POLITYKA PRYWATNOŚCI

1. Informacje ogólne

Niniejsza Polityka Prywatności określa zasady przetwarzania danych osobowych przez ZORDON INTELLIGENCE Sp. z o.o. z siedzibą w Łodzi, KRS 0001190915, NIP 7252358503 (dalej: „Administrator", „Spółka"), w związku z funkcjonowaniem platformy Nowe-firmy.pl", prowadzeniem i aktualizowaniem własnych baz danych przedsiębiorców, udostępnianiem danych w modelu SaaS, świadczeniem usług lead generation oraz realizacją usług marketingowych typu „Done-For-You".

Polityka została przygotowana w celu zapewnienia pełnej transparentności przetwarzania danych osobowych zgodnie z zasadami wynikającymi z art. 5 RODO oraz obowiązkami informacyjnymi określonymi w art. 12--14 RODO, a także z uwzględnieniem regulacji wynikających z ustawy o świadczeniu usług drogą elektroniczną, ustawy Prawo Komunikacji Elektronicznej (PKE) oraz innych właściwych przepisów prawa.

Administrator przetwarza wyłącznie dane związane z działalnością gospodarczą (B2B) oraz dane udostępnione w celach zawodowych. Dane te nie mają charakteru szczególnych kategorii danych osobowych. Administrator dokłada najwyższej staranności, aby przetwarzanie odbywało się zgodnie z zasadą minimalizacji, integralności, rozliczalności, przejrzystości oraz ograniczenia celu.

Administrator nie przetwarza danych osobowych pochodzących z nielegalnych źródeł ani nie pozyskuje danych w sposób sprzeczny z prawem. Wszelkie przetwarzane dane pochodzą z publicznie dostępnych rejestrów przedsiębiorców oraz ze źródeł, w których dane udostępniono dobrowolnie i w związku z wykonywaniem działalności gospodarczej.

Administrator podkreśla, że przetwarzanie danych odbywa się wyłącznie w celach związanych z transparentnością obrotu gospodarczego, profesjonalizacją kontaktów B2B oraz wspieraniem komunikacji pomiędzy podmiotami prowadzącymi działalność gospodarczą.

Niniejsza Polityka obejmuje zarówno przetwarzanie danych, w których Spółka działa jako administrator, jak również przetwarzanie realizowane w imieniu Klientów w ramach usług „Done-For-You", w których Spółka występuje jako podmiot przetwarzający (procesor) zgodnie z art. 28 RODO.

2. Administrator danych i dane kontaktowe

Administratorem danych osobowych jest:

ZORDON INTELLIGENCE Sp. z o.o. NIP: 7252358503 KRS: 0001190915 Adres kontaktowy w sprawach ochrony danych: kontakt@nowe-firmy.pl

Administrator odpowiada za zapewnienie zgodności przetwarzania z RODO, PKE oraz innymi przepisami prawa. Wszelkie zapytania dotyczące niniejszej Polityki Prywatności, zakresu przetwarzania danych osobowych lub realizacji praw osób, których dane dotyczą, należy kierować na wskazany adres e-mail.

Administrator powoła Inspektora Ochrony Danych, jeżeli taki obowiązek wyniknie z przepisów RODO. Do czasu powołania IOD, wszystkie kwestie związane z ochroną danych są obsługiwane bezpośrednio przez Administratora.

Administrator stosuje środki techniczne i organizacyjne zapewniające odpowiedni do ryzyka poziom bezpieczeństwa, obejmujące w szczególności kontrolę dostępu, szyfrowanie transmisji, rejestrowanie operacji przetwarzania oraz cykliczne audyty zgodności. Administrator prowadzi również rejestr czynności przetwarzania danych oraz dokumentuje działania podejmowane w celu wykazania zgodności z RODO, zgodnie z zasadą rozliczalności z art. 5 ust. 2 RODO.

3. Kategorie danych, które przetwarzamy

Administrator przetwarza wyłącznie dane osobowe związane z działalnością gospodarczą i wykonywaniem funkcji zawodowych. Zakres przetwarzanych danych jest każdorazowo ograniczony do informacji niezbędnych do realizacji celów przetwarzania oraz utrzymywania transparentności obrotu gospodarczego. Administrator nie przetwarza danych szczególnych kategorii w rozumieniu art. 9 RODO ani danych dotyczących wyroków skazujących w rozumieniu art. 10 RODO.

Przetwarzane dane obejmują w szczególności następujące kategorie:

A. Dane pozyskiwane z publicznych rejestrów przedsiębiorców

(CEIDG, KRS, REGON, GUS, BIP, rejestry branżowe)

• imię i nazwisko osób fizycznych wykonujących działalność gospodarczą
• imię i nazwisko oraz funkcje osób pełniących funkcje reprezentacyjne (np. prezes zarządu, członek zarządu, wspólnik, prokurent)
• dane identyfikacyjne przedsiębiorstw (NIP, REGON, KRS, PKD)
• adresy prowadzenia działalności gospodarczej oraz adresy korespondencyjne ujawnione w rejestrach
• status działalności, forma prawna oraz daty rejestracji/aktualizacji wpisów
• inne dane udostępnione publicznie zgodnie z przepisami szczególnymi

Dane te mają charakter jawny, są publikowane na podstawie przepisów prawa i służą zapewnieniu przejrzystości obrotu gospodarczego.

B. Dane pozyskiwane ze stron internetowych przedsiębiorców oraz publicznych źródeł zawodowych

Administrator przetwarza wyłącznie dane udostępnione w celach biznesowych:

• służbowe adresy e-mail
• służbowe numery telefonów
• dane kontaktowe opublikowane dobrowolnie na stronach firmowych, w stopkach e-mail, katalogach branżowych, mediach społecznościowych o charakterze zawodowym (np. LinkedIn)
• informacje o osobie działającej w imieniu przedsiębiorcy w zakresie jej funkcji, stanowiska i kompetencji zawodowych

Administrator nie pozyskuje danych prywatnych, nie przetwarza danych pochodzących z profili osobistych ani danych udostępnionych wyłącznie w celach niezwiązanych z działalnością zawodową.

C. Dane użytkowników Serwisu i klientów korzystających z platformy „Fabryka Leadów"

• imię i nazwisko, nazwa firmy
• adres e-mail
• dane logowania, identyfikatory kont użytkownika, tokeny i ustawienia bezpieczeństwa
• historia zamówień, preferencje użytkownika
• dane niezbędne do obsługi płatności (z wyłączeniem numerów kart płatniczych — dane te przetwarza wyłącznie operator płatności)
• dane przekazywane dobrowolnie w formularzach kontaktowych lub podczas zakładania konta

D. Dane przetwarzane w związku ze świadczeniem usług marketingowych „Done-For-You"

W ramach świadczenia usług marketingowych Administrator może przetwarzać dane przekazane przez Klientów, w tym:

• bazy kontaktów udostępnione przez Klienta
• dane odbiorców komunikacji marketingowej (imię, nazwisko, dane kontaktowe, stanowisko)
• dane statystyczne i odpowiedzi odbiorców na działania marketingowe

W tym zakresie Administrator działa jako podmiot przetwarzający (procesor), a zasady przetwarzania określa umowa powierzenia danych.

