CZĘŚĆ I - POLITYKA PRYWATNOŚCI

§1. Administrator danych i kontakt

1. Administratorem danych osobowych, o których mowa w tej części, jest iPartner.tech sp. z o.o., ul. Reja 74, 97-500 Radomsko, NIP 7722438005, REGON 529639920, KRS 0001125774 (dalej „Administrator", „my").

2. Kontakt w sprawach danych osobowych: info@iprograms.tech.

3. Administrator nie powołał Inspektora Ochrony Danych (nie jest to dla niego obowiązkowe). We wszystkich sprawach dotyczących danych osobowych prosimy o kontakt pod adresem wskazanym w ust. 2.

4. Status inkubacyjny. iPartner.tech sp. z o.o. prowadzi projekt iCentral w charakterze inkubatora na czas fazy startowej. Zgodnie z Regulaminem (§18) prawa i obowiązki związane z Aplikacją zostaną przeniesione na iPrograms.tech; z chwilą przeniesienia podmiot ten stanie się administratorem danych w miejsce dotychczasowego. O zmianie administratora poinformujemy z wyprzedzeniem.

§2. Czego dotyczy ta część

Polityka prywatności (Część I) dotyczy danych, których jesteśmy administratorem, tj.:

1. danych Użytkowników (osób zakładających i posiadających Konto), w tym osób korzystających wyłącznie z odbierania danych (plan PickUp);

2. danych rozliczeniowych Klientów;

3. danych technicznych (logi, dane sesji, dane bezpieczeństwa);

4. danych osób kontaktujących się z nami (np. korespondencja, reklamacje).

Danych, które Klient wprowadza do swojej Instancji o osobach trzecich, dotyczy Część II (DPA).

§3. Jakie dane przetwarzamy

1. Dane konta: adres e-mail, hasło (w postaci zabezpieczonej - patrz §9), imię i nazwisko (jeśli podane), dane profilu.

2. Dane rozliczeniowe: dane niezbędne do wystawienia faktury (nazwa, adres, NIP), wybrany Plan, historia płatności. Płatności obsługują zewnętrzni operatorzy (§6) - nie przechowujemy pełnych danych kart płatniczych.

3. Dane techniczne i bezpieczeństwa: adres IP, dane urządzenia i przeglądarki, przybliżona lokalizacja (GeoIP), data i czas logowań i operacji, identyfikatory sesji, zapisy istotnych operacji (np. odsłonięć haseł) na potrzeby audytu i bezpieczeństwa.

4. Dane z korespondencji: treść zgłoszeń, reklamacji i kontaktu z nami.

5. Pliki cookies i podobne technologie na Stronie internetowej i w Aplikacji - w zakresie opisanym w §10.

§4. Cele i podstawy prawne przetwarzania

Cel

Podstawa prawna (RODO)

Założenie i prowadzenie Konta, świadczenie Aplikacji, obsługa subskrypcji

art. 6 ust. 1 lit. b (wykonanie umowy)

Rozliczenia, wystawianie i przechowywanie faktur, księgowość

art. 6 ust. 1 lit. c (obowiązek prawny)

Bezpieczeństwo Aplikacji, audyt operacji, zapobieganie nadużyciom, zarządzanie sesjami

art. 6 ust. 1 lit. f (prawnie uzasadniony interes)

Obsługa zgłoszeń, reklamacji i korespondencji

art. 6 ust. 1 lit. b oraz lit. f

Ustalenie, dochodzenie lub obrona roszczeń

art. 6 ust. 1 lit. f

Marketing własny / komunikacja (jeśli prowadzony)

art. 6 ust. 1 lit. f lub lit. a (zgoda)

Pliki cookies inne niż niezbędne

art. 6 ust. 1 lit. a (zgoda)

§5. Okresy przechowywania (retencja)

1. Dane konta i Treści Klienta - przez czas korzystania z Aplikacji, a po wygaśnięciu płatnego Planu (lub Okresu próbnego bez zakupu) jeszcze przez 60 dni (okno na wznowienie), po czym są trwale i nieodwracalnie usuwane zgodnie z §17 Regulaminu. Po tym terminie odzyskanie danych nie jest możliwe.

2. Dane funkcji „Wyślij dane": przesłana treść, poświadczenia i załączniki są trwale usuwane po 7 dniach od wysłania; metadane przesyłki przechowujemy przez 90 dni w celach audytu i bezpieczeństwa.

