Политика конфиденциальности

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

    1. ОПРЕДЕЛЕНИЯ

1.1. Администратор — Nextbike Polska S.A. с местопребыванием в Варшаве (01-756), ул. Пшасныска 6 b.

1.2. Персональные данные — вся информация об опознанном физическом лице или лице, возможном для опознания с помощью одного или нескольких конкретных факторов, определяющих физическую, физиологическую, генетическую, психологическую, экономическую, культурную или социальную идентичность, включая фотографию, запись голоса, контактные данные, данные о местоположении, информацию, содержащуюся в корреспонденции, информацию, собранную с помощью записывающего оборудования или другой подобной технологии.

1.3. Политика — данная политика для обработки персональных данных.

1.4. РОДО – Распоряжение Европейского парламента и Совета (ЕС) 2016/679 от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95/46/EC.

1.5. Лицо, которого касаются данные — каждое физическое лицо, персональные данные которого обрабатываются Администратором, например, лицо, посещающее помещение Администратора или отправляющее ему запрос в виде электронного письма

    2. ОБРАБОТКА ДАННЫХ АДМИНИСТРАТОРОМ

2.1. В связи с веденной хозяйственной деятельностью Администратор собирает и обрабатывает персональные данные в соответствии с соответствующими положениями, в частности, с требованиями РОДО и правилами обработки данных, предусмотренными в них.

2.2. Администратор обеспечивает прозрачность обработки данных, в частности, всегда информирует об обработке данных во время сбора, в том числе о цели и правовой основе обработки — например, при заключении договора продажи товаров или услуг. Администратор заботится о том, чтобы данные собирались только в объеме, необходимом для указанной цели, и обрабатывались только до тех пор, пока это необходимо.

2.3. Обрабатывая данные, Администратор обеспечивает их безопасность и конфиденциальность, а также доступ к информации об обработке лица, которого касаются данные. Если, несмотря на применяемые меры безопасности, существует нарушение защиты персональных данных (например, «утечка» или потеря данных), Администратор будет информировать лицо, которого касаются данные о таком событии в соответствии с положениями.

    3. КОНТАКТ С АДМИНИСТРАТОРОМ

3.1. С Администратором можно связаться по электронной почте daneosobowe@nextbike.pl, через контактную форму по адресу www.nextbike.pl, по телефону 22 208 99 90 или письменно по адресу офиса Nextbike Polska S.A.

3.2. Администратор назначил Инспектора по защите данных, с которым можно связаться по электронной почте iod@nextbike.pl по любому вопросу, касающемуся обработки персональных данных.

    4. БЕЗОПАСНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Для обеспечения целостности и конфиденциальности данных, Администратор внедрил процедуры, открывающие доступ к персональным данным только уполномоченным лицам, и только в той степени, в которой это необходимо для выполнения ими задач. Администратор применяет организационные и технические решения, гарантирующие, что все операции с персональными данными регистрируются и выполняются только уполномоченными лицами

4.2. Администратор предпринимает все необходимые действия для обеспечения того, чтобы его субподрядчики и другие сотрудничающие субъекты каждый раз гарантировали надлежащие меры безопасности, когда обрабатывают данные по поручению Администратора.

4.3. Администратор ведет текущий анализ рисков и контролирует адекватность применяемых мер безопасности данных по отношению к выявленным угрозам. При необходимости Администратор внедряет дополнительные меры для повышения безопасности данных.

    5. ЦЕЛИ И ПРАВОВЫЕ ОСНОВЫ ОБРАБОТКИ

5.1. ВЕБ-САЙТЫ NEXTBIKE

5.1.1. Персональные данные всех лиц, использующих веб-сайты Администратора (сервис www.nextbike.pl и сервисы отдельных систем городских велосипедов, оператором которых является Администратор), включая IP-адреса или другие идентификаторы и информацию, собранные с помощью куки-файлов или других аналогичных технологий, обрабатываются:

a. с целью предоставления услуг в электронном виде в сфере предоставления пользователям контента, собранного в сервисе — тогда правовая основа для обработки — необходимость обработки для выполнения договора (ст. 6 п.1 лит. b РОДО);

