Klauzula Informacyjna RODO
Informacje o przetwarzaniu danych osobowych dla kandydatów do pracy, pracowników, kontrahentów B2B, przedstawicieli firm i użytkowników platformy.
Podstawa prawna
Zgodnie z art. 13 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) informujemy o zasadach przetwarzania danych osobowych.
Postanowienia wspólne dla wszystkich kategorii osób
1. Administrator danych osobowych
Administratorem Pani/Pana danych osobowych jest LexCyberAI Ltd:
- E-mail: kontakt@lexcyberai.pl
- E-mail bezpieczeństwa: security@lexcyberai.pl
2. Inspektor ochrony danych (IOD)
Z Inspektorem Ochrony Danych można się kontaktować:
- E-mail: iod@lexcyberai.pl
- Adres korespondencyjny: z dopiskiem „IOD”
3. Prawo do skargi
Przysługuje Pani/Panu prawo wniesienia skargi do organu nadzorczego:
Adres: ul. Stawki 2, 00-193 Warszawa
Telefon: 22 531 03 00
E-mail: kancelaria@uodo.gov.pl
Strona: https://uodo.gov.pl
4. Transfer danych do państw trzecich
Pani/Pana dane osobowe mogą być przekazywane do państw trzecich (USA) w związku z korzystaniem z usług chmurowych (AWS, Azure). Transfer odbywa się na podstawie:
- Standardowych klauzul umownych zatwierdzonych przez Komisję Europejską
- Dodatkowych zabezpieczeń technicznych (szyfrowanie end-to-end)
- Decyzji Wykonawczej Komisji (UE) 2021/914 (Trans-Atlantic Data Privacy Framework)
5. Zautomatyzowane podejmowanie decyzji i profilowanie
Pani/Pana dane nie będą przetwarzane w sposób zautomatyzowany, w tym w formie profilowania wywołującego skutki prawne.
KATEGORIA I
Kandydaci do pracy
1. Cele i podstawy prawne przetwarzania
A. Dane niezbędne (obowiązkowe)
Zakres danych: imię, nazwisko, data urodzenia, dane kontaktowe (telefon, e-mail, adres do korespondencji), wykształcenie, przebieg dotychczasowego zatrudnienia, kwalifikacje zawodowe
Cel: Przeprowadzenie procesu rekrutacji
Podstawa prawna: Art. 6 ust. 1 lit. b) RODO (działania na żądanie przed zawarciem umowy) oraz Art. 22¹ Kodeksu pracy
B. Dane dodatkowe (dobrowolne – wymagana zgoda)
Zakres danych: wizerunek, numer PESEL, informacje o stanie zdrowia, dodatkowe certyfikaty
Cel: Pełna ocena kandydatury
Podstawa prawna: Art. 6 ust. 1 lit. a) RODO – Pani/Pana zgoda, którą może Pan/i w każdej chwili wycofać
C. Przetwarzanie po zakończeniu rekrutacji
W przypadku braku zatrudnienia, jeśli wyrazi Pan/i zgodę, Pani/Pana dane będą przetwarzane na potrzeby przyszłych rekrutacji na podstawie Art. 6 ust. 1 lit. a) RODO przez okres 12 miesięcy od zakończenia procesu rekrutacji.
2. Odbiorcy danych
- Podmiotom przetwarzającym dane w naszym imieniu (dostawcy systemów IT, usługi chmurowe AWS/Azure)
- Podmiotom świadczącym usługi prawne i doradcze
- Firmom przeprowadzającym badania psychologiczne lub testy kompetencyjne (za zgodą)
3. Okres przechowywania danych
- Kandydaci niezatrudnieni (bez zgody): do zakończenia procesu rekrutacji
- Kandydaci niezatrudnieni (ze zgodą na przyszłe rekrutacje): 12 miesięcy od zakończenia rekrutacji
- Kandydaci zatrudnieni: przez okres wymagany przepisami prawa pracy oraz przepisami archiwizacyjnymi
4. Prawa osób, których dane dotyczą
Przysługuje Pani/Panu prawo do:
- Dostępu do swoich danych oraz otrzymania ich kopii
- Sprostowania (poprawiania) danych
- Usunięcia danych („prawo do bycia zapomnianym”)
- Ograniczenia przetwarzania danych
- Przenoszenia danych
- Wniesienia sprzeciwu wobec przetwarzania danych
- Cofnięcia zgody w dowolnym momencie (jeśli przetwarzanie odbywa się na podstawie zgody)
Kontakt: iod@lexcyberai.pl
5. Informacja o wymogu podania danych
Podanie danych osobowych w zakresie wynikającym z art. 22¹ Kodeksu pracy jest obowiązkowe i stanowi warunek udziału w procesie rekrutacji.
