Polityka prywatności
Polityka prywatności ERATO ENERGY S. A.
wchodząca w życie dnia 25 maja 2018.
Informacje o uprawnieniach osób fizycznych dotyczących ich danych osobowych :
| |
Prawo do sprzeciwu wobec przetwarzania danych, prawo do ograniczenia danych osobowych | |
§ 1 Wprowadzenie
Celem wprowadzenia Polityki prywatności jest należyte informowanie Państwa o sprawach związanych z przetwarzaniem danych osobowych, szczególnie wobec treści nowych przepisów o ochronie danych osobowych, w tym rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”).
W niniejszym dokumencie informujemy o podstawach prawnych przetwarzania danych osobowych, sposobach ich zbierania i wykorzystywania, a także o prawach podmiotów danych z tym związanych.
§ 2 Dane osobowe i ich przetwarzanie
1. Dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
2. Przetwarzaniem danych osobowych jest każda czynność na danych osobowych, niezależnie od tego, czy jest dokonywana w sposób zautomatyzowany czy nie, np. zbieranie, przechowywanie, utrwalanie, porządkowanie, modyfikowanie, przeglądanie, wykorzystywanie, udostępnianie, ograniczanie, usuwanie lub niszczenie.
3. ERATO ENERGY S. A. przetwarza dane osobowe w różnych celach, przy czym w zależności od celu, zastosowanie mogą mieć różne sposoby zbierania, podstawy prawne przetwarzania, wykorzystywania, ujawniania oraz okresy przechowywania.
4. ERATO ENERGY S. A. dba o minimalizację przetwarzania danych pod kątem
a) adekwatności danych do celów (ilości danych i zakresu przetwarzania) – dokonując okresowego weryfikacji zakresu pozyskiwanych danych i zakresu ich przetwarzania,
b) dostępu do danych – poprzez zastosowanie mechanizmów prawnych, fizycznych i logicznych, zabezpieczających ograniczenie dostępu, aktualizując każdorazowo upoważniony do przetwarzania danych personel,
c) czasu przechowywania danych – poprzez weryfikację cyklu życia danych osobowych, wymogów prawnych co do przechowywania określonych kategorii danych i w konsekwencji podejmowanie decyzji co do usunięcia danych bądź ich poprawnej archiwizacji.
§ 3 Stosowanie polityki prywatności
1. Niniejszy dokument ma zastosowanie do wszystkich przypadków, w których ERATO ENERGY S. A. jest administratorem danych osobowych i przetwarza dane osobowe.
2. Zastosowanie niniejszego dokumentu dotyczy zarówno przypadków, w których ERATO ENERGY S. A. przetwarza dane osobowe pozyskane bezpośrednio od osoby, której dane dotyczą, jak i przypadków, w których dane osobowe zostały pozyskane z innych źródeł.
3. Realizując obowiązki informacyjne, określone odpowiednio w art. 13 i art. 14 RODO zgodnie z tymi przepisami wskazujemy pełne dane ERATO ENERGY S. A. jako administratora danych osobowych:
a) ERATO ENERGY S. A. z siedzibą w Wysokiej (52-200) przy ul. Fiołkowej 3, NIP : 8971742783, REGON : 020441378, KRS: 0000347674,
b) Osobą odpowiedzialną za ochronę danych osobowych jest Prezes Zarządu, Łukasz Gralec, 52-200 Wysoka, ul. Fiołkowa 3
§ 4 Podstawa prawna przetwarzania danych
1. Zbierając, wykorzystując, udostępniając i w inny sposób przetwarzając informacje/dane o użytkowniku w celach opisanych w niniejszej polityce ERATO ENERGY S. A. działa w oparciu o następujące zasady prawne:
a) Przetwarzanie następuje z konieczności przestrzegania zawartych umów, umów ramowych, porozumień we wszelkich dozwolonych prawem formach oraz o ile jest to niezbędne do świadczenia usług ERATO ENERGY S. A..
