Lantek

Informacja o przetwarzaniu danych osobowych

W LANTEK SHEET METAL SOLUTIONS, S.L. troszczymy się o dane osobowe, które przetwarzamy, a także o ścisłe przestrzeganie aktualnych przepisów w zakresie ochrony danych osobowych, między innymi, Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwanego dalej RODO).

Niezależnie od powyższego, należy mieć na uwadze, że według Motywu nr 14 RODO: “Ochrona zapewniana niniejszym rozporządzeniem powinna mieć zastosowanie do osób fizycznych – niezależnie od ich obywatelstwa czy miejsca zamieszkania – w związku z przetwarzaniem ich danych osobowych. Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej”.

Oznacza to, że te przepisy, a tym samym zawarte z nich obowiązki i prawa, nie będą stosowane do osób prawnych.

Niemniej jednak, Lantek informuje o następujących kwestiach dotyczących przetwarzania danych osobowych:

Administrator danych: Firma LANTEK SHEET METAL SOLUTIONS, S.L., której dane figurują na początku niniejszego dokumentu.

Dane kontaktowe Inspektora Ochrony Danych: aby skontaktować się z Inspektorem Ochrony Danych, można posłużyć się adresem podanym na początku niniejszego dokumentu lub wysłać wiadomość pocztą elektroniczną na adres dpo@lantek.es.

Cel przetwarzania: zarządzanie należytym podtrzymaniem, realizacją, wypełnianiem i kontrolą niniejszego stosunku umownego oraz określonych w umowie usług.

Ponadto, dane identyfikacyjne i kontaktowe będą używane do przeprowadzania ankiet badających poziom zadowolenia z usług oraz do przesyłania, drogą elektroniczną lub inną, informacji o charakterze technicznym, operacyjnym i/lub handlowym o produktach i usługach firmy Lantek, jak również innych firm należących do Grupy Lantek.

Uzasadnienie przetwarzania: podstawę prawną przetwarzania danych osobowych stanowi wykonanie niniejszej umowy i świadczenie objętych nią usług.

Jeśli chodzi o sondaże zadowolenia i wysyłanie informacji handlowej własnej lub innych firm tworzących Grupę Lantek, podstawę prawną stanowią prawnie uzasadnione interesy realizowane przez firmę Lantek i/lub strony trzecie (inne firmy Grupy Lantek), o których mowa w artykule 6. ust. 1f) RODO. Niezależnie od tego, osoba zainteresowana może odmówić zgody na otrzymywanie wspomnianej informacji handlowej.

Odbiorcy danych: w stosownych przypadkach, dane osobowe będą zgłaszane organom podatkowym w celu wypełnienia zobowiązań prawnych i podatkowych, jak również instytucji finansowej, za pośrednictwem której Lantek pobiera opłatę za swoje produkty i usługi.

Dane osobowe osoby zainteresowanej mogą być przesyłane do innych przedsiębiorstw w ramach Grupy Lantek do wewnętrznych celów administracyjnych. Na podobnej zasadzie, w świetle uzasadnienia opartego na prawnie uzasadnionych interesach realizowanych przez Lantek i/lub firmy tworzące Grupę Lantek, dane osób zainteresowanych mogą zostać przekazane dowolnej z tych firm w celu przesyłania informacji handlowej dotyczącej produktów lub usług podobnych do zamówionych przez osobę zainteresowaną.

Ponadto, korzysta się z usług (między innymi w celu przeprowadzania ankiet badających zadowolenie bądź wysyłania informacji technicznej czy handlowej) oferowanych przez firmy działające w charakterze podmiotu przetwarzającego, które znajdują się poza Europejskim Obszarem Gospodarczym, a dokładniej w Stanach Zjednoczonych.

Niemniej jednak, w tych przypadkach, do wykonania takich zadań korzystamy wyłącznie z usług firm objętych Tarczą Prywatności UE-USA, które oferują gwarancje w tym zakresie.

Okres przechowywania danych: okres przechowywania w firmie Lantek danych osoby zainteresowanej zależy od przepisów obowiązujących w danej materii i może wynosić:

  • 5 lat: po tym okresie następuje przedawnienie zobowiązań podatkowych.
  • Taki sam okres przewiduje się w przypadku dochodzenia roszczeń osobistych, które nie mają przypisanego szczególnego terminu przedawnienia.
  • 6 lat: w przypadku ksiąg, korespondencji, dokumentacji i zaświadczeń dotyczących działalności firmy.

