Dokument

Polityka prywatności

Niniejsza polityka opisuje zasady przetwarzania danych osobowych w publicznym serwisie prezentującym rozwiązanie System Centralny Rejestr Umów oraz w samej aplikacji służącej do obsługi umów, kontrahentów i procesów związanych z CRU JSFP.

1. Administrator danych

Administratorem danych osobowych przetwarzanych w ramach tej strony internetowej oraz działań sprzedażowych, ofertowych, kontaktowych i wdrożeniowych jest Twoja Firma z siedzibą pod adresem: [uzupełnij pełny adres siedziby], e-mail: kontakt@crujsfp.pl.

Jeżeli wyznaczono inspektora ochrony danych, dane kontaktowe IOD należy wskazać tutaj: [uzupełnij dane IOD, jeśli dotyczy].

2. Kiedy ta polityka ma zastosowanie

Polityka obejmuje w szczególności:

  • korzystanie z publicznej strony internetowej i formularza kontaktowego,
  • kontakt w sprawie oferty, prezentacji, wdrożenia, wsparcia lub współpracy,
  • korzystanie z aplikacji przez użytkowników uprawnionych przez klienta,
  • przetwarzanie danych wprowadzanych do aplikacji w związku z obsługą umów, kontrahentów, aneksów, audytu, importów oraz publikacji do CRU JSFP.

W zakresie danych wprowadzanych do aplikacji przez jednostkę korzystającą z systemu administratorem danych jest co do zasady ta jednostka, a dostawca rozwiązania działa jako podmiot przetwarzający lub podmiot upoważniony do świadczenia wsparcia technicznego, chyba że z umowy lub przepisów wynika inaczej.

3. Kategorie przetwarzanych danych

W zależności od sposobu korzystania z serwisu lub aplikacji możemy przetwarzać następujące dane:

  • dane kontaktowe i identyfikacyjne osób składających zapytania: imię i nazwisko, nazwa jednostki lub instytucji, stanowisko, adres e-mail, numer telefonu, treść wiadomości, etap zainteresowania wdrożeniem, liczba użytkowników, typ jednostki,
  • dane techniczne związane z wysyłką formularza lub korzystaniem z systemu: adres IP, identyfikatory sesji, dane przeglądarki, informacje o urządzeniu, znaczniki czasu, logi bezpieczeństwa,
  • dane użytkowników aplikacji: imię i nazwisko, adres e-mail, rola, zakres uprawnień, hasło w postaci skrótu, ustawienia powiadomień, dane dotyczące uwierzytelniania dwuskładnikowego, informacje o zaufanych urządzeniach,
  • dane operacyjne wprowadzane do aplikacji przez klienta, w tym dane dotyczące umów, kontrahentów, przedstawicieli stron, osób reprezentujących jednostkę, danych kontaktowych, danych adresowych, numerów identyfikacyjnych takich jak NIP, REGON, PESEL lub inny identyfikator, historii zmian i zapisów audytowych,
  • dane związane z publikacją lub przygotowaniem publikacji do CRU JSFP oraz danymi pozyskiwanymi z integracji z publicznymi rejestrami lub usługami państwowymi, np. REGON lub wykazem VAT.

4. Cele i podstawy prawne przetwarzania

Dane przetwarzamy w następujących celach i na następujących podstawach prawnych:

  • obsługa zapytań, umówienie prezentacji, przygotowanie oferty, kontakt przed zawarciem umowy oraz realizacja działań sprzedażowych i wdrożeniowych – art. 6 ust. 1 lit. b lub lit. f RODO,
  • świadczenie usług drogą elektroniczną, utrzymanie kont użytkowników, zarządzanie dostępem, bezpieczeństwo logowania, obsługa 2FA, zapamiętanie zaufanego urządzenia i prowadzenie logów technicznych – art. 6 ust. 1 lit. b oraz lit. f RODO,
  • zapewnienie bezpieczeństwa systemu, wykrywanie nadużyć, ochrona przed nieuprawnionym dostępem, rozliczalność operacji i prowadzenie audytu – art. 6 ust. 1 lit. f RODO,
  • wykonanie obowiązków prawnych ciążących na administratorze lub na kliencie korzystającym z aplikacji, w szczególności obowiązków związanych z prowadzeniem rejestru umów, archiwizacją, rozliczalnością, bezpieczeństwem i – jeżeli dotyczy – przekazaniem danych do CRU JSFP – art. 6 ust. 1 lit. c RODO,
  • realizacja zadań wykonywanych w interesie publicznym lub w ramach sprawowania władzy publicznej przez jednostkę sektora finansów publicznych korzystającą z aplikacji – art. 6 ust. 1 lit. e RODO, jeżeli to ta jednostka działa jako administrator,
  • ustalenie, dochodzenie lub obrona roszczeń oraz obsługa reklamacji, zgłoszeń serwisowych i sporów – art. 6 ust. 1 lit. f RODO.

