Zgodnie z art. 13 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. dotyczącego ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz swobodnego przepływu takich danych (dalej „RODO”), a także art. 11 hiszpańskiej Ustawy organicznej 3/2018 z dnia 5 grudnia o ochronie danych osobowych i gwarancji praw cyfrowych, informujemy, co następuje:
Użytkownik powinien dokładnie zapoznać się z niniejszą Polityką Prywatności, sporządzoną w jasnym i przystępnym języku, aby umożliwić jej zrozumienie, tak aby mógł on swobodnie, świadomie i dobrowolnie zdecydować, czy chce przekazać swoje dane osobowe lub dane osób trzecich spółce SONNEIL (dalej „Spółka”).
Spółka przetwarza dane osobowe przekazane przez Użytkownika w następujących celach oraz przez wskazane okresy przechowywania:
Zarządzanie świadczeniem i realizacją zamówionych usług i/lub produktów, a także przygotowanie, monitorowanie i obsługa umów, ofert i propozycji usług, w tym danych osób, których udział jest niezbędny do realizacji tych celów. Podstawą prawną przetwarzania jest wykonanie umowy lub podjęcie działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Dane będą przechowywane przez czas trwania relacji umownej lub przedumownej oraz po jej zakończeniu przez okres wymagany przepisami prawa w celu dochodzenia ewentualnych roszczeń.
Zarządzanie i obsługa komunikacji, zapytań, sugestii, skarg lub zgłoszeń przekazywanych przez użytkowników za pośrednictwem Wewnętrznego Systemu Informacji, zgodnie z hiszpańską Ustawą 2/2023 z dnia 20 lutego o ochronie osób zgłaszających naruszenia prawa i o zwalczaniu korupcji. Takie zgłoszenia mogą być w razie potrzeby przekazywane do odpowiednich działów w celu ich rozpatrzenia i zapewnienia zgodności z przepisami. Podstawą prawną przetwarzania jest obowiązek prawny ciążący na Spółce. Dane dotyczące zgłoszeń i postępowań wyjaśniających będą przechowywane przez okres niezbędny i proporcjonalny do realizacji przepisów o ochronie sygnalistów, nie dłużej niż 10 lat. Po upływie 3 miesięcy od ich otrzymania zgłoszenia są usuwane, chyba że ich przechowywanie jest konieczne do wykazania istnienia i funkcjonowania systemu lub wynika z innych obowiązków prawnych. W takich przypadkach tożsamość zgłaszającego jest anonimizowana i przechowywana oddzielnie z odpowiednimi środkami bezpieczeństwa.
Wysyłanie informacji handlowych dotyczących produktów lub usług podobnych do już nabytych przez klienta. Podstawą prawną jest uzasadniony interes Spółki w ramach istniejącej relacji umownej, pod warunkiem że komunikaty dotyczą podobnych produktów lub usług oraz że użytkownik ma możliwość sprzeciwu wobec ich otrzymywania. W przypadku komunikacji elektronicznej podstawą jest również art. 21 ust. 2 hiszpańskiej ustawy 34/2002 o usługach społeczeństwa informacyjnego i handlu elektronicznym. Dane będą przechowywane do momentu wniesienia sprzeciwu lub rezygnacji z otrzymywania komunikatów.
W ramach zarządzania stosunkami pracy Spółka może przetwarzać dane pracowników, kandydatów oraz osób powiązanych w następujących celach:
Podstawy prawne: wykonanie umowy (art. 6 ust. 1 lit. b RODO), obowiązek prawny (art. 6 ust. 1 lit. c RODO), uzasadniony interes (art. 6 ust. 1 lit. f RODO) lub zgoda (art. 6 ust. 1 lit. a RODO). Dane są przechowywane przez okres trwania stosunku pracy oraz później zgodnie z przepisami prawa.
Wysyłanie newsletterów i komunikacji marketingowej na podstawie zgody użytkownika. Dane przechowywane są do czasu cofnięcia zgody.
Obsługa rekrutacji i CV, w tym aplikacji spontanicznych. Dane przechowywane są maksymalnie 1 rok.
Monitoring wizyjny w celu zapewnienia bezpieczeństwa osób i mienia. Nagrania przechowywane są maksymalnie 30 dni.
Zarządzanie relacjami z dostawcami i partnerami.
Kontrola zgodności i procedur wewnętrznych.
Obsługa praw osób, których dane dotyczą.
Obsługa zgłoszeń dotyczących molestowania, przemocy i szczególnie poważnych naruszeń.
Wypełnianie obowiązków prawnych Spółki.
Inne obowiązki wynikające z przepisów prawa.
Dane pochodzą zasadniczo od osoby, której dotyczą, choć mogą pochodzić również od podmiotów trzecich zgodnie z art. 14 RODO.
Spółka może przekazywać dane osobowe Użytkownika następującym kategoriom odbiorców, gdy jest to niezbędne do realizacji celów przetwarzania oraz na odpowiedniej podstawie prawnej:
Co do zasady nie przewiduje się przekazywania danych osobowych poza Europejski Obszar Gospodarczy. Jeżeli jednak korzystanie z usług dostawców technologicznych będzie wiązało się z przetwarzaniem danych poza EOG, przekazanie takie będzie odbywać się zgodnie z art. 44 i nast. RODO, z zastosowaniem odpowiednich zabezpieczeń, takich jak standardowe klauzule umowne zatwierdzone przez Komisję Europejską lub inne dopuszczalne mechanizmy prawne.
