1. Administrator danych
Cencert jest marką produktową firmy Enigma Systemy Ochrony Informacji Sp. z o.o.
Administratorem danych w rozumieniu RODO (ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)) jest Enigma Systemy Ochrony Informacji Sp. z o.o., ul. Jutrzenki 116, 02-230 Warszawa, NIP 5261028614, numer wpisu KRS: 0000160395.
Wyznaczyliśmy Inspektora ochrony danych, z którym możesz się skontaktować pod adresem iod@enigma.com.pl lub, w formie tradycyjnej, pod adresem ul. Jutrzenki 116, 02-230 Warszawa.
2. Cel i podstawy przetwarzania
Twoje dane przetwarzamy:
- W celu realizacji naszych obowiązków prawnych związanych ze świadczeniem kwalifikowanych usług zaufania, wynikających z art. 17 ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej oraz obowiązków prawnych związanych z przepisami podatkowymi (podstawa z art. 6 ust. 1 lit. c RODO),
- W celu przygotowania lub realizacji umowy o świadczenie usługi zaufania, której jesteś stroną (podstawa z art. 6 ust. 1 lit. b RODO),
- W celu przygotowania lub realizacji umowy o świadczenie usługi zaufania, zawartej przez stronę trzecią na Twoją rzecz, na podstawie naszego prawnie uzasadnionego interesu (podstawa z art. 6 ust. 1 lit. f RODO),
- W celu rozpatrywania złożonej przez Ciebie reklamacji (w zależności od okoliczności złożonej reklamacji – podstawa z art. 6 ust. 1 lit. b, lit. c lub lit. f RODO);
- W celu udzielania Ci (z Twojej inicjatywy) pomocy w zakresie świadczonych przez nas usług lub oferowanych produktów, w tym pomocy technicznej (podstawa z art. 6 ust. 1 lit. b, lit. c lub lit. f RODO);
- W celu ewentualnego ustalenia, dochodzenia lub obrony przed roszczeniami będącego realizacją naszego prawnie uzasadnionego interesu (podstawa z art. 6 ust. 1 lit. f RODO);
- W celach analitycznych (lepszego doboru usług do potrzeb naszych klientów, ogólnej optymalizacji naszych produktów, optymalizacji procesów obsługi, budowania wiedzy o naszych klientach, analizy finansowej naszej spółki itp.) będącego realizacją naszego prawnie uzasadnionego interesu (podstawa z art. 6 ust. 1 lit. f RODO);
- W celu badania satysfakcji klientów, będącego realizacją naszego prawnie uzasadnionego interesu określania jakości naszej obsługi oraz poziomu zadowolenia naszych klientów z produktów i usług (podstawa z art. 6 ust. 1 lit. f RODO);
- W celu oferowania Ci przez nas produktów i usług bezpośrednio (marketing bezpośredni), w tym dobierania ich pod kątem Twoich potrzeb, czyli profilowania, będącego realizacją naszego prawnie uzasadnionego w tym interesu (podstawa z art. 6 ust. 1 lit. f RODO).
3. Prawo do sprzeciwu
W każdej chwili przysługuje Ci prawo do wniesienia sprzeciwu wobec przetwarzania Twoich danych opisanych powyżej. Przestaniemy przetwarzać Twoje dane w tych celach, chyba że będziemy w stanie wykazać, że w stosunku do Twoich danych istnieją dla nas ważne prawnie uzasadnione podstawy, które są nadrzędne wobec Twoich interesów, praw i wolności lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.
W każdej chwili przysługuje Ci prawo do wniesienia sprzeciwu wobec przetwarzania Twoich danych w celu prowadzenia marketingu bezpośredniego. Jeżeli skorzystasz z tego prawa – zaprzestaniemy przetwarzania Twoich danych w tym celu.