b) Przetwarzanie następuje na podstawie zgody użytkownika na przetwarzanie, którą może w każdej chwili odwołać,
c) Przetwarzanie następuje z konieczności wywiązania się przez ERATO ENERGY S. A. z obowiązku prawnego, wykonywania nakazu sądowego albo dochodzenie lub obrona przed roszczeniami prawnymi,
d) Przetwarzanie następuje w związku z potrzebami, koniecznością ochrony żywotnych interesów osoby, której dane dotyczą lub innych osób.
e) Przetwarzanie następuje, o ile to niezbędne, ze względu na ochronę interesu publicznego.
f) Przetwarzanie następuje, o ile to niezbędne, dla ochrony uzasadnionych interesów ERATO ENERGY S. A. lub osób trzecich.
2. Wskazując w dokumentach jedną z powyższych ogólnych podstaw przetwarzania ERATO ENERGY S. A. dookreśla podstawę w precyzyjny i czytelny sposób, gdy jest to potrzebne, wskazując odpowiednio, zakres, konkretny przepis, umowę, porozumienie administracyjne, kategorie zdarzeń w których materializują się żywotne interesy, wskazując konkretny cel.
§ 5 System ochrony danych
System ochrony danych osobowych w Przedsiębiorstwie składa się z następujących elementów:
1. Inwentaryzacja danych - ERATO ENERGY S. A. dokonuje identyfikacji zasobów danych osobowych, klas danych, zależności między zasobami danych, identyfikacji sposobów korzystania z danych, w tym:
a) przypadków przetwarzania danych szczególnych kategorii i danych karnych;
b) przypadków przetwarzania danych osób, których ERATO ENERGY S. A. nie identyfikuje
c) przypadków przetwarzania danych dzieci;
d) profilowania;
e) współadministrowania danymi.
2. Podstawy prawne - ERATO ENERGY S. A. zapewnia, identyfikuje, weryfikuje podstawy prawne przetwarzania danych, w tym:
a) utrzymuje system zarządzania zgodami na przetwarzanie danych i komunikację na odległość,
b) inwentaryzuje i uszczegóławia uzasadnienie przypadków, gdy ERATO ENERGY S. A. przetwarza dane na podstawie prawnie uzasadnionego interesu Przedsiębiorstwa.
3. Obsługa praw jednostki - ERATO ENERGY S. A. spełnia obowiązki informacyjne względem osób, których dane przetwarza, oraz zapewnia obsługę ich praw, realizując otrzymane w tym zakresie żądania, w tym:
a) obowiązki informacyjne -ERATO ENERGY S. A. przekazuje osobom prawem wymagane informacje przy zbieraniu danych i w innych sytuacjach oraz organizuje i zapewnia udokumentowanie realizacji tych obowiązków;
b) możliwość wykonania żądań -ERATO ENERGY S. A. weryfikuje i zapewnia możliwość efektywnego wykonania każdego typu żądania przez siebie i swoich przetwarzających;
c) obsługa żądań - ERATO ENERGY S. A. zapewnia odpowiednie nakłady i procedury, aby żądania osób były realizowane w terminach i w sposób wymagany RODO i dokumentowane;
d) zawiadamianie o naruszeniach - ERATO ENERGY S. A. stosuje procedury po zwalające na ustalenie konieczności zawiadomienia osób dotkniętych zidentyfikowanym naruszeniem ochrony danych.
4. Minimalizacja - ERATO ENERGY S. A. posiada zasady i metody zarządzania minimalizacją (privacy by default), a w tym:
a) zasady zarządzania adekwatnością danych;
b) zasady reglamentacji i zarządzania dostępem do danych;
5. Bezpieczeństwo - ERATO ENERGY S. A. zapewnia odpowiedni poziom bezpieczeństwa danych w tym
a) przeprowadza analizy ryzyka dla czynności przetwarzania danych lub ich kategorii
b) przeprowadza oceny skutków dla ochrony danych tam, gdzie ryzyko naruszenia praw i wolności osób jest wysokie;
c) dostosowuje środki ochrony danych do ustalonego ryzyka;
d) posiada system zarządzania bezpieczeństwem informacji;
e) stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Urzędowi Ochrony Danych - zarządza incydentami,
6. Przetwarzający - ERATO ENERGY S. A. posiada zasady doboru przetwarzających dane na rzecz Przedsiębiorstwa, wymogów co do warunków przetwarzania (umowa powierzenia), zasad weryfikacji wykonywania umów powierzenia.
