I. Administrator Danych Osobowych
Administratorem Danych Osobowych (ADO) jest Specfile Project Sp. z o.o. 60-408, Poznań, ul. Nagórskiego 3, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy Poznań-Nowe Miasto i Wilda w Poznaniu, VIII Wydział Gospodarczy KRS, NIP: 7811950934, KRS: 0000694508.
II. Inspektor Danych Osobowych
ADO wyznaczył inspektora danych osobowych (IDO) w osobie , z którym można skontaktować się za pośrednictwem maila kontakt@sygnanet.pl
III. Cele, okres, obligatoryjność i podstawy prawne przetwarzania danych osobowych
ADO przetwarza dane osobowe Przedsiębiorców lub przedstawicieli Przedsiębiorców w celach związanych z zawarciem, wykonywaniem i ewentualnym rozwiązaniem Umowy, a także rozpatrywaniem reklamacji. Powyższe obejmuje także przetwarzanie danych osobowych związanych z komunikowaniem się pomiędzy ADO a Przedsiębiorcą lub przedstawicielem Przedsiębiorcy w zakresie, w jakim wiąże się to z celami, o których mowa w zdaniu pierwszym.
Podstawą przetwarzania danych osobowych jest art. 6 ust. 1 lit. b Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [dalej Rozporządzenie] – przetwarzanie jest niezbędne do zawarcia i wykonania umowy, której Przedsiębiorca jest stroną.
Podanie danych osobowych w tym celu jest wymogiem umownym. Wobec czego, w razie ich niepodania Umowa nie zostanie zawarta.
Dane osobowe przetwarzane w tym celu, będę przetwarzane przez okres obowiązywania Umowy, a po jej zakończeniu – przez okres wynikający z przepisów prawa.ADO przetwarza dane osobowe Przedsiębiorców lub przedstawicieli Przedsiębiorców w celu dochodzenia ewentualnych roszczeń w związku z nieuregulowaniem należności przez Przedsiębiorcę z tytułu świadczonych Usług przez ADO.
Podstawą przetwarzania danych osobowych jest art. 6 ust. 1 lit. f Rozporządzenia – przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez ADO.
Podanie danych osobowych w tym celu jest wymogiem umownym. Wobec czego, w razie ich niepodania Umowa nie zostanie zawarta.
Dane osobowe przetwarzane w tym celu będą przetwarzane przez okres obowiązywania Umowy, a po jej zakończeniu – przez okres, w którym możliwe jest dochodzenie roszczeń na drodze sądowej, to jest do czasu upływu terminu przedawnienia roszczeń.ADO przetwarza dane osobowe Przedsiębiorców lub przedstawicieli Przedsiębiorców w celach związanych z wykonywaniem obowiązków wynikających z przepisów prawa (w szczególności przepisów prawa podatkowego).
Podstawą przetwarzania danych osobowych jest art. 6 ust. 1 lit. c Rozporządzenia – przetwarzanie jest niezbędne do realizacji obowiązku prawnego ciążącego na ADO, a w szczególności obowiązku prawnego wynikającego z przepisów prawa podatkowego.
Podanie danych osobowych w tym celu jest wymogiem ustawowym. Wobec czego, w razie ich niepodania Umowa nie zostanie zawarta.
Dane osobowe przetwarzane w tym celu będą przetwarzane przez okres niezbędny do realizacji tych celów.ADO przetwarza dane osobowe Przedsiębiorców lub przedstawicieli Przedsiębiorców w celach informacyjnych, zwłaszcza marketingu usług własnych.
Podstawą prawną przetwarzania danych osobowych jest art. 6 ust. 1 lit. f Rozporządzenia - przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez ADO lub zgoda (art. 6 ust. 1 lit. a Rozporządzenia).
Podanie danych osobowych w tym celu jest dobrowolne.
