POLITYKA PRZETWARZANIA DANYCH OSOBOWYCH
(POLITYKA PRYWATNOŚCI)
Niniejsza Polityka Przetwarzania Danych Osobowych (Polityka Prywatności) zawiera informacje dotyczące przetwarzania przez MAKRO Cash and Carry Polska S.A. danych osobowych osób odwiedzających lub korzystających z usług świadczonych przez MAKRO.
MAKRO przywiązuje szczególną uwagę do najwyższych standardów obsługi swoich Klientów, w tym ich bezpieczeństwa, poszanowania ich prywatności oraz ochrony danych osobowych, w związku z czym udostępnia niniejszą Politykę Prywatności, aby każdy użytkownik wiedział w jakim zakresie jej/jego dane osobowe są przetwarzane, w tym mógł samodzielnie, świadomie i swobodnie decydować o tym, czy skorzysta z usług MAKRO.
W ramach niniejszej Polityki Prywatności opisano w jaki sposób i w jakim zakresie zbierane są dane osobowe, do jakich celów są wykorzystywane, komu są udostępniane oraz jak chronione. Znajdują się tu również informacje o tym, jakie prawa przysługują osobom, których dane dotyczą, zgodnie z obowiązującymi przepisami o ochronie danych osobowych.
- DEFINICJE
1.1. Administrator – MAKRO Cash and Carry Polska S.A. z siedzibą w Warszawie, Al. Jerozolimskie 186, wpisana do Krajowego Rejestru Sądowego pod nr KRS 0000047354 przez Sąd Rejonowy dla m.st. Warszawy XIV Wydział Gospodarczy, NIP: 522-000-28-60, REGON: 012775559, BDO: 000008316, kapitał zakładowy 257 068 680,00 zł, kapitał wpłacony 257 068 680,00 zł, która oświadcza, że posiada status dużego przedsiębiorcy.
1.2. Współadministrator – podmiot, który wspólnie z Administratorem ustala cele i sposoby przetwarzania danych. W ramach niniejszej Polityki Współadministratorzy zostali wskazani w pkt. 5.16.10 oraz pkt. 13.4.
1.3. Dane osobowe – informacje o osobie fizycznej zidentyfikowanej lub możliwej do zidentyfikowania poprzez jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość, w tym wizerunek, nagranie głosu, dane kontaktowe, dane o lokalizacji, informacje zawarte w korespondencji, informacje gromadzone za pośrednictwem sprzętu rejestrującego lub innej podobnej technologii.
1.4. Polityka – niniejsza polityka przetwarzania danych osobowych.
1.5. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
1.6. Podmiot danych – osoba fizyczna, której dotyczą dane osobowe przetwarzane przez Administratora.
- PRZETWARZANIE DANYCH PRZEZ ADMINISTRATORA
2.1. W związku z prowadzoną działalnością gospodarczą Administrator zbiera i przetwarza Dane osobowe zgodnie z właściwymi przepisami prawa, w tym w szczególności z RODO, i przewidzianymi w nich zasadami przetwarzania danych.
2.2. Administrator zapewnia przejrzystość przetwarzania Danych osobowych, w szczególności zawsze informuje o przetwarzaniu danych w momencie ich zbierania, w tym o celu i podstawie prawnej przetwarzania (np. przy zawieraniu umowy sprzedaży towarów lub usług). Administrator dba o to, aby Dane osobowe były zbierane tylko w zakresie niezbędnym do realizacji wskazanego celu i przetwarzane tylko przez okres, w jakim jest to niezbędne.
2.3. Przetwarzając Dane osobowe, Administrator zapewnia ich bezpieczeństwo i poufność oraz dostęp do informacji o przetwarzaniu osobom, których dane dotyczą. Gdyby pomimo stosowanych środków bezpieczeństwa doszło do naruszenia ochrony Danych osobowych (np. „wycieku” danych lub ich utraty), Administrator poinformuje o takim zdarzeniu Podmioty danych w sposób zgodny z przepisami.
- KONTAKT Z ADMINISTRATOREM
3.1. Kontakt z Administratorem jest możliwy poprzez adres e-mail: ochrona.danych@makro.pl lub adres korespondencyjny wskazany w pkt 1.1 powyżej.
3.2. Administrator wyznaczył Inspektora Ochrony Danych, z którym można skontaktować się poprzez adres e-mail: ochrona.danych@makro.pl lub adres korespondencyjny wskazany w pkt 1.1 powyżej w każdej sprawie dotyczącej przetwarzania Danych osobowych przez Administratora.
