AZ.pl jako administrator danych i podmiot przetwarzający

W poniższym artykule znajdziesz informacje dotyczące kluczowego aspektu przy RODO, czyli rozróżnienia funkcji: administratora danych osobowych, który administruje zbiorem we własnym imieniu i dla własnych celów, oraz podmiotu przetwarzającego, który zarządza zbiorem w imieniu i na rzecz osoby trzeciej na podstawie zawartej umowy.

AZ.pl jako administrator danych

AZ.pl występuje w roli administratora danych, gdy ustala cele i sposoby przetwarzania danych osobowych. Oznacza to między innymi, że AZ.pl może być traktowany jako administrator danych w przypadku wystawienia faktur za usługi, procesu obsługi klienta, tworzenia raportów statystycznych na potrzeby działań promocyjnych czy windykacji należności.

Kiedy AZ.pl jest administratorem danych?

Najpopularniejszymi przykładami, gdy Az.pl występuje w roli administratora danych to: przetwarzanie danych w celu wystawienia faktur za usługi, windykacja należności, poprawa jakości usług, zarządzanie procesami handlowymi i marketingowymi, przetwarzanie danych naszych pracowników, obsługa kont przez Biuro Obsługi Klienta.

Jeśli AZ.pl w świetle przepisów jest administratorem danych osobowych, oznacza to, że odpowiada za ich wykorzystanie oraz przetwarzanie w sposób bezpieczny, zgodny z umową oraz obowiązującymi przepisami odnośnie ochrony danych osobowych.

Twoje dane osobowe (jako klienta AZ.pl) uzyskane przy zawieraniu umowy oraz w trakcie jej trwania przetwarzane są przez AZ.pl w następujących celach:

  • zawarcia i wykonania zawartej umowy, w tym zapewnienia poprawnej jakości usług (np. usuwanie awarii i kontrola poprawności działania usług) – przez czas trwania umowy i rozliczeń po jej zakończeniu (podstawa prawna: art. 6 ust. 1b RODO), wskazaną podstawę prawną w tym artykule nazywać będziemy w skrócie „wykonaniem umowy”;
  • realizowania wszelkich obowiązków prawnych ciążących na AZ.pl z racji prowadzonej działalności, np.:
    • wystawianie i przechowywanie faktur oraz dokumentów księgowych;
    • udzielanie odpowiedzi na reklamacje w terminie i formie przewidzianych przepisami;
    • zapewnienie bezpieczeństwa sieci zgodnie z przepisami.

    Przetwarzanie danych osobowych niezbędne do realizacji obowiązków prawnych będzie realizowane:

    • tylko na czas niezbędny do wykonania obowiązków prawnych, np. wystawienia faktury (podstawa prawna: art. 6 ust. 1c RODO); wskazaną podstawę prawną w tym artykule nazywać będziemy w skrócie „obowiązkiem prawnym”;
    • przechowywanie danych będzie realizowane tylko przez określony okres czasu, który nakazywany jest w obowiązujących przepisach prawnych, np. prawo podatkowe;
    • lub przechowywanie danych będzie realizowane przez odpowiedni czas, aby uniknąć poniesienia konsekwencji prawnych niewykonania obowiązku, np. otrzymać karę finansową od urzędów państwowych (podstawa prawna: art. 6 ust. 1f RODO); wskazaną podstawę prawną w tym artykule nazywać będziemy w skrócie „naszym prawnie uzasadnionym interesem”;
  • wykrywania nadużyć i zapobiegania im – zebrane dane osobowe przetwarzane będą przez czas trwania obowiązującej z klientem umowy (podstawa prawna: „wykonanie umowy”), aż do czasu, gdy przedawnią się wszelkie roszczenia wynikające z umowy, a w sytuacji dochodzenia przez AZ.pl roszczeń lub zawiadamiania właściwych organów – przez czas trwania toczących się postępowań (podstawa prawna: „nasz prawnie uzasadniony interes”);
  • ustalenia, obrony i dochodzenia roszczeń – przetwarzanie danych będzie realizowane do czasu, gdy przedawnią się roszczenia wynikające z umowy (podstawa prawna: „nasz prawnie uzasadniony interes”). Obejmuje też m.in. sprzedaż naszych wierzytelności z umowy innemu podmiotowi;’
  • marketingu bezpośredniego – wdrożyliśmy odpowiednie zabezpieczenia przy pozyskiwaniu i przechowywaniu danych oraz weryfikujemy wiek osób, do których skierowane są nasze działania marketingowe. Deklarujemy wypełnienie obowiązku informacyjnego wobec użytkowników oraz skutecznego pozyskania zgody na przetwarzanie danych w celach marketingowych. Działania marketingu bezpośredniego są realizowane po wyrażeniu wyraźnej zgody przez czas trwania umowy (podstawa prawna: „nasz prawnie uzasadniony interes”);
  • tworzenia zestawień, analiz i statystyk na potrzeby wewnętrzne –  obejmuje w szczególności raportowanie, planowanie, badania marketingowe, prace rozwojowe, tworzenie modeli statystycznych itd. będzie realizowane przez czas trwania umowy, a następnie nie dłużej niż do czasu, gdy przedawnią się wszelkie roszczenia, które będą wynikały z umowy (podstawa prawna: „nasz prawnie uzasadniony interes”);
  • weryfikacji wiarygodności płatniczej – przetwarzanie danych będzie realizowane przez okres czasu, który będzie niezbędny do wykonania oceny wiarygodności płatniczej przy zawarciu, przedłużeniu lub rozszerzeniu zakresu tej lub następnej umowy oraz do rozpatrywania powiązanych z tym reklamacji (podstawa prawna: „wykonanie umowy”); dotyczy także danych uzyskanych przez nas z innych źródeł, jeśli jednak zawierana jest kolejna umowa, to dotyczy również danych posiadanych przez AZ.pl jeszcze przed zawarciem kolejnej umowy;
  • wsparcia obsługi – przetwarzanie danych obejmujące wsparcie obsługi to m.in. informowanie o awariach czy dostosowanie obsługi (np. przygotowywanie ofert w oparciu o dane, które już posiadamy) będzie realizowane przez czas trwania umowy (podstawa prawna: „nasz prawnie uzasadniony interes”).