Dane osobowe przetwarzane w tym celu będą przetwarzane przez okres obowiązywania Umowy – w przypadku, gdy dane przetwarzane są w na podstawie art. 6 ust. 1 lit. f Rozporządzenia, ale nie dłużej niż do dnia wniesienia uzasadnionego sprzeciwu. Natomiast w przypadku, gdy dane te będą przetwarzane również na podstawie wyrażonej zgody, dane te będą przetwarzane również po zakończeniu Umowy, przez okres wskazany w tej zgodzie przypadający po okresie obowiązywania umowy, ale nie dłużej niż do dnia cofnięcia zgody.ADO dane osobowe Przedsiębiorców lub przedstawicieli Przedsiębiorców w innych, prawem dopuszczalnych, celach bezpośrednio lub pośrednio związanych z celami, o których mowa powyżej, w szczególności w celach archiwalnych i statystycznych, w celach związanych z audytami, kontrolą zarządczą, lub w celach związanych z doradztwem oraz prowadzeniem badań ankietowych oraz badań satysfakcji klienta.
Podstawą prawną przetwarzania danych osobowych jest art. 6 ust. 1 lit. f) Rozporządzenia - przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez ADO.
Podanie danych osobowych w tym celu jest dobrowolne.
Dane osobowe przetwarzane w tym celu będą przetwarzane przez okres właściwy dla celu pierwotnego, w którym zostały zebrane. Jeśli jednak w ramach tego celu zebrano inne dane niż w wyniku realizacji celów, o których mowa powyżej, dane te będą przetwarzane przez okres obowiązywania Umowy oraz 10 lat od jej zakończenia, ale nie dłużej niż do dnia wniesienia sprzeciwu wobec takiego przetwarzania, o ile będzie on uzasadniony.Usługobiorcami w Serwisie są Sygnaliści przekazujący zgłoszenia do Serwisu w sposób z założenia anonimowy oraz Odbiorcy zgłoszeń (tj. osoby upoważnione przez Przedsiębiorcę do obsługi Panelu Przedsiębiorcy w Serwisie).
ADO przetwarza dane osobowe Odbiorców w celach związanych z zawarciem, wykonywaniem Umowy. Powyższe obejmuje także przetwarzanie danych osobowych związanych z komunikowaniem się pomiędzy ADO a Odbiorcą w zakresie, w jakim wiąże się to z celem, o którym mowa w zdaniu pierwszym.
Podstawą przetwarzania danych osobowych jest art. 6 ust. 1 lit. b Rozporządzenia– przetwarzanie jest niezbędne do zawarcia i wykonania umowy, której Przedsiębiorca jest stroną.
Podanie danych osobowych w tym celu jest wymogiem umownym. Wobec czego, w razie ich niepodania Umowa nie zostanie zawarta. Dane osobowe Odbiorców nie będą przetwarzane w innym celu niż ten, do którego zostały zebrane.
Dane osobowe przetwarzane w tym celu, będę przetwarzane przez okres obowiązywania Umowy, a po jej zakończeniu – przez okres wynikający z przepisów prawa.
ADO przetwarza dane osobowe Odbiorcy w czasie rejestracji, które są niezbędne do identyfikacji Przedsiębiorcy oraz samego Odbiorcy. Dane osobowe Odbiorcy nigdy nie są przekazywane do Sygnalisty przez Serwis, chyba, że z robi to sam Odbiorca.
Wszelkie dane techniczne mogące identyfikować Sygnalistę (w tym dane i treści transmisji do i od serwera, dane o numerach IP komputera Sygnalisty), które pojawiły się w trakcie dokonywania Zgłoszenia lub odczytu odpowiedzi z serwera, nie są zapamiętywane, nie są archiwizowane, nikt nie ma do nich dostępu, i nie są przetwarzane przez ADO.
ADO nie ma dostępu do treści przekazywanych między Sygnalistą i Odbiorcami. ADO nie ponosi więc odpowiedzialności za dane osobowe umieszczane w ich treści, zarówno dane o osobie Sygnalisty, Odbiorcy lub innych osób wymienionych w takiej korespondencji. Obowiązek ochrony danych osobowych zawartych w takiej korespondencji ponoszą w szczególności Odbiorcy tej korespondencji.
IV. Klucze szyfrujące
Szczególnym rodzajem danych są klucze szyfrujące, generowane w Serwisie dla Odbiorców jak i Sygnalistów. Są one używane do zabezpieczania treści plików zawierających korespondencję i załączniki związane ze Zgłoszeniem (pliki Zgłoszeń), wymieniane między Sygnalistą a Odbiorcami oraz utrzymywanymi na serwerze.
