Polityka Prywatności VERACOMP SA
Data ostatniej aktualizacji: 21 maja 2018 roku
Niniejsza Polityka Prywatności stanowi element polityki bezpieczeństwa danych osobowych spółki Veracomp SA z siedzibą w Krakowie, ul. Zawiła 61, 30–390 Kraków (dalej: Veracomp). Polityka Prywatności wyjaśnia:
1. Kim jest spółka Veracomp
2. Jakie dane osobowe pozyskiwane są przez Veracomp
3. Jaki jest cel przetwarzania danych osobowych przez Veracomp oraz udostępniania ich podmiotom trzecim
4. Jakie są źródła pozyskania danych osobowych
5. Sposób zabezpieczenia danych zapobiegający naruszeniu przetwarzania danych
6. Obowiązki podmiotów powierzających i otrzymujących od Veracomp dane osobowe osób trzecich
7. Informację o prawach osób, których dane osobowe Veracomp przetwarza
1. Kim jest spółka Veracomp
Veracomp jest liderem dystrybucji z wartością dodaną (VAD – Value Added Distribution) w zakresie rozwiązań teleinformatycznych. Veracomp dostarcza kompleksowe rozwiązania IT, które znajdują zastosowanie we wszystkich sektorach gospodarki. Zgodnie z europejskimi przepisami Veracomp jest administratorem danych osobowych. Poniżej dane kontaktowe Veracomp:
Veracomp SA
ul. Zawiła 61
30-390 Kraków
tel. 12 25 25 555
fax 12 25 25 500
e-mail: veracomp@veracomp.pl
Aby zapewnić najwyższe standardy zabezpieczenia danych osobowych Veracomp wyznaczyła Inspektora Ochrony Danych (dalej jako „IOD”), który odpowiada za wdrożenie, nadzór i audyty przestrzegania polityki bezpieczeństwa danych osobowych, oraz zgodność przetwarzania danych osobowych przez Veracomp zgodnie z przepisami prawa. Poniżej zamieszczamy dane IOD, w celu zapewnienia kontaktu w przypadku jakichkolwiek pytań lub wątpliwości:
Inspektor Ochrony Danych Veracomp – adres email do kontaktu iod@veracomp.pl
2. Jakie dane osobowe pozyskiwane są przez Veracomp
Rynek IT w Polsce, na którym Veracomp prowadzi swoją działalność, jest rynkiem towarów i usług informatycznych, na którym występują poniższe podmioty:
1. Producenci IT – będący zwykle przedsiębiorstwami globalnymi lub polskimi, oferującymi swoje produkty i usługi w wielu krajach
2. Dystrybutorzy IT – będący przedsiębiorcami globalnymi lub lokalnymi
3. Resellerzy i integratorzy – będący zwykle przedsiębiorcami lokalnymi
4. Przedsiębiorstwa doradcze – będące przedsiębiorstwami globalnymi lub lokalnymi
5. Nabywcy produktów (towarów i usług) – będący użytkownikami końcowymi
Relacje pomiędzy ww. wymienionymi podmiotami mogą mieć charakter:
• doradztwa, w tym także projektowania gotowego rozwiązania systemu IT
• dostawy (sprzedaży) sprzętu, oprogramowania lub usługi wg. określonych preferencji potencjalnego nabywcy
• świadczenia usług poszukiwania lub przekazywania wiedzy potencjalnemu nabywcy o oferowanym towarze, np. przez:
i. szkolenia
ii. prezentacje
iii. webinary
vi. wizyty
v. testy (tzw. Proof of Concept);
• świadczenie usług profesjonalnych, np. przez:
i. audyt
ii. projektowanie i dobór sprzętu do rozwiązania
iii. konfigurację
iv. instalację
v. integrację
vi. utrzymanie serwisu
vii. wynajem
viii. utylizację
Przedmiotem obrotu na rynku IT w Polsce jest standaryzowane oprogramowanie, sprzęt, usługi świadczone przez sprzedającego lub podmioty trzecie działające na jego zlecenie.
Na rynku IT w Polsce występują segmenty rynkowe nabywców (klientów końcowych) klasyfikowane jako:
• instytucjonalni tzw. B2B: tj. organizacje, przedsiębiorstwa i inne instytucje publiczne lub prywatne – reprezentowani w procesie przez osoby fizyczne, będące ich pracownikami lub świadczące na ich rzecz usługi na mocy innych stosunków prawnych np. umowa zlecenie, samozatrudnienie, podwykonawstwo
• prywatni tj. konsumenci tzw. B2C, czyli osoby fizyczne
Veracomp SA dokonując zakupu bezpośrednio u producentów prowadzi sprzedaż na rynki w obydwu segmentach klientów, wyłącznie za pośrednictwem partnerów handlowych i operatorów telekomunikacyjnych.
