POLITYKA PRYWATNOŚCI ORAZ OCHRONY DANYCH OSOBOWYCH – CLEANIN
1. Postanowienia ogólne
1.1. Niniejsza Polityka Prywatności oraz Ochrony Danych Osobowych („Polityka”) określa zasady przetwarzania danych osobowych przez CleanIN („Administrator”, „my”) w związku z korzystaniem ze strony internetowej, aplikacji i platformy CleanIN („Serwis”, „Platforma”), a także w związku z realizacją usług zamawianych za pośrednictwem Serwisu.
1.2. Polityka ma zastosowanie do wszystkich osób, których dane są przetwarzane przez Administratora, w szczególności:
• osób odwiedzających Serwis,
• osób składających zamówienia,
• osób zakładających konto użytkownika,
• osób kontaktujących się z Administratorem,
• osób będących kontrahentami/współpracownikami Administratora (np. wykonawcami/partnerami),
• osób reprezentujących podmioty (np. firmy), z którymi Administrator współpracuje.
1.3. Administrator przetwarza dane osobowe zgodnie z obowiązującymi przepisami prawa, w szczególności zgodnie z RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679) oraz przepisami krajowymi dotyczącymi ochrony danych i świadczenia usług drogą elektroniczną.
1.4. Polityka jest dokumentem informacyjnym (dla użytkowników Serwisu) oraz opisowym (wskazuje ogólne rozwiązania organizacyjne Administratora w zakresie ochrony danych). Szczegółowe procedury wewnętrzne mogą funkcjonować w organizacji Administratora jako dokumenty odrębne.
1.5. Złożenie zamówienia, rejestracja konta, kontakt z Administratorem lub korzystanie z Serwisu oznacza zapoznanie się z niniejszą Polityką i jej akceptację. Jeżeli w określonych przypadkach prawo wymaga uzyskania odrębnej zgody (np. na marketing elektroniczny lub nieobowiązkowe pliki cookies), Administrator pozyskuje ją oddzielnie.
⸻
2. Administrator danych i dane kontaktowe
2.1. Administratorem danych osobowych jest:
CleanIN sp. z o.o. z siedzibą w Warszawie
NIP: 5253072802, REGON: 54355082300000
2.2. Kontakt w sprawach związanych z danymi osobowymi:
E-mail: info@cleanin.pl
2.3. Administrator może powołać Inspektora Ochrony Danych (IOD). Jeżeli IOD zostanie powołany, informacja o tym oraz dane kontaktowe IOD zostaną udostępnione w Serwisie lub w bezpośredniej komunikacji, jeśli będzie to wymagane.
⸻
3. Definicje (najważniejsze pojęcia)
3.1. „Dane osobowe” – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
3.2. „Dane szczególnych kategorii (wrażliwe)” – dane wskazane w art. 9 ust. 1 RODO, m.in. dotyczące zdrowia, przekonań, pochodzenia itp.
3.3. „Dane karne” – dane wskazane w art. 10 RODO (dotyczące wyroków skazujących i naruszeń prawa).
3.4. „Podmiot przetwarzający” – podmiot, któremu Administrator powierza przetwarzanie danych (np. dostawca IT, księgowość, operator płatności, partner wykonawczy), działający w imieniu Administratora.
3.5. „Odbiorca danych” – podmiot, któremu dane są ujawniane (np. organ publiczny, partner w zakresie realizacji usługi).
3.6. „Profilowanie” – forma zautomatyzowanego przetwarzania danych w celu oceny wybranych czynników dotyczących osoby, np. preferencji lub zachowania.
3.7. „Eksport danych” – przekazanie danych poza Europejski Obszar Gospodarczy (UE/EOG).
⸻
4. Filary i zasady ochrony danych
4.1. Administrator realizuje ochronę danych w oparciu o następujące filary:
• legalność (zgodność z prawem),
• bezpieczeństwo (odpowiednie zabezpieczenia),
• poszanowanie praw osób (realizacja praw z RODO),
• rozliczalność (dokumentowanie zgodności i możliwość wykazania jej w razie potrzeby).
4.2. Administrator przetwarza dane zgodnie z zasadami:
• zgodności z prawem, rzetelności i przejrzystości,
• ograniczenia celu (konkretne cele przetwarzania),
• minimalizacji danych (tylko to, co niezbędne),
• prawidłowości danych,
• ograniczenia przechowywania (nie dłużej niż to potrzebne),
• integralności i poufności (zabezpieczenia),
• rozliczalności (dokumentowanie i kontrola).