Jeśli chodzi o wysyłkę informacji handlowej, dane osobowe identyfikacyjne i kontaktowe będą przechowywane do momentu, gdy osoba zainteresowana wycofa zgodę na to działanie.

Prawa związane z przetwarzaniem danych: osoba zainteresowana może poprosić o dostęp do swoich danych osobowych, sprostować je, usunąć, ograniczyć ich przetwarzanie, sprzeciwić się ich przetwarzaniu lub przenoszeniu; w tym celu, powinna przesłać pisemną prośbę listownie, na adres LANTEK SHEET METAL SOLUTIONS, S.L., Parque Tecnológico de Álava, calle Ferdinand Zeppelin, nº 2, Edificio Lantek - C.P. 01510 de Miñano (Álava), lub elektronicznie na adres e-mail info@lantek.es, w obu przypadkach załączając kserokopię swojego dokumentu tożsamości.

W każdym przypadku, jeśli osoba zainteresowana uzna, że firma Lantek przetwarzała jej dane osobowe w sposób nieodpowiedni lub nie zapewniła możliwości korzystania z praw do ochrony danych, może wnieść skargę do właściwego organu nadzorczego.

Możliwość wystąpienia firmy Lantek w charakterze podmiotu przetwarzającego

EFirma Lantek, aby wykonać określone usługi dodane w okresie objętym niniejszą umową lub w okresie gwarancji w niej określonym, może uzyskać dostęp do danych osobowych, za które odpowiedzialny jest podmiot podpisujący niniejszą umowę (na potrzeby tej klauzuli, administrator danych). Mogą to być na przykład, ale nie wyłącznie, dane klientów, dostawców, pracowników lub dane dotyczące kontaktów biznesowych.

W takich przypadkach firma Lantek będzie działać w charakterze podmiotu przetwarzającego, wskutek czego, zgodnie z art. 28.3 RODO, takie sytuacje będą regulowane w zakresie następujących aspektów:

1. Przedmiot przetwarzania: niniejsze klauzule upoważniają firmę Lantek, podmiot przetwarzający, do przetwarzania w imieniu administratora danych osobowych niezbędnych do realizacji usługi będącej przedmiotem niniejszej umowy.

Przetwarzanie będzie polegało na tym, że firma Lantek, na prośbę administratora danych, podłączy się zdalnie do jego systemów, aby dostosować usługę do potrzeb klienta, rozwiązać zgłoszony problem techniczny lub, w razie potrzeby, dopasować ustawienia programu bądź określonych funkcji.

Do wykonania połączenia Lantek zastosuje programy do zdalnego dostępu – własne, dostarczone przez strony trzecie lub będące własnością administratora danych – przy czym odbędzie się to wyłącznie na życzenie i za uprzednią zgodą administratora danych. W takiej sytuacji Lantek nie przeniesie tych danych do swoich systemów lub na nośniki, które nie stanowią własności administratora danych.

Niemniej jednak, prawidłowe dostosowanie systemu do potrzeb klienta lub rozwiązanie problemu technicznego może wymagać analizy specjalnej, co z kolei może spowodować, że administrator danych udostępni firmie Lantek bazę danych, której dotyczy działanie, poprzez prywatną strefę klienta na stronie internetowej firmy Lantek. W tym przypadku, Lantek włączy wspomnianą bazę do swoich systemów, niezależnych od systemów administratora danych, odnotuje tę czynność w swoim Rejestrze Czynności Przetwarzania i zastosuje środki bezpieczeństwa odpowiednie dla tego rodzaju przetwarzania.

W obydwu przypadkach, firma Lantek wykona na danych pozyskanych na skutek realizacji usługi zawartej w umowie następujące czynności przetwarzania: utrwalanie, porządkowanie, przeglądanie, analiza, w razie konieczności, zwrócenie danych administratorowi oraz ich zniszczenie.