b. для аналитических и статистических целей — тогда правовой основой для обработки является законный интерес Администратора (ст. 6 п.1 лит. f РОДО), который заключается в проведении анализа активности пользователей, а также их предпочтений в целях улучшения функциональных возможностей и предоставляемых услуг;

c. с целью возможного установления и рассмотрения претензий или защиты от них – правовой основой обработки является законный интерес Администратора (ст. 6 п.1 лит. f РОДО), который заключается в защите его прав;

d. для маркетинговых целей Администратора и других субъектов — правила обработки персональных данных для маркетинговых целей описаны в разделе «Маркетинг» ниже.

5.1.2. Активность пользователя на веб-сайте Администратора, включая его персональные данные, записываются в системные журналы (специальная компьютерная программа, используемая для хранения хронологической записи, содержащей информацию о событиях и действиях в отношении ИТ-системы, используемой для предоставления услуг Администратором). Информация, собираемая в журналах, обрабатывается в основном для целей, связанных с предоставлением услуг. Администратор также обрабатывает ее для технических и административных целей, для обеспечения безопасности ИТ-системы и управления этой системой, а также для аналитических и статистических целей — в этой сфере правовой основой обработки является законный интерес Администратора (ст. 6 п.1 лит. f РОДО).

5.1.3. Сессия, которую пользовательский веб-браузер устанавливает с серверами Администратора с момента входа в систему до момента выхода с веб-сайта, защищена протоколом TLS. Это означает, что все данные, включая персональные данные, передаются с использованием криптографической защиты (шифрования).

5.2. МАРКЕТИНГ

5.2.1. Администратор обрабатывает персональные данные пользователей для осуществления маркетинговой деятельности, которая может состоять в:

a. отображении пользователю маркетингового контента, который не отвечает его предпочтениям (контекстная реклама);

b. отображении пользователю маркетингового контента, соответствующего его интересам (поведенческая реклама);

c. проведение других видов деятельности, связанных с прямым маркетингом товаров и услуг (отправка коммерческой информации посредством электронной почты и телемаркетинга).

5.2.2. В целях реализации маркетинговой деятельности Администратор в определенных случаях может использовать профилирование. Это означает, что благодаря автоматической обработке данных Администратор оценивает выбранные факторы, касающиеся физических лиц, для анализа их поведения или создания прогноза на будущее. Правовой основой для обработки данных в этом случае является законный интерес Администратора (ст. 6 п.1 лит. f РОДО).

5.3. КУКИ-ФАЙЛЫ И ПОХОЖАЯ ТЕХНОЛОГИЯ

5.3.1. Куки-файлы представляют собой небольшие текстовые файлы, установленные на устройстве пользователя, просматривающего сайт. Куки-файлы собирают информацию, которая облегчает использование веб-сайта, например, путем запоминания посещений пользователя веб-сайта и действий, выполненных им. Правовой основой для обработки таких данных является законный интерес Администратора (ст. 6 п.1 лит. f РОДО).

5.3.2. Администратор использует куки-файлы в основном для предоставления пользователю услуг, предоставляемых в электронном виде, и для повышения качества этих услуг. Поэтому Администратор и другие субъекты, предоставляющие ему аналитические и статистические услуги, используют куки-файлы, сохраняя информацию или получая доступ к информации, уже сохраненной в телекоммуникационном конечном устройстве пользователя (компьютере, телефоне, планшете и т. д.). Куки-файлы, используемые для этой цели, включают:

a. куки-файлы с данными, введенными пользователем (идентификатор сессии) в течение всей сессии (англ. user input cookies);

b. аутентификацию через куки, используемую для услуг, требующих проверки подлинности на протяжении всей сессии (англ. authentication cookies);

c. куки-файлы, используемые для обеспечения безопасности, например, используемые для обнаружения злоупотребление в сфере аутентификации (англ. user centric security cookies);

d. сессионные куки-файлы для мультимедийных проигрывателей (например, куки-файлы флеш-проигрователя), на время сессии (англ. multimedia player session cookies);

