POLITYKA PRYWATNOŚCI SYSTEMU CARROTSPOT.COM

1. DEFINICJE

Procesor – Spółka pod firmą LUX MED Benefity Sp. z o. o. z siedzibą w Warszawie przy ul. Szturmowej 2 (02- 678 Warszawa), operator Platformy Carrotspot, zwanej danej Systemem.

Administrator – każdorazowo Klient Systemu Carrotspot, pracodawca i administrator danych użytkowników, w tym pracowników i współpracowników Klienta – osób fizycznych zatrudnionych na podstawie umów o pracę i innych umów.

Dane osobowe – informacje o osobie fizycznej zidentyfikowanej lub możliwej do zidentyfikowania poprzez jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość, w tym IP urządzenia, dane o lokalizacji, identyfikator internetowy oraz informacje gromadzone za pośrednictwem plików cookie oraz innej podobnej technologii.

Polityka – niniejsza Polityka prywatności.

RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Ustawa - ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, tekst jedn. Dz. U. z 2019 r. poz. 1781.

System – platforma internetowa udostępniana przez Wykonawcę pod adresem https://www.portal.carrotspot.com w postaci gotowego oprogramowania (SaaS –software-as-a-Service) umożliwiająca organizowanie i prowadzenie programów motywacyjnych dla Użytkowników Końcowych i świadczenie innych usług HR.

Użytkownik – osoba fizyczna korzystająca z Systemu.

2. PRZETWARZANIE DANYCH PRZEZ PROCESORA

2.1. W związku z prowadzoną działalnością gospodarczą, w tym związku z korzystaniem przez Użytkownika z Systemu, Procesor zbiera i przetwarza Dane osobowe na podstawie umowy o powierzeniu przetwarzania danych osobowych, zawartej z Administratorem, zgodnie z właściwymi przepisami prawa, w tym w szczególności z RODO i Ustawą oraz przewidzianymi w nich zasadami przetwarzania danych.

2.2. Procesor zapewnia przejrzystość przetwarzania Danych osobowych, w szczególności zawsze informuje Administratora o przetwarzaniu danych w momencie ich zbierania, w tym o celu i podstawie prawnej przetwarzania oraz o dalszych podmiotach przetwarzających, jeśli taka sytuacja ma zastosowanie. Procesor dba o to, by dane były zbierane tylko w zakresie niezbędnym do realizacji wskazanego celui przetwarzane tylko przez okres, w jakim jest to niezbędne.

2.3. Przetwarzając Dane osobowe, Procesor zapewnia ich bezpieczeństwo i poufność oraz dostęp do informacji o przetwarzaniu osobom, których dane dotyczą. Gdyby, pomimo stosowanych środków bezpieczeństwa, doszło do naruszenia ochrony Danych osobowych (np. „wycieku” danych lub ich utraty), Procesor poinformuje o takim zdarzeniu Administratora w sposób zgodny z przepisami.

2.4. Procesor podlega nadzorowi Administratora w zakresie prawidłowości przetwarzania powierzonych danych na zasadach określonych w umowie o powierzeniu przetwarzania danych osobowych.

2.5 Wszystkie zgody na przetwarzanie danych osobowych Użytkowników, cofnięcie ich lub zmiany, wyrażane są przez nich wobec Administratora.

3. KORZYSTANIE Z SYSTEMU

3.1. Aktywność Użytkownika w Systemie, w tym jego Dane osobowe, są rejestrowane w logach Systemowych (specjalnym programie komputerowym służącym do przechowywania chronologicznego zapisu zawierającego informację o zdarzeniach i działaniach dotyczących Systemu informatycznego służącego do świadczenia usług przez Procesora). Zebrane w logach informacje przetwarzane są przede wszystkim w celach związanych ze świadczeniem usług. Procesor przetwarza je również w celach technicznych, administracyjnych, na potrzeby zapewnienia bezpieczeństwa Systemu informatycznego oraz zarządzania tym Systemem, a także w celach analitycznych i statystycznych – w tym zakresie podstawą prawną przetwarzania jest prawnie uzasadniony interes Procesora.

3.2. Pliki cookies to małe pliki tekstowe instalowane na urządzeniu Użytkownika korzystającego z Systemu. Cookies zbierają informacje ułatwiające korzystanie z Systemu – np. poprzez zapamiętywanie odwiedzin Użytkownika w Systemie i dokonywanych przez niego czynności.