ADO nie uznaje kluczy szyfrujących wygenerowanych dla Sygnalisty jako jego danych osobowych, ponieważ zapewnia w Serwisie Sygnaliście anonimowość. Klucze te są tylko związane ze Zgłoszeniem Sygnalisty, a nie z jego osobą.
Zawartości plików Zgłoszeń są szyfrowane z wykorzystaniem algorytmu klucza publicznego RSA-4096 (4096 bitowe klucze) i algorytmu klucza symetrycznego AES-256-GCM (256 bitowe klucze).
-
Proces szyfrowania pliku Zgłoszenia odbywa się przez:
Wygenerowanie głównego klucza pliku o odpowiedniej długości dla używanego algorytmu klucza symetrycznego.
Ściągnięcie kluczy publicznych dla osób współdzielących plik Zgłoszenia, zgodnie z konfiguracją udostępniania szyfrowanego pliku
Utworzenie zbioru zaszyfrowanych kluczy głównych z klucza pliku zaszyfrowanego każdym z kluczy publicznych.
Zaszyfrowanie danych pliku Zgłoszenia z wykorzystaniem głównego klucza pliku, algorytmem klucza symetrycznego.
Połączenie zbioru zaszyfrowanych kluczy głównych i zaszyfrowanych danych pliku źródłowego w pojedynczy dokument o rozszerzeniu .spcf.
Klucze szyfrujące Odbiorcy są generowane zawsze na urządzeniu (komputerze, smartfonie) Odbiorcy w procesie rejestracji jego adresu mailowego. Utworzone klucze są zapisywane na serwerze z tym, że klucz prywatny jest szyfrowany hasłem Odbiorcy i przekazywany na serwer w takiej postaci.
Klucze szyfrujące Sygnalisty są generowane zawsze na urządzeniu (komputerze, smartfonie) Sygnalisty w procesie powstawania Zgłoszenia i nadawania temu zgłoszeniu identyfikatora. Utworzone klucze są zapisywane na serwerze z tym, że klucz prywatny jest szyfrowany hasłem wygenerowanym (lokalnie) dla danego zgłoszenia Sygnalisty i przekazywany na serwer w takiej zaszyfrowanej postaci.
Gdy Sygnalista utworzy Zgłoszenie, plik z treścią zgłoszenia i załącznikami jest szyfrowany kluczami publicznymi osób uprawnionych do odbioru Zgłoszenia w firmie Przedsiębiorcy. Osoby te mogą pobrać ten plik z serwera i lokalnie odszyfrować jego zawartość swoimi kluczami prywatnymi.
Gdy Odbiorca odszyfruje plik ze Zgłoszeniem, może utworzyć odpowiedź dla Sygnalisty, której treść zaszyfruje pobranym z serwera kluczem publicznym Sygnalisty (przywiązanym do identyfikatora Zgłoszenia) i przekaże na serwer.
Gdy Sygnalista odczytuje z serwera odpowiedź Odbiorcy, podaje identyfikator Zgłoszenia oraz związane z nim hasło. Serwer przekazuje wówczas plik odpowiedzi oraz klucz prywatny związany z identyfikatorem, a lokalnie następuje odszyfrowanie klucza prywatnego podanym hasłem i jego użycie do zdekodowania pliku z odpowiedzią.
W wymianie korespondencji związanej z jednym Zgłoszeniem używane są te same klucze Sygnalisty wygenerowane dla tego Zgłoszenia. Każde Zgłoszenie posiada własne klucze Sygnalisty. Odbiorca używa jednego, tego samego kompletu kluczy do obsługi wszystkich Zgłoszeń.
Pobieranie kluczy publicznych z serwera odbywa się przez wskazanie adresu e-mail użytkownika (w przypadku Odbiorcy) lub identyfikatora użytkownika ( w przypadku Sygnalisty), dla którego chcemy pobrać klucze. Każdy uwierzytelniony użytkownik może pobrać klucze publiczne innych użytkowników. Każdy uwierzytelniony użytkownik może dodatkowo pobrać z serwera swoje i tylko swoje klucze prywatne w zaszyfrowanej postaci.
Aktualna wersja Serwisu nie umożliwia Odbiorcy zmiany hasła, kluczy ani składowania kluczy na nośnik zewnętrzny.