e. постоянные куки-файлы, используемые для персонализации пользовательского интерфейса в течение всей сессии или чуть дольше (англ. user interface customization cookies),

f. куки-файлы, используемые для отслеживания движений на веб-сайте, то есть для аналитики данных, включая куки Google Analytics (это файлы, используемые Google для анализа способа использования сервиса пользователем для создания статистики и отчетов о работе веб-сайта). Инструмент Google Analytics также служит для направления пользователям поведенческой рекламы. Google не использует собранные данные, не для идентификации пользователя, и не объединяет эту информацию, чтобы сделать возможной идентификацию. Подробную информацию о сфере и правилах сбора данных в связи с этой услугой можно найти по ссылке: https://www.google.com/intl/pl/policies/privacy/partners.

5.4. ДАННЫЕ О МЕСТОПОЛОЖЕНИИ

5.4.1. Мобильные приложения, предоставляемые Администратором, такие как приложение Nextbike, Veturilo или Citi Handlowy Bike, а также некоторые веб-сайты Администратора, такие как www.veturilo.waw.pl или www.bikerbialystok.pl могут использовать данные местоположения устройства пользователя (компьютер, мобильный телефон, планшет и т. д.).

5.4.2. Администратор обрабатывает данные о местоположении, в частности, чтобы предоставить пользователю карты с указанием ближайших велосипедных станций Nextbike. Пользователь информируется о любых других целях обработки данных о местоположении в отдельных информационных клаузулах.

5.4.3. Правовой основой для обработки таких данных является согласие пользователя (ст.6 п.1 лит.а РОДО) путем предоставления мобильному приложению или Интернет-браузеру доступа к данным о местоположении устройства пользователя.

5.5. КОНТАКТНЫЕ ФОРМЫ, ДОСТУПНЫЕ НА ВЕБ-САЙТАХ

5.5.1. Администратор предоставляет возможность связаться с ним с помощью электронных контактных форм, доступных на веб-сайтах Администратора. Использование формы требует указания персональных данных, необходимых для связи с пользователем и ответа на запрос. Пользователь может также предоставить другие данные для облегчения контакта или обработки запроса. Указание данных, обозначенных как обязательные, требуется для получения и обработки запроса, и их не указание приводит к отсутствию возможности обработки. Предоставление других данных является добровольным.

5.5.2. Персональные данные обрабатываются:

a. с целью идентификации отправителя и обработки запроса или предоставления ответа на вопрос, отправленный через контактную форму, — правовой основой обработки является законный интерес Администратора (ст. 6, п. 1 лит. f РОДО), который заключается в предоставлении возможности обрабатывать запросы и давать ответы на вопросы, заданные, в частности, лицами, заинтересованными в услугах Администратора;

b. С целью мониторинга и улучшения качества услуг, в том числе обслуживания клиентов — правовой основой для обработки является законный интерес Администратора (ст. 6, п. 1 лит. F РОДО), который заключается в предоставлении возможности улучшить качество услуг, предоставляемых Администратором.

5.6. ТРАДИЦИОННАЯ КОРРЕСПОНДЕНЦИЯ И ПО ЭЛЕКТРОННОЙ ПОЧТЕ

5.6.1. В случае отправки Администратору электронного письма или традиционной корреспонденции, персональные данные, содержащиеся в этой корреспонденции, обрабатываются исключительно для целей связи и разрешения вопроса, к которому относится корреспонденция.

5.6.2. Правовой основой обработки является законный интерес Администратора (ст. 6, п. 1 лит. (f) РОДО), который заключается в ведении корреспонденции, адресованной ему в связи с его хозяйственной деятельностью.

5.6.3. Администратор обрабатывает только персональные данные, относящиеся к делу, которого касается корреспонденция. Вся корреспонденция хранится так, чтобы обеспечить безопасность содержащихся в ней персональных данных (и другой информации), и раскрываться только уполномоченным лицам.

5.7. КОНТАКТ ПО ТЕЛЕФОНУ

5.7.1. В случае обращения к Администратору по телефону, Администратор может требовать предоставление персональных данных только тогда, когда это необходимо для обработки вопроса, которого касается контакт. Правовой основой в этом случае является обоснованный интерес Администратора (статья 6 п. 1 лит. f РОДО), который заключается в том, что он позволяет обрабатывать запросы и отвечать на вопросы, заданные лицами, заинтересованными в услугах Администратора.

