźne działanie”, np. wynikające z faktu dobrowolnego pozostawienia przez osobę, której dane dotyczą, swoich danych i zwrócenie się z prośbą o ofertę marketingową, czy też ustawienie swoich preferencji marketingowych w naszym centrum preferencji. Każdą zgodę można w dowolnym momencie wycofać ze skutkiem na przyszłość poprzez kontakt z właściwym administratorem, za pośrednictwem kanałów wskazanych w klauzulach informacyjnych czy politykach prywatności. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Wniosek o cofnięcie zgody zostanie rozpatrzony niezwłocznie. Po zrealizowaniu wniosku zaprzestaniemy przetwarzać dane osobowe w celu objętym wycofaną zgodą. Do momentu realizacji wniosku może się jednak zdarzyć, że osoba, która złożyła wniosek, otrzyma od nas informacje, z których zrezygnowała cofając zgodę, z uwagi na czas potrzebny do realizacji wniosku w naszych systemach. Jeżeli przetwarzamy Państwa dane na potrzeby realizacji innych celów (np. realizacji umowy, usługi, wykazania dowodów, dochodzenia roszczeń), to nadal możemy je przetwarzać w tych celach na innej podstawie prawnej.
d. ze względu na wymogi prawne (art. 6 ust. 1 c RODO)
Dodatkowo, jesteśmy także zobowiązani do przestrzegania licznych prawnych obowiązków i wymogów (takich jak np. przepisy ustawy o praniu brudnych pieniędzy, przepisy rachunkowe i podatkowe). Cele przetwarzania danych obejmują np. zapobieganie oszustwom i praniu brudnych pieniędzy, spełnianie wymogów prawa podatkowego, controlling i obowiązki sprawozdawcze, a także ocenę i kontrolę ryzyka w grupie DEKRA.
Kto otrzyma moje dane?
W Grupie DEKRA Państwa dane otrzymują podmioty, które wymagają wglądu w nie, w celu spełnienia zobowiązań prawnych i umownych. Grupa DEKRA, oprócz centrum danych funkcjonującego w siedzibie głównej DEKRA SE (Stuttgart), posiada także lokalne lub zarządzane regionalnie centra danych, w których Państwa dane mogą być przetwarzane przez odpowiedzialną w tym zakresie spółkę z Grupy DEKRA. Dostawcy w Grupie DEKRA również mogą otrzymywać dane, jeśli spełniają konkretne wymogi prawa o ochronie danych i wyłącznie na podstawie zawartych umów, np. dostawcy usług informatycznych, marketingowych, windykacyjnych, konsultingowych. W odniesieniu do dostarczania danych odbiorcom spoza Grupy DEKRA, informacje na temat naszych klientów przekazujemy wyłącznie w ramach spełniania prawnych wymogów, którym podlegamy, a także pod warunkiem, że dany klient wyraził na to działanie zgodę lub w przypadku, gdy działanie to jest niezbędne w celu rozpoczęcia, przeprowadzenia lub zakończenia stosunku prawnego z tym klientem, lub w przypadku, gdy jest ono związane z uzasadnionym interesem Grupy DEKRA.
Odbiorcami danych osobowych podlegającymi tym wymogom są, na przykład:
- Instytucje publiczne i organy państwowe (np. instytucje finansowe, organy ścigania, upoważnione jednostki akredytujące i notyfikujące)
- inne spółki w ramach Grupy DEKRA, w celu kontroli ryzyka, na podstawie wymogów prawnych i urzędowych
- dostawcy usług, z którymi współpracujemy w ramach zawartych umów o powierzeniu przetwarzania danych osobowych.
Do grona pozostałych odbiorców danych należeć mogą także podmioty, wobec których wyrazili Państwo zgodę na udostępnienie danych lub podmioty, wobec których jesteśmy zobligowani do przekazywania Państwa danych osobowych w ramach naszego prawnie uzasadnionego interesu.
W przypadku, gdy odbiorcy danych będą samodzielnie i w imieniu własnym przetwarzać Państwa dane osobowe, np. realizować usługi we własnym imieniu, wówczas staną się odrębnymi administratorami danych i w tym zakresie ponoszą swoją własną odpowiedzialność za przetwarzanie danych osobowych.