Operacje kryptograficzne na plikach i kluczach Sygnalisty są w pełni zautomatyzowane i niezależne od Sygnalisty. Serwis nie udostępnia też Sygnaliście plików Zgłoszenia w postaci szyfrowanej.
Serwis umożliwia Sygnaliście wyprowadzenie pliku z Potwierdzeniem wysyłki Zgłoszenia oraz Potwierdzeniem z każdej wymiany korespondencji w Zgłoszeniu. Potwierdzenie oprócz treści zawiera identyfikator Zgłoszenia w Serwisie oraz hasło dostępu. Potwierdzenie zawiera dane o Zgłoszeniu, nie zawiera żadnych danych o Sygnaliście (chyba, że sam je wprowadził).
Skasowanie konta Odbiorcy i jego kluczy w Serwisie dokonuje personel Serwisu:
Na prośbę zidentyfikowanego Głównego Odbiorcy Zgłoszeń lub upoważnionego przedstawiciela Przedsiębiorcy
Po braku odpowiedzi na 3 kolejne e-maile od Serwisu zapowiadające usunięcie konta, wysyłane przez Serwis na adres Odbiorcy w odstępach co najmniej miesięcznych.
Przyjmuje się, że klucze Sygnalisty mogą być kasowane po okresie 1 roku od daty ich rejestracji (rejestracji Zgłoszenia związanego ze Zgłoszeniem).
Skasowanie konta i kluczy w bazie Serwisu następuje po ich przeniesieniu do archiwum ADO, gdzie są przechowywane przez okres wynikający z przepisów prawa.
V. Przekazywanie danych osobowych
Przed odbiorcę danych rozumiem się osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ADO ujawnia dane osobowe, niezależnie od tego, czy jest stroną trzecią. Przy czym organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są uznawane za odbiorców.
W związku z powyższym ADO informuje o następujących kategoriach odbiorców:
podmioty świadczące usługi prawne związane z działalnością ADO;
podmioty świadczące usługi informatyczne związane z działalnością ADO, w tym usługi hostingowe;
podmioty świadczące usługi audytorskie i inne związane z kontrolowaniem działalności ADO;
biegli rewidenci badający dokumenty związane z działalnością ADO;
inne niż wskazane powyżej podmioty, które na podstawie przepisów prawa uprawnione są do uzyskiwania od ADO informacji związanych z działalnością ADO, które to informacje mogą obejmować dane osobowe.
ADO nie zamierza przekazywać danych osobowych do państwa trzeciego (to jest Państwa spoza Europejskiego Obszaru Gospodarczego), ani do organizacji międzynarodowej.
VI. Zautomatyzowane podejmowanie decyzji
ADO nie będzie przetwarzał danych osobowych Odbiorców w sposób zautomatyzowany, ani nie będzie dokonywał profilowania.
VII. Prawa osoby, której dotyczą dane osobowe
Osoba, której dotyczą dane osobowe ma prawo:
Do żądania dostępu do swoich danych osobowych, w tym do uzyskania kopii danych osobowych podlegających przetwarzaniu. Pierwsza kopia jest nieodpłatna. Za wszelkie kolejne kopie, o które się zwrócisz ADO może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych.
Do żądania od ADO sprostowania swoich danych osobowych, które są nieprawidłowe, w szczególności dlatego, że zostały zebrane z błędami lub dlatego, że po zebraniu uległy zmianie. Powyższe prawo obejmuje również uzupełnienie brakujących danych.
Do żądania od ADO usunięcia swoich danych osobowych, z tym zastrzeżeniem, że z prawa tego możesz korzystać w przypadkach określonych w Rozporządzeniu.
Do żądania od ADO ograniczenia przetwarzania swoich danych osobowych, na warunkach określonych w Rozporządzeniu.
Do wniesienia sprzeciwu wobec przetwarzania przez ADO swoich danych osobowych zgodnie z art. 21 ust. 1 Rozporządzenia, to jest sprzeciwić się – z przyczyn związanych ze szczególną sytuacją – przetwarzaniu swoich danych opartemu na art. 6 ust. 1 lit. e) lub f) Rozporządzenia w tym profilowania na podstawie tych przepisów. W przypadku wniesienia tego sprzeciwu, ADO nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
Do wniesienia sprzeciwu wobec przetwarzania przez ADO swoich danych zgodnie z art. 21 ust. 2 Rozporządzenia, to jest sprzeciwić się wobec przetwarzania danych na potrzeby takiego marketingu bezpośredniego, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim. W przypadku wykonania tego prawa, ADO nie wolno już przetwarzać Twoich danych do celów takiego marketingu bezpośredniego.