E. Dane techniczne, eksploatacyjne i analityczne

Administrator przetwarza również dane techniczne niezbędne do zapewnienia bezpieczeństwa i prawidłowego funkcjonowania Serwisu:

• adres IP oraz identyfikatory urządzeń
• informacje o systemie operacyjnym, przeglądarce, konfiguracji technicznej
• logi systemowe związane z korzystaniem z Serwisu
• dane o aktywności użytkownika w Serwisie, w tym daty i godziny logowania, zapytania wyszukiwawcze, zakres wykorzystania funkcji

Dane techniczne mogą być wykorzystywane do celów bezpieczeństwa, zapobiegania nadużyciom, wykrywania incydentów oraz zapewnienia integralności systemu.

Przetwarzanie danych z rejestrów publicznych i publicznych źródeł zawodowych — wyjaśnienia interpretacyjne

Administrator przetwarza dane pozyskane z rejestrów publicznych, takich jak CEIDG, KRS, REGON, GUS oraz ze stron internetowych przedsiębiorców, wyłącznie w celach związanych z działalnością gospodarczą odbiorców tych danych. Dane te obejmują informacje ujawnione przez przedsiębiorców lub osoby pełniące funkcje w podmiotach gospodarczych w ramach publicznego wykonywania działalności oraz w związku z obowiązkami informacyjnymi wynikającymi z przepisów prawa.

Dane publikowane w rejestrach publicznych posiadają charakter jawny, dostępny dla nieograniczonego kręgu odbiorców, a ich przeznaczeniem jest umożliwienie weryfikacji przedsiębiorców, nawiązywania z nimi kontaktu zawodowego oraz zapewnienie bezpieczeństwa obrotu gospodarczego. W związku z tym osoby, których dane znajdują się w rejestrach, mogą zasadnie oczekiwać, że informacje te będą wykorzystywane w relacjach B2B, w tym w celu realizacji prawnie uzasadnionych interesów innych przedsiębiorców.

Administrator wskazuje, że przetwarzanie danych z rejestrów publicznych odbywa się:

• na podstawie art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora polegający na tworzeniu i utrzymaniu baz danych B2B
• zgodnie z celem publikacji danych w rejestrach
• z poszanowaniem praw osób, których dane dotyczą, w szczególności prawa sprzeciwu
• w oparciu o przeprowadzony test równowagi, którego wynik wykazał, że interes Administratora nie narusza w sposób nieproporcjonalny interesów, wolności ani praw osób, których dane dotyczą

Administrator nie przetwarza danych w sposób wykraczający poza zakres ujawniony w rejestrach publicznych i na stronach firmowych, ani nie wykorzystuje danych w celach konsumenckich.

4. Źródła pozyskiwania danych — art. 14 RODO

Administrator pozyskuje dane osobowe wyłącznie ze źródeł legalnych, publicznie dostępnych oraz w sposób bezpośredni od osób, których dane dotyczą. Administrator nie pozyskuje danych z rejestrów nieuprawnionych, baz komercyjnych o nieustalonym pochodzeniu ani z kanałów, które mogłyby naruszać prawa osób trzecich.

W zależności od procesu przetwarzania dane pochodzą z następujących źródeł:

A. Rejestry publiczne przedsiębiorców (art. 14 ust. 1 lit. d RODO)

W szczególności:

• Centralna Ewidencja i Informacja o Działalności Gospodarczej (CEIDG)
• Krajowy Rejestr Sądowy (KRS)
• REGON / GUS
• Biuletyny Informacji Publicznej (BIP)
• rejestry branżowe prowadzone ustawowo

Dane te są ujawnione na podstawie przepisów prawa i służą transparentności obrotu gospodarczego.

B. Publicznie dostępne strony internetowe przedsiębiorców

Administrator pozyskuje dane wyłącznie z miejsc, w których zostały one zamieszczone w sposób jawny, dobrowolny i w celach związanych z działalnością gospodarczą:

• firmowe strony internetowe
• stopki e-mail o charakterze zawodowym
• wizytówki branżowe, katalogi firm
• serwisy i media społecznościowe wykorzystywane zawodowo (np. LinkedIn)
• publicznie udostępnione dane kontaktowe pracowników firm

Administrator nie pozyskuje danych z profili prywatnych ani treści niezwiązanych z działalnością gospodarczą.

C. Dane przekazywane bezpośrednio przez użytkowników Serwisu

Administrator otrzymuje dane poprzez:

• formularze kontaktowe
• formularze rejestracyjne
• formularze zakupowe
• wiadomości kierowane do Administratora drogą elektroniczną
• dane podawane w trakcie rozmów handlowych i współpracy

D. Dane przekazane przez Klientów w ramach usług marketingowych typu „Done-For-You"

W ramach powierzonych baz danych Administrator otrzymuje:

• listy kontaktów
• bazy klientów lub potencjalnych klientów
• dane odbiorców komunikacji handlowej
• informacje o segmentacji i targetowaniu

W tym zakresie Administrator działa jako podmiot przetwarzający (procesor) na podstawie art. 28 RODO, zgodnie z umową powierzenia danych.

E. Dane techniczne i eksploatacyjne generowane automatycznie

W szczególności:

• logi systemowe związane z korzystaniem z Serwisu
• dane o urządzeniu i przeglądarce
• adresy IP
• identyfikatory sesji
• dane analityczne związane z aktywnością w panelu użytkownika

Dane te są pozyskiwane w sposób zautomatyzowany podczas korzystania z Serwisu oraz służą bezpieczeństwu, rozliczalności i prawidłowemu świadczeniu usług.

F. Zastrzeżenie legalności źródeł

Administrator nie pozyskuje danych z nielegalnych źródeł, nie nabywa danych od podmiotów trzecich, które nie mogą wykazać legalności ich pochodzenia, oraz nie wykorzystuje danych w sposób sprzeczny z celem, w jakim zostały udostępnione.

Administrator każdorazowo weryfikuje, czy:

• dane zostały ujawnione zgodnie z prawem
• są dostępne publicznie
• dotyczą działalności gospodarczej
• ich przetwarzanie nie narusza praw osób, których dotyczą

4a. Weryfikacja podstaw prawnych przetwarzania danych przez Klientów (PKE, RODO, UŚUDE)

W zakresie, w jakim Administrator udostępnia dane Klientom w modelu SaaS lub świadczy usługi „Done-For-You", każdy Klient jest odrębnym Administratorem danych i ponosi pełną odpowiedzialność za legalność dalszego wykorzystywania danych, w szczególności za:

• posiadanie podstawy prawnej przetwarzania
• posiadanie zgód wymaganych przez PKE
• przestrzeganie zakazu przesyłania niezamówionej informacji handlowej
• informowanie osób, których dane dotyczą

Administrator zastrzega sobie prawo do:

• wezwania Klienta do przedstawienia dokumentacji potwierdzającej posiadanie podstaw prawnych
• czasowego blokowania konta Klienta do czasu wyjaśnienia podstaw przetwarzania
• odmowy współpracy, jeśli Klient narusza PKE, RODO lub UŚUDE
• dokumentowania takich sytuacji na potrzeby wykazania należytej staranności przed organem nadzorczym

5. Cele i podstawy prawne przetwarzania danych

Administrator przetwarza dane osobowe wyłącznie w zakresie niezbędnym do prowadzenia działalności gospodarczej, świadczenia usług oraz zapewnienia transparentności i bezpieczeństwa obrotu gospodarczego. Przetwarzanie odbywa się w oparciu o przesłanki określone w art. 6 ust. 1 RODO, zgodnie z zasadą minimalizacji oraz zasadą rozliczalności.