W związku z prowadzoną działalnością Veracomp musi przetwarzać dane ww. podmiotów oraz ich pracowników, a w określonych przypadkach dane takie udostępniać poszczególnym ww. podmiotom. Veracomp może gromadzić niektóre spośród następujących informacji:
• imię, nazwisko
• nr telefonu
• adres email
• firma
• zajmowane stanowisko
• firma pracodawcy
• NIP
• PESEL
• adres korespondencyjny
• udział w promocjach, szkoleniach organizowanych przez Veracomp
Veracomp pozyskuje także dane niestanowiące danych osobowych, takie jak: adres IP urządzenia, z którego korzysta osoba fizyczna, żeby uzyskać dostęp do usług Veracomp, informacje techniczne – w tym o połączeniach internetowych i/lub sieciowych, identyfikator urządzenia/komunikatora VoIP, dane dotyczące logowania w tym m.in. data i godzina ostatniego logowania.
Veracomp zbiera także informacje związane z Klientem poprzez pliki cookies, o czym informuje przy pierwszym wyświetleniu strony internetowej Veracomp.
W wyjątkowych wypadkach zakres przetwarzanych danych może być szerszy – z uwagi na szczególne cele przetwarzania, o których osoba, której dane dotyczą zostanie poinformowana przy okazji zbierania takich danych.
3. Jaki jest cel przetwarzania danych osobowych przez Veracomp
Do przetwarzania danych spółka Veracomp zobligowana jest na mocy przepisów prawa, w pozostałych przypadkach podanie ich jest dobrowolne. Dane osobowe przetwarzane przez Veracomp służą głównie do kontaktów w celu prowadzenia regularnych działań biznesowych, stanowiących przedmiot działalności Veracomp.
Na regularne działania biznesowe prowadzone przez Veracomp składają się między innymi:
• przesyłanie oferty handlowej Veracomp
• wsparcie przedsprzedażne (działania związane z przygotowaniem rozwiązania stosownego do potrzeb użytkownika końcowego)
• kontakt w celu wykonania umowy na dostawę sprzętu lub realizację usługi
• kontakt w celu wsparcia posprzedażowego
• marketing własny
• przetwarzanie wynikające z powszechnie obowiązujących przepisów prawa – w tym podatkowych, celnych
• udostępnianie danych ww. podmiotom trzecim w celu realizacji umów
• dochodzenie i egzekucja roszczeń
• dostarczanie wiedzy technicznej i biznesowej (mailing, webinary, eventy, szkolenia)
Udostępnianie danych osobowych podmiotom trzecim następuje wyłącznie w celu wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, w tym uzyskania cen specjalnych, wsparcia posprzedażowego, realizacji gwarancji, zapewnienia aktualizacji i odnowień.
Przedstawienie przez Veracomp konkurencyjnej (zawierającej specjalne rabaty producenta) oferty może wymagać:
A) podania danych osobowych nabywcy (klienta końcowego, ew. jego pracownika) do dostawców Veracomp SA w celu weryfikacji rzeczywistej potrzeby udzielenia takiego rabatu
B) podania danych osobowych pośrednika (resellera, ew. jego pracownika) do dostawców Veracomp SA w celu weryfikacji rzeczywistej potrzeby udzielenia takiej obniżki
C) podania danych osobowych pracowników producenta do dostawców Veracomp SA w celu weryfikacji rzeczywistej potrzeby udzielenia takiej obniżki
Ponadto Veracomp może być zmuszony – przez obiektywne warunki o charakterze ekonomicznym, prawnym lub technicznym, do udostepnienia danych osobowych swoim dostawcom, w celu:
1. uzyskania specjalnego rabatu
2. procesowania zamówienia
3. weryfikacji danych osobowych w swoich systemach kontroli obrotu, tzw. WSK
4. weryfikacji danych osobowych w systemach kontroli obrotu producentów, tzw. Export Control
5. aktywacji produktu lub usługi (np. serwisowej) u producenta
6. realizacji wsparcia posprzedażowego
Ponadto Veracomp jest zmuszony – przez obiektywne warunki o charakterze technicznym – do przechowywania, pozyskanych danych osobowych, w celu:
1. realizacji usług zdalnej konfiguracji i wsparcia technicznego
2. zdalnej diagnostyki produktu na życzenie nabywcy, w celu weryfikacji jego roszczeń gwarancyjnych, w celu zabezpieczenia przed narażaniem go na zbędne koszty w przypadku zgłaszania niezasadnego roszczenia
3. realizacji usług gwarancyjnych, w tym:
i. nadanie numeru RMA
ii. śledzenia i odbioru przesyłki
iii. ew. kontaktu z nadawcą (nabywcą lub pośrednikiem) w celu wyjaśnienia ew. wątpliwości
iv. nadania przesyłki zwrotnej
Mając na uwadze powyższe, Veracomp wywodzi uzasadniony interes prawny do przetwarzania danych osobowych zgodnie wymogami RODO, oraz:
1. zobowiązuje się do nierozszerzania przyjętych ww. kryteriów bez uzyskania wcześniejszej zgody właścicieli danych
2. uwzględnia i szanuje prawa właścicieli danych zgodnie zobowiązującymi normami prawnymi, w szczególności w obszarach:
• ochrony danych i ograniczania dostępu do nich wyłącznie dla osób upoważnionych
• przekazywania danych podmiotom trzecim, zwłaszcza poza teren UE
• braku profilowania
• braku przetwarzania danych wrażliwych
• tam, gdzie to jest uzasadnione technicznie i ekonomicznie oraz dozwolone prawnie stosowanie pseudonimizacji
• notyfikacji o pozyskanych danych zgodnie art. 14 pkt 3b RODO
3. przyjmuje związaną z tym odpowiedzialność w tym także dotyczącą ew. wycieku takich danych oraz odpowiedzialności cywilnej i administracyjnej
Jeżeli Veracomp będzie musiał przetwarzać dane osobowe w jakichkolwiek innych celach – każdorazowo przetwarzanie zostanie poprzedzone uzyskaniem zgody. Veracomp nie udostępnia danych osobowych podmiotom trzecim w celach marketingowych.