4. Okres przechowywania danych
Twoje dane przetwarzane w związku z realizacją obowiązku wynikającego z art. 17 ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (podstawa z art. 6 ust. 1 lit. c RODO), przechowujemy przez okres tam wskazany, to jest przez 20 lat od momentu wytworzenia danych, oraz dodatkowo przez okres potrzebny na usunięcie kopii archiwalnych, nie dłuższy niż 2 lata.
Twoje dane przetwarzane w celach przygotowania lub realizacji umowy o świadczenie usługi zaufania będą przechowywane do zakończenia przygotowania umowy, a w przypadku jej zawarcia – w zależności od rodzaju umowy – do momentu zakończenia obowiązywania zawartej umowy albo do momentu wykonania zawartej umowy oraz dodatkowo przez okres funkcjonowania danego systemu realizującego daną usługę zaufania (np. danego „urzędu certyfikacji” wystawiającego Twój certyfikat).
Szczególnym przypadkiem tych danych są dane osobowe przetwarzane w związku z realizacją kwalifikowanej usługi walidacji podpisów i pieczęci elektronicznych, gdzie zachodzą następujące okoliczności:
- Dane zawarte w podpisanych dokumentach, przekazanych na nasz portal www udostępniający usługę walidacji, w celu wykonania tej usługi, są przetwarzane wyłącznie w procesie automatycznym w pamięci operacyjnej serwera, w celu wykonania niezbędnych obliczeń do realizacji usługi walidacji, po czym natychmiast są usuwane z pamięci. Powyższe zdanie nie dotyczy sytuacji, gdy usługa walidacji jest udostępniona poprzez „bramkę” zlokalizowaną w infrastrukturze klienta – w której to sytuacji dane zawarte w walidowanych dokumentach w ogóle nie są przetwarzane na naszych serwerach.
- Dane zawarte w raportach wytworzonych w związku z realizacją kwalifikowanej usługi walidacji podpisów i pieczęci, są przechowywane:
- na serwerach centralnych usługi walidacji, przez 30 dni od wytworzenia danego raportu walidacji oraz dodatkowo przez okres retencji kopii zapasowych wynoszący maksymalnie 6 miesięcy oraz dodatkowo
- na serwerach obsługujących portal www udostępniający usługę walidacji (nie dotyczy konfiguracji usługi z „bramką” zlokalizowaną u klienta), do momentu usunięcia raportu przez klienta usługi, lecz nie dłużej niż 120 dni od wytworzenia raportu, oraz dodatkowo przez okres retencji kopii zapasowych wynoszący maksymalnie 6 miesięcy.
Twoje dane przetwarzane w celu ewentualnego ustalenia, dochodzenia lub obrony przed roszczeniami będą przechowywane przez okres, w którym mogą ujawnić się roszczenia związane z daną umową, czyli przez 4 lata od końca roku, w którym wygasła umowa, w tym 3 lata to najdłuższy możliwy okres przedawnienia roszczeń, dodatkowy rok jest na wypadek roszczeń zgłoszonych w ostatniej chwili i problemów z doręczeniem, a liczenie od końca roku służy określeniu jednej daty usunięcia danych dla umów kończących się w danym roku.
Dane przetwarzane w celu udzielania Ci pomocy w zakresie świadczonych przez nas produktów i usług, w tym pomocy technicznej, będą przetwarzane przez 6 miesięcy od wytworzenia tych danych oraz dodatkowo przez okres retencji kopii zapasowych wynoszący maksymalnie 6 miesięcy, za wyjątkiem nagrań rozmów telefonicznych, które są przetwarzane przez 30 dni od ich wytworzenia oraz dodatkowo przez okres retencji kopii zapasowych wynoszący maksymalnie 6 miesięcy.
Dane przetwarzane w związku z wypełnieniem ciążącego na nas obowiązku prawnego będą przetwarzane do czasu wypełnienia przez nas tego obowiązku.