Administrator przeprowadził Test Równowagi, o którym mowa w art. 6 ust. 1 lit. f RODO, i ustalił, że interes Administratora nie narusza praw i wolności osób, których dane dotyczą, z uwagi na zawodowy charakter danych, ich publikację w rejestrach publicznych oraz ich przeznaczenie w obrocie gospodarczym.

Poszczególne cele przetwarzania przedstawiają się następująco:

1. Tworzenie, aktualizowanie i utrzymywanie baz danych B2B

Cel: gromadzenie, kategoryzacja, wzbogacanie i bieżąca aktualizacja danych przedsiębiorców oraz osób reprezentujących firmy, na potrzeby oferowania prawidłowych i aktualnych danych B2B.

Podstawa prawna:

• art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora polegający na prowadzeniu działalności w zakresie udostępniania informacji o przedsiębiorcach oraz transparentności obrotu gospodarczego

Uwagi: Administrator przetwarza wyłącznie dane zawodowe lub ujawnione publicznie. Szczegółowy Test Równowagi został przeprowadzony i jest dokumentowany.

2. Udostępnianie danych w modelu SaaS (Software as a Service)

Cel: zapewnienie Klientom dostępu do platformy umożliwiającej wyszukiwanie, filtrowanie i pobieranie danych o przedsiębiorcach.

Podstawa prawna:

• art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora polegający na udostępnianiu funkcjonalności cyfrowej w modelu subskrypcyjnym

Uwagi: Dane pobrane przez Klienta stają się częścią jego własnych zasobów danych, a Klient — jako podmiot decydujący o celach i sposobach dalszego wykorzystywania danych — jest odrębnym administratorem danych w zakresie ich dalszego przetwarzania. Administrator nie ponosi odpowiedzialności za działania Klientów.

3. Prowadzenie Globalnej Listy Sprzeciwów

Cel: zapewnienie realizacji prawa sprzeciwu osób, których dane dotyczą, oraz wykluczenie tych danych z wyników udostępnianych Klientom.

Podstawa prawna:

• art. 6 ust. 1 lit. c RODO — obowiązek prawny wynikający z realizacji prawa sprzeciwu z art. 21 RODO
• art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora polegający na rzetelnym prowadzeniu działalności oraz minimalizacji ryzyka nadużyć

Uwagi: Osoby zgłaszające sprzeciw są trwale wykluczane z wyników wyszukiwania.

4. Świadczenie usług marketingowych typu „Done-For-You" oraz cold mailingu

Cel: realizacja usług marketingowych na rzecz Klientów, w tym wysyłka komunikacji biznesowej do wskazanych odbiorców.

Podstawa prawna:

• art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Klienta
• art. 398—401 ustawy Prawo Komunikacji Elektronicznej (PKE) — regulacje dotyczące przesyłania informacji handlowej oraz komunikacji elektronicznej

Uwagi: W tym zakresie Administrator działa jako podmiot przetwarzający (procesor), a zasady przetwarzania określa umowa powierzenia danych osobowych zgodnie z art. 28 RODO.

5. Bezpieczeństwo systemu, tworzenie logów i audytu

Cel: zapewnienie ciągłości działania platformy, bezpieczeństwa danych, wykrywania incydentów, zapobiegania nadużyciom oraz dokumentowania aktywności użytkowników.

Podstawa prawna:

• art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora polegający na zabezpieczeniu środowiska teleinformatycznego i wykazaniu zgodności z RODO

6. Obsługa zapytań, żądań, sprzeciwów i korespondencji

Cel: udzielanie odpowiedzi na zapytania, realizacja praw osób, których dane dotyczą, oraz prowadzenie niezbędnej korespondencji.

Podstawa prawna:

• art. 6 ust. 1 lit. c RODO — obowiązek realizacji praw osób, których dane dotyczą zgodnie z art. 15—22 RODO
• art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora w zakresie obsługi komunikacji

7. Tworzenie statystyk, analityka i rozwój usług

Cel: analiza wykorzystania Serwisu, rozwój funkcjonalności, optymalizacja usług i poprawa jakości danych.

Podstawa prawna:

• art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora w rozwijaniu usług i udoskonalaniu infrastruktury

Uwagi: Dane są przetwarzane w formie zagregowanej lub pseudonimizowanej, gdy jest to możliwe.

8. Wypełnianie obowiązków prawnych ciążących na Administratorze

Cel: spełnienie wymogów wynikających z przepisów prawa, w tym prowadzenia dokumentacji księgowej, rozliczeń podatkowych, reagowania na żądania organów lub roszczenia.

Podstawa prawna:

• art. 6 ust. 1 lit. c RODO — obowiązek prawny wynikający m.in. z przepisów podatkowych, rachunkowych oraz innych aktów prawa powszechnie obowiązującego

9. Formularze kontaktowe, kwalifikacyjne i obsługa procesów sprzedażowych

Cel: kontakt z osobami zainteresowanymi usługami, kwalifikacja leadów, udzielanie informacji handlowej oraz realizacja działań zmierzających do zawarcia umowy.

Podstawa prawna:

• art. 6 ust. 1 lit. b RODO — podjęcie działań przed zawarciem umowy
• art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora w prowadzeniu działalności handlowej

6. Przetwarzanie danych w kontekście komunikacji elektronicznej (PKE)

Administrator informuje, że wszelka komunikacja elektroniczna kierowana do użytkownika końcowego — w szczególności o charakterze marketingowym — może podlegać przepisom ustawy z dnia 12 lipca 2024 r. — Prawo Komunikacji Elektronicznej (PKE), w szczególności art. 398—401 PKE, regulujących:

• przesyłanie informacji handlowej
• wykorzystywanie urządzeń końcowych odbiorcy do celów marketingowych
• stosowanie automatycznych systemów wywołujących lub podobnych narzędzi technicznych
• dopuszczalność kierowania treści marketingowych bez wyraźnej zgody odbiorcy

Administrator podkreśla, że zgodnie z PKE obowiązki w zakresie zapewnienia zgodności komunikacji elektronicznej spoczywają na podmiocie, który:

• inicjuje komunikację
• ustala jej treść
• decyduje o kanale komunikacji
• kieruje przekaz do użytkownika końcowego (w tym przedsiębiorcy prowadzącego jednoosobową działalność gospodarczą)

A. Kiedy komunikacja wymaga zgody na podstawie PKE

Zgoda użytkownika końcowego jest wymagana w szczególności, gdy:

1. Przekazywana jest informacja handlowa, w tym oferta, propozycja współpracy, zaproszenie do kontaktu lub komunikacja mająca charakter marketingowy
2. Dochodzi do wykorzystania urządzenia końcowego odbiorcy (telefonu, komputera, tabletu, skrzynki e-mail) w celu przedstawienia treści marketingowych
3. Wykorzystywane są automatyczne systemy wywołujące, narzędzia masowej wysyłki, systemy dialerów, boty, generatory zapytań lub inne technologie umożliwiające przesyłanie komunikacji marketingowej bez aktywnego udziału człowieka
4. Komunikacja jest kierowana do użytkownika końcowego w rozumieniu PKE, także jeśli jest to osoba fizyczna prowadząca działalność gospodarczą (B2B nie jest automatycznie wyłączone spod PKE)

Administrator zwraca uwagę, że nawet komunikacja kierowana do podmiotów gospodarczych może wymagać uprzedniej zgody użytkownika, jeżeli przekaz dotyczy informacji handlowej i wykorzystuje urządzenie końcowe odbiorcy.