4. Jakie są źródła pozyskania danych osobowych
Veracomp może pozyskiwać dane osobowe w następujący sposób:
• zgody bezpośrednie na podstawie zapisu osoby na wydarzenie (szkolenie, webinar, promocja) organizowane przez Veracomp, przez formularz www (stronę eventową)
• zgody wynikające z zaproszenia wysłanego automatycznie przy dodaniu osoby do systemu CRM funkcjonującego w Veracomp
• zgody wynikające z zaproszeń wysłanych przez pracownika CRM-a z poziomu karty osoby
• samodzielną rejestrację użytkowników końcowych drogą elektroniczną w systemach Veracomp, w celu uzyskania informacji o oferowanych przez nią produktach
• samodzielną rejestrację drogą elektroniczną pośredników w systemach Veracomp, w celu uzyskania informacji o oferowanych przez Veracomp produktach
• powierzenie danych pracowników partnerów handlowych Veracomp przekazanych na podstawie umów partnerskich zawierających zapis o zgodzie na przesyłanie informacji o produktach i ofercie handlowej Veracomp
• powierzenie danych osobowych Veracomp przez podmioty trzecie (obowiązki podmiotów powierzających Veracomp dane osobowe osób określa punkt VI poniżej)
• spotkania osobiste, w trakcie których dochodzi do wymiany danych kontaktowych
• wykorzystanie istniejących już informacji zgromadzonych w bazach danych Veracomp SA
• marketing cyfrowy (TBD)
5. Sposób zabezpieczenia danych zapobiegający naruszeniu przetwarzania danych
Dane osobowe przetwarzane przez Veracomp przechowywane są na zabezpieczonych serwerach w Polsce. Veracomp wdrożył odpowiednie środki techniczne oraz organizacyjne w celu ochrony danych osobowych przed ich nieuprawnionym lub bezprawnych przetwarzaniem, w tym utratą, zniszczeniem lub uszkodzeniem.
W przypadku danych osobowych przetwarzanych w formie papierowej, dane przechowywane są w osobnych pomieszczeniach, do których dostęp mają tylko upoważnione osoby, a w przypadku przetwarzania danych w pomieszczeniach do których dostęp ma większa liczba osób, dane przechowywane są w zamykanych szafach, do których klucze posiadają wyłącznie osobowy upoważnione do przetwarzania danych.
Dane osobowe w zależności od celu ich przetwarzania – przechowywane będą tylko tak długo, jak będzie to niezbędne do spełnienia celów określonych w tej Polityce Prywatności. W części przypadków przepisy prawa wymagają dłuższego okresu przechowywania danych osobowych, niż wynika to z umów, czy z ogólnych celów w jakich dane zostały powierzone do przetwarzania np. w celach podatkowych, rozliczeniowych lub w celu spełnienia innych prawnych wymogów oraz obowiązków – w takich przypadkach dane będą przechowywane przez okres wynikający z tych przepisów.
6. Obowiązki podmiotów powierzających Veracomp dane osobowe osób trzecich
Powierzając, udostępniając do Veracomp, lub otrzymując od Veracomp dane osobowe do przetwarzania, podmiot trzeci zobowiązuje się do przestrzegania warunków niniejszej polityki, oraz w zależności od celu w jakim dane osobowe zostają do Veracomp udostępnione, podmiot ten zobowiązuje się uzyskać wszelkie prawem wymagane zgody podmiotów, których dane dotyczą, w tym – ale nie wyłącznie – na przekazanie tych danych do Veracomp z prawem udostępnienia tych danych producentom i/lub resellerom w celach wskazanych w niniejszej Polityce Prywatności.