⸻
5. Zakres danych zbieranych i przetwarzanych przez Administratora
5.1. Dane podawane przez użytkownika (dane identyfikacyjne i kontaktowe):
• imię i nazwisko (jeśli wymagane do realizacji usługi),
• numer telefonu,
• adres e-mail.
5.2. Dane związane z realizacją zamówienia:
• adres realizacji usługi,
• dane dotyczące terminu, zakresu prac, rodzaju usługi,
• uwagi organizacyjne przekazane w zamówieniu,
• dane osoby kontaktowej na miejscu (jeżeli podane).
5.3. Dane konta użytkownika (jeśli użytkownik tworzy konto):
• login (zwykle e-mail),
• historia zamówień i statusy realizacji,
• preferencje dotyczące usług i ustawienia konta,
• ustawienia komunikacji (np. preferencje powiadomień).
5.4. Dane rozliczeniowe i księgowe:
• dane do faktury (w tym nazwa firmy, NIP, adres, jeśli dotyczy),
• informacje o rozliczeniach i dokumentach księgowych.
5.5. Dane płatnicze:
• Administrator co do zasady nie przechowuje pełnych danych kart płatniczych,
• płatności mogą być obsługiwane przez operatorów płatności, a Administrator otrzymuje informacje o statusie transakcji (np. opłacono, odrzucono, zwrot).
5.6. Dane techniczne i analityczne:
• adres IP,
• identyfikatory cookies lub identyfikatory urządzenia,
• rodzaj przeglądarki, system operacyjny,
• przybliżone dane o lokalizacji (na podstawie IP),
• informacje o aktywności w Serwisie (np. odwiedzone podstrony, czas sesji, źródło wejścia),
• logi serwera i zdarzenia bezpieczeństwa (w zakresie niezbędnym do ochrony Serwisu).
5.7. Dane szczególnych kategorii (wrażliwe) i dane karne:
• Administrator co do zasady nie wymaga i nie przetwarza takich danych,
• użytkownik nie powinien przekazywać takich danych w polach „uwagi” ani w komunikacji,
• jeżeli użytkownik dobrowolnie przekaże takie dane, Administrator może je przetwarzać tylko w minimalnym zakresie niezbędnym do obsługi sprawy (np. w ramach reklamacji lub wyjaśnienia zdarzenia).
⸻
6. Źródła danych
6.1. Administrator pozyskuje dane:
• bezpośrednio od użytkownika (formularze, konto, kontakt),
• automatycznie (cookies, logi, statystyki),
• od podmiotów współpracujących (np. operator płatności – status transakcji), w zakresie dopuszczalnym prawem i niezbędnym do realizacji usługi.
⸻
7. Cele przetwarzania danych
Administrator przetwarza dane osobowe w następujących celach:
7.1. Realizacja usług i obsługa zamówień:
• przyjęcie i obsługa zamówienia,
• ustalenie szczegółów realizacji (termin, miejsce, zakres),
• koordynacja wykonania usługi, w tym przekazanie niezbędnych danych wykonawcy/partnerowi,
• komunikacja organizacyjna (potwierdzenia, zmiany terminu),
• obsługa reklamacji, zwrotów i korekt.
7.2. Konto użytkownika:
• rejestracja i logowanie,
• identyfikacja użytkownika,
• dostęp do historii zamówień,
• ułatwienie kolejnych zamówień (np. zapis danych, preferencje).
7.3. Kontakt i obsługa zapytań:
• odpowiedzi na wiadomości e-mail i formularze,
• kontakt telefoniczny w sprawach organizacyjnych,
• komunikaty techniczne i informacyjne dotyczące funkcjonowania Serwisu.
7.4. Rozliczenia i obowiązki prawne:
• wystawienie dokumentów księgowych,
• prowadzenie księgowości i rozliczeń podatkowych,
• archiwizacja dokumentacji wymaganej przepisami.
7.5. Bezpieczeństwo, nadużycia i roszczenia:
• zapewnienie bezpieczeństwa IT i usług,
• wykrywanie oszustw i nadużyć,
• dochodzenie roszczeń i obrona przed roszczeniami,
• prowadzenie wewnętrznych analiz incydentów.