3.3. Procesor wykorzystuje tzw. cookies Systemowe przede wszystkim w celu dostarczania Użytkownikowi usług świadczonych drogą elektroniczną oraz poprawy jakości tych usług. W związku z tym Procesor oraz inne podmioty świadczące na jego rzecz usługi analityczne i statystyczne korzystają z plików cookies, przechowując informacje lub uzyskując dostęp do informacji już przechowywanych w telekomunikacyjnym urządzeniu końcowym Użytkownika (komputer, telefon, tablet itp.). Pliki cookies wykorzystywane w tym celu obejmują:

  • pliki cookies z danymi wprowadzanymi przez Użytkownika (identyfikator sesji) na czas trwania sesji (ang. user input cookies);

  • uwierzytelniające pliki cookies wykorzystywane do usług wymagających uwierzytelniania na czas trwania sesji (ang. authentication cookies);

  • pliki cookies służące do zapewnienia bezpieczeństwa, np. wykorzystywane dowykrywania nadużyć w zakresie uwierzytelniania (ang. user centric security cookies)

  • sesyjne pliki cookies odtwarzaczy multimedialnych (np. pliki cookies odtwarzacza flash), na czas trwania sesji (ang. multimedia player session cookies);

  • trwałe pliki cookies służące do personalizacji interfejsu Użytkownika na czas trwania sesji lub nieco dłużej (ang. user interface customization cookies).

4. NARZĘDZIA ANALITYCZNE I MARKETINGOWE STOSOWANE PRZEZ PARTNERÓW PROCESORA

4.1. Procesor stosuje różne rozwiązania i narzędzia, wykorzystywane dla celów analitycznych i usług analitycznych, statystycznych i raportowych, świadczonych Klientowi. Poniżej znajdują się podstawowe informacje na temat tych narzędzi.

a) Pliki cookies Google Analytics są to pliki wykorzystywane przez spółkę Google w celu analizy sposobu korzystania z Systemu przez Użytkownika, do tworzenia statystyk i raportów dotyczących funkcjonowania Systemu. Google nie wykorzystuje zebranych danych do identyfikacji Użytkownika ani nie łączy tych informacji w celu umożliwienia identyfikacji. Szczegółowe informacje o zakresie i zasadach zbierania danych w związku z tą usługą można znaleźć pod linkiem: https://www.google.com/intl/pl/policies/privacy/partners

b) Matomo to narzędzie pozwalające Procesorowi na prowadzenie analiz aktywności użytkowników w Systemie, np. poprzez ankiety czy badania satysfakcji, oraz poprzez anonimowe gromadzenie informacji o kliknięciach na poszczególne miejsca w Systemie. Narzędzie nie pozwala na identyfikację Użytkownika. Szczegółowe informacje na temat danych zbieranych za pośrednictwem Matomo oraz sposobu dezaktywacji monitorowania Użytkownika, dostępne są pod linkiem: https://matomo.org/privacy-policy/

5. ZARZĄDZANIE USTAWIENIAMI COOKIES

5.1. Wykorzystanie plików cookies w celu zbierania za ich pośrednictwem danych, w tym uzyskania dostępu do danych zapisanych na urządzeniu Użytkownika, wymaga uzyskania zgody Użytkownika. Zgoda ta może być w każdym momencie wycofana.

5.2. Zezwolenie nie jest wymagane jedynie w przypadku plików cookies, których stosowanie jest niezbędne do świadczenia usługi telekomunikacyjnej (transmisja danych w celu wyświetlenia treści).

5.3. Wycofanie zgody na wykorzystanie plików cookies możliwe jest za pośrednictwem ustawień przeglądarki. Szczegółowe informacje na ten temat można znaleźć pod poniższymi linkami:

Internet Explorer: https://support.microsoft.com/pl-pl/help/17442/windows-internet-explorer-delete-managecookies

Mozilla Firefox: http://support.mozilla.org/pl/kb/ciasteczka

Google Chrome: http://support.google.com/chrome/bin/answer.py?hl=pl&answer=95647

Opera: http://help.opera.com/Windows/12.10/pl/cookies.html

Safari: https://support.apple.com/kb/PH5042?locale=en-GB

5.4. Użytkownik może w każdej chwili zweryfikować status swoich aktualnych ustawień prywatności dla wykorzystywanej przeglądarki przy wykorzystaniu narzędzi dostępnych pod poniższymi linkami: http://www.youronlinechoices.com/pl/twojewybory i http://optout.aboutads.info/?c=2&lang=EN