5.7.2. Телефонные разговоры также могут быть записаны — в этом случае соответствующая информация подается в начале разговора. Звонки записываются для контроля качества предоставляемой услуги и проверки работы консультантов. Записи доступны только сотрудникам Администратора и лицам, обслуживающим горячую линию Администратора. Правовой основой обработки является обоснованный интерес Администратора (ст. 6 п. 1 лит. f РОДО), который заключается в повышении качества услуг, предоставляемых Администратором.

5.8. СОЦИАЛЬНЫЕ СЕТИ

5.8.1. Администратор обрабатывает персональные данные пользователей, посещающих профили Администратора, которые ведутся в социальных сетях (Facebook, YouTube, Instagram, Twitter). Эти данные обрабатываются только в связи с ведением профиля, в том числе для информирования пользователей о деятельности Администратора и для рекламы различного типа событий, услуг и продуктов. Правовой основой для обработки персональных данных Администратором для этой цели является его законный интерес (ст. 6 п. 1 лит. f РОДО), который заключается в продвижении своего собственного бренда.

5.9. ВИДЕОМОНИТОРИНГ И КОНТРОЛЬ ВХОДА

5.9.1. Для обеспечения безопасности людей и имущества Администратор использует видеомониторинг и контроль входа в помещения и на свою территорию. Данные, собранные таким образом, не используются для каких-либо других целей.

5.9.2. Персональные данные в виде записей с мониторинга и данные, собранные в реестре входов и выходов, обрабатываются для обеспечения безопасности и порядка на территории объекта и, возможно, для защиты от претензий или для их рассмотрения. Основой для обработки персональных данных является законный интерес Администратора (ст. 6 п. 1 лит. f РОДО), который заключается в обеспечении безопасности Администратора и защите его прав.

5.10. НАБОР

5.10.1. В рамках процессов набора Администратор ожидает передачи персональных данных (например, в резюме или биографии) только в объеме, указанном в трудовом законодательстве. Поэтому информация не должна передаваться в более широкой форме. Если присланные заявки будут содержать дополнительные данные, они не будут использоваться или приниматься во внимание в процессе набора.

5.10.2. данные обрабатываются:

a. в целях выполнения правовых обязательств, связанных с процессом трудоустройства, включая, в частности, Трудовой кодекс — правовой основой для обработки является юридическая обязанность Администратора (ст. 6 п. 1 лит. с РОДО в связи с положениями Трудового кодекса);

b. с целью проведения процесса набора в области данных, не требуемых по закону, а также для целей будущих процессов набора — правовой основой для обработки является согласие (ст. 6 п. 1 лит. а РОДО);

c. в целях установления или рассмотрения возможных претензий или защиты от таких претензий — правовой основой для обработки данных является законный интерес Администратора (ст. 6 п. 1 лит. f РОДО).

5.11. СБОР ДАННЫХ В СВЯЗИ С ПРЕДОСТАВЛЕНИЕМ УСЛУГ ИЛИ ВЫПОЛНЕНИЕМ ДРУГИХ ДОГОВОРОВ

5.11.1. В случае сбора данных для целей, связанных с выполнением конкретного договора, также через веб-сайт, Администратор предоставляет лицу, которого касаются данные подробную информацию об обработке его персональных данных во время заключения договора.

5.12. СБОР ДАННЫХ В ДРУГИХ СЛУЧАЯХ

5.12.1. В связи с проводимой деятельностью Администратор собирает персональные данные также в других случаях — например, во время деловых встреч, на бизнес-мероприятиях или посредством обмена визитными карточками — для целей, связанных с инициированием и поддержанием деловых контактов. Правовой основой обработки в этом случае является обоснованный интерес Администратора (ст. 6 п. 1 лит. f РОДО), который заключается в создании сети контактов в связи с проводимой деятельностью.

5.12.2. Персональные данные, собранные в таких случаях, обрабатываются только для целей, для которых они были собраны, и Администратор обеспечивает их надлежащую защиту.