B. Odpowiedzialność Klientów w ramach usług marketingowych oraz SaaS

Administrator nie ponosi odpowiedzialności za treść, zgodność z prawem ani formę komunikacji elektronicznej kierowanej przez Klientów, w szczególności:

• wysyłkę wiadomości e-mail
• wysyłkę wiadomości SMS
• kampanie cold mailingowe
• kontakt telefoniczny
• używanie botów, dialerów, automatycznych systemów wywołujących
• wykorzystywanie danych pobranych z platformy

Klient ponosi wyłączną i pełną odpowiedzialność za ocenę:

• czy dana forma komunikacji wymaga zgody
• czy zgoda została skutecznie uzyskana
• czy komunikacja jest zgodna z art. 398—401 PKE
• czy przekazywane treści nie stanowią niezamówionej informacji handlowej w rozumieniu PKE i ustawy o świadczeniu usług drogą elektroniczną

Administrator wskazuje, że udostępnienie narzędzia SaaS lub realizacja usług DFY nie oznacza, że Administrator staje się inicjatorem komunikacji ani podmiotem odpowiedzialnym za jej zgodność z PKE.

C. Obowiązek przestrzegania PKE po stronie Klienta

Każdy Klient, korzystając z Serwisu lub z usług DFY, zobowiązuje się:

1. Przestrzegać przepisów PKE oraz pozostałych regulacji dotyczących komunikacji elektronicznej
2. Uzyskać, gdy jest to wymagane, uprzednią zgodę odbiorcy na przesyłanie informacji handlowej
3. Dokumentować i przechowywać uzyskane zgody w sposób umożliwiający ich wykazanie
4. Weryfikować, czy dana kampania nie narusza art. 398—401 PKE
5. Przestrzegać zasad dotyczących oznaczania informacji handlowej i identyfikacji nadawcy
6. Przestrzegać prawa sprzeciwu odbiorcy, w tym niezwłocznego zaprzestania kontaktu

D. Wyłączenie odpowiedzialności Administratora

Administrator nie ponosi odpowiedzialności wobec Klienta ani osób trzecich za:

• naruszenie PKE przez Klienta
• kierowanie informacji handlowej bez zgody odbiorcy
• naruszenie zakazu używania automatycznych systemów wywołujących
• stosowanie praktyk uznanych za spam lub czyn nieuczciwej konkurencji
• wykorzystanie danych pobranych z platformy w sposób niezgodny z prawem

Klient zobowiązuje się zwolnić Administratora z odpowiedzialności oraz pokryć wszelkie koszty, kary administracyjne, odszkodowania oraz inne roszczenia wynikłe z naruszenia PKE przez Klienta.

7. Prawo sprzeciwu i Globalna Lista Sprzeciwów

Każda osoba, której dane dotyczą, ma prawo wnieść w dowolnym momencie sprzeciw wobec przetwarzania jej danych osobowych na podstawie art. 21 RODO, w szczególności w zakresie przetwarzania danych pochodzących z publicznych rejestrów oraz publicznie dostępnych źródeł wykorzystywanych w celach informacyjnych lub marketingowych.

W celu zagwarantowania realizacji tego prawa Administrator prowadzi Globalną Listę Sprzeciwów — specjalny rejestr wskazujący osoby, które zgłosiły sprzeciw wobec przetwarzania ich danych lub sprzeciw wobec udostępniania ich danych Klientom w ramach usług świadczonych przez Administratora.

A. Zgłaszanie sprzeciwu

Osoba, której dane dotyczą, może zgłosić sprzeciw:

• za pośrednictwem formularza dostępnego w „Centrum Prywatności"
• drogą elektroniczną poprzez kontakt na adres iod@zordonintelligence.pl
• w dowolny inny sposób zapewniający identyfikację osoby i zakres sprzeciwu

Administrator potwierdza otrzymanie sprzeciwu i informuje o dalszych działaniach zgodnie z art. 21 ust. 3 RODO.

B. Skutki wniesienia sprzeciwu

Z chwilą skutecznego wniesienia sprzeciwu:

1. dane osoby fizycznej zostają niezwłocznie wpisane do Globalnej Listy Sprzeciwów
2. Administrator zaprzestaje przetwarzania danych objętych sprzeciwem, chyba że wykaże istnienie ważnych, nadrzędnych podstaw prawnych
3. dane nie są udostępniane Klientom w żadnym modelu (bazy danych, SaaS, leady, DFY)
4. dane nie pojawiają się w wynikach wyszukiwania, eksportach, raportach ani w operacjach przetwarzania realizowanych w ramach Serwisu

Administrator stosuje techniczne i organizacyjne środki zapewniające, że dane objęte sprzeciwem są trwale wykluczane z każdej funkcji Serwisu.

C. Charakter i zakres Globalnej Listy Sprzeciwów

Globalna Lista Sprzeciwów:

• ma charakter wewnętrznego rejestru prowadzonego przez Administratora
• służy wyłącznie do realizacji obowiązków wynikających z art. 21 RODO
• nie jest udostępniana Klientom ani osobom trzecim
• jest wykorzystywana wyłącznie do filtrowania wyników udostępnianych Klientom

Lista ta nie stanowi nowego celu przetwarzania, lecz jest środkiem ochronnym wynikającym z art. 6 ust. 1 lit. c i f RODO.

D. Obowiązki Klientów w związku ze sprzeciwem

Klient, korzystając z Serwisu lub usług DFY, zobowiązuje się:

1. honorować sprzeciw wniesiony wobec Administratora
2. nie przetwarzać danych osób, które zgłosiły sprzeciw do Administratora lub bezpośrednio do Klienta
3. informować Administratora o sprzeciwach zgłoszonych do Klienta w celu ich weryfikacji i aktualizacji listy
4. nie podejmować działań marketingowych wobec osób, które nie wyraziły zgody lub zgłosiły sprzeciw

Administrator stosuje rozwiązania techniczne, aby minimalizować ryzyko naruszenia, jednak odpowiedzialność za działania Klienta wobec odbiorców pozostaje po stronie Klienta.

E. Wyłączenie odpowiedzialności Administratora wobec naruszeń po stronie Klientów

Administrator nie ponosi odpowiedzialności za:

• przetwarzanie danych objętych sprzeciwem przez Klienta poza Serwisem
• brak aktualizacji baz danych po stronie Klienta
• naruszenie prawa sprzeciwu przez Klienta w toku prowadzenia działań marketingowych
• jakiekolwiek roszczenia wynikłe z niehonorowania sprzeciwu przez Klienta

Klient ponosi pełną odpowiedzialność za przetwarzanie danych osób, które zgłosiły sprzeciw.

F. Bezwzględne wyłączenie przetwarzania danych bez względu na zgłoszony sprzeciw

Administrator nie przetwarza danych osobowych dzieci ani nie kieruje swoich usług do osób poniżej 18. roku życia.

W przypadku stwierdzenia, że dane dziecka zostały przetworzone, Administrator niezwłocznie usuwa takie dane i informuje o tym podmiot, od którego zostały pozyskane, o ile jest to możliwe.

8. Okres przechowywania danych

Administrator przechowuje dane osobowe wyłącznie przez okres niezbędny do realizacji celów, dla których zostały pozyskane, z poszanowaniem zasady ograniczenia przechowywania z art. 5 ust. 1 lit. e RODO oraz z uwzględnieniem obowiązków wynikających z przepisów prawa, w tym przepisów rachunkowych, podatkowych i dotyczących przedawnienia roszczeń.