7. Eksport danych - ERATO ENERGY S. A. posiada zasady weryfikacji, czy ERATO ENERGY S. A. nie przekazuje danych do państw trzecich (czyli poza UE, Norwegię, Liechtenstein, Islandię) lub do organizacji międzynarodowych oraz zapewnienia zgodnych z prawem warunków takiego przekazywania, jeśli ma ono miejsce.
8. Privacy by design - ERATO ENERGY S. A. zarządza zmianami wpływającymi na prywatność. W tym celu procedury uruchamiania nowych projektów i inwestycji w ERATO ENERGY S. A. uwzględniają konieczność oceny wpływu zmiany na ochronę danych, analizę ryzyka, zapewnienie prywatności (a w tym zgodności celów przetwarzania, bezpieczeństwa danych i minimalizacji) już w fazie projektowania zmiany, inwestycji czy na początku nowego projektu.
10. Przetwarzanie transgraniczne - ERATO ENERGY S. A. posiada zasady weryfikacji, kiedy zachodzą przypadki przetwarzania transgranicznego oraz zasady ustalania wiodącego organu nadzorczego i głównej jednostki organizacyjnej w rozumieniu RODO.
§ 6 Rodzaje przetwarzanych danych
1. ERATO ENERGY S. A. w szczególności przetwarza takie dane osobowe, niebędące danymi szczególnymi jak m.in.:
a) imię i nazwisko;
b) inne dane identyfikacyjne: płeć, numer PESEL, data urodzenia, adres
korespondencyjny, zamieszkania oraz zameldowania, e-mail, telefon domowy/ komórkowy;
c) dane o tym, gdzie klient się znajduje (lokalizacja);
d) identyfikator internetowy (adres IP);
e) dane finansowe (numer rachunku bankowego, numer karty kredytowej/płatniczej, imię i nazwisko posiadacza karty, data ważności karty, dochód, źródło dochodu, historia kredytowa, informacja o produktach i usługach);
f) wykształcenie;
g) zawód i praca;
h) numer identyfikacji podatkowej (NIP);
i) numer REGON;
j) numer i seria dowodu osobistego/paszportu, data wydania dowodu osobistego/
paszportu, data ważności dowodu osobistego/paszportu;
k) inne dane konieczne dla oferowania produktów lub usług przez ERATO ENERGY S. A.
2. W określonych sytuacjach ERATO ENERGY S. A. przetwarza dane szczególne ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
3. Przetwarzanie danych, o których mowa w ust. 2, przez ERATO ENERGY S. A. możliwe jest tylko, jeżeli :
a) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu przetwarzania tych danych
b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
c) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
d) przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
e) przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
f) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
g) przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
h) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3;
i) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
j) przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą
4. Przetwarzanie danych małoletnich poniżej lat 16 odbywa się jedynie za zgodą osoby sprawującej władzę rodzicielską lub opiekę nad małoletnim.
§ 7 Sposoby pozyskiwania danych
ERATO ENERGY S. A. przetwarza dane przekazane przez osoby, których dane dotyczą w ramach formularzy, umów, maili, wniosków lub pism oraz wszelkich dokumentów złożonych w formie papierowej lub elektronicznej, a także dane przekazane ERATO ENERGY S. A. przez innych administratorów danych lub które ERATO ENERGY S. A. pozyskał z ogólnie dostępnych, jawnych baz danych.