    6. ПОЛУЧАТЕЛИ ДАННЫХ

6.1. В связи с проводимой деятельностью, требующей обработки, персональные данные раскрываются внешним субъектам, в частности, поставщикам, отвечающим за работу ИТ-систем и оборудования (например, оборудование CCTV, услуги GPS-определения местоположения), субъектам, предоставляющим юридические или бухгалтерские услуги, курьерам, маркетинговым агентствам или агентствам по набору персонала. Данные также могут быть раскрыты отдельным партнерам Администратора, например, в рамках рекламных кампаний, к которым присоединилось лицо, которого касаются данные.

6.2. Администратор оставляет за собой право раскрывать выбранную информацию касающуюся лица, которого касаются данные компетентным органам или третьим лицам, подающим запрос на предоставление такой информации на соответствующей правовой основе и в соответствии с действующим законодательством.

    7. ПЕРЕДАЧА ДАННЫХ ЗА ПРЕДЕЛЫ ЕЭЗ

7.1. Уровень защиты персональных данных за пределами Европейской экономической зоны (ЕЭЗ) отличается от уровня защиты, предусмотренного европейским законодательством. По этой причине Администратор переносит личные данные за пределы ЕЭЗ только тогда, когда это необходимо и с обеспечением достаточного уровня защиты, прежде всего посредством:

7.1.1. сотрудничества с субъектами, обрабатывающими персональные данные в странах, для которых было принято соответствующее решение Европейской комиссии;

7.1.2. применения стандартных договорных клаузул, выданных Европейской комиссией;

7.1.3. применения обязательных корпоративных правил, утвержденных компетентным надзорным органом;

7.1.4. в случае передачи данных в США — сотрудничество с субъектами, участвующими в программе Щит конфиденциальности (Privacy Shield), утвержденными решением Европейской комиссии.

7.2. Администратор всегда информирует о намерении передать персональные данные за пределы ЕЭЗ на этапе их сбора.

    8. ПЕРИОД ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Период обработки данных Администратором зависит от типа предоставляемой услуги и цели обработки. Период обработки данных также может вытекать из положений, когда они составляют основу для обработки. В случае обработки данных на основе обоснованного интереса Администратора — например, по соображениям безопасности — данные обрабатываются в течение периода времени, позволяющего реализовать этот интерес или до высказывания возражения против обработки данных. Если обработка основана на согласии, данные обрабатываются до тех пор, пока оно не будет отозвано. Когда основой обработки является необходимость заключить и выполнить договор, данные обрабатываются до расторжения договора.

8.2. Период обработки данных может быть продлен, если обработка необходима для установления или рассмотрения претензий, или защиты от претензий, а после этого периода — только в случае и в объёме, требуемом по закону. После завершения периода обработки данные необратимо удаляются или анонимизируются.

    9. ПОЛНОМОЧИЯ, СВЯЗАННЫЕ С ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ
    ПРАВА ЛИЦ, КОТОРЫХ КАСАЮТСЯ ДАННЫЕ

9.1. Лицам, которых касаются данные принадлежат следующие права:

9.1.1. право на информацию об обработке персональных данных — на этой основе лицу, делающему запрос, Администратор передает информацию об обработке данных, в том числе, в первую очередь, о целях и правовых основах для обработки, объеме данных, субъектах, которым они раскрываются, и планируемой дате удаления;

9.1.2. право на получение копии данных — на этой основе Администратор предоставляет копию обрабатываемых данных, касающихся лица, делающего запрос;

9.1.3. право на опровержение — Администратор обязан устранить любые возможные разногласия или ошибки обрабатываемых персональных данных и дополнить их, если они неполные;

9.1.4. право на удаление данных — на этой основе можно запросить удаление данных, обработка которых больше не требуется для выполнения каких-либо целей, для которых они были собраны;

9.1.5. право ограничить обработку — в случае такого запроса Администратор прекращает выполнять операции с персональными данными — за исключением операций, на которые лицо, которого касаются данные, выразило согласие – также их хранения, в соответствии с принятыми правилами удержания или до тех пор, пока причины ограничения обработки данных не будут устранены (например, будет выдано решение надзорного органа, позволяющее осуществлять дальнейшую обработку данных);