Jakie uprawnienia odnośnie danych osobowych przysługują klientom AZ.pl?

Każdy klient AZ.pl ma możliwość złożenia wniosku (dotyczącego jego danych osobowych), w którym może zostać zawarte żądanie o:

  • sprostowanie (poprawienie, korektę) danych osobowych;
  • usunięcie danych osobowych przetwarzanych bezpodstawnie;
  • ograniczenie przetwarzania (wstrzymanie tylko wskazanych operacji prowadzonych danych lub nieusuwanie danych);
  • dostęp do danych (żądanie informacji na temat przetwarzanych danych przez AZ.pl oraz o kopię danych);

Prawo sprzeciwu wobec przetwarzania moich danych osobowych przez AZ.pl

Każdy klient AZ.pl może skorzystać z prawa do sprzeciwu wobec przetwarzania jego danych osobowych przez AZ.pl na potrzeby marketingu bezpośredniego. Po przyjęciu pisemnego wniosku w tej sprawie AZ.pl zobowiązuje się do zaprzestania przetwarzania danych w celach marketingu bezpośredniego.

W szczególnych sytuacjach klienci AZ.pl mogą wnieść sprzeciw wobec przetwarzania przez AZ.pl danych osobowych, jeśli podstawą wykorzystania danych jest nasz prawnie uzasadniony interes lub interes publiczny. W takiej sytuacji, po rozpatrzeniu pisemnego wniosku, AZ.pl nie będzie mogło przetwarzać danych osobowych objętych sprzeciwem we wniosku, chyba że AZ.pl wykaże, że istnieją:

  • uzasadnione podstawy prawne do przetwarzania danych, które prawnie są nadrzędne wobec interesów, praw i wolności klienta,
  • lub podstawy do ustalenia, dochodzenia lub obrony roszczeń w przyszłości na rzecz AZ.pl.

AZ.pl jako podmiot przetwarzający dane

AZ.pl występuje w roli podmiotu przetwarzającego, gdy przetwarza dane osobowe w imieniu administratora. Jest typowy przypadek, czyli klient korzysta z usług AZ.pl i przechowuje dane osobowe na serwerach w AZ.pl.

Oznacza to, że AZ.pl udostępnia klientowi jedynie serwer w celu przechowywania na nim danych osobowych (dzierżawa miejsca na serwerze), i nie ma wiedzy o tym, jakie dane, w jakim celu i w jakim zakresie są na nim przechowywane.

Kiedy AZ.pl jest podmiotem przetwarzającym?