2. Zakres przetwarzanej informacji: aby wykonywać usługi wynikające z realizacji celu niniejszego zamówienia, administrator danych udostępnia firmie Lantek, podmiotowi przetwarzającemu, dane identyfikacyjne i zawodowe zgromadzone w odpowiednich sekcjach programu będącego przedmiotem niniejszej umowy; chodzi głównie o dane klientów, dostawców, personelu i kontaktów biznesowych.

3. Okres przetwarzania: czas trwania tego rodzaju przetwarzania danych określa niniejsza umowa lub okres gwarancji.

Procedura postępowania po wygaśnięciu niniejszej umowy została opisana w ust. „r” tej klauzuli.

4. Obowiązki podmiotu przetwarzającego: Na podmiocie przetwarzającym oraz całym jego personelu spoczywają następujące obowiązki:

  • Używanie danych osobowych stanowiących przedmiot przetwarzania lub zebranych celem włączenia do tego zbioru wyłącznie w celu będącym przedmiotem niniejszego zamówienia. W żadnym wypadku nie jest dozwolone przetwarzanie danych dla własnych celów lub w celach innych niż uwzględnione w niniejszej umowie.
  • Przetwarzanie danych zgodnie z wytycznymi administratora danych.
    Jeżeli zdaniem podmiotu przetwarzającego jedno z wydanych mu poleceń stanowi naruszenie rozporządzenia RODO bądź innych przepisów Unii lub państw członkowskich o ochronie danych, podmiot przetwarzający niezwłocznie poinformuje o tym administratora danych.
    Jeśli jedno z poleceń wydanych przez administratora podmiotowi przetwarzającemu co do sposobu postępowania z udostępnionymi mu danymi osobowymi jest niejasne, przed przystąpieniem do jakiejkolwiek czynności przetwarzania danych należy skontaktować się z administratorem danych i uzyskać wyjaśnienia dotyczącego tego polecenia.
  • Prowadzenie pisemnego rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora danych, zawierającego następujące informacje:
    • Imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz administratorów, w imieniu których przetwarza się dane, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych.
    • Kategorie przetwarzań dokonywanych w imieniu każdego z administratorów danych.
    • Gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń.
    • Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa związanych z następującymi aspektami:
      • Pseudonimizacja i szyfrowanie danych osobowych.
      • Zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania.
      • Zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.
      • Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
        W celu umożliwienia weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, tak by przetwarzanie spełniało wymogi Ogólnego Rozporządzenia o Ochronie Danych i chroniło prawa osób, których dane dotyczą, administrator danych może wymagać od firmy Lantek certyfikatu o środkach bezpieczeństwa wdrożonych w zakresie przetwarzania danych, za które administrator odpowiada.
    • Nieujawnianie danych osobom trzecim, chyba że osoba trzecia uzyskała jednoznaczne upoważnienie administratora danych, w przypadkach dopuszczalnych prawem.
      Podmiot przetwarzający może ujawnić dane innym podmiotom przetwarzającym działającym w imieniu tego samego administratora danych, kierując się jego wytycznymi. W tym przypadku, przed przekazaniem danych, administrator odnotuje: dane identyfikacyjne podmiotu, któremu ujawnia się dane (nazwa firmy, numer identyfikacji podatkowej i adres); charakter tych danych; i środki bezpieczeństwa, które należy zastosować w trakcie ujawniania danych, po przeprowadzeniu analizy ryzyka związanego z tą czynnością oraz rodzaju danych osobowych będących przedmiotem ujawnienia.
      Jeżeli podmiot przetwarzający musi przekazać dane osobowe odbiorcy w państwie trzecim lub organizacji międzynarodowej, zgodnie z mającym zastosowanie prawem Unii lub państw członkowskich, poinformuje uprzednio administratora danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
      Jeśli chodzi o międzynarodowe przekazywanie danych, przed przystąpieniem do tej czynności, podmiot przetwarzający jest zobowiązany do poinformowania administratora danych i przedstawienia pisemnego dowodu potwierdzającego spełnianie wymogów zawartych w aktualnych przepisach dotyczących ochrony danych, upewniając się, że odbiorca danych zapewni podobny poziom bezpieczeństwa i spełni wszystkie wymogi Ogólnego Rozporządzenia o Ochronie Danych.