Okresy przechowywania danych są zależne od ich kategorii oraz podstaw prawnych ich przetwarzania i przedstawiają się następująco:

A. Dane pochodzące z rejestrów publicznych

W szczególności CEIDG, KRS, REGON, GUS, BIP.

Okres przechowywania:

• tak długo, jak dane pozostają ujawnione w rejestrach publicznych lub są dostępne w publicznych źródłach
• lub do czasu wniesienia skutecznego sprzeciwu przez osobę, której dane dotyczą (art. 21 RODO)

B. Dane pozyskane poprzez formularze kontaktowe, rejestracyjne i kwalifikacyjne

W tym: dane użytkowników Serwisu, dane kontaktowe, dane niezbędne do realizacji umowy lub działań przedumownych.

Okres przechowywania:

• przez cały okres korzystania z Serwisu lub prowadzenia korespondencji
• a następnie przez okres 10 lat, co zapewni możliwość zabezpieczenia roszczeń, tj. do upływu okresu przedawnienia roszczeń wynikających z zawartej umowy lub kontaktu handlowego z uwzględnieniem czasu trwania postępowań sądowych na terenie Rzeczypospolitej Polskiej

C. Dane związane z prowadzeniem konta Klienta w Serwisie

Okres przechowywania:

• do momentu usunięcia konta użytkownika
• a następnie przez okres 5 lat
• dane techniczne niezbędne do bezpieczeństwa przechowywane są według odrębnych reguł wskazanych poniżej

D. Logi systemowe, logi bezpieczeństwa oraz dane techniczne

Okres przechowywania:

• przez 24 miesiące
• lub dłużej, jeżeli jest to konieczne do ustalenia, dochodzenia lub obrony roszczeń, wykrywania nadużyć lub analizy incydentów bezpieczeństwa, jeżeli żądanie takie lub wniosek został zgłoszony przez odpowiednie organy państwowe w wyżej wskazanym terminie

Po upływie tego czasu dane są anonimizowane lub usuwane.

E. Dane przetwarzane w ramach usług marketingowych typu „Done-For-You" (DFY)

W tym dane kontaktowe odbiorców komunikacji, bazy przekazane przez Klienta, dane o wynikach kampanii.

Okres przechowywania:

• zgodnie z umową powierzenia przetwarzania
• wyłącznie przez okres niezbędny do świadczenia usług na rzecz Klienta
• po zakończeniu świadczenia usług dane są usuwane, zwracane Klientowi lub anonimizowane — zgodnie z dyspozycją Klienta oraz wymogami art. 28 RODO

Administrator nie przechowuje danych Klienta w zakresie szerszym, niż wynika to z zawartej umowy i nie wykorzystuje ich do własnych celów.

F. Dane związane z korespondencją i realizacją praw osób, których dane dotyczą

Okres przechowywania:

• przez okres niezbędny do obsługi zgłoszenia
• następnie przez okres niezbędny do wykazania realizacji obowiązków informacyjnych i rozliczalności oraz zabezpieczający możliwe roszczenia stron, tj. przez 5 lat

G. Dane przechowywane na podstawie przepisów prawa

Dotyczy to w szczególności danych księgowych i podatkowych.

Okres przechowywania:

• 5 lat od zakończenia roku obrotowego, którego dotyczą dokumenty
• chyba że przepisy szczególne stanowią inaczej

H. Zasada ograniczenia przechowywania

We wszystkich procesach Administrator stosuje zasadę:

„przechowywać dane tak długo, jak to konieczne — nie dłużej".

Po upływie odpowiednich okresów dane są:

• usuwane
• anonimizowane
• albo poddawane pseudonimizacji, w zależności od charakteru procesu i wymogów prawnych

9. Odbiorcy danych

Administrator przekazuje dane osobowe wyłącznie podmiotom, którym takie ujawnienie jest konieczne do realizacji celów przetwarzania, wykonania umowy lub zapewnienia prawidłowego funkcjonowania Serwisu. Udostępnianie danych odbywa się z poszanowaniem zasad wynikających z art. 5, art. 28 oraz art. 32 RODO oraz zgodnie z zasadą minimalizacji.

Kategorie odbiorców danych obejmują:

1. Klientów korzystających z baz danych, usług SaaS i usług „Done-For-You"

Administrator udostępnia dane Klientom:

• w zakresie wynikającym z zamówienia
• jako element usługi udostępniania danych w modelu SaaS
• jako element realizacji kampanii w ramach usług marketingowych „Done-For-You"

Klienci uzyskują dostęp wyłącznie do danych, które stanowią niezbędny komponent zamówionej usługi i działają jako odrębni administratorzy danych w rozumieniu RODO. Każdy Klient odpowiada w sposób samodzielny i niezależny za:

• legalność przetwarzania danych
• zgodność wykonywanych działań z RODO, PKE oraz UŚUDE
• ocenę, czy do prowadzenia komunikacji elektronicznej konieczne jest uzyskanie zgody odbiorcy

Administrator nie gromadzi, nie przechowuje, nie weryfikuje ani nie przekazuje Klientom zgód wymaganych przepisami PKE i nie pośredniczy w procesie ich uzyskiwania.

2. Dostawców usług IT, hostingu, infrastruktury i bezpieczeństwa

Dane są ujawniane zaufanym podmiotom świadczącym na rzecz Administratora usługi:

• hostingu i przechowywania danych
• zapewnienia stabilności i bezpieczeństwa infrastruktury
• utrzymania systemów teleinformatycznych
• monitoringu oraz zabezpieczeń cybernetycznych

Podmioty te działają jako procesorzy, na podstawie zawartych umów powierzenia danych zgodnie z art. 28 RODO.

3. Podmiotom przetwarzającym dane na rzecz Administratora

Administrator może przekazywać dane podmiotom świadczącym na jego rzecz usługi:

• księgowe
• techniczne
• doradcze
• analityczne
• serwisowe

Wszystkie te podmioty działają jako podmioty przetwarzające i zostały zobowiązane do zachowania poufności, stosowania środków bezpieczeństwa oraz przetwarzania danych wyłącznie na udokumentowane polecenie Administratora.

4. Operatorom płatności

Dane przekazywane operatorom płatności obejmują wyłącznie informacje niezbędne do obsługi transakcji. Administrator nie posiada dostępu do pełnych danych kart płatniczych ani metod płatności, które są przetwarzane wyłącznie przez operatora.

Operator działa jako odrębny administrator danych zgodnie z przepisami RODO oraz regulacjami dotyczącymi usług płatniczych.

5. Organom publicznym i podmiotom uprawnionym z mocy prawa

Dane mogą zostać ujawnione wyłącznie:

• organom państwowym
• organom ścigania
• sądom
• organom nadzorczym

jeżeli obowiązek udostępnienia wynika bezpośrednio z obowiązujących przepisów prawa, a zakres przekazywanych danych jest ograniczony do minimum.

6. Klientom Administratora jako element świadczonych usług

Dane osobowe mogą być ujawniane Klientom Administratora jedynie:

• w zakresie, w jakim stanowi to konieczny element świadczonych usług w modelu SaaS lub usług „Done-For-You"
• w zakresie zgodnym z treścią zamówienia lub konfiguracją konta Klienta
• wyłącznie w odniesieniu do danych niezbędnych do realizacji określonego celu przetwarzania

Klienci są niezależnymi administratorami danych i odpowiadają za:

• legalność przetwarzania
• podstawy prawne kontaktu z odbiorcą
• zgodność przetwarzania z PKE, RODO, UŚUDE oraz innymi właściwymi przepisami

Administrator nie przekazuje Klientom żadnych zgód wymaganych przez PKE, nie przechowuje ich i nie bierze udziału w ich pozyskiwaniu.