Mając na uwadze fakt, iż w określonych przypadkach Veracomp może udostępnić dane osobowe podmiotowi trzeciemu, podmiot trzeci zobowiązuje się stosować do poniższych obowiązków, niezależnie od faktu czy występuje jako podmiot powierzający czy jako podmiot, któremu Veracomp powierzył lub udostępnił dane do przetwarzania.
Z chwilą przekazania do Veracomp danych osobowych podmiot trzeci potwierdza, iż przyjmuje na siebie i zwolni Veracomp z jakiejkolwiek odpowiedzialności wynikającej z braku uzyskania przez podmiot trzeci odpowiednich zgód osób, których dane dotyczą, a w przypadku nałożenia na Veracomp kary administracyjnej lub obowiązku zapłaty odszkodowania, podmiot ten zobowiązuje się na pierwsze wezwanie Veracomp zapłacić kwotę równą nałożonej karze i/lub odszkodowaniu.
Powierzający, zobowiązuje się w szczególności, ale nie wyłącznie, do:
1. Powierzania danych osobowych do przetwarzania na zasadach określonych w Polityce Prywatności, zgodnie z obowiązkami wynikającymi z RODO w szczególności z art. 28, oraz powiązanych z nim powszechnie obowiązującymi przepisami prawa polskiego
2. Przetwarzania danych wyłącznie w celu realizacji współpracy, przez okres trwania współpracy i ew. zabezpieczania roszczeń z niej wynikających chyba, że okres przechowywania danych wynika z powszechnie obowiązujących przepisów prawa
3. wykorzystania powierzonych mu przez Veracomp danych osobowych wyłącznie w celach wskazanych w momencie przekazania danych osobowych lub w terminie późniejszym, po uprzedniej akceptacji ze strony Veracomp
4. zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą
5. Uzyskania wszelkich wymaganych prawem zgód uprawniających do udostępnienia Veracomp danych osobowych celem dokonania dalszego powierzenia na rzecz następujących podmiotów: autoryzowani dystrybutorzy produktów, producenci sprzętu, zewnętrzne autoryzowane serwisy producenta, magazyny części zamiennych, serwisy pośredniczące w transporcie sprzętu.
W przypadku, gdy dla właściwej realizacji zobowiązań wynikających ze współpracy konieczne będzie dokonanie dalszego powierzenia przez Veracomp – w tym do państwa trzeciego, podmiot trzeci oświadcza, że Veracomp może tego dokonać, oraz gwarantuje iż ma prawo w tym celu udostępnić dane osobowe do Veracomp, i że w zakresie tych danych podmiot trzeci uważany jest za Administratora i wykonuje obowiązki określone w art. 12, 13 i 14 RODO. O ile na Veracomp ciąży obowiązek informacyjny wynikający z RODO, Strony umawiają się iż obowiązki te będą wykonywane przez podmiot trzeci, i podmiot trzeci ponosi pełną odpowiedzialność wobec Veracomp za prawidłową realizację tych obowiązków, oraz odpowiada bez ograniczeń za ew. szkodę poniesioną przez Veracomp z tytułu nieprawidłowego wykonania tych obowiązków
6. Po zakończeniu świadczenia usług związanych z przetwarzaniem danych, podmiot trzeci ma obowiązek usunąć lub zwrócić Veracomp – zależnie od decyzji Veracomp – wszelkie dane osobowe, które zostały mu powierzone, jak również usunąć wszelkie ich istniejące kopie, chyba że przetwarzanie będzie niezbędne ze względu na powszechnie obowiązujące przepisy prawa, lub w celach ustalenia, dochodzenia lub zabezpieczenia roszczeń.
7. Informację o prawach osób, których dane osobowe przetwarza Veracomp
Veracomp zapewnia realizację następujących praw przysługujących osobom, których dane osobowe są przetwarzane:
1. prawo do informowania o przetwarzaniu danych osobowych
2. prawo dostępu do treści przetwarzanych danych osobowych
3. prawo do sprostowania danych
4. prawo żądania od Administratora usunięcia danych
5. prawo żądania od Administratora ograniczenia przetwarzania danych
7. prawo do przenoszenia danych
8. prawo wniesienia sprzeciwu wobec przetwarzania danych
9. prawo wniesienia skargi do polskiego organu nadzorczego lub organu nadzorczego innego państwa członkowskiego Unii Europejskiej
10. prawo do cofnięcia zgody na przetwarzanie danych osobowych w dowolnym momencie
11. prawo do uzyskania interwencji ludzkiej ze strony Administratora, wyrażenia własnego stanowiska i do zakwestionowania decyzji opartej na zautomatyzowanym przetwarzaniu danych.