§ 8 Zautomatyzowane podejmowanie decyzji i profilowanie
1. Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się
2. ERATO ENERGY S. A. korzysta z profilowania jedynie z powodu, celu i konieczności zapewnienia
a) przestrzegania zawartych umów, umów ramowych, porozumień we wszelkich dozwolonych prawem formach oraz o ile jest to niezbędne do świadczenia usług ERATO ENERGY S. A.,
b) na podstawie zgody użytkownika na przetwarzanie, którą może w każdej chwili odwołać,
c) wywiązania się przez ERATO ENERGY S. A. z obowiązku prawnego, wykonywania nakazu sądowego albo dochodzenie lub obrona przed roszczeniami prawnymi,
d) w związku z potrzebami, koniecznością ochrony żywotnych interesów osoby, której dane dotyczą lub innych osób,
e) o ile to niezbędne, ze względu na ochronę interesu publicznego,
f) o ile to niezbędne, dla ochrony uzasadnionych interesów ERATO ENERGY S. A. lub osób trzecich.
§ 9 Współadministrowanie
ERATO ENERGY S. A. identyfikuje przypadki współadministrowania danymi i postępuje w tym zakresie zgodnie z zasadami przyjętymi w niniejszym dokumencie dla administrowania danymi.
§ 10 Cookies i logi dostępowe w serwisach internetowych
1. W ograniczonym zakresie ERATO ENERGY S. A. może zbierać i wykorzystywać informacje o ich użytkownikach do niezbędnego minimum, wymaganego do świadczenia na ich rzecz usług na pożądanym poziomie, stosownie do art. 18 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną.
2. W ograniczonym zakresie ERATO ENERGY S. A. możezbierać dane osoboweautomatycznie za pośrednictwem plików cookies znajdujących się na stronach internetowych obsługiwanych przez ERATO ENERGY S. A.
3. Cookies to małe pliki tekstowe zapisywane na komputerze użytkownika lub innym urządzeniu mobilnym, w czasie korzystania przez niego z serwisów internetowych. Pliki te służą m.in. korzystaniu z różnych funkcji przewidzianych na danej stronie internetowej lub potwierdzeniu, że dany użytkownik widział określone treści z danej witryny internetowej.
4. Kategorie plików cookies:
a) niezbędne do działania serwisu, służące do:
a) utrzymanie sesji użytkownika;
b) zapisanie stanu sesji użytkownika;
c) umożliwienie autoryzacji w serwisie logowania
d) zapisanie informacji pozwalającej na anonimowe zalogowanie użytkownika;
e) zapisanie informacji niezbędnych do działania koszyka internetowego w przypadku zakupów internetowych poprzez strony internetowe ERATO ENERGY S. A.
f) monitoring dostępności usług.
b) ułatwiające korzystanie z serwisu:
a) przywrócenie ostatnio odwiedzanego widoku przy następnym zalogowaniu;
b) zapamiętanie wyboru użytkownika w kwestii zaprzestania wyświetlania wybranego komunikatu lub wyświetlenia go określoną liczbę razy;
c) przywrócenie sesji użytkownika
d) zapamiętanie ostatnio wybranej kategorii w serwisie;
e) sprawdzenie czy zapis do plików cookies funkcjonuje prawidłowo;
f) umożliwienie automatycznego zalogowania do produktu (opcja "zapamiętaj mnie");
g) dopasowanie zawartości produktów do preferencji użytkowników;
h) ustawienie preferowanego języka, waluty, rozmiaru czcionki i innych tego typu właściwości ułatwiających pracę z serwisów;
i) przywrócenie ostatniego wyniku wyszukiwania w produkcie;
j) wyświetlenie ostatnio przeglądanych produktów w sklepie internetowym;
k) wyświetlenie ostatnio wybranego parametru sortowania
c) wykorzystywane przez podmioty trzecie w następujących celach:
a) monitorowanie ruchu na stronach WWW;
b) zbieranie anonimowych, zbiorczych statystyk, ustalanie liczby anonimowych użytkowników naszych stron WWW;
c) potrzebne do analizy korzystania z serwisów;
d) kontrolowanie jak często pokazywana jest użytkownikom wybrana treść;
e) kontrolowanie jak często użytkownicy wybierają daną usługę;
f) badanie zapisów na newslettery;
g) wykorzystanie systemu personalizowanych rekomendacji dla e-commerce;
h) wykorzystanie narzędzia do komunikacji;
i) integracja z portalem społecznościowym;
j) płatności internetowe.