7. Zastrzeżenia i ograniczenia

Administrator:

• nie sprzedaje danych osobowych osobom trzecim w celach konsumenckich
• nie udostępnia danych podmiotom, które nie wykażą legalności ich dalszego przetwarzania
• nie udostępnia żadnych danych odbiorcom mającym siedzibę w państwach trzecich, chyba że spełnione są wymogi rozdziału V RODO

10. Pliki cookies i informacje przechowywane w urządzeniu końcowym użytkownika zgodnie z PKE

Administrator informuje, że wszelkie dane przechowywane w urządzeniu końcowym użytkownika Serwisu, w tym w szczególności pliki cookies, local storage, narzędzia identyfikacyjne, techniki fingerprintingu oraz inne technologie służące pozyskiwaniu informacji o aktywności użytkownika, podlegają reżimowi prawnemu określonemu w art. 399 ustawy Prawo Komunikacji Elektronicznej (PKE).

Zgodnie z tym przepisem:

A. Zasada zgody na przechowywanie i uzyskiwanie informacji

1. Jakiekolwiek przechowywanie informacji w urządzeniu końcowym użytkownika lub uzyskiwanie do nich dostępu może nastąpić wyłącznie po uzyskaniu uprzedniej, świadomej i dobrowolnej zgody użytkownika, chyba że przepisy prawa stanowią inaczej
2. Zgoda musi spełniać wymogi art. 4 pkt 11 RODO oraz art. 399 PKE, co oznacza, że musi być:

• dobrowolna
• konkretna
• świadoma
• jednoznaczna
• możliwa do wycofania w każdym czasie bez negatywnych konsekwencji

3. Serwis uzyskuje zgodę za pomocą banera zgód, który umożliwia:

• „Akceptuję wszystkie"
• „Odrzucam wszystkie"
• „Zarządzaj ustawieniami" (własny panel preferencji)

Baner spełnia wymogi PKE, nie stosuje wzorców dark-patterns i nie wymusza zgód poprzez nieproporcjonalne ograniczenia funkcjonalności.

B. Wyjątek — cookies niezbędne

Zgoda nie jest wymagana wyłącznie w przypadku plików cookies oraz technologii, które są absolutnie niezbędne do:

• prawidłowego działania Serwisu
• utrzymania sesji użytkownika
• zapewnienia bezpieczeństwa
• świadczenia usług wyraźnie żądanych przez użytkownika

Do kategorii cookies niezbędnych zalicza się m.in.:

• cookies sesyjne
• cookies związane z konfiguracją prywatności
• cookies konieczne do autoryzacji i uwierzytelnienia
• cookies ustawiające preferencje techniczne niezbędne do działania Serwisu

Administrator każdorazowo dokonuje kwalifikacji plików cookies zgodnie z ich rzeczywistą funkcją.

C. Kategorie stosowanych technologii

Administrator może stosować następujące technologie:

1. cookies niezbędne (bez zgody)
2. cookies funkcjonalne (wymagają zgody)
3. cookies analityczne i statystyczne (wymagają zgody)
4. cookies reklamowe / marketingowe (wymagają zgody)
5. local storage
6. techniki identyfikacji urządzenia
7. narzędzia bezpieczeństwa wykrywające nadużycia (niezbędne)

Każda technologia wymaga zgody — z wyjątkiem kategorii niezbędnych.

D. Wycofanie lub modyfikacja zgody

Użytkownik ma możliwość:

• wycofania zgody w dowolnym momencie
• zmiany preferencji
• odmowy wyrażenia zgody poprzez baner lub panel cookie
• usunięcia plików cookies poprzez ustawienia przeglądarki

Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano przed jej cofnięciem.

E. Zakres odpowiedzialności Administratora

Administrator:

• stosuje wyłącznie technologie zgodne z wymogami PKE i RODO
• nie stosuje fingerprintingu ani mechanizmów śledzących bez zgody użytkownika
• nie manipuluje banerem cookie ani interfejsem w sposób naruszający zasadę uczciwości i przejrzystości

Administrator nie ponosi odpowiedzialności za ustawienia przeglądarki użytkownika ani za technologie stosowane przez dostawców przeglądarek.

F. Współpraca z dostawcami narzędzi zewnętrznych

W przypadku stosowania narzędzi analitycznych lub marketingowych pochodzących od podmiotów trzecich, Administrator zapewnia:

• że dane są przekazywane wyłącznie w ramach zgody
• że podmioty te są procesorami lub współadministratorami zgodnie z RODO
• że stosowane narzędzia spełniają wymogi PKE dotyczące przechowywania danych na urządzeniu użytkownika

11. Prawa osób, których dane dotyczą

Administrator zapewnia osobom, których dane dotyczą, możliwość wykonywania wszystkich praw wynikających z RODO, z uwzględnieniem zawodowego charakteru przetwarzanych danych oraz zakresu przetwarzania wynikającego z publicznego ujawnienia danych w rejestrach przedsiębiorców.

Każda osoba fizyczna, której dane są przetwarzane przez Administratora, ma prawo do:

1. Dostępu do danych osobowych (art. 15 RODO)

Osoba ma prawo uzyskać:

• potwierdzenie, czy jej dane są przetwarzane
• dostęp do treści danych
• informacje o celach, podstawach prawnych, kategoriach danych, okresach przechowywania, odbiorcach oraz źródłach pozyskania danych
• kopię danych

Administrator może odmówić wydania kolejnych kopii, jeśli byłoby to nadmierne lub prowadziło do nadużycia prawa.

2. Sprostowania danych (art. 16 RODO)

Osoba ma prawo żądać sprostowania danych nieprawidłowych lub uzupełnienia niekompletnych. W przypadku danych pochodzących z rejestrów publicznych sprostowanie może nastąpić jedynie po dokonaniu zmiany w odpowiednim rejestrze (CEIDG, KRS itp.).

3. Usunięcia danych („prawo do bycia zapomnianym") — art. 17 RODO

Prawo to przysługuje, jeżeli:

• dane nie są już niezbędne do celów przetwarzania
• osoba cofnęła zgodę (jeśli zgoda była podstawą)
• osoba wniosła skuteczny sprzeciw i nie zachodzą nadrzędne interesy Administratora
• przetwarzanie jest niezgodne z prawem

Wyjątki: Administrator może odmówić usunięcia danych, jeżeli:

• dane pochodzą z publicznych rejestrów, które nakładają obowiązek ich ujawniania
• przetwarzanie jest konieczne do ustalenia, dochodzenia lub obrony roszczeń
• przetwarzanie wynika z obowiązku prawnego
• dane są niezbędne do zapewnienia integralności Globalnej Listy Sprzeciwów

4. Ograniczenia przetwarzania (art. 18 RODO)

Osoba może żądać, aby Administrator ograniczył przetwarzanie jej danych, m.in. gdy:

• kwestionuje prawidłowość danych
• sprzeciwia się przetwarzaniu — do czasu rozpatrzenia sprzeciwu
• przetwarzanie jest niezgodne z prawem, lecz osoba nie chce ich usunięcia
• dane są potrzebne osobie do dochodzenia lub obrony roszczeń

Dane objęte ograniczeniem nie są przetwarzane poza ich przechowywaniem.