Czy dane będą przekazywane do państwa trzeciego lub organizacji międzynarodowej?
Dane mogą być przekazywane podmiotom z krajów spoza Unii Europejskiej (tak zwane państwa trzecie), w przypadku gdy:
- będzie to niezbędne w celu wykonania Państwa zlecenia (np. w celu świadczenia usług w oparciu o umowę ramową, którą realizuje kilka spółek z Grupy DEKRA)
- jest to narzucone przez prawo (np. wymogi raportowania w ramach prawa podatkowego)
- wyraziliście Państwo zgodę na to działanie.
Co więcej, dane mogą być przekazywane do państw trzecich w następujących przypadkach:
- w razie konieczności, w poszczególnych przypadkach, Państwa dane osobowe mogą być przekazywane dostawcom usług IT w USA lub w innych krajach trzecich w ramach wykonywania przez nich usług IT dla Grupy DEKRA zgodnie z przepisami europejskimi w odniesieniu do ochrony danych, np. na podstawie standardowych klauzul umownych UE
- dane osobowe osób zainteresowanych produktami DEKRA mogą za ich zgodą być przetwarzane za pomocą systemu CRM również w USA.
W poszczególnych przypadkach, dane osobowe (np. dane identyfikacyjne) mogą być przekazywane zgodnie z przepisami unijnymi, w oparciu o zgodę podmiotu danych lub w oparciu o przepisy prawne w celu walki z praniem brudnych pieniędzy, finansowaniem terroryzmu lub innymi czynami karalnymi.
Jak długo moje dane będą przechowywane?
Przetwarzamy i przechowujemy Państwa dane osobowe przez okres niezbędny do realizacji celów, dla których dane zostały pozyskane, w szczególności w celu spełnienia naszych zobowiązań umownych i prawnych. Należy pamiętać, że nasze usługi mogą mieć charakter autonomiczny z uwagi na przepisy, którym podlegamy lub też mogą dotyczyć prawa akredytacyjnego, z czym wiąże się duża liczba specjalnych przepisów prawnych dotyczących okresów retencji danych.
Szczegółowe informacje na ten temat są dostępne w odpowiednich dokumentach umownych, np. Ogólnych Warunkach Handlowych, klauzulach informacyjnych lub w rozszerzonej informacji o ochronie danych dostępnej na naszych stronach internetowych, np.: www.dekra-certification.com.pl (DEKRA Certification Sp. z o.o.), www.dekra.pl (DEKRA Polska Sp. z o.o.), www.dekra.de/de/datenschutz-informationen (DEKRA SE).
W momencie gdy dane przestaną być niezbędne w celu spełnienia wymogów umownych lub prawnych i ustaną przewidziane okresy retencji, np. związane z przechowywaniem dokumentacji dla celów podatkowych i okresem przedawnienia roszczeń, są one usuwane lub anonimizowane.
Jakie prawa mi przysługują w związku z przetwarzaniem moich danych?
Na zasadach i warunkach określonych w RODO wszystkim osobom, których dane są przetwarzane, przysługują następująca prawa:
- prawo dostępu do swoich danych (art. 15 RODO)
- prawo do żądania sprostowania danych (art. 16 RODO)
- prawo żądania usunięcia danych (art. 17 RODO)
- prawo żądania ograniczenia przetwarzania danych (art. 18 RODO)
- prawo do przenoszenia danych (art. 20 RODO)
- prawo do wniesienia sprzeciwu wobec przetwarzania danych (art. 21 RODO)
- prawo do wycofania zgody na przetwarzanie danych (art. 7 RODO).
Każdą zgodę na przetwarzanie danych osobowych można w dowolnym momencie wycofać. Należy mieć na uwadze fakt, że wycofanie zgody nie może obowiązywać wstecz, co oznacza, że wycofanie zgody nie może mieć wpływu na przetwarzanie zakończone przed wycofaniem zgody.
W celu skorzystania z powyższych praw, należy skontaktować z inspektorem ochrony danych właściwego administratora.
W przypadku DEKRA Certification Sp. z o.o. oraz DEKRA Polska Sp. z o.o. będzie to adres e-mail: odo.pl@dekra.com, a dla DEKRA SE: konzerndatenschutz@dekra.com
Przysługuje Państwu także prawo do wnoszenia skarg do organu odpowiedzialnego za egzekwowanie prawa ochrony danych zgodnie z art. 77 RODO.