Podanie innych danych jest dobrowolne, lecz może być niezbędne do pełnej oceny kandydatury.
KATEGORIA II
Pracownicy
1. Cele i podstawy prawne przetwarzania
A. Wykonanie umowy o pracę i zarządzanie stosunkiem pracy
Podstawa prawna: Art. 6 ust. 1 lit. b) RODO oraz Art. 6 ust. 1 lit. c) RODO (Kodeks pracy)
Zakres danych: dane osobowe, kontaktowe, kwalifikacje, dane do wypłaty wynagrodzeń
B. Wypełnienie obowiązków prawnych
Podstawa prawna: Art. 6 ust. 1 lit. c) RODO
- Rozliczenia podatkowe (PIT)
- Ubezpieczenia społeczne (ZUS)
- Archiwizacja dokumentacji pracowniczej
C. Monitoring wizyjny (jeśli dotyczy)
Podstawa prawna: Art. 6 ust. 1 lit. f) RODO (prawnie uzasadniony interes – bezpieczeństwo mienia i osób)
Okres przechowywania nagrań: do 3 miesięcy
2. Odbiorcy danych
- Biuro rachunkowe (płace, ZUS, podatki)
- ZUS, Urząd Skarbowy, inne organy publiczne
- Banki (wypłata wynagrodzeń)
- Dostawcy systemów IT i HR
- Ubezpieczyciele (grupowe ubezpieczenia pracownicze)
3. Okres przechowywania danych
- Akta osobowe: 10 lat od zakończenia zatrudnienia (zgodnie z przepisami archiwizacyjnymi)
- Listy płac i dokumenty emerytalne: 50 lat
- Dokumentacja podatkowa: 5 lat od końca roku, w którym upłynął termin płatności
4. Prawa osób, których dane dotyczą
Przysługują wszystkie prawa wymienione w RODO, z zastrzeżeniem, że:
- Prawo do usunięcia i ograniczenia przetwarzania może być ograniczone obowiązkami prawnymi pracodawcy
- Dane wymagane przepisami prawa pracy muszą być przechowywane przez wymagany okres
KATEGORIA III
Osoby fizyczne prowadzące działalność gospodarczą (JDG) i kontrahenci B2B
1. Cele i podstawy prawne przetwarzania
A. Zawarcie i wykonanie umowy B2B
Zakres danych: imię, nazwisko, adres siedziby/zamieszkania, NIP, REGON, dane firmy, dane kontaktowe (telefon, e-mail), numer rachunku bankowego
Podstawa prawna: Art. 6 ust. 1 lit. b) RODO (wykonanie umowy)
B. Wystawienie faktur i rozliczeń księgowych
Podstawa prawna: Art. 6 ust. 1 lit. c) RODO (obowiązek prawny wynikający z przepisów podatkowych i rachunkowych)
C. Archiwizacja dokumentacji podatkowej i księgowej
Podstawa prawna: Art. 6 ust. 1 lit. c) RODO (obowiązek prawny wynikający z ustawy o rachunkowości)
D. Dochodzenie roszczeń i obrona przed roszczeniami
Podstawa prawna: Art. 6 ust. 1 lit. f) RODO (prawnie uzasadniony interes administratora)
E. Marketing usług własnych (newsletter, informacje handlowe)
Podstawa prawna: Art. 6 ust. 1 lit. f) RODO (prawnie uzasadniony interes administratora) – z możliwością wniesienia sprzeciwu
2. Odbiorcy danych
- Biuro rachunkowe (powierzenie przetwarzania danych)
- Kancelaria prawna (w przypadku sporów)
- Banki (w celu realizacji płatności)
- Organy publiczne (ZUS, US, kontrola skarbowa) – w zakresie wymaganym prawem
- Dostawcy systemów IT i usług chmurowych (powierzenie przetwarzania)
3. Okres przechowywania danych
- Dane umowne: przez okres trwania umowy oraz przez okres przedawnienia roszczeń (do 6 lat)
- Dane księgowo-podatkowe: 5 lat od końca roku, w którym upłynął termin płatności podatku
- Dane archiwalne: zgodnie z obowiązującymi przepisami archiwizacyjnymi
4. Prawa osób, których dane dotyczą
Przysługują wszystkie prawa wymienione w RODO, z zastrzeżeniem, że:
- Prawo do usunięcia i ograniczenia przetwarzania może być ograniczone obowiązkami prawnymi administratora (przechowywanie dokumentacji księgowej)
- Prawo do sprzeciwu przysługuje wobec przetwarzania w celach marketingowych
5. Informacja o wymogu podania danych
Podanie danych osobowych jest dobrowolne, ale niezbędne do:
- Zawarcia i wykonania umowy B2B
- Wystawienia faktury VAT (wymóg prawny)
- Realizacji płatności
Niepodanie danych uniemożliwi zawarcie i realizację umowy.