W celu zapewnienia przejrzystości informujemy o przysługujących Państwu prawach wynikających z przepisów o ochronie danych osobowych:
Realizacja praw oraz zgłaszanie incydentów bezpieczeństwa, cyberataków lub naruszeń ochrony danych może odbywać się poprzez kanał: www.corporate-line.com/cnormativo-sonneil / dpdexterno@bonetconsulting.com
W przypadku wątpliwości co do tożsamości osoby składającej wniosek Spółka może zażądać dodatkowych informacji w celu jej weryfikacji. Odpowiedź zostanie udzielona w terminie jednego miesiąca, z możliwością jego przedłużenia w przypadku skomplikowanych spraw.
Spółka wdrożyła Wewnętrzny System Informowania (SIIF), który stanowi kluczowe narzędzie nadzoru, kontroli i zapobiegania naruszeniom przepisów. System opiera się na zasadach bezpieczeństwa, poufności, ochrony danych, niezależności i profesjonalizmu w zakresie obsługi zgłoszeń.
Kanały zgłaszania zostały wdrożone w sposób zapewniający anonimowość, właściwe rejestrowanie, przechowywanie i integralność informacji, a także ochronę sygnalistów i zapobieganie konfliktom interesów oraz działaniom odwetowym.
Za pośrednictwem systemu każda osoba zgłaszająca powinna w dobrej wierze informować o wszelkich podejrzeniach naruszeń prawa, nieprawidłowości, działań nieetycznych lub naruszeń kodeksów i procedur Spółki.
Dostęp do SIIF znajduje się w oddzielnej sekcji strony internetowej Spółki.
W ramach Wewnętrznego Systemu Informowania (SIIF) Spółka przetwarza dane osobowe w celu obsługi i zarządzania otrzymanymi zgłoszeniami, a także analizy, weryfikacji i prowadzenia postępowań wyjaśniających dotyczących zgłoszonych faktów, wraz z możliwością podjęcia odpowiednich działań naprawczych, dyscyplinarnych lub prawnych.
Przetwarzanie to odbywa się w celu wypełnienia obowiązków wynikających z hiszpańskiej Ustawy 2/2023 z dnia 20 lutego dotyczącej ochrony osób zgłaszających naruszenia prawa i zwalczania korupcji, a także – w stosownych przypadkach – na podstawie uzasadnionego interesu Spółki w zakresie zapobiegania i wykrywania niezgodnych z prawem działań lub naruszeń wewnętrznych polityk.
W ramach tych działań mogą być przetwarzane następujące kategorie danych osobowych:
Dane mogą pochodzić od osoby zgłaszającej (anonimowo lub z ujawnieniem tożsamości), osób, których dotyczy zgłoszenie, lub osób trzecich uczestniczących w postępowaniu.
Spółka gwarantuje poufność tożsamości osoby zgłaszającej, jak również wszelkich osób trzecich wymienionych w zgłoszeniu oraz osób, których dotyczy postępowanie. Dostęp do danych mają wyłącznie upoważnieni pracownicy zaangażowani w obsługę i prowadzenie postępowań.
Wszelkie formy odwetu, dyskryminacji lub niekorzystnego traktowania wobec osoby zgłaszającej lub osób współpracujących przy postępowaniu są wyraźnie zakazane zgodnie z Ustawą 2/2023.
Korzystanie z praw osób, których dane dotyczą, może być ograniczone, jeżeli jest to konieczne do zapewnienia poufności tożsamości sygnalisty, zapobieżenia utrudnianiu postępowania lub zapewnienia prawidłowego przebiegu procedury zgodnie z obowiązującymi przepisami.
Spółka przetwarza dane osobowe z zastosowaniem odpowiednich środków technicznych, organizacyjnych i prawnych, zapewniających poufność i integralność przetwarzanych informacji zgodnie z obowiązującymi przepisami.
W uzupełnieniu powyższego Spółka stosuje środki cyberbezpieczeństwa w celu zapobiegania i przeciwdziałania cyberatakom oraz oszustwom ze strony cyberprzestępców, które mogą zagrażać prywatności i ochronie danych przetwarzanych w ramach działalności Spółki.
W tym zakresie zaleca się, aby w przypadku otrzymania komunikatów budzących wątpliwości co do ich autentyczności nie podejmować żadnych działań oraz skontaktować się ze Spółką za pośrednictwem danych kontaktowych wskazanych w niniejszej Polityce Prywatności.
Ponadto wszelkie prośby dotyczące zmiany danych płatniczych, przekazywania informacji kontaktowych, danych poufnych (niepublicznych), danych bankowych, kart kredytowych lub innych danych oficjalnych, które rzekomo pochodzą od Spółki, nie powinny być realizowane bez uprzedniego potwierdzenia ich autentyczności przez Spółkę innym kanałem komunikacji.
Spółka dziękuje za współpracę i prosi o zgłaszanie wszelkich takich wiadomości oraz innych potencjalnych zagrożeń cyberbezpieczeństwa, w których może być wykorzystana jej nazwa lub wizerunek.
Osoby zainteresowane mogą kontaktować się ze Spółką w sprawie przetwarzania danych osobowych lub interpretacji niniejszej Polityki Prywatności, korzystając z danych Inspektora Ochrony Danych wskazanych na początku dokumentu.
Spółka zastrzega sobie prawo do zmiany i/lub aktualizacji niniejszej Polityki Prywatności w przypadku konieczności dostosowania jej do obowiązujących przepisów prawa. Wszelkie zmiany będą publikowane w tej samej sekcji strony internetowej.