5. Przenoszenia danych (art. 20 RODO)

Prawo to ma zastosowanie tylko wtedy, gdy:

• dane zostały dostarczone Administratorowi przez osobę
• przetwarzanie odbywa się na podstawie zgody lub umowy
• przetwarzanie odbywa się w sposób zautomatyzowany

Większość danych przetwarzanych przez Administratora (np. z rejestrów publicznych) nie spełnia tych kryteriów, dlatego prawo przenoszenia ma zastosowanie w ograniczonym zakresie.

6. Sprzeciwu wobec przetwarzania danych (art. 21 RODO)

Osoba ma prawo wnieść sprzeciw wobec przetwarzania danych opartego na:

• art. 6 ust. 1 lit. f RODO (uzasadniony interes Administratora)
• przetwarzaniu danych pochodzących z publicznych rejestrów
• wykorzystywaniu danych do celów marketingowych

W przypadku danych używanych do marketingu — sprzeciw jest absolutny i skutkuje natychmiastowym zaprzestaniem przetwarzania.

Administrator prowadzi Globalną Listę Sprzeciwów, do której wpisywane są dane osób, które zgłosiły sprzeciw — co trwale wyklucza je z wszystkich wyników i zbiorów przetwarzanych przez Administratora.

7. Wniesienia skargi do organu nadzorczego (art. 77 RODO)

Osoba ma prawo wnieść skargę do:

Prezes Urzędu Ochrony Danych Osobowych ul. Stawki 1A, 00-193 Warszawa

Skarga może zostać wniesiona niezależnie od procedury prowadzonej przez Administratora.

Realizacja praw osób, których dane dotyczą

W celu realizacji powyższych praw osoby, których dane dotyczą, mogą kontaktować się z Administratorem:

📩 iod@zordonintelligence.pl

Administrator udziela odpowiedzi bez zbędnej zwłoki, nie później jednak niż w terminie jednego miesiąca, zgodnie z art. 12 ust. 3 RODO. W przypadku spraw szczególnie złożonych termin może zostać przedłużony o kolejne dwa miesiące, o czym Administrator poinformuje osobę żądającą realizacji prawa.

12. Profilowanie i zautomatyzowane podejmowanie decyzji

Administrator informuje, że nie podejmuje wobec osób, których dane dotyczą, decyzji wywołujących wobec nich skutki prawne ani w podobny sposób istotnie na nie wpływających, w oparciu wyłącznie o zautomatyzowane przetwarzanie danych, w tym profilowanie, o którym mowa w art. 22 RODO.

Administrator nie prowadzi profilowania w rozumieniu art. 4 pkt 4 i art. 22 RODO, tj. nie stosuje mechanizmów służących do oceny czynników osobowych użytkownika ani nie tworzy modeli predykcyjnych dotyczących zachowania, preferencji, zdolności czy sytuacji prawnej osoby.

A. Charakter automatyzacji stosowanej w Serwisie

Administrator może stosować automatyczne przetwarzanie danych wyłącznie w zakresie niezbędnym do:

• kategoryzowania danych przedsiębiorców według cech obiektywnych (np. PKD, lokalizacja, forma działalności)
• filtrowania wyników wyszukiwania w Serwisie
• technicznego grupowania informacji zgodnie z konfiguracją zadaną przez użytkownika
• aktualizacji i deduplikacji danych
• generowania raportów i zestawień o charakterze statystycznym lub technicznym
• zapewnienia integralności danych oraz bezpieczeństwa systemu

Automatyczne kategoryzowanie pełni funkcję techniczno-porządkującą i nie ma na celu oceny osoby fizycznej ani przypisywania jej indywidualnych cech.

B. Brak indywidualnych konsekwencji dla osób, których dane dotyczą

Żadne działania automatyczne wykonywane przez Serwis:

• nie prowadzą do oceny kwalifikacji zawodowych
• nie dotyczą sytuacji ekonomicznej lub zdrowotnej
• nie oceniają preferencji ani przewidywanego zachowania
• nie prowadzą do podejmowania decyzji wobec użytkownika
• nie wywołują względem użytkownika skutków prawnych
• nie wpływają na jego prawa, obowiązki lub sytuację faktyczną

Mechanizmy automatyczne mają charakter czysto techniczny i służą organizacji danych, a nie tworzeniu profili osobowych.

C. Profilowanie w usługach marketingowych „Done-For-You"

W ramach usług „Done-For-You" Administrator:

• nie tworzy profili odbiorców
• nie dokonuje automatycznej oceny osób
• nie prowadzi scoringu
• nie analizuje zachowań odbiorców w sposób prowadzący do kwalifikacji w rozumieniu art. 22 RODO

Ewentualna segmentacja odbiorców wykonywana jest ręcznie, w oparciu o obiektywne i jawne kryteria (np. branża, wielkość firmy, lokalizacja), a jej jedynym celem jest dostosowanie treści komunikacji B2B do podstawowych parametrów działalności przedsiębiorcy. Nie stanowi to profilowania w rozumieniu RODO.

D. Prawo sprzeciwu

Osoba, której dane dotyczą, może wnieść sprzeciw wobec wykorzystywania jej danych do:

• filtrowania wyników
• kategoryzowania technicznego
• działań marketingowych

Sprzeciw jest skuteczny natychmiast i powoduje wpisanie danych do Globalnej Listy Sprzeciwów, a następnie trwałe wykluczenie z wszystkich operacji przetwarzania.

13. Bezpieczeństwo danych

Administrator zapewnia wysoki poziom bezpieczeństwa przetwarzanych danych osobowych, wdrażając i stosując odpowiednie środki techniczne i organizacyjne, o których mowa w art. 24, 25 i 32 RODO, w szczególności uwzględniając charakter przetwarzania, zakres danych, kontekst oraz ryzyka naruszenia praw i wolności osób, których dane dotyczą.

Celem zastosowanych zabezpieczeń jest zapewnienie integralności, poufności i dostępności danych, zapobieganie nieuprawnionemu dostępowi oraz wykazanie zgodności przetwarzania z RODO zgodnie z zasadą rozliczalności.

W ramach polityki bezpieczeństwa Administrator stosuje w szczególności:

A. Środki techniczne

1. Szyfrowanie komunikacji Administrator stosuje szyfrowanie transmisji danych (TLS/SSL) oraz szyfrowanie komunikacji pomiędzy serwerami i usługami, aby uniemożliwić przechwycenie danych przez osoby nieuprawnione.

2. Kontrola dostępu i uwierzytelnianie

• dostęp do systemów, baz danych oraz narzędzi analitycznych jest ograniczony
• dostęp przyznawany jest wyłącznie upoważnionym osobom
• stosowane są hasła o podwyższonym poziomie bezpieczeństwa, 2FA oraz mechanizmy rotacji haseł

3. Logowanie i monitorowanie operacji

• system rejestruje operacje wykonywane przez użytkowników
• logi obejmują m.in. działania administracyjne, logowania, eksporty danych i zapytania
• logi są chronione przed manipulacją oraz przechowywane zgodnie z zasadami wskazanymi w niniejszej Polityce

4. Ochronę przed nieautoryzowanym dostępem Administrator stosuje firewalle, systemy monitoringu bezpieczeństwa (IDS/IPS) oraz automatyczne mechanizmy wykrywania anomalii i prób naruszenia integralności danych.

5. Segmentację danych i minimalizację dostępu Dane przechowywane są w sposób ograniczający ryzyko ich nieuprawnionego ujawnienia — wyłącznie osoby mające uzasadnioną potrzebę dostępu uzyskują odpowiednie uprawnienia.