5. Podmioty, o których mowa w lit. c) ustępu poprzedzającego to, na dzień wejścia w życie Polityki Prywatności :
§ Google Analytics (więcej informacji oraz dodatek do przeglądarki blokujący Google Analytics: tools.google.com);
§ Facebook (więcej informacji na stronie: www.facebook.com)
- PayU (więcej informacji na stronie: www.payu.pl)
6. ERATO ENERGY S. A. informuje również, iż niektóre elementy serwisów obsługują zewnętrzni reklamodawcy umieszczający reklamy behawioralne na stronach WWW. Zawartości pochodzące od zewnętrznych dostawców, mogą zawierać pliki cookies innych podmiotów, w związku z czym zaleca się aby użytkownik zapoznał się z zasadami wykorzystywania tych plików cookies do obsługi witryn internetowych przez tych dostawców zewnętrznych.
7. ERATO ENERGY S. A. informuje, że zbiera informacje dotyczące korzystania z Serwisów przez jego użytkowników oraz ich adresy IP w oparciu o analizę logów dostępowych. Informacje te są wykorzystywane w diagnozowaniu problemów związanych z pracą serwera, analizą ewentualnych naruszeń bezpieczeństwa oraz w zarządzaniu stroną WWW. Adres IP jest wykorzystywany jest nadto w celach statystycznych, tj. do gromadzenia i analizy danych demograficznych osób odwiedzających witrynę (np. informacji o regionie, z którego nastąpiło połączenie). Na podstawie uzyskanych w podany wyżej sposób informacji w szczególnych przypadkach sporządzane są zbiorcze, ogólne zestawienia statystyczne, ujawniane osobom trzecim, współpracującym ERATO ENERGY S. A. Obejmują one zwykle informacje o oglądalności serwisu. Zestawienia te nie zawierają jednak, co podkreślamy, żadnych danych pozwalających na identyfikację (określenie tożsamości) danego użytkownika Serwisu.
8. ERATO ENERGY S. A. informuje, że może zostać zobowiązany do ujawnienia informacji dotyczących numeru IP danego użytkownika Serwisu na żądanie uprawnionych do tego - w oparciu obowiązujące przepisy prawne - organów państwa w związku z prowadzonymi przez nie postępowaniami.
§ 11 Bezpieczeństwo
1. ERATO ENERGY S. A. zapewnia stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych wskutek przetwarzania danych osobowych przez ERATO ENERGY S. A.
2. ERATO ENERGY S. A. przeprowadza i dokumentuje analizy adekwatności środków bezpieczeństwa danych osobowych. W tym celu:
a) ERATO ENERGY S. A. zapewnia odpowiedni stan wiedzy o bezpieczeństwie informacji, cyberbezpieczeństwie i ciągłości działania — wewnętrznie lub ze wsparciem podmiotów wyspecjalizowanych,
b) ERATO ENERGY S. A. kategoryzuje dane oraz czynności przetwarzania pod kątem ryzyka, które przedstawiają,
c) ERATO ENERGY S. A. przeprowadza analizy ryzyka naruszenia praw lub wolności osób fizycznych dla czynności przetwarzania danych lub ich kategorii. ERATO ENERGY S. A. analizuje możliwe sytuacje i scenariusze naruszenia ochrony danych osobowych, uwzględniając charakter, zakres, kontekst i cele przetwarzania, ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia,
d) ERATO ENERGY S. A. ustala możliwe do zastosowania organizacyjne i techniczne środki bezpieczeństwa i ocenia koszt ich wdrażania. W tym ERATO ENERGY S. A. ustala przydatność i stosuje takie środki i podejście, jak:
i. pseudonimizacja,
ii. szyfrowanie danych osobowych,
iii. inne środki cyberbezpieczeństwa składające się na zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
iv. środki zapewnienia ciągłości działania i zapobiegania skutkom katastrof, czyli zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.