- BEZPIECZEŃSTWO DANYCH OSOBOWYCH
4.1. W celu zapewnienia integralności i poufności danych Administrator wdrożył procedury umożliwiające dostęp do Danych osobowych jedynie osobom upoważnionym i wyłącznie w zakresie, w jakim jest to niezbędne ze względu na wykonywane przez nie zadania. Administrator stosuje rozwiązania organizacyjne i techniczne w celu zapewnienia, że wszystkie operacje na danych osobowych są rejestrowane i dokonywane tylko przez osoby uprawnione.
4.2. Administrator podejmuje ponadto wszelkie niezbędne działania, by także jego podwykonawcy i inne podmioty współpracujące dawały gwarancję stosowania odpowiednich środków bezpieczeństwa w każdym przypadku, gdy przetwarzają Dane osobowe na zlecenie Administratora.
4.3. Administrator prowadzi na bieżąco analizę ryzyka związanego z przetwarzaniem Danych osobowych i monitoruje adekwatność stosowanych zabezpieczeń danych do identyfikowanych zagrożeń. W razie konieczności Administrator wdraża dodatkowe środki i działania służące zwiększeniu bezpieczeństwa danych, w tym dostosowując te środki i działania, w miarę potrzeby, do zmian prawnych lub nowych technologii.
- CELE ORAZ PODSTAWY PRAWNE PRZETWARZANIA
KORESPONDENCJA E-MAILOWA I TRADYCYJNA
5.1. W przypadku kierowania do Administratora za pośrednictwem poczty e-mail lub tradycyjnej korespondencji niezwiązanej z usługami świadczonymi na rzecz nadawcy, inną zawartą z nim umową lub w inny sposób niepowiązanej z jakąkolwiek relacją z Administratorem, Dane osobowe zawarte w tej korespondencji są przetwarzane wyłącznie w celu komunikacji i rozwiązania sprawy, której dotyczy korespondencja.
5.2. Podstawą prawną przetwarzania jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO), polegający na prowadzeniu korespondencji kierowanej do niego w związku z jego działalnością gospodarczą.
5.3. Administrator przetwarza jedynie Dane osobowe istotne dla sprawy, której dotyczy korespondencja. Całość korespondencji jest przechowywana w sposób zapewniający bezpieczeństwo zawartych w niej Danych osobowych (oraz innych informacji) i ujawniana jedynie osobom upoważnionym.
KONTAKT TELEFONICZNY
5.4. W przypadku kontaktowania się z Administratorem drogą telefoniczną, w sprawach niezwiązanych z zawartą umową lub świadczonymi usługami, Administrator może żądać podania Danych osobowych tylko wówczas, gdy będzie to niezbędne do obsługi sprawy, której dotyczy kontakt. Podstawą prawną jest w takim wypadku prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO), polegający na konieczności rozwiązania zgłoszonej sprawy związanej z prowadzoną przez niego działalnością gospodarczą.
5.5. Rozmowy telefoniczne mogą być także nagrywane – w takim wypadku na początku rozmowy przekazywana jest osobie fizycznej stosowna informacja. Rozmowy są rejestrowane w celu monitorowania jakości świadczonej usługi oraz weryfikacji pracy konsultantów, a także w celach statystycznych. Nagrania są dostępne wyłącznie dla pracowników Administratora oraz osób obsługujących infolinię Administratora.
5.6. Dane osobowe w postaci nagrania rozmowy są przetwarzane:
5.6.1. w celach związanych z obsługą klientów i interesantów za pośrednictwem infolinii, jeśli Administrator udostępnia taką usługę – podstawą prawną przetwarzania jest niezbędność przetwarzania do świadczenia usługi (art. 6 ust. 1 lit. b RODO);
5.6.2. w celu monitorowania jakości obsługi i weryfikacji pracy konsultantów obsługujących infolinię, jak również w celach analitycznych i statystycznych – podstawą prawną przetwarzania jest uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO), polegający na dbaniu o jak najwyższą jakość obsługi na rzecz klientów i interesantów, a także najwyższą jakość pracy konsultantów oraz prowadzenie analiz statystycznych dotyczących komunikacji telefonicznej.
MONITORING WIZYJNY ORAZ KONTROLA WSTĘPU
5.7. W związku z koniecznością zapewnienia bezpieczeństwa osób i mienia Administrator stosuje monitoring wizyjny oraz kontroluje wstęp do lokali i na teren przez niego zarządzany. Zebrane w ten sposób dane nie są wykorzystywane do żadnych innych celów niż opisane poniżej.
5.8. Dane osobowe w postaci nagrań z monitoringu oraz dane zbierane w rejestrze wejść i wyjść są przetwarzane w celu zapewnienia bezpieczeństwa osób i mienia oraz utrzymania porządku na terenie obiektów Administratora oraz ewentualnie w celu obrony przed roszczeniami wysuwanymi wobec Administratora lub ustalenia i dochodzenia roszczeń przez Administratora. Podstawą prawną przetwarzania danych osobowych jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO), polegający na zapewnieniu bezpieczeństwa osób i mienia znajdujących się na terenie zarządzanym przez Administratora oraz ochrony jego praw.