7.6. Statystyka i rozwój:
• analiza działania Serwisu,
• poprawa UX i jakości usług,
• tworzenie zestawień zbiorczych (w miarę możliwości bez identyfikacji osób).
7.7. Marketing własnych usług:
• wysyłka informacji o usługach, promocjach, ofertach,
• personalizacja treści (jeżeli stosowana),
• remarketing (jeżeli stosowany),
przy czym działania marketingowe prowadzone są wyłącznie na właściwej podstawie prawnej (np. zgoda, gdy wymagana).
⸻
8. Podstawy prawne przetwarzania
8.1. Administrator przetwarza dane na podstawie:
• art. 6 ust. 1 lit. b RODO – wykonanie umowy lub działania przed jej zawarciem,
• art. 6 ust. 1 lit. c RODO – obowiązek prawny (np. księgowość),
• art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Administratora (bezpieczeństwo, obsługa klienta, rozwój, roszczenia),
• art. 6 ust. 1 lit. a RODO – zgoda (np. marketing elektroniczny, nieobowiązkowe cookies).
8.2. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed cofnięciem.
⸻
9. Odbiorcy danych i kategorie podmiotów
9.1. Dane mogą być przekazywane wyłącznie w zakresie niezbędnym do realizacji celów, w szczególności:
• wykonawcom/partnerom realizującym usługę (np. dane kontaktowe i adres realizacji, zakres zlecenia),
• operatorom płatności (obsługa transakcji i zwrotów),
• dostawcom IT (hosting, utrzymanie, narzędzia komunikacji, CRM),
• podmiotom księgowym i doradczym (w zakresie dokumentów),
• podwykonawcom wspierającym proces (np. call center) – jeżeli wykorzystywani,
• organom publicznym – gdy obowiązek wynika z prawa.
9.2. Administrator nie sprzedaje danych osobowych.
9.3. Administrator współpracuje wyłącznie z podmiotami, które zapewniają odpowiedni poziom bezpieczeństwa i – gdy to wymagane – zawiera umowy powierzenia przetwarzania danych.
⸻
10. Powierzenie przetwarzania danych (relacje z wykonawcami i podwykonawcami)
10.1. W zakresie, w jakim wykonawcy/partnerzy lub dostawcy usług przetwarzają dane w imieniu Administratora, działają oni jako podmioty przetwarzające.
10.2. Podmiot przetwarzający przetwarza dane wyłącznie:
• na udokumentowane polecenie Administratora,
• w zakresie niezbędnym do wykonania usługi lub umowy,
• zgodnie z RODO i obowiązującym prawem.
10.3. Podmiot przetwarzający zobowiązany jest do:
• zachowania poufności (w tym zapewnienia poufności osób upoważnionych),
• stosowania odpowiednich środków technicznych i organizacyjnych bezpieczeństwa,
• pomocy Administratorowi w realizacji praw osób i obowiązków z RODO (w zakresie możliwym),
• informowania Administratora, jeżeli jego zdaniem polecenia naruszają prawo,
• usunięcia lub zwrotu danych po zakończeniu świadczenia usług, chyba że prawo wymaga przechowywania.
10.4. Administrator może prowadzić audyty/kontrole zgodności u podmiotów przetwarzających w zakresie wymaganym przepisami i uzasadnionym ochroną danych.
10.5. Dalsze powierzenie (subprocesorzy):
• dopuszczalne jest wyłącznie w celu realizacji usługi,
• wymaga zapewnienia, że subprocesor spełnia analogiczne obowiązki i gwarancje,
• Administrator może wymagać informacji o zmianach w subprocesorach.
⸻
11. Przekazywanie danych poza UE/EOG
11.1. Co do zasady Administrator przechowuje i przetwarza dane w UE/EOG.
11.2. Jeżeli Administrator korzysta z dostawców, których infrastruktura może znajdować się poza UE/EOG, przekazanie danych następuje wyłącznie przy spełnieniu wymogów RODO, w szczególności na podstawie:
• decyzji stwierdzającej odpowiedni stopień ochrony lub
• standardowych klauzul umownych oraz (jeśli to konieczne) dodatkowych zabezpieczeń.
11.3. Administrator podejmuje działania organizacyjne i techniczne w celu ograniczenia ryzyka nieautoryzowanego transferu danych, w szczególności w kontekście używania narzędzi chmurowych.