W Polsce jest nim Prezes Urzędu Ochrony Danych (ul. Stawki 2, 00-193 Warszawa).
Czy jestem zobowiązany do podania swoich danych?
W trakcie trwania relacji biznesowej należy przekazać nam dane osobowe niezbędne do rozpoczęcia, prowadzenia oraz zakończenia relacji biznesowej, a także do spełnienia zobowiązań umownych z nią związanych, lub dane, które mamy prawny obowiązek pobrać. Bez tych danych nie będziemy w stanie podpisać, realizować, ani rozwiązać umowy z Państwem.
W jakim stopniu wykorzystywane są procesy zautomatyzowanego podejmowania decyzji?
Standardowo nie korzystamy z procesów w pełni zautomatyzowanego podejmowania decyzji zgodnie z art. 22 RODO w celu nawiązywania i realizowania relacji biznesowych. W pojedynczych przypadkach, gdy korzystanie z tych procesów będzie niezbędne, poinformujemy o Państwa uprawnieniach, jeżeli będzie to wymagane prawnie.
Czy stosujemy profilowanie?
W niektórych przypadkach możemy przetwarzać Państwa dane częściowo automatycznie w celu oceny pewnych aspektów osobowych (profilowanie). Przykłady:
- W ramach wymogów prawnych i ustawowych jesteśmy zobowiązani zwalczać pranie brudnych pieniędzy, finansowanie terroryzmu i czyny karalne, które zagrażają aktywom firmy. Dane są także oceniane pod tym względem (np. w trakcie procesu płatności). Środki te mają na celu Państwa ochronę.
- Wykorzystujemy instrumenty do dokonywania oceny w celu zapewniania Państwu informacji i konsultacji na temat naszych produktów. Pozwala nam to komunikować się z Państwem i reklamować nasze produkty, a także wykonywać badania opinii klientów i badania rynku zgodnie z potrzebami klientów.
Informacja o prawie do sprzeciwu zgodnie z art. 21 RODO
Mają Państwo prawo do sprzeciwu wobec przetwarzania Państwa danych osobowych w każdym momencie w ramach art. 6 ust. 1 f RODO (przetwarzanie danych w oparciu o nasz prawnie uzasadniony interes) z powodu Państwa szczególnej sytuacji. Ma to także zastosowanie w stosunku do profilowania w oparciu o ten zapis w rozumieniu art. 4 nr 4 RODO. W przypadku, gdy złożą Państwo sprzeciw, zaprzestaniemy przetwarzania Państwa danych osobowych, chyba że wykażemy uzasadnione podstawy do przetwarzania danych, które są nadrzędne wobec Państwa interesów, praw i wolności, lub w przypadku gdy przetwarzanie służy do ustalenia, dochodzenia lub obrony roszczeń.
Prawo do sprzeciwu wobec przetwarzania danych dla celów reklamy bezpośredniej
W niektórych przypadkach przetwarzamy Państwa dane w celu wykonania reklamy bezpośredniej. Przysługuje Państwu prawo sprzeciwu wobec przetwarzania Państwa danych osobowych w celach takiego reklamowania naszych usług, ma to także zastosowanie wobec profilowania w stopniu, w jakim jest to powiązane z reklamą bezpośrednią. Jeśli wniesiecie Państwo sprzeciw wobec przetwarzania danych dla celów reklamy bezpośredniej, Państwa dane osobowe nie będą dalej przetwarzane w tym celu.
Zgłoszenie sprzeciwu wobec przetwarzania danych
Możecie Państwo złożyć sprzeciw wobec przetwarzania danych, kontaktując się z właściwym administratorem danych, np. klikając w link znajdujący się na końcu każdego emaila reklamowego, który Państwo od nas otrzymają lub kontaktując się z inspektorem ochrony danych danego administratora.
W przypadku DEKRA Certification Sp. z o.o. oraz DEKRA Polska Sp. z o.o. będzie to adres e-mail: odo.pl@dekra.com, a dla DEKRA SE: konzerndatenschutz@dekra.com