6. ZBIERANIE DANYCH W ZWIĄZKU ZE ŚWIADCZENIEM USŁUG LUB WYKONYWANIEM INNYCH UMÓW

6.1. W związku z zawarciem umowy na uruchomienie i utrzymanie Systemu Carrotspot, Procesor pozyskuje od Klientów dane osób, zaangażowanych w realizację umowy (np. osób uprawnionych do kontaktu, składających zamówienia, wykonujących zlecenia itp.). Zakres przekazywanych danych jest w każdym wypadku ograniczony do stopnia niezbędnego dla wykonania umowy i zazwyczaj nie obejmuje innych informacji niżimię i nazwisko oraz służbowe dane kontaktowe.

6.2. Takie dane osobowe są przetwarzane w celu realizacji prawnie uzasadnionego interesu Procesora oraz jego Klienta, polegającego na umożliwieniu prawidłowego i efektywnego wykonywania umowy. Takie dane mogą być ujawniane osobom trzecim zaangażowanym w realizację umowy, a także podmiotom uzyskującym dostęp do danych w oparciu o przepisy z zakresu jawności informacji publicznej oraz postępowań prowadzonych w oparciu o prawo zamówień publicznych, w zakresie przewidzianym przez te przepisy.

6.3. Dane przetwarzane są przez okres niezbędny do realizacji powyższych interesów oraz wykonania obowiązków wynikających z przepisów.

7. UPRAWNIENIA ZWIĄZANE Z PRZETWARZANIEM DANYCH OSOBOWYCH

7.1. Procesor wspiera Administratora w realizacji następujących praw Użytkowników jako Podmiotów Danych:

  • prawo do informacji o przetwarzaniu danych osobowych – na tej podstawie osobie zgłaszającej żądanie Administrator przy wsparciu Procesora przekazuje informację o przetwarzaniu danych, w tym przede wszystkim o celach i podstawach prawnych przetwarzania, zakresie posiadanych danych, podmiotach, którym są ujawniane i planowanym terminie usunięcia danych;

  • prawo uzyskania kopii danych – na tej podstawie Administrator przy wsparciu Procesora przekazuje kopię przetwarzanych danych dotyczących osoby zgłaszającej żądanie;

  • prawo do sprostowania – Administrator przy wsparciu Procesora zobowiązany jest usuwać ewentualne niezgodności lub błędy przetwarzanych danych osobowych oraz uzupełniać je, jeśli są niekompletne;

  • prawo do usunięcia danych – na tej podstawie można żądać usunięcia danych, których przetwarzanie nie jest już niezbędne do realizowania żadnego z celów, dla których zostały zebrane;

  • prawo do ograniczenia przetwarzania – w razie zgłoszenia takiego żądania przekazanego przez Administratora Procesor zaprzestaje wykonywania operacji na danych osobowych – z wyjątkiem operacji, na które wyraziła zgodę osoba, której dane dotyczą – oraz ich przechowywania, zgodnie z przyjętymi zasadami retencji lub dopóki nie ustaną przyczyny ograniczenia przetwarzania danych (np. zostanie wydana decyzja organu nadzorczego zezwalająca na dalsze przetwarzanie danych);

  • prawo do przenoszenia danych – na tej podstawie – w zakresie, w jakim dane są przetwarzane w związku z zawartą umową lub wyrażoną zgodą – Procesor wydaje Administratorowi dane osoby, której one dotyczą, w formacie pozwalającym na ich odczyt przez komputer;

  • prawo sprzeciwu wobec innych celów przetwarzania danych – osoba, której dane dotyczą, może w każdym momencie sprzeciwić się przetwarzaniu danych osobowych, które odbywa się na podstawie uzasadnionego interesu Procesora (np. dla celów analitycznych lub statystycznych albo ze względów związanych z ochroną mienia); sprzeciw w tym zakresie powinien zostać przekazany do Administratora i zawierać uzasadnienie;

  • prawo wycofania zgody – jeśli dane przetwarzane są na podstawie wyrażonej zgody, osoba, której dane dotyczą, ma prawo ją wycofać w dowolnym momencie, co jednak nie wpływa na zgodność z prawem przetwarzania dokonanego przed wycofaniem zgody.