Do przenoszenia danych osobowych, na warunkach określonych w Rozporządzeniu.
Do cofnięcia zgody na przetwarzanie danych osobowych, jeżeli uprzednio taką zgodę wyraziła,
Do wniesienia skargi do organu nadzorczego zajmującego się ochroną danych osobowych, tj. Prezesa Urzędu Ochrony Danych Osobowych w związku z przetwarzaniem danych osobowych przez ADO.
Osoba Sygnalisty jest dla ADO anonimowa, ADO nie otrzymuje i nie przetwarza żadnych danych osobowych Sygnalisty i dlatego nie przyznaje jej żadnych praw związanych z ochroną danych osobowych w Serwisie.
VIII. Pliki cookies (tzw. ciasteczka)
Pliki cookies są to dane informatyczne, w szczególności pliki tekstowe przechowywane w urządzeniu końcowym użytkownika (usługobiorcy) i przeznaczone są do korzystania ze strony internetowej. Ciasteczka z reguły zawierają:
nazwę strony internetowej, z której pochodzą,
czas przechowywania ich na urządzeniu końcowym oraz
unikalny numer.
Podmiotem zamieszczającym na urządzeniu końcowym użytkownika pliki cookies oraz uzyskującym do nich dostęp jest ADO.
Więcej na temat plików cookies można przeczytać na stronie https://www.allaboutcookies.org/
Pliki cookies wykorzystywane są w celu:
dostosowania zawartości stron internetowych do preferencji użytkownika oraz optymalizacji korzystania ze stron internetowych; w szczególności pliki te pozwalają rozpoznać urządzenie użytkownika i odpowiednio wyświetlić stronę internetową, dostosowaną do jego indywidualnych potrzeb,
tworzenia statystyk, które ułatwiają zrozumieć, w jaki sposób użytkownicy korzystają ze stron internetowych, co umożliwia ulepszanie ich struktury i zawartości.
W ramach Serwisu stosowane są dwa zasadnicze typy plików:
cookies: sesyjne (session cookies), będące plikami tymczasowymi, które przechowywane są w urządzeniu końcowym użytkownika do czasu wylogowania, opuszczenia strony internetowej lub wyłączenia oprogramowania (przeglądarki internetowej);
cookies stałe (persistent cookies), które są przechowywane w urządzeniu końcowym użytkownika przez czas określony w parametrach plików cookies lub do czasu ich usunięcia przez użytkownika.
W ramach Serwisu sygnanet.pl stosowane są następujące rodzaje plików cookies:
„niezbędne” pliki cookies umożliwiające korzystanie z usług dostępnych w ramach Serwisu uwierzytelniające pliki cookies wykorzystywane do usług wymagających uwierzytelniania w ramach Serwisu,
pliki cookies, które służą do zapewnienia bezpieczeństwa, np. wykorzystywane do wykrywania nadużyć w zakresie uwierzytelniania w ramach Serwisu,
„wydajnościowe” pliki cookies umożliwiające zbieranie informacji o sposobie korzystania ze stron internetowych,
„funkcjonalne” pliki cookies umożliwiające zapamiętywanie wybranych przez Użytkownika ustawień i personalizację interfejsu użytkownika, np. w zakresie wybranego języka lub regionu, z którego pochodzi użytkownik, rozmiaru czcionki, wyglądu strony internetowej itp.,
Bardzo często oprogramowanie służące do przeglądania stron internetowych (przeglądarka internetowa) domyślnie dopuszcza przechowywanie plików cookies w urządzeniu końcowym użytkownika. Użytkownik Serwisu może zawsze zmienić ustawienia dotyczące plików cookies. Zmiany ustawień mogą polegać m.in. na blokowaniu automatycznej obsługi plików cookies w ustawieniach przeglądarki internetowej bądź informowaniu o ich każdorazowym zamieszczeniu w urządzeniu użytkownika. Więcej informacji o możliwości i sposobach obsługi plików cookies jest dostępnych w ustawieniach oprogramowania (przeglądarki internetowej).