6. Kopie zapasowe Administrator tworzy zabezpieczone kopie zapasowe danych w celu zapewnienia dostępności i odporności systemu, umożliwiając odtworzenie danych w przypadku incydentu.

B. Środki organizacyjne

1. Upoważnienia do przetwarzania danych Osoby upoważnione do przetwarzania danych są przeszkolone, zobowiązane do zachowania poufności oraz działają zgodnie z instrukcjami Administratora.

2. Procedury reagowania na naruszenia Administrator posiada procedury wykrywania, zgłaszania i obsługi naruszeń ochrony danych zgodnie z art. 33 i 34 RODO, w tym procedury oceny ryzyka oraz mechanizmy minimalizacji szkody.

3. Regularne audyty bezpieczeństwa Administrator przeprowadza cykliczne audyty techniczne i organizacyjne, testy bezpieczeństwa oraz przeglądy polityk bezpieczeństwa w celu identyfikacji obszarów wymagających aktualizacji.

4. Ocena skutków dla ochrony danych (DPIA) W przypadku procesów przetwarzania mogących powodować wysokie ryzyko naruszenia praw i wolności osób, Administrator przeprowadza ocenę skutków dla ochrony danych zgodnie z art. 35 RODO.

5. Zasada minimalizacji i privacy-by-design Administrator wdraża środki mające na celu ograniczenie zakresu danych oraz czasu ich przechowywania, w tym mechanizmy automatycznego usuwania danych oraz ograniczenia dostępu.

C. Podwykonawcy i podmioty przetwarzające

Administrator zapewnia, aby wszyscy dostawcy usług IT, hostingu, bezpieczeństwa oraz inni procesorzy:

• stosowali środki bezpieczeństwa nie niższe niż wymagane przez Administratora
• przetwarzali dane wyłącznie na podstawie pisemnej umowy powierzenia
• zapewniali poufność i integralność danych
• podlegali okresowym weryfikacjom i audytom

D. Zasada ciągłości działania i odporności systemu

Administrator utrzymuje infrastrukturę w sposób zapewniający:

• odporność systemów na incydenty
• możliwość szybkiego przywrócenia dostępności danych
• kontrolę nad przepływem danych w systemie
• skalowalność usług oraz bieżące monitorowanie ryzyka

13a. Kopie zapasowe (backup) oraz utrzymanie ciągłości działania

W ramach realizacji obowiązku zapewnienia integralności, dostępności i odporności systemów (art. 32 RODO), Administrator tworzy i przechowuje kopie zapasowe danych osobowych.

Backupy przetwarzane są wyłącznie w celu:

• zapewnienia ciągłości działania systemów informatycznych
• zapobiegania utracie danych w wyniku awarii
• zapewnienia możliwości odtworzenia danych po incydencie bezpieczeństwa
• dochodzenia lub obrony przed roszczeniami
• wypełnienia obowiązków prawnych Administratora

Podstawą prawną przetwarzania kopii zapasowych jest art. 6 ust. 1 lit. c oraz lit. f RODO. Kopie są przechowywane w okresach zgodnych z polityką bezpieczeństwa Spółki, nie dłużej niż jest to niezbędne.

Do kopii zapasowych mają dostęp wyłącznie upoważnione osoby, a dostęp jest logowany i kontrolowany.

14. Zmiany Polityki Prywatności

Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce Prywatności, przy czym każda zmiana będzie dokonywana wyłącznie z ważnych powodów, w szczególności wynikających z konieczności:

• dostosowania przetwarzania danych do zmian przepisów prawa, w tym RODO, PKE, UŚUDE, Kodeksu cywilnego lub innych aktów regulujących komunikację elektroniczną oraz ochronę danych
• implementacji nowych funkcjonalności lub rozwiązań technicznych w Serwisie wpływających na sposób przetwarzania danych
• podwyższenia standardów bezpieczeństwa informacji lub wdrożenia dodatkowych zabezpieczeń
• dostosowania procesów przetwarzania do zaleceń organów nadzorczych lub orzecznictwa sądowego
• doprecyzowania zapisów polityki w celu zapewnienia większej przejrzystości i zgodności z zasadą rzetelności i rozliczalności

Administrator zobowiązuje się informować użytkowników o planowanych zmianach Polityki Prywatności poprzez opublikowanie stosownego komunikatu na stronie internetowej Serwisu oraz — jeżeli jest to praktycznie możliwe — poprzez wysłanie powiadomienia na adres e-mail użytkowników, których zmiana może dotyczyć.

Zmiany wchodzą w życie po upływie 14 dni od daty opublikowania nowej wersji Polityki, chyba że przepisy prawa albo decyzja organu nadzorczego wymagają natychmiastowego wdrożenia określonych środków lub procedur — wtedy zmiany mogą obowiązywać wcześniej, o czym Administrator poinformuje w sposób jednoznaczny i zrozumiały.

Korzystanie z Serwisu po wejściu zmian w życie oznacza akceptację nowej wersji Polityki Prywatności, przy czym użytkownik ma prawo wnieść sprzeciw wobec przetwarzania danych lub usunąć konto — zgodnie z zasadami określonymi w niniejszym dokumencie.

15. Postanowienia końcowe

Niniejsza Polityka Prywatności obowiązuje od dnia jej opublikowania na stronie internetowej Administratora i ma zastosowanie do wszystkich operacji przetwarzania danych osobowych wykonywanych przez ZORDON INTELLIGENCE Sp. z o.o., niezależnie od formy, w jakiej przetwarzanie jest realizowane (online, offline, automatycznie lub ręcznie).

Polityka stanowi integralny element wewnętrznego systemu ochrony danych osobowych Administratora, a jej treść należy interpretować łącznie z:

• regulaminem świadczenia usług
• politykami bezpieczeństwa informacji
• procedurami zgłaszania naruszeń ochrony danych
• umowami powierzenia przetwarzania danych zawieranymi z Klientami i podmiotami współpracującymi
• klauzulami informacyjnymi udostępnianymi w formularzach kontaktowych

Wszelkie procesy przetwarzania danych prowadzone przez Administratora podlegają zasadzie rozliczalności (art. 5 ust. 2 RODO), co oznacza, że Administrator jest zobowiązany wykazać zgodność działań z przepisami RODO, a także zapewnić dokumentowanie tych działań i ich regularny przegląd.

W przypadku rozbieżności pomiędzy niniejszą Polityką a indywidualnymi umowami zawieranymi z Klientami lub podmiotami przetwarzającymi, pierwszeństwo mają postanowienia umów, o ile nie naruszają obowiązujących przepisów prawa. Jeżeli umowy zawierają bardziej rygorystyczne wymagania dotyczące bezpieczeństwa przetwarzania danych, Administrator stosuje je w pierwszej kolejności.

Administrator zastrzega, że wszelkie prawa i obowiązki dotyczące przetwarzania danych osobowych wynikają bezpośrednio z przepisów prawa, w szczególności RODO, PKE, UŚUDE, ustawy o ochronie danych osobowych oraz aktów wykonawczych. Niniejsza Polityka ma charakter uzupełniający i doprecyzowujący, służąc zagwarantowaniu przejrzystości, rzetelności i legalności operacji przetwarzania.

W zakresie nieuregulowanym niniejszą Polityką zastosowanie mają przepisy prawa powszechnie obowiązującego.

Administrator zachowuje pełną gotowość do aktualizowania niniejszego dokumentu w przypadku zmiany przepisów prawa, stanowisk organów nadzorczych, orzecznictwa lub zmian technologicznych wpływających na sposób przetwarzania danych.