    • Dalsze powierzanie danych (podpowierzenie). Podmiot przetwarzający nie powierzy podwykonawcom wykonania żadnej z usług wymagających przetwarzania danych osobowych i będących przedmiotem niniejszej umowy, z wyjątkiem zadań dodatkowych koniecznych do prawidłowego funkcjonowania usług świadczonych przez podmiot przetwarzający.
      W razie konieczności zlecenia jednej z czynności przetwarzania danych podwykonawcy, należy uprzednio – co najmniej 15 dni wcześniej – zgłosić ten fakt pisemnie administratorowi danych, wymieniając czynności przetwarzania, które zamierza się zlecić podwykonawcy oraz podając w przejrzysty i jednoznaczny sposób jego dane identyfikacyjne i kontaktowe (jako minimum, nazwa podwykonawcy, numer identyfikacji podatkowej, adres i przedmiot działalności firmy). Zlecenie zadań podwykonawcy będzie możliwe, o ile administrator danych nie wyrazi sprzeciwu w ustalonym terminie.
      Podwykonawca, który także występuje w charakterze podmiotu przetwarzającego, musi spełniać obowiązki określone w niniejszym dokumencie wobec podmiotu przetwarzającego oraz wytyczne administratora danych. Pierwotny podmiot przetwarzający odpowiada za taką regulację nowego stosunku, aby kolejny podmiot przetwarzający podlegał tym samym warunkom co podmiot pierwotny (te same wytyczne, obowiązki i środki bezpieczeństwa…), a także spełniał te same wymogi formalne w zakresie należytego przetwarzania danych osobowych i zagwarantowania praw osób, których te dane dotyczą. Jeżeli kolejny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków, pełna odpowiedzialność wobec administratora danych za wypełnienie obowiązków spoczywa na pierwotnym podmiocie przetwarzającym.
    • Zachowanie w tajemnicy danych osobowych, do których podmiot przetwarzający uzyskał dostęp w ramach niniejszej umowy, nawet po wygaśnięciu jej przedmiotu.
    • Zagwarantowanie, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się w sposób wyraźny i na piśmie do zachowania poufności i do wdrożenia stosownych środków bezpieczeństwa, o których należy je odpowiednio poinformować.
    • Przechowywanie do dyspozycji administratora danych dokumentacji poświadczającej spełnianie obowiązku przewidzianego w poprzednim punkcie.
    • Zapewnienie niezbędnego przeszkolenia osób upoważnionych do przetwarzania danych osobowych w zakresie ochrony tego rodzaju danych.
    • Pomoc administratorowi danych, aby zapewnić możliwość wykonywania następujących praw:
      • Uzyskanie dostępu do danych, ich sprostowanie, usunięcie i wyrażenie sprzeciwu wobec przetwarzania.
      • Ograniczenie przetwarzania.
      • Przenoszenie danych.
      • Niepodleganie decyzjom opartym na zautomatyzowanym przetwarzaniu (w tym profilowaniu).
        Kiedy osoby zainteresowane domagają się od podmiotu przetwarzającego przysługujących im praw, tj. uzyskania dostępu, sprostowania, usunięcia, wyrażenia sprzeciwu, ograniczenia przetwarzania, przenoszenia danych i niepodlegania decyzjom opartym na zautomatyzowanym przetwarzaniu, podmiot przetwarzający powinien zgłosić ten fakt drogą elektroniczną na adres wskazany przez administratora danych.
        Zgłoszenie powinno nastąpić niezwłocznie, a w każdym razie nie później niż w następnym dniu roboczym po wpłynięciu wniosku oraz, ewentualnie, innych informacji, które mogą być istotne do jego rozpatrzenia.
    • Prawo do informacji. Poinformowanie o prawie do informacji w momencie gromadzenia danych jest obowiązkiem administratora danych.
    • Zgłaszanie przypadków naruszenia ochrony danych. Podmiot przetwarzający, bez zbędnej zwłoki, a w każdym razie przed upływem 24 godzin, zgłosi na adres elektroniczny wskazany mu przez administratora danych stwierdzone przypadki naruszenia ochrony danych osobowych, których przetwarzaniem się zajmuje, oraz prześle administratorowi istotne informacje konieczne do udokumentowania i zgłoszenia naruszenia.