KATEGORIA IV
Przedstawiciele kontrahentów (osoby kontaktowe w firmach)
1. Cele i podstawy prawne przetwarzania
A. Realizacja umowy z podmiotem reprezentowanym
Zakres danych: imię, nazwisko, stanowisko, dane kontaktowe (telefon służbowy, e-mail służbowy)
Podstawa prawna: Art. 6 ust. 1 lit. f) RODO (prawnie uzasadniony interes – realizacja umowy z podmiotem reprezentowanym)
B. Komunikacja biznesowa i obsługa klienta
Podstawa prawna: Art. 6 ust. 1 lit. f) RODO (prawnie uzasadniony interes)
2. Odbiorcy danych
- Dostawcy systemów CRM i komunikacji
- Dostawcy usług chmurowych (AWS/Azure)
3. Okres przechowywania danych
- W trakcie współpracy: przez okres trwania umowy z podmiotem reprezentowanym
- Po zakończeniu współpracy: do 3 lat (w celach archiwizacyjnych i ewentualnych roszczeń)
4. Prawa osób, których dane dotyczą
Przysługują wszystkie prawa wymienione w RODO, w tym w szczególności:
- Prawo sprzeciwu wobec przetwarzania danych (co może uniemożliwić współpracę z podmiotem reprezentowanym)
- Prawo do usunięcia danych po zakończeniu współpracy
KATEGORIA V
Użytkownicy platformy NIS 2 Compliance System
1. Cele i podstawy prawne przetwarzania
A. Świadczenie usług platformy
Zakres danych: imię, nazwisko, e-mail, dane logowania, dane aktywności w systemie
Podstawa prawna: Art. 6 ust. 1 lit. b) RODO (wykonanie umowy zawartej z organizacją użytkownika)
B. Wsparcie techniczne i komunikacja
Podstawa prawna: Art. 6 ust. 1 lit. b) RODO (wykonanie umowy)
C. Zapewnienie bezpieczeństwa systemu
Podstawa prawna: Art. 6 ust. 1 lit. f) RODO (prawnie uzasadniony interes – bezpieczeństwo platformy)
2. Odbiorcy danych
- Dostawcy infrastruktury chmurowej (AWS/Azure)
- Dostawcy systemów monitoringu i bezpieczeństwa
- Dostawcy usług wsparcia technicznego
3. Okres przechowywania danych
- Dane konta: przez okres aktywności konta oraz do 90 dni po zakończeniu umowy z organizacją
- Logi systemowe: do 12 miesięcy (w celach bezpieczeństwa)
- Dane backupów: do 90 dni
4. Uwaga o roli Administratora
W przypadku użytkowników platformy, którzy korzystają z systemu w ramach organizacji będącej naszym klientem:
- Organizacja klienta jest administratorem danych swoich użytkowników
- LexCyberAI działa jako podmiot przetwarzający w rozumieniu RODO
- Pytania dotyczące przetwarzania danych należy kierować do organizacji będącej klientem
KATEGORIA VI
Subskrybenci newslettera i osoby kontaktowe (marketing)
1. Cele i podstawy prawne przetwarzania
A. Wysyłka newslettera
Zakres danych: adres e-mail, imię (opcjonalnie)
Podstawa prawna: Art. 6 ust. 1 lit. a) RODO (zgoda) oraz art. 10 ustawy o świadczeniu usług drogą elektroniczną
B. Marketing bezpośredni własnych produktów (soft opt-in dla klientów)
Podstawa prawna: Art. 6 ust. 1 lit. f) RODO (prawnie uzasadniony interes) – z prawem sprzeciwu
2. Odbiorcy danych
- Dostawcy systemów e-mail marketingu
- Dostawcy usług chmurowych
3. Okres przechowywania danych
- Newsletter (zgoda): do momentu wycofania zgody lub wypisania się
- Marketing (prawnie uzasadniony interes): do momentu wniesienia sprzeciwu, maksymalnie 3 lata od ostatniej aktywności