3. Logi i dane audytowe (logowania, odsłonięcia haseł, operacje bezpieczeństwa) - przez co najmniej 12 miesięcy, a dłużej wyłącznie, gdy jest to potrzebne dla bezpieczeństwa lub roszczeń.

4. Dane rozliczeniowe i faktury - przez okres wymagany przepisami podatkowymi i o rachunkowości (co do zasady 5 lat licząc od końca roku, w którym powstał obowiązek podatkowy).

5. Dane na potrzeby roszczeń - do upływu okresów przedawnienia.

6. Dane z korespondencji - przez czas niezbędny do obsługi sprawy, a następnie do upływu okresów przedawnienia ewentualnych roszczeń.

§6. Odbiorcy danych i podmioty przetwarzające (subprocesorzy)

1. Aplikacja oraz pliki (storage) są utrzymywane przez Usługodawcę na własnej infrastrukturze, zlokalizowanej na terenie Unii Europejskiej.

2. Baza danych prowadzona jest u zewnętrznego dostawcy usług, którego infrastruktura znajduje się na terenie Unii Europejskiej.

3. Z pozostałych zewnętrznych podmiotów przetwarzających korzystamy wyłącznie w niezbędnym zakresie, na podstawie umów powierzenia:

   • Operatorzy płatności: Stripe Payments Europe, Ltd. oraz PayPro S.A. (Przelewy24) - obsługa płatności.

   • Dostawca poczty (e-mail transakcyjny): zewnętrzny dostawca z infrastrukturą na terenie Polski (Unia Europejska), obsługujący wysyłkę wiadomości systemowych (zaproszenia, powiadomienia, reset hasła).

4. Dane mogą być udostępniane podmiotom uprawnionym na podstawie przepisów prawa (np. organom państwowym) - wyłącznie na ich zgodne z prawem żądanie.

5. Nie sprzedajemy danych osobowych.

§7. Lokalizacja danych i przekazywanie poza EOG

1. Dane przetwarzane są na serwerach zlokalizowanych na terenie Unii Europejskiej - częściowo na własnej infrastrukturze Usługodawcy (Aplikacja, pliki), a w zakresie bazy danych u zewnętrznego dostawcy z infrastrukturą w UE.

2. Nie przekazujemy danych poza Europejski Obszar Gospodarczy (EOG). Gdyby okazało się to konieczne (np. w związku z dostawcą usług), nastąpi to wyłącznie przy zapewnieniu odpowiednich zabezpieczeń wymaganych przez RODO (np. standardowe klauzule umowne).

§8. Prawa osób, których dane dotyczą

1. Każdej osobie przysługuje prawo do: dostępu do danych, ich sprostowania, usunięcia („prawo do bycia zapomnianym"), ograniczenia przetwarzania, przenoszenia danych, sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie, a w zakresie danych przetwarzanych na podstawie zgody - cofnięcia zgody w dowolnym momencie (bez wpływu na zgodność z prawem przetwarzania sprzed cofnięcia).

2. Żądania można kierować na adres info@iprograms.tech. Realizujemy je niezwłocznie, nie później niż w terminie wynikającym z RODO (co do zasady 1 miesiąc).

3. Uwaga dla danych w Instancji Klienta: jeśli żądanie dotyczy danych, które do Aplikacji wprowadził Klient (np. dane kontaktu zapisane przez Klienta), administratorem tych danych jest Klient. W takim przypadku nie przekazujemy żądania dalej - wskażemy osobie zgłaszającej właściwego administratora (Klienta), do którego należy skierować żądanie bezpośrednio (patrz Część II - DPA).

4. Przysługuje prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).

§9. Bezpieczeństwo danych

1. Stosujemy środki techniczne i organizacyjne odpowiednie do ryzyka, w tym: szyfrowanie połączeń (HTTPS/TLS), szyfrowanie wrażliwych danych przechowywanych, polityki haseł, dwuetapowe uwierzytelnianie, automatyczne wylogowanie po okresie bezczynności, zarządzanie sesjami oraz rejestrowanie istotnych operacji.

2. Wykonujemy regularne kopie zapasowe w celu minimalizowania ryzyka utraty danych.

3. Hasła przechowujemy w postaci zabezpieczonej; nie mamy dostępu do haseł w postaci jawnej.

§10. Pliki cookies

1. Na Stronie internetowej i w Aplikacji wykorzystujemy pliki cookies niezbędne do działania (m.in. utrzymanie sesji, bezpieczeństwo) oraz - za zgodą - cookies analityczne/funkcjonalne.