⸻
12. Okres przechowywania danych
12.1. Dane związane z realizacją zamówienia przechowywane są:
• przez czas trwania umowy,
• następnie przez okres niezbędny do rozliczeń, reklamacji oraz do czasu upływu terminów przedawnienia roszczeń.
12.2. Dane konta użytkownika przechowywane są przez okres posiadania konta. Po usunięciu konta część danych może zostać zachowana, jeśli jest to konieczne do celów prawnych (np. dokumenty księgowe, rozliczenia).
12.3. Dane księgowe i podatkowe przechowywane są przez okres wymagany przepisami.
12.4. Dane przetwarzane na podstawie zgody przechowywane są do momentu cofnięcia zgody lub utraty aktualności celu.
12.5. Logi i dane techniczne przechowywane są przez okres uzasadniony bezpieczeństwem, wykrywaniem nadużyć i prawidłowym działaniem Serwisu.
⸻
13. Prawa osób, których dane dotyczą (RODO)
13.1. Osoba, której dane dotyczą, ma prawo:
• dostępu do danych i uzyskania ich kopii,
• sprostowania danych,
• usunięcia danych (w przypadkach przewidzianych prawem),
• ograniczenia przetwarzania,
• przenoszenia danych (w określonych przypadkach),
• wniesienia sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie,
• cofnięcia zgody w dowolnym momencie (jeśli przetwarzanie opiera się na zgodzie),
• wniesienia skargi do Prezesa UODO.
13.2. Sprzeciw wobec marketingu bezpośredniego jest skuteczny zawsze.
13.3. W celu realizacji praw należy skontaktować się z Administratorem (kontakt wskazany w Polityce). Administrator może poprosić o dodatkowe informacje wyłącznie w zakresie koniecznym do weryfikacji tożsamości i ochrony danych osób trzecich.
13.4. Administrator realizuje żądania zgodnie z terminami z RODO. W przypadkach skomplikowanych termin może zostać przedłużony, o czym osoba zostanie poinformowana.
13.5. Ochrona praw osób trzecich: Administrator może odmówić realizacji żądania lub ograniczyć zakres informacji, jeśli jest to konieczne dla ochrony praw i wolności innych osób (np. poufności, tajemnicy przedsiębiorstwa, danych osób trzecich).
⸻
14. Obowiązki informacyjne i komunikacja
14.1. Administrator przekazuje informacje wymagane przez RODO w momencie pozyskiwania danych oraz w innych sytuacjach przewidzianych prawem (np. pozyskanie danych nie bezpośrednio od osoby).
14.2. Administrator może przekazywać komunikację organizacyjną dotyczącą realizacji usług (potwierdzenia, zmiany, informacje techniczne). Taka komunikacja jest elementem realizacji umowy i nie jest marketingiem.
⸻
15. Profilowanie i decyzje zautomatyzowane
15.1. Administrator może stosować elementy profilowania w celu:
• poprawy działania Serwisu i doświadczenia użytkownika,
• dopasowania komunikacji i treści (jeżeli stosowane),
• bezpieczeństwa i wykrywania nadużyć.
15.2. Jeżeli w przyszłości Administrator stosowałby zautomatyzowane podejmowanie decyzji wywołujące skutki prawne lub istotnie wpływające na osobę, zapewni prawa przewidziane w RODO, w tym możliwość interwencji człowieka, chyba że zachodzi wyjątek przewidziany przepisami.
⸻
16. Pliki cookies i technologie podobne
16.1. Cookies to małe pliki zapisywane na urządzeniu użytkownika. Służą do:
• prawidłowego działania Serwisu,
• utrzymania sesji i bezpieczeństwa,
• zapamiętywania ustawień,
• analityki i statystyki,
• marketingu/remarketingu (jeżeli stosowane i zaakceptowane).
16.2. Administrator może stosować:
• cookies niezbędne,
• cookies funkcjonalne,
• cookies analityczne,
• cookies marketingowe – wyłącznie, jeśli użytkownik wyrazi zgodę (gdy wymagane).
16.3. Użytkownik może zarządzać cookies poprzez ustawienia przeglądarki. Ograniczenie cookies może wpłynąć na działanie części funkcji Serwisu.