      Zgłoszenie nie będzie konieczne, jeśli nie jest możliwe, że wspomniane naruszenie ochrony danych spowoduje ryzyko naruszenia praw lub wolności osób fizycznych.
      Należy podać co najmniej następujące informacje, o ile ma się do nich dostęp:
      • Opis charakteru naruszenia ochrony danych osobowych, w tym, w miarę możliwości, kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie.
      • Imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji.
      • Możliwe konsekwencje naruszenia ochrony danych osobowych.
      • Środki zastosowane lub proponowane w celu zaradzenia naruszeniu ochrony danych osobowych, w tym, w stosownych przypadkach, środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
    • Jeżeli nie można udzielić wszystkich informacji w tym samym czasie, można ich udzielać sukcesywnie bez zbędnej zwłoki, w miarę jak będzie to możliwe.
      Podmiot przetwarzający odpowiada za jak najszybsze powiadomienie o takim naruszeniu osób, których dane dotyczą, jeżeli naruszenie ochrony danych osobowych może spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
      Powiadomienie powinno opisywać naruszenie w sposób jasny i prosty, i zawierać przynajmniej:
      • Opis charakteru naruszenia ochrony danych.
      • Imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub informację o innym punkcie kontaktowym, gdzie można uzyskać więcej informacji.
      • Opis możliwych konsekwencji naruszenia ochrony danych osobowych.
      • Opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym – w stosownych przypadkach – środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
    • Wspieranie administratora danych w przeprowadzaniu oceny skutków dla ochrony danych, o ile jest to konieczne.
    • Wspieranie administratora danych we wstępnych konsultacjach skierowanych do organu nadzorczego, o ile jest to konieczne.
    • Udostępnianie administratorowi wszelkich informacji niezbędnych do wykazania spełnienia nałożonych na niego obowiązków, jak również do przeprowadzania audytów lub inspekcji wykonywanych przez administratora danych lub upoważnionego przez niego audytora.
    • Przeprowadzenie oceny ryzyka dla danych osobowych wynikającego z przetwarzania danych, które Lantek przeprowadza w imieniu administratora danych, oraz wdrożenie odpowiednich środków bezpieczeństwa – technicznych i organizacyjnych – aby zagwarantować poziom ochrony adekwatny do ryzyka.
      We wszystkich przypadkach należy wdrożyć mechanizmy mające na celu:
      • zapewnienie w sposób trwały poufności, integralności, dostępności i odporności systemów i usług przetwarzania.
      • szybkie przywrócenie dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.
      • regularne sprawdzanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
      • pseudonimizację i szyfrowanie danych osobowych, w razie konieczności.
    • Wyznaczenie inspektora ochrony danych i zgłoszenie jego danych identyfikacyjnych i kontaktowych administratorowi danych.
    • Przeznaczenie danych. Podmiot przetwarzający zniszczy dane osobowe oraz, ewentualnie, nośniki je zawierające, po zakończeniu wykonywania usługi.
      Należy zaznaczyć, że jeśli administrator danych udostępni firmie Lantek dane osobowe celem dostosowania usługi do potrzeb klienta, rozwiązania problemu technicznego lub jakiejkolwiek innej interwencji, dane zostaną zwrócone po wykonaniu zadania.
      Niemniej jednak, Lantek może zachować kopię zawierającą odpowiednio zablokowane dane, i przechowywać ją tak długo, jak wykonywanie usługi wiąże się z powstawaniem zobowiązań.

5. Obowiązki administratora danych: Klient odpowiada za:

  • Podanie podmiotowi przetwarzającemu danych wymienionych w punkcie „2. Zakres przetwarzanej informacji”.
  • Przeanalizowanie operacji przetwarzania, które ma wykonać podmiot przetwarzający pod względem skutków dla ochrony danych osobowych.
  • Przeprowadzenie stosownych konsultacji wstępnych.
  • Czuwanie nad tym, żeby podmiot przetwarzający spełniał przepisy RODO zarówno przed rozpoczęciem przetwarzania danych, jak i podczas całego procesu.
  • Nadzorowanie przetwarzania, włącznie z przeprowadzaniem inspekcji i audytów.