2. Cookies niezbędne nie wymagają zgody. Pozostałe wykorzystujemy wyłącznie po wyrażeniu zgody, którą można w każdej chwili wycofać w ustawieniach przeglądarki lub w mechanizmie zgód.

§11. Zautomatyzowane decyzje i profilowanie

Nie podejmujemy wobec osób decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, które wywoływałyby skutki prawne lub w podobny sposób istotnie na nie wpływały (brak profilowania wywołującego takie skutki).

§12. Zmiany Polityki prywatności

Możemy aktualizować niniejszą Politykę z ważnych przyczyn (zmiany prawa, funkcji Aplikacji, dostawców, zmiany organizacyjne - w tym przeniesienie, o którym mowa w §1 ust. 4). O istotnych zmianach poinformujemy z wyprzedzeniem drogą e-mailową lub komunikatem w Aplikacji.

CZĘŚĆ II - UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (DPA)

Niniejsza Umowa powierzenia (dalej „DPA") stanowi integralną część Regulaminu i jest zawierana między Klientem (jako Administratorem danych) a Usługodawcą - iPartner.tech sp. z o.o. (jako Podmiotem przetwarzającym) z chwilą zawarcia Umowy o świadczenie usługi iCentral. DPA dotyczy danych osobowych, które Klient wprowadza do swojej Instancji.

§1. Definicje i przedmiot

1. Pojęcia „administrator", „podmiot przetwarzający", „przetwarzanie", „dane osobowe", „naruszenie ochrony danych" mają znaczenie nadane w RODO (Rozporządzenie (UE) 2016/679).

2. Administrator - Klient, który decyduje o celach i sposobach przetwarzania danych wprowadzanych do Instancji.

3. Podmiot przetwarzający - Usługodawca, przetwarzający te dane wyłącznie w celu świadczenia Aplikacji, na udokumentowane polecenie Administratora (którym jest m.in. korzystanie z funkcji Aplikacji zgodnie z Regulaminem).

4. DPA określa zasady powierzenia zgodnie z art. 28 RODO.

§2. Zakres, charakter, cel i czas przetwarzania

1. Charakter i cel: przetwarzanie w celu świadczenia Aplikacji iCentral (przechowywanie, porządkowanie, udostępnianie i przesyłanie zasobów oraz powiązanych danych), zgodnie z Regulaminem i poleceniami Administratora.

2. Czas: przez okres obowiązywania Umowy oraz - w zakresie wynikającym z §17 Regulaminu - do trwałego usunięcia danych (co do zasady do 60 dni po wygaśnięciu płatnego Planu).

3. Rodzaj operacji: zbieranie, przechowywanie, utrwalanie, porządkowanie, udostępnianie (zgodnie z konfiguracją Administratora), usuwanie.

§3. Kategorie osób i danych

1. Kategorie osób: pracownicy i współpracownicy Administratora, jego klienci i kontakty oraz inne osoby, których dane Administrator zdecyduje się wprowadzić do Instancji.

2. Kategorie danych: dane identyfikacyjne i kontaktowe (np. imię, nazwisko, e-mail, telefon), dane firm (np. nazwa, NIP), poświadczenia dostępowe (loginy i hasła) do systemów Administratora, informacje o zasobach cyfrowych, notatki, pliki oraz inne dane wprowadzone w polach własnych.

3. Dane szczególnych kategorii (art. 9 RODO): Aplikacja nie jest przeznaczona do przetwarzania danych szczególnych kategorii. Jeżeli Administrator zdecyduje się je wprowadzić, czyni to na własną odpowiedzialność i zapewnia odpowiednią podstawę prawną.

§4. Obowiązki Podmiotu przetwarzającego

Podmiot przetwarzający zobowiązuje się:

1. przetwarzać dane wyłącznie na udokumentowane polecenie Administratora (w tym wynikające z korzystania z funkcji Aplikacji), chyba że obowiązek wynika z prawa - wówczas poinformuje o tym Administratora przed przetwarzaniem (o ile prawo nie zabrania);

2. zapewnić, by osoby upoważnione do przetwarzania zobowiązały się do zachowania poufności;

3. stosować środki bezpieczeństwa wymagane przez art. 32 RODO (opisane w Części I §9 oraz w §13 Regulaminu);

4. przestrzegać warunków podpowierzenia (§5 poniżej);

5. w miarę możliwości pomagać Administratorowi - poprzez odpowiednie środki techniczne i organizacyjne - w realizacji żądań osób, których dane dotyczą (dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw);

6. pomagać Administratorowi w wypełnianiu obowiązków z art. 32-36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków, uprzednie konsultacje), z uwzględnieniem charakteru przetwarzania i dostępnych informacji;

7. po zakończeniu świadczenia - zależnie od decyzji Administratora - usunąć lub zwrócić dane (mechanizmy i terminy zgodne z §17 Regulaminu), chyba że prawo nakazuje ich dalsze przechowywanie;

8. udostępniać Administratorowi informacje niezbędne do wykazania zgodności z art. 28 RODO oraz umożliwiać audyty na zasadach §6 poniżej.