⸻
17. Bezpieczeństwo danych (środki, ryzyko, ciągłość działania)
17.1. Administrator stosuje środki organizacyjne i techniczne adekwatne do ryzyka, w szczególności:
• szyfrowanie transmisji danych (np. SSL/TLS),
• kontrolę dostępu (uprawnienia, hasła, role),
• zasadę minimalnego dostępu,
• poufność personelu i upoważnienia,
• kopie zapasowe i procedury odtwarzania,
• monitoring i rejestrowanie zdarzeń (logi bezpieczeństwa),
• segmentację i zabezpieczenia infrastruktury,
• regularne przeglądy i aktualizacje.
17.2. Administrator przeprowadza analizy ryzyka dla czynności przetwarzania oraz – gdy wymagane – oceny skutków dla ochrony danych (DPIA). Wdrożone środki bezpieczeństwa są dostosowywane do wyników tych analiz.
17.3. Administrator stosuje podejście „privacy by design” i „privacy by default”, tzn. uwzględnia ochronę danych już na etapie projektowania nowych funkcji oraz ogranicza zakres danych domyślnie do niezbędnego minimum.
⸻
18. Naruszenia ochrony danych i incydenty
18.1. Administrator posiada procedury identyfikacji i oceny incydentów bezpieczeństwa oraz naruszeń ochrony danych.
18.2. W przypadku naruszenia ochrony danych Administrator:
• ocenia ryzyko dla praw i wolności osób,
• w razie obowiązku zgłasza naruszenie do organu nadzorczego w terminie 72 godzin od stwierdzenia naruszenia,
• jeżeli naruszenie może powodować wysokie ryzyko dla osób – informuje osoby, których dane dotyczą (zgodnie z przepisami).
⸻
19. System ochrony danych w organizacji Administratora (opis ogólny)
19.1. Administrator prowadzi i utrzymuje system ochrony danych, który obejmuje m.in.:
• inwentaryzację zasobów danych i sposobów ich wykorzystania,
• identyfikację przypadków: danych wrażliwych, danych dzieci, profilowania, danych niezidentyfikowanych, współadministrowania,
• Rejestr Czynności Przetwarzania Danych (RCPD) jako „mapę” procesów,
• zarządzanie podstawami prawnymi (zgody, umowa, obowiązki prawne, uzasadniony interes),
• obsługę praw osób i obowiązków informacyjnych,
• zarządzanie dostępami i upoważnieniami,
• zasady współpracy z podmiotami przetwarzającymi (umowy powierzenia),
• zasady eksportu danych,
• zarządzanie zmianą i projektowanie prywatności,
• szkolenia i podnoszenie świadomości personelu.
⸻
20. Role i odpowiedzialność (organizacyjnie)
20.1. Za wdrożenie i utrzymanie zasad ochrony danych odpowiada Zarząd Administratora lub osoba upoważniona (pełnomocnik).
20.2. Nadzór może wykonywać IOD (jeżeli powołany) oraz – jeśli funkcjonuje – audyt wewnętrzny.
20.3. Wszyscy członkowie personelu Administratora, którzy mają dostęp do danych, są zobowiązani do zachowania poufności i przetwarzania danych zgodnie z upoważnieniami oraz procedurami.
20.4. Administrator wymaga odpowiedniej zgodności również od kontrahentów, jeżeli dochodzi do przekazania im danych (w tym w ramach powierzenia przetwarzania).
⸻
21. Dane osób niepełnoletnich
21.1. Usługi Administratora nie są przeznaczone dla osób poniżej 16 roku życia.
21.2. Administrator nie zbiera świadomie danych dzieci. Jeżeli Administrator uzyska informację, że dane dziecka są przetwarzane bez właściwej podstawy, podejmie działania w celu usunięcia lub ograniczenia przetwarzania danych, jeżeli prawo nie wymaga inaczej.
⸻
22. Zmiany Polityki
22.1. Administrator może aktualizować Politykę, w szczególności w razie:
• zmian przepisów,
• wdrożenia nowych funkcji Serwisu,
• zmiany dostawców i procesów.
22.2. Aktualna wersja Polityki jest dostępna w Serwisie. W przypadku istotnych zmian Administrator może poinformować użytkowników dodatkowo (np. komunikatem w panelu, e-mailowo).
⸻
23. Kontakt
W sprawach związanych z ochroną danych osobowych oraz realizacją praw:
E-mail: info@cleanin.pl