9.1.6. право на передачу данных — на этой основе — в объеме, в котором данные обрабатываются в связи с заключенным договором или выраженным согласием — Администратор выдает данные, предоставленные лицом, которого касаются данные, в формате, позволяющем их считывать компьютером. Также можно запросить передачу данных другому субъекту — при условии, однако, что в этой сфере существуют технические возможности как со стороны Администратора, так и со стороны другого субъекта;

9.1.7. право возражать против обработки данных в маркетинговых целях – лицо, которого касаются данные может в любое время возразить против обработки персональных данных в маркетинговых целях без необходимости обоснования такого возражения;

9.1.8. право выражать протест против других целей обработки данных — лицо, которого касаются данные может в любое время возразить против обработки персональных данных, которая осуществляется на основе обоснованного интереса Администратора (например, для аналитических или статистических целей, или по причинам, связанным с защитой имущества); возражение должно содержать обоснование;

9.1.9. Право отозвать согласие — если данные обрабатываются на основании предоставленного согласия, лицо, которого касаются данные имеет право отозвать его в любое время, но это не влияет на законность обработки, выполненную до отзыва согласия.

9.1.10. право на подачу жалобы — если принято решение о том, что обработка персональных данных нарушает положения РОДО или другие положений о защите персональных данных, лицо, которого касаются данные может подать жалобу Главе Управления по защите персональных данных.

9.2. ПОДАЧА ЗАПРОСОВ, СВЯЗАННЫХ С РЕАЛИЗАЦИЕЙ ПРАВ

9.2.1. Заявление, касающееся реализации прав субъектов данных можно подать:

a. в письменной форме по адресу: ул. Пшасныска 6 b, 01-756 Варшава;

b. по электронной почте по адресу: daneosobowe@nextbike.pl

9.2.2. Если Администратор не может идентифицировать лицо, подавшее заявление на основании представленного заявления, он попросит у заявителя дополнительную информацию.

9.2.3. Заявление может быть подано лично или при посредничестве уполномоченного лица (например, член семьи). По соображениям безопасности данных Администратор рекомендует использовать доверенность, заверенную нотариусом или уполномоченным юрисконсультом, или адвокатом, что значительно ускорит проверку подлинности заявления.

9.2.4. Ответ на запрос должен быть предоставлен в течение одного месяца с момента его получения. Если необходимо продлить этот срок, Администратор информирует заявителя о причинах задержки.

9.2.5. Ответ предоставляется по традиционной почте, если же заявление не было отправлено по электронной почте, или ответ был запрошен в электронной форме.

9.2.6. Лицо, которого касаются данные может также самостоятельно исправлять или обновлять свои персональные данные, а также отозвать свое согласие на обработку персональных данных и передавать маркетинговую информацию, используя веб-сайты Администратора. Для этого войдите на сайт (например, www.nextbike.pl), перейдите в закладку «Настройки пользователя» и внесите соответствующие изменения.

9.3. ПРАВИЛА ВЗИМАНИЯ ОПЛАТ

9.3.1. Процедура подачи заявлений бесплатна. Оплаты могут взиматься только в случае:

a. запроса второй и каждой последующей копии данных (первая копия данных бесплатна); в этом случае Администратор может требовать внести оплату в размере 30 злотых.
Вышеуказанная плата включает административные расходы, связанные с обработкой запроса.

b. Чрезмерных запросов от одного и того же лица (например, крайне частые) или, очевидно необоснованных; в таком случае Администратор может требовать внести оплату в размере 100 злотых.
Вышеуказанная плата включает расходы на ведение коммуникации и расходы, связанные с принятием требуемых действий

9.3.2. В случае оспаривания решения о наложении оплаты, лицо, которого касаются данные может внести жалобу Главе Управления по защите персональных данных.

    10. ИЗМЕНЕНИЯ ПОЛИТИКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Политика постоянно проверяется и при необходимости обновляется. Текущая версия Политики была принята 23 мая 2018 года.