5. Źródło danych

Dane otrzymujemy przede wszystkim:

  • bezpośrednio od osób kontaktujących się z nami przez formularz, e-mail, telefon lub w toku współpracy,
  • od klienta będącego administratorem danych w aplikacji,
  • z publicznych rejestrów lub usług wykorzystywanych w aplikacji na polecenie klienta lub w granicach przepisów prawa, np. z usług związanych z weryfikacją REGON, NIP lub statusem VAT.

6. Odbiorcy danych

Dane mogą być ujawniane wyłącznie podmiotom uprawnionym lub wspierającym realizację usług, w szczególności:

  • dostawcom hostingu, utrzymania serwerów, kopii zapasowych, poczty elektronicznej i wsparcia IT,
  • podmiotom świadczącym wsparcie serwisowe, wdrożeniowe, administracyjne lub bezpieczeństwa informacji,
  • operatorom usług teleinformatycznych wykorzystywanych do logowania, wysyłki wiadomości lub powiadomień,
  • organom publicznym lub podmiotom prowadzącym rejestry publiczne, jeżeli obowiązek lub zakres udostępnienia wynika z prawa albo z funkcji uruchomionych przez klienta,
  • jednostkom korzystającym z aplikacji oraz osobom przez nie upoważnionym, zgodnie z nadanymi rolami i uprawnieniami.

W przypadku danych przetwarzanych w aplikacji na rzecz klienta przekazanie danych odbywa się zgodnie z umową powierzenia, instrukcjami administratora oraz zasadą minimalizacji dostępu.

7. Przekazywanie danych poza EOG

Co do zasady dane przechowujemy i przetwarzamy na terenie Europejskiego Obszaru Gospodarczego. Jeżeli w związku z wyborem dostawcy usług technicznych lub komunikacyjnych doszłoby do przekazania danych poza EOG, nastąpi to wyłącznie z zastosowaniem wymaganych prawem zabezpieczeń, w szczególności na podstawie decyzji stwierdzającej odpowiedni stopień ochrony albo standardowych klauzul umownych.

8. Okres przechowywania danych

Dane przechowujemy nie dłużej, niż jest to niezbędne do realizacji celu przetwarzania, w szczególności:

  • dane z formularza kontaktowego i korespondencji ofertowej – przez czas prowadzenia rozmów oraz następnie przez okres potrzebny do wykazania przebiegu kontaktu, przygotowania oferty albo obrony przed roszczeniami, nie dłużej jednak niż do czasu przedawnienia roszczeń, chyba że wcześniej dojdzie do zawarcia umowy,
  • dane kont użytkowników, logowania, zaufanych urządzeń i preferencji bezpieczeństwa – przez okres aktywności konta, a następnie przez okres uzasadniony rozliczalnością, bezpieczeństwem i możliwością dochodzenia roszczeń,
  • dane operacyjne w aplikacji – przez okres ustalony przez administratora danych korzystającego z aplikacji, zgodnie z przepisami właściwymi dla jego działalności, polityką retencji, instrukcją kancelaryjną, obowiązkami archiwalnymi lub umową,
  • logi audytowe i logi bezpieczeństwa – przez okres niezbędny do zapewnienia rozliczalności, bezpieczeństwa, diagnostyki, wykazania zgodności z obowiązkami oraz obsługi incydentów.