5.9. Obszar objęty przez Administratora monitoringiem jest oznakowany za pomocą odpowiednich znaków graficznych.
5.10. Nagrania z monitoringu, o którym mowa powyżej przechowywane są przez okres trzech miesięcy od dnia nagrania, a następnie są niszczone. Jeżeli nagrania te stanowią dowód w postępowaniu prowadzonym na podstawie prawa lub Administrator powziął wiadomość, iż mogą one stanowić dowód w postępowaniu, termin przechowywania nagrań ulega przedłużeniu do czasu prawomocnego zakończenia postępowania.
REKRUTACJA
5.11. W ramach procesów rekrutacyjnych Administrator oczekuje przekazywania Danych osobowych (np. w CV lub życiorysie) jedynie w zakresie określonym w przepisach prawa pracy. W związku z tym nie należy przekazywać informacji w szerszym zakresie. W razie, gdy przesłane aplikacje będą zawierać dodatkowe dane, wykraczające poza zakres wskazany przepisami prawa pracy, ich przetwarzanie będzie oparte na zgodzie kandydata (art. 6 ust. 1 lit. a RODO), wyrażonej poprzez jednoznaczną czynność potwierdzającą, jaką jest przesłanie przez kandydata dokumentów aplikacyjnych. W przypadku, gdy przesłane aplikacje będą zawierać informacje nieadekwatne do celu, jakim jest rekrutacja, nie będą one wykorzystywane ani uwzględniane w procesie rekrutacyjnym.
5.12. Dane osobowe są przetwarzane:
5.12.1. w przypadku, gdy preferowaną formą zatrudnienia jest umowa o pracę – w celu wykonania obowiązków wynikających z przepisów prawa, związanych z procesem zatrudnienia, w tym przede wszystkim Kodeksu pracy – podstawą prawną przetwarzania jest obowiązek prawny ciążący na Administratorze (art. 6 ust. 1 lit. c RODO w związku z przepisami prawa pracy);
5.12.2. w przypadku, gdy preferowaną formą zatrudnienia jest umowa cywilnoprawna – w celu prowadzenia procesu rekrutacyjnego – podstawą prawną przetwarzania danych zawartych w dokumentach aplikacyjnych jest podjęcie działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (art. 6 ust. 1 lit. b RODO);
5.12.3. w celu przeprowadzenia procesu rekrutacji w zakresie danych niewymaganych przepisami prawa ani przez Administratora, a także dla celów przyszłych procesów rekrutacyjnych – podstawą prawną przetwarzania jest zgoda (art. 6 ust. 1 lit. a RODO);
5.12.4. w celu weryfikacji kwalifikacji i umiejętności kandydata lub kandydatki oraz ustalenia warunków współpracy – podstawą prawną przetwarzania danych jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO). Prawnie uzasadnionym interesem Administratora jest weryfikacja kandydatów do pracy oraz określenie warunków ewentualnej współpracy;
5.12.5. w celu ustalenia lub dochodzenia przez Administratora ewentualnych roszczeń lub obrony przed roszczeniami wysuwanymi wobec Administratora – podstawą prawną przetwarzania danych jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO).
5.13. W zakresie, w jakim Dane osobowe są przetwarzane na podstawie wyrażonej zgody, zgodę tą można wycofać w każdym czasie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem. W przypadku wyrażenia zgody dla celów przyszłych procesów rekrutacyjnych, dane osobowe usuwane są po upływie dwóch lat – o ile wcześniej zgoda nie została wycofana.
5.14. Podanie danych w zakresie określonym w art. 22(1) Kodeksu pracy jest wymagane – w przypadku preferowania przez kandydata zatrudnienia w oparciu o umowę o pracę – przez przepisy prawa, w tym przede wszystkim przez Kodeks pracy, zaś w przypadku preferowania zatrudnienia w oparciu o umowę cywilnoprawną – przez Administratora. Konsekwencją niepodania tych danych jest brak możliwości rozpatrzenia danej kandydatury w procesie rekrutacyjnym. Podanie innych danych jest dobrowolne.
ZBIERANIE DANYCH W ZWIĄZKU ZE ŚWIADCZENIEM USŁUG LUB WYKONYWANIEM INNYCH UMÓW
5.15. W razie zbierania danych dla celów związanych z wykonaniem konkretnej umowy, Administrator przekazuje Podmiotowi danych szczegółowe informacje dotyczące przetwarzania jego danych osobowych w momencie zawierania umowy lub w momencie pozyskania danych osobowych w przypadku, gdy przetwarzanie jest niezbędne w celu podjęcia przez Administratora działań na żądanie Podmiotu danych, przed zawarciem umowy.