  • prawo do skargi – w przypadku uznania, że przetwarzanie danych osobowych narusza przepisy RODO, Ustawy lub inne przepisy dotyczące ochrony danych osobowych, osoba, której dane dotyczą, może złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych.

7.2. Żądanie dotyczące realizacji praw Podmiotów danych można zgłosić do Administratora danych, zgodnie z zasadami przyjętymi w jego polityce prywatności.

8. OKRES PRZETWARZANIA DANYCH OSOBOWYCH

8.1. Okres przetwarzania danych przez Procesora zależy od rodzaju świadczonej usługi i celu przetwarzania, określonych w umowie z Administratorem Danych. Co do zasady dane przetwarzane są przez czas świadczenia usługi lub realizowania zamówienia, do czasu wycofania wyrażonej zgody lub zgłoszenia skutecznego sprzeciwu względem przetwarzania danych w przypadkach, gdy podstawą prawną przetwarzania danych jest prawnie uzasadniony interes Procesora.

8.2. Okres przetwarzania danych może być przedłużony w przypadku, gdy przetwarzanie jest niezbędne do ustalenia i dochodzenia ewentualnych roszczeń lub obrony przed nimi, a po tym czasie jedynie w przypadku i w zakresie, w jakim będą wymagać tego przepisy prawa. Po upływie okresu przetwarzania dane są nieodwracalnie usuwane lub anonimizowane.

9. ODBIORCY DANYCH

9.1. W związku z realizacją usług Dane osobowe będą ujawniane zewnętrznym podmiotom, dostawcom odpowiedzialnym za obsługę Systemów informatycznych wyłącznie w zakresie niezbędnym do świadczenia usługi.

9.2. Procesor zastrzega sobie prawo ujawnienia wybranych informacji dotyczących Użytkownika właściwym organom bądź osobom trzecim, które zgłoszą żądanie udzielenia takich informacji, opierając się na odpowiedniej podstawie prawnej oraz zgodnie z przepisami obowiązującego prawa.

10. PRZEKAZYWANIE DANYCH POZA EOG

10.1. Procesor przekazuje Dane osobowe poza EOG tylko wtedy, gdy jest to konieczne i z zapewnieniem odpowiedniego stopnia ochrony, przede wszystkim poprzez:

  • współpracę z podmiotami przetwarzającymi Dane osobowe w państwach, w odniesieniu do których została wydana stosowna decyzja Komisji Europejskiej dotycząca stwierdzenia zapewnienia odpowiedniego stopnia ochrony Danych osobowych;

  • stosowanie standardowych klauzul umownych wydanych przez Komisję Europejską;

  • stosowanie wiążących reguł korporacyjnych, zatwierdzonych przez właściwy organ nadzorczy.

10.2. Procesor zawsze informuje Administratora o zamiarze przekazania Danych osobowych poza EOG na etapie ich zbierania.

11. BEZPIECZEŃSTWO DANYCH OSOBOWYCH

11.1. Procesor na bieżąco prowadzi analizę ryzyka w celu zapewnienia, że Dane osobowe przetwarzane są przez niego w sposób bezpieczny – zapewniający przede wszystkim, że dostęp do danych mają jedynie osoby upoważnione i jedynie w zakresie, w jakim jest to niezbędne ze względu na wykonywane przez nie zadania. Procesor dba o to, by wszystkie operacje na Danych osobowych były rejestrowane i dokonywane jedynie przez uprawnionych pracowników i współpracowników.

11.2. Procesor podejmuje wszelkie niezbędne działania, by także jego podwykonawcy i inne podmioty współpracujące dawały gwarancję stosowania odpowiednich środków bezpieczeństwa w każdym przypadku, gdy przetwarzają Dane osobowe na zlecenie Procesora.

12. DANE KONTAKTOWE

Procesor wyznaczył Inspektora Ochrony Danych, z którym Administrator może skontaktować się w każdej sprawie dotyczącej przetwarzania Danych osobowych, pod adresem [email protected]

13. ZMIANY POLITYKI

Polityka jest na bieżąco weryfikowana i w razie potrzeby aktualizowana. Aktualna wersja Polityki została przyjęta i obowiązuje od 01.09.2023 r