Dane przetwarzane w celach analitycznych, badania satysfakcji klientów oraz oferowania Ci przez nas produktów i usług bezpośrednio (marketing bezpośredni) możemy przetwarzać do czasu, aż zgłosisz sprzeciw względem ich przetwarzania w tym celu, wycofasz zgodę na kontaktowanie się z Tobą za pomocą określonych środków komunikacji albo gdy ustalimy, że dane się zdezaktualizowały.
5. Odbiorcy danych
Możemy udostępniać Twoje dane:
- podmiotom zlecającym nam realizację określonych usług na Twoją rzecz – dane takie jak raporty i zestawienia dotyczące zrealizowanych usług w danym okresie,
- firmom realizującym usługi pocztowe i kurierskie – w celach związanych z doręczaniem przesyłek,
- operatorom płatności elektronicznych, w zakresie niezbędnym do zapobiegania oszustwom związanym z wykonywanymi usługami płatniczymi i prowadzeniem systemu płatności oraz dochodzenia i wykrywania tego rodzaju oszustw przez właściwe organy zgodnie z ustawą o usługach płatniczych,
- firmie Google Ireland Limited – dane analityczne związane z korzystaniem z serwisu WWW, pobierane przez usługę Google Analytics, przy czym możesz wyłączyć zbieranie informacji przez tę usługę,
- pomiotom upoważnionym na podstawie przepisów prawa powszechnie obowiązującego.
Do Twoich danych mogą też mieć dostęp podmioty realizujące na naszą rzecz różnego rodzaju usługi związane z naszą działalnością (podmioty przetwarzające):
- nasi partnerzy w zakresie realizacji usług zaufania, w szczególności partnerzy wymienieni na stronie https://www.cencert.pl/punkty-rejestracji/
- firmy informatyczne, realizujące dla nas usługi w zakresie utrzymania i rozwoju naszych systemów IT,
- firmy telekomunikacyjne i agencje marketingowe, realizujące w naszym imieniu komunikację w postaci wiadomości email, SMS (w tym kampanie reklamowe) oraz realizujące usługi centrali telefonicznej,
- agencje marketingowe realizujące na naszą rzecz badania lub analizy,
- firmy prowadzące usługi archiwizacji dokumentów papierowych,
6. Prawa osób, których dane dotyczą:
Zgodnie z RODO, przysługuje Ci:
- prawo dostępu do swoich danych oraz otrzymania ich kopii;
- prawo do sprostowania (poprawiania) swoich danych;
- prawo do usunięcia danych, ograniczenia przetwarzania danych;
- prawo do wniesienia sprzeciwu wobec przetwarzania danych;
- prawo do przenoszenia danych;
- prawo do wniesienia skargi do organu nadzorczego.
7. Informacja o wymogu/dobrowolności podania danych
Podanie danych ma charakter dobrowolny, ale jest konieczne do realizacji określonych usług.
8. Źródło danych
Zazwyczaj dane pozyskujemy od osób, których one dotyczą.
Możemy również otrzymywać dane służące do realizacji usług zaufania, od podmiotów zlecających nam realizację tych usług na rzecz osób, których dane dotyczą.
W przypadku kwalifikowanej usługi walidacji podpisów i pieczęci, dane osób składających podpisy elektroniczne podlegające walidacji są nam przekazywane przez podmioty zlecające realizację usługi walidacji.
9. Zautomatyzowane podejmowanie decyzji
Nie ma zastosowania.
10. Jak zabezpieczamy dane osobowe?
Stosujemy środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, o których mowa w art. 32 RODO, w szczególności poprzez: szyfrowanie danych osobowych w czasie przesyłania w sieci Internet, zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.
Stosowane przez nas środki ochrony, techniczne i organizacyjne, są regularnie audytowane w ramach naszego Systemu Zarządzania Bezpieczeństwem Informacji, certyfikowanego przez Dekra Certification Sp. z o.o. (patrz www.cencert.pl/certyfikaty) na zgodność z normą ISO 27001.
Zatwierdzono:
Warszawa, 20 września 2024
Dyrektor Pionu CenCert
Enigma Systemy ochrony Informacji Sp. z o.o.