5.16. Dane osobowe są przetwarzane:
5.16.1. w celu wykonania umowy, w szczególności realizacji sprzedaży, zamówień i dostawy, rozliczeń (w tym płatności bezgotówkowych), obsługi reklamacji oraz zgłoszeń a także do zawiadamiania Podmiotu danych w przypadku zaistnienia konieczności wycofania ze sprzedaży produktów niezgodnych z wymogami prawa Unii Europejskiej – podstawą prawną przetwarzania jest wykonanie umowy, której stroną jest Podmiot danych lub podjęcie działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (art. 6 ust. 1 lit. b RODO);
5.16.2. w celu wypełnienia obowiązku prawnego ciążącego na Administratorze, tj. przepisy prawa wymagają od Administratora przetwarzania danych dla celów podatkowych i rachunkowych, np. wystawianie faktur i przechowywanie ich przez określony czas – podstawą prawną przetwarzania jest art. 6 ust. 1 lit. c RODO;
5.16.3. w celu ustalenia lub dochodzenia przez Administratora ewentualnych roszczeń lub obrony przed roszczeniami wysuwanymi wobec Administratora – podstawą prawną przetwarzania danych jest prawnie uzasadniony interes Administratora, którym jest obsługa roszczeń z tytułu prowadzonej przez Administratora działalności (art. 6 ust. 1 lit. f RODO);
5.16.4. w celu analitycznym lub statystycznym do analiz finansowych i sprzedażowych – podstawą prawną przetwarzania danych jest prawnie uzasadniony interes Administratora, którym jest poprawa jakości usług oraz potrzeba wewnętrznego raportowania i wyznaczania optymalnych kierunków rozwoju Administratora (art. 6 ust. 1 lit. f RODO);
5.16.5. w celu marketingu bezpośredniego za pośrednictwem poczty tradycyjnej lub pracowników Administratora – podstawą prawną przetwarzania danych jest prawnie uzasadniony interes Administratora, którym jest potrzeba informowania o ofertach i usługach Administratora (art. 6 ust. 1 lit. f RODO);
5.16.6. w celu oceny wiarygodności kredytowej (scoring) w przypadku ubiegania się przez Podmiot danych o linię kredytową – podstawą prawną przetwarzania danych jest prawnie uzasadniony interes Administratora, którym jest ocena wiarygodności kredytowej (art. 6 ust. 1 lit. f RODO);
5.16.7. w celu analizy i kształtowania osobistych preferencji Podmiotu danych – podstawą prawną przetwarzania danych jest prawnie uzasadniony interes Administratora, którym jest dostosowanie usług, produktów i treści Administratora do potrzeb Podmiotu danych (art. 6 ust. 1 lit. f RODO);
5.16.8. w celu kierowania treści marketingowych za pośrednictwem poczty e-mail i/lub telefonu – podstawą prawną przetwarzania danych jest zgoda Podmiotu danych (art. 6 ust. 1 lit. a RODO);
5.16.9. w celu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu, tj. dane podstawowe (takie jak imię i nazwisko, data urodzenia – jeśli Administrator ją przetwarza), zostaną sprawdzone przez Administratora pod kątem unijnych list sankcji określonych w rozporządzeniach Rady UE. Administrator jest prawnie zobowiązany do zapewnienia, że nie przyzna żadnych korzyści finansowych odbiorcom wymienionym w odpowiednich rozporządzeniach Rady UE (art. 6 ust. 1 lit. c RODO);
5.16.10. w celu zaoferowania Podmiotom danych usług i narzędzi świadczonych przez Hospitality Digital GmbH z siedzibą w Dusseldorfie (RFN), Metrostrasse 1, 40235.
PRZETWARZANIE DANYCH OSOBOWYCH CZŁONKÓW PERSONELU KONTRAHENTÓW LUB KLIENTÓW WSPÓŁPRACUJĄCYCH Z ADMINISTRATOREM
5.17. W związku z zawieraniem umów handlowych w ramach prowadzonej działalności gospodarczej, Administrator pozyskuje od kontrahentów / klientów dane osób zaangażowanych w realizację takich umów (np. osób uprawnionych do kontaktu, składających zamówienia, wykonujących zlecenia, podwykonawców, itp.). Zakres przekazywanych danych jest w każdym wypadku ograniczony do stopnia niezbędnego dla wykonania umowy i zazwyczaj nie obejmuje innych informacji niż imię i nazwisko oraz służbowe dane kontaktowe.
5.18. Ponadto, w ramach elektronicznej rejestracji klientów, Administrator może pozyskać dane osób wskazanych przez reprezentanta firmy klienta (np. pracownik). Zakres przekazywanych danych jest w każdym wypadku ograniczony do