§5. Podpowierzenie (dalsi przetwarzający / subprocesorzy)

1. Administrator udziela Podmiotowi przetwarzającemu ogólnej zgody na korzystanie z dalszych podmiotów przetwarzających (subprocesorów) w celu świadczenia Aplikacji. Aktualna lista subprocesorów znajduje się w Części I §6 niniejszego dokumentu.

2. Podmiot przetwarzający nakłada na subprocesorów obowiązki ochrony danych nie mniej restrykcyjne niż w niniejszej DPA i pozostaje odpowiedzialny wobec Administratora za ich działania.

3. O zamierzonej zmianie subprocesorów (dodaniu lub zastąpieniu) Podmiot przetwarzający poinformuje Administratora (np. przez aktualizację listy i komunikat). Administrator może zgłosić uzasadniony sprzeciw; jeżeli nie uda się wypracować rozwiązania, Administrator może rozwiązać Umowę na zasadach Regulaminu.

§6. Informacje i audyt

1. Na uzasadniony, pisemny wniosek Administratora Podmiot przetwarzający udostępni informacje niezbędne do wykazania spełnienia obowiązków wynikających z art. 28 RODO - przede wszystkim w formie dokumentacji, oświadczeń lub posiadanych certyfikatów albo raportów.

2. Prawo Administratora do audytu (w tym inspekcji) wynika z art. 28 ust. 3 lit. h RODO i z mocy prawa nie może zostać całkowicie wyłączone. Strony ustalają jednak, że jest ono realizowane w sposób możliwie najmniej uciążliwy: co do zasady przez udostępnienie dokumentacji, a audyt „na miejscu" wyłącznie wyjątkowo - po wcześniejszym, pisemnym uzgodnieniu terminu i zakresu z odpowiednim wyprzedzeniem, nie częściej niż raz w roku (poza przypadkami naruszenia ochrony danych lub żądania organu nadzorczego), bez zakłócania ciągłości usługi oraz bezpieczeństwa i poufności danych innych klientów. Koszty audytu wykraczającego poza udostępnienie dokumentacji ponosi Administrator.

§7. Lokalizacja i transfer poza EOG

Dane powierzone przetwarzane są na terenie Unii Europejskiej. Podmiot przetwarzający nie przekazuje danych poza EOG bez zapewnienia zabezpieczeń wymaganych RODO i bez poinformowania Administratora.

§8. Naruszenia ochrony danych

W razie stwierdzenia naruszenia ochrony danych powierzonych Podmiot przetwarzający zgłosi je Administratorowi bez zbędnej zwłoki po stwierdzeniu, przekazując informacje niezbędne Administratorowi do realizacji jego obowiązków (m.in. zgłoszenia do organu nadzorczego).

§9. Odpowiedzialność Administratora (Klienta)

1. Administrator oświadcza, że posiada podstawę prawną do przetwarzania danych wprowadzanych do Instancji oraz że ich powierzenie jest zgodne z prawem.

2. Administrator odpowiada za zgodność z prawem poleceń przetwarzania oraz za konfigurację udostępnień i odbiorców w Aplikacji.

3. Administrator zapewnia realizację obowiązków informacyjnych wobec osób, których dane wprowadza.

§10. Czas trwania i postanowienia końcowe

1. DPA obowiązuje przez czas obowiązywania Umowy i wygasa wraz z usunięciem powierzonych danych zgodnie z §17 Regulaminu.

2. W sprawach nieuregulowanych stosuje się RODO, przepisy prawa polskiego oraz Regulamin.

3. W razie sprzeczności w zakresie ochrony danych powierzonych - pierwszeństwo ma niniejsza DPA.

4. Postanowienia o przeniesieniu praw (§18 Regulaminu) stosuje się odpowiednio: po przeniesieniu na iPrograms.tech podmiot ten wstępuje w prawa i obowiązki Podmiotu przetwarzającego.

Ważne llinki:

• Regulamin

• Dane kontaktowe