3. ERATO ENERGY S. A. dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych tam, gdzie zgodnie z analizą ryzyka ryzyko naruszenia praw i wolności osób jest wysokie.
4. ERATO ENERGY S. A. stosuje metodykę oceny skutków przyjętą w ERATO ENERGY S. A.
5. ERATO ENERGY S. A. stosuje środki bezpieczeństwa ustalone w ramach analiz ryzyka i adekwatności środków bezpieczeństwa oraz ocen skutków dla ochrony danych.
6. Środki bezpieczeństwa danych osobowych stanowią element środków bezpieczeństwa informacji i zapewnienia cyberbezpieczeństwa w ERATO ENERGY S. A. i są bliżej opisane w procedurach przyjętych przez ERATO ENERGY S. A. dla tych obszarów.
7. ERATO ENERGY S. A. stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Urzędowi Ochrony Danych w terminie 72 godzin od ustalenia naruszenia. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, ERATO ENERGY S. A. bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
8. ERATO ENERGY S. A. dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
§ 12 Prawo dostępu do danych osobowych
1. Osoby fizyczne mają prawo dostępu do danych, które ERATO ENERGY S. A. przechowuje jako administrator danych.
2. Realizacja tego prawa może nastąpić poprzez wysłanie wiadomości mailowej z żądaniem na adres kontakt@eratoenergy.com
3. ERATO ENERGY S. A. udostępni dane osobowe, do których osoba fizyczna żąda dostępu w sposób umożliwiający zapoznanie się z nimi.
§ 14 Prawo do zmiany danych osobowych
1. Osoby fizyczne mają prawo zmiany, modyfikacji lub aktualizacji danych, które ERATO ENERGY S. A. przechowuje jako administrator danych.
2. Realizacja tego prawa może nastąpić poprzez wysłanie wiadomości mailowej z żądaniem na adres kontakt@eratoenergy.com
§ 15 Prawo do wycofania zgody
1. W przypadku przetwarzania danych osobowych na podstawie zgody, osoby fizyczne mają prawo w dowolnej chwili wycofać tę zgodę.
2. ERATO ENERGY S. A. informuje o tym prawie w każdym momencie zbierania zgód i umożliwia wycofanie zgody w co najmniej tak łatwy sposób, w jaki zgody udzielono.
3. W braku odmiennej informacji, realizacja tego prawa może nastąpić poprzez wysłanie wiadomości mailowej z żądaniem na adres kontakt@eratoenergy.com
§ 16 Prawo do ograniczenia przetwarzania lub wniesienia sprzeciwu wobec przetwarzania danych osobowych
1. Osoby fizyczne mają prawo ograniczenia przetwarzania lub wniesienia sprzeciwu wobec przetwarzania swoich danych osobowych w dowolnej chwili, ze względu na ich szczególną sytuację, chyba że przetwarzanie jest wymagane zgodnie z przepisami prawa.
2. Osoba fizyczna ma prawo wniesienia sprzeciwu wobec przetwarzania jej danych osobowych, gdy:
a) przetwarzanie jej danych osobowych przez ERATO ENERGY S. A. odbywa się na podstawie prawnie uzasadnionego interesu lub dla celów statystycznych, a sprzeciw jest uzasadniony przez szczególną sytuację, w której się znalazła,
b) dane osobowe przetwarzane są na potrzeby marketingu bezpośredniego, w tym są profilowane dla tego celu.