9. Prawa osób, których dane dotyczą

W granicach wynikających z RODO przysługuje Państwu prawo do:

  • dostępu do danych,
  • sprostowania danych,
  • usunięcia danych,
  • ograniczenia przetwarzania,
  • przenoszenia danych – jeżeli podstawą przetwarzania jest umowa lub zgoda i przetwarzanie odbywa się w sposób zautomatyzowany,
  • wniesienia sprzeciwu – w zakresie, w jakim podstawą przetwarzania jest prawnie uzasadniony interes,
  • wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Jeżeli dane znajdują się w aplikacji, a administratorem jest jednostka korzystająca z systemu, żądanie należy kierować przede wszystkim do tej jednostki. Dostawca aplikacji może wówczas wspierać administratora jako podmiot przetwarzający.

10. Czy podanie danych jest obowiązkowe

Podanie danych w formularzu kontaktowym jest dobrowolne, ale niezbędne do udzielenia odpowiedzi i obsługi zapytania. W aplikacji podanie części danych może być niezbędne do utworzenia konta, zapewnienia bezpieczeństwa, wykonania umowy, prowadzenia rejestru umów lub realizacji obowiązków prawnych spoczywających na administratorze.

11. Zautomatyzowane podejmowanie decyzji

Dane osobowe nie są wykorzystywane do podejmowania decyzji wywołujących wobec Państwa skutki prawne wyłącznie w sposób zautomatyzowany, w tym do profilowania w rozumieniu RODO. System może stosować mechanizmy walidacji, klasyfikacji statusów, wykrywania braków danych, wykrywania duplikatów lub logiki workflow, ale nie zastępują one samodzielnej decyzji administratora lub użytkownika uprawnionego.

12. Pliki cookies i podobne technologie

Serwis oraz aplikacja wykorzystują przede wszystkim niezbędne pliki cookies i podobne technologie służące do: utrzymania sesji użytkownika, ochrony formularzy, logowania, działania uwierzytelniania dwuskładnikowego, zapamiętania zaufanego urządzenia, bezpieczeństwa oraz prawidłowego świadczenia usług.

Na stronie publicznej nie wdrożono obecnie rozbudowanych mechanizmów analitycznych ani marketingowych. Jeżeli w przyszłości zostaną dodane narzędzia analityczne, reklamowe lub integracje wymagające zgody, polityka zostanie odpowiednio zaktualizowana, a tam gdzie będzie to wymagane – zostanie wdrożony mechanizm zarządzania zgodami.

Ustawienia dotyczące cookies można zmieniać w przeglądarce internetowej. Ograniczenie stosowania niezbędnych plików cookies może jednak wpłynąć na poprawne działanie formularzy, logowania lub innych funkcji serwisu.

Najważniejsze założenie dla aplikacji

W typowym modelu wdrożenia administratorem danych operacyjnych przetwarzanych w aplikacji jest jednostka korzystająca z systemu. Dostawca rozwiązania przetwarza dane wyłącznie w zakresie niezbędnym do utrzymania, wsparcia, bezpieczeństwa i rozwoju usługi oraz zgodnie z umową powierzenia albo inną podstawą prawną.

Jakie funkcje aplikacji wpływają na treść polityki

  • rejestr umów i aneksów,
  • kartoteka kontrahentów i ich przedstawicieli,
  • import danych z plików,
  • historia zmian i audyt operacji,
  • role i uprawnienia użytkowników,
  • uwierzytelnianie dwuskładnikowe oraz zaufane urządzenia,
  • integracje z REGON, wykazem VAT i – jeżeli dotyczy – CRU JSFP.

Co trzeba jeszcze uzupełnić przed publikacją

  • pełny adres administratora,
  • dane rejestrowe, jeżeli chcesz je podać w polityce lub stopce,
  • dane IOD – jeśli został wyznaczony,
  • ostateczną listę dostawców technicznych i podmiotów przetwarzających,
  • okresy retencji, jeśli masz przyjęte konkretne terminy w politykach wewnętrznych,
  • opis narzędzi analitycznych lub marketingowych, jeżeli zostaną uruchomione później.
Wróć do formularza