4. Prawa osób, których dane dotyczą
- Prawo do wycofania zgody w dowolnym momencie (link w każdej wiadomości)
- Prawo do sprzeciwu wobec marketingu
- Prawo dostępu, sprostowania, usunięcia danych
KATEGORIA VII
Osoby składające reklamacje i wnioski
1. Cele i podstawy prawne przetwarzania
Rozpatrzenie reklamacji/wniosku
Zakres danych: imię, nazwisko, dane kontaktowe, treść reklamacji/wniosku
Podstawa prawna:
- Art. 6 ust. 1 lit. b) RODO (realizacja umowy)
- Art. 6 ust. 1 lit. c) RODO (obowiązki prawne wynikające z przepisów konsumenckich)
- Art. 6 ust. 1 lit. f) RODO (prawnie uzasadniony interes – udokumentowanie procesu obsługi reklamacji)
2. Okres przechowywania danych
- Reklamacje: 3 lata od daty rozpatrzenia (okres przedawnienia roszczeń)
- Wnioski: do czasu udzielenia wyczerpującej odpowiedzi, maksymalnie 3 lata
KATEGORIA VIII
Przedstawiciele dostawców i podwykonawców
1. Cele i podstawy prawne przetwarzania
Zarządzanie łańcuchem dostaw i współpraca
Zakres danych: imię, nazwisko, stanowisko, dane kontaktowe
Podstawa prawna: Art. 6 ust. 1 lit. f) RODO (prawnie uzasadniony interes – realizacja umów z dostawcami)
Due diligence i audyty dostawców (NIS 2)
Podstawa prawna: Art. 6 ust. 1 lit. c) RODO (obowiązek prawny wynikający z art. 21 Dyrektywy NIS 2 – zarządzanie bezpieczeństwem łańcucha dostaw)
2. Okres przechowywania danych
- W trakcie współpracy: przez okres trwania umowy z dostawcą
- Po zakończeniu współpracy: do 5 lat (dokumentacja zgodności z NIS 2)
Prawa osób, których dane dotyczą (wspólne dla wszystkich kategorii)
Niezależnie od kategorii, do której Pan/i należy, przysługują następujące prawa:
Prawo uzyskania potwierdzenia, czy przetwarzane są Pani/Pana dane oraz otrzymania ich kopii
Prawo żądania niezwłocznego sprostowania nieprawidłowych danych lub uzupełnienia niekompletnych danych
Prawo do bycia zapomnianym (z zastrzeżeniem obowiązków prawnych administratora)
Prawo żądania ograniczenia przetwarzania w określonych sytuacjach
Prawo otrzymania danych w formacie ustrukturyzowanym i przesłania ich innemu administratorowi
Prawo wniesienia sprzeciwu wobec przetwarzania (w szczególności w celach marketingowych)
Jeśli przetwarzanie odbywa się na podstawie zgody – prawo jej cofnięcia w dowolnym momencie
Realizacja praw
W celu realizacji powyższych praw należy skontaktować się z:
- Inspektorem Ochrony Danych: iod@lexcyberai.pl
- Administratorem: kontakt@lexcyberai.pl
Administrator odpowiada na żądania bez zbędnej zwłoki, nie później jednak niż w ciągu miesiąca od otrzymania żądania.
Postanowienia końcowe
Administrator zastrzega sobie prawo do aktualizacji niniejszej klauzuli informacyjnej w przypadku zmiany przepisów prawa lub sposobu przetwarzania danych osobowych.
W sprawach nieuregulowanych w niniejszej klauzuli zastosowanie mają przepisy RODO oraz innych obowiązujących aktów prawnych.
Kontakt w sprawach ochrony danych
W sprawach dotyczących przetwarzania danych osobowych, realizacji praw RODO lub pytań o ochronę prywatności
Skontaktuj się z IODKlauzula opracowana zgodnie z art. 13 i 14 Rozporządzenia RODO (UE) 2016/679