3. Osoby fizyczne, której dane dotyczą, mają prawo żądania od administratora ograniczenia przetwarzania w następujących przypadkach:
a) osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych - na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;
b) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
c) administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
d) osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania - do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
§ 17 Prawo żądania usunięcia danych i prawo do przenoszenia danych
1. Realizacja żądań wynikających z praw opisanych w niniejszym paragrafie następuje poprzez złożenie oświadczenia o skorzystaniu z któregokolwiek z nich wiadomością na adres mailowy kontakt@eratoenergy.com
2. Na żądanie osoby ERATO ENERGY S. A. usuwa dane, gdy:
a) dane nie są niezbędne do celów, w których zostały zebrane, ani przetwarzane w innych zgodnych z prawem celach,
b) zgoda na ich przetwarzanie została cofnięta, a nie ma innej pod stawy prawnej przetwarzania,
c) osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych,
d) dane były przetwarzane niezgodnie z prawem,
e) konieczność usunięcia wynika z obowiązku prawnego,
f) żądanie dotyczy danych dziecka zebranych na podstawie zgody w celu świadczenia usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku,
chyba że ich przetwarzanie jest niezbędne:
g) do korzystania z prawa do wolności wypowiedzi i informacji;
h) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
i) z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego,
j) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, o ile prawdopodobne jest, że prawo do żądania usunięcia danych, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub
k) do ustalenia, dochodzenia lub obrony roszczeń.
3. W przypadku zgłoszenia żądania usunięcia danych niezbędnych do realizacji umowy, świadczenie z niej wynikające nie jest wykonywane
4. Jeżeli dane podlegające usunięciu zostały upublicznione przez ERATO ENERGY S. A. podejmuje rozsądne działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe o potrzebie usunięcia danych i dostępu do nich.
5. W przypadku usunięcia danych ERATO ENERGY S. A. informuje osobę o odbiorcach danych, na żądanie tej osoby.
6. Na żądanie osoby, której dane ERATO ENERGY S. A. przetwarza ERATO ENERGY S. A. wydaje w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego lub przekazuje innemu podmiotowi, jeśli jest to możliwe, dane dotyczące tej osoby, które dostarczyła ona Przedsiębiorstwu, przetwarzane na podstawie zgody tej osoby lub w celu zawarcia lub wykonania umowy z nią zawartej w systemach informatycznych ERATO ENERGY S. A.
§ 18 Eksport danych
Aby uniknąć sytuacji nieautoryzowanego eksportu danych w szczególności w związku z wykorzystaniem publicznie dostępnych usług chmurowych (shadow IT), ERATO ENERGY S. A. okresowo weryfikuje zachowania użytkowników oraz w miarę możliwości udostępnia zgodne z prawem ochrony danych rozwiązania równoważne.
§ 19 Kontakt. Prawo do skargi do organu nadzorczego
1. W razie jakichkolwiek pytań, zastrzeżeń lub wątpliwości dotyczących treści niniejszej Polityki prywatności lub sposobu w jaki ERATO ENERGY S. A. przetwarza dane osobowe, jak również skarg dotyczące tych kwestii, prosimy o przesłanie maila wraz ze szczegółowymi informacjami dotyczącymi skargi na adres mail kontakt@eratoenergy.com lub bezpośrednio lub listownie pod adresem :
ERATO ENERGY S. A. ul. Brukowa 10, 91-341 Łódź,
2. Osoby, których dane osobowe przetwarza ERATO ENERGY S. A. mają również prawo wnieść skargę do organu nadzorczego, którym jest Prezes Urzędu Ochrony Danych Osobowych.
§ 20 Postanowienia końcowe
1. ERATO ENERGY S. A. zobowiązuje się do regularnego przeglądu niniejszej Polityki prywatności i jej zmiany w sytuacji, gdy okaże się to niezbędne lub pożądane z uwagi na:
a) nowe przepisy prawa,
b) nowe wytyczne organów odpowiedzialnych za nadzór nad procesami ochrony danych osobowych,
c) najlepsze praktyki stosowane w obszarze ochrony danych osobowych (Kodeksy dobrych praktyk, jeśli ERATO ENERGY S. A. będzie związany takimi Kodeksami, o czym zostaną Państwo poinformowani).
2. ERATO ENERGY S. A. zastrzega również możliwość zmiany niniejszej Polityki prywatności w przypadku zmian technologii, przy wykorzystaniu której przetwarza dane osobowe (o ile zmiana jej wpływa na brzmienie niniejszego dokumentu), a także w razie zmiany sposobów, celów lub podstaw prawnych przetwarzania przez nas danych osobowych.