Firma AZ.pl jako podmiot hostujący udostępnia jedynie serwer w celu przechowywania na nim plików, którymi mogą być m.in. dane osobowe. Podmiot przetwarzający, w tym przypadku AZ.pl, nie ma wiedzy o tym, jakie dane, w jakim celu i w jakim zakresie są na nim przechowywane, ale w związku z tym stosuje odpowiednie zabezpieczenia przetwarzanych danych przed nieupoważnionymi zmianami lub zniszczeniem.

WAŻNE! Dane klientów przechowywane w ramach usług AZ.pl pozostają ich własnością!

AZ.pl może uzyskać dostęp do danych przechowywanych na serwerach klientów i nimi operować tylko i wyłącznie, gdy jest to niezbędne do realizacji usług określonych w umowie zawartej pomiędzy AZ.pl i klientem. Firma AZ.pl nie ma prawa odsprzedawać danych klienta, ani wykorzystywać ich do własnych celów, np. tworzenie profilów klientów czy marketing bezpośredni.

Kiedy AZ.pl może mieć dostęp do danych klienta?

W ramach udostępnionego serwera klient może zapisywać na nim pliki oraz inne dane, np. dane osobowe innych osób. Firma AZ.pl może posiadać dostęp do tych danych wyłącznie w dwóch przypadkach:

  1. w związku z zaprezentowanymi przez klienta potrzebami, które wynikają z realizacji usług, a dokładniej w ramach procesu obsługi klienta – w szczególności w celu zapewnienia wsparcia dla klientów kontaktujących się z pomocą techniczną AZ.pl.
    Kiedy klient kontaktuje się z działem wsparcia technicznego, konsultant ma prawo skorzystać z dostępu do jego danych w dwóch sytuacjach. Po pierwsze zapoznaje się z danymi klienta wprowadzonymi w jego koncie (nazwisko, imię, numer telefonu, adres e-mail, etc.) w celu weryfikacji tożsamości rozmówcy oraz przetworzenia zgłoszenia klienta. Po drugie, wyłącznie na wyraźną prośbę klienta i z zastrzeżeniem ograniczeń technicznych właściwych dla danej usługi, konsultant może skorzystać z dostępu do danych klienta, aby zdiagnozować problem z usługą i przedstawić scenariusze rozwiązania.
  2. w związku z koniecznością wywiązania się z obowiązku prawnego w odpowiedzi na wnioski organów publicznych (np. policja, sądy lub inne organy).
    AZ.pl ma obowiązek działać zgodnie z przepisami prawa i odpowiadać na wnioski organów sądowych i/lub administracyjnych. Wszystkie wpływające do AZ.pl wnioski dotyczące udzielenia dostępu do danych podlegają ścisłym regulacjom prawnym i zgodnie z nimi są rozpatrywane. Dostęp do danych wskazanych we wniosku zostanie udzielony przez AZ.pl tylko po upewnieniu się co do ważności i zasadności wniosku. Wnioski o dostęp do danych klienta skierowane przez podmiot operujący na terytorium państwa trzeciego, przetwarzane są tylko pod warunkiem, że sformułowane zostały w oparciu o aktualne porozumienia międzynarodowe, np. traktat o wzajemnej pomocy prawnej, zawarte pomiędzy państwem trzecim, a Unią Europejską lub państwem członkowskim Unii Europejskiej.

W jaki sposób AZ.pl realizuje obowiązki wynikające z RODO, biorąc pod uwagę dane osobowe przetwarzane w ramach współpracy z klientem?

Wszelkie zagadnienia związane z przetwarzaniem danych osobowych są unormowane w umowie powierzenia przetwarzania danych osobowych, w której AZ.pl jako dostawca usług zobowiązuje się przetwarzać dane wyłącznie w celu realizacji umowy.

AZ.pl jako dostawca usług oraz podmiot przetwarzający dane (tzw. procesor) stale analizuje wszelkie ryzyka dotyczące ochrony danych pod kątem zabezpieczeń, związanych z ich przetwarzaniem, w celu zminimalizowania wszelkiego niebezpieczeństwa (np. ujawnienie danych, przechwycenie danych, itd.). Analiza ryzyka jest realizowana zarówno na etapie projektowania zmian w systemie, jak również w trakcie jego późniejszej eksploatacji. Efektem jest dobór odpowiednich zabezpieczeń uwzględniających obowiązujące przepisy prawa, wymagania biznesowe oraz wymagania dotyczące innych zasobów posiadających wartość dla ciągłości działania firmy AZ.pl.

Zarząd Spółki AZ.pl zobowiązuje się do zapewnienia jakości, bezpieczeństwa informacji i ciągłego rozwoju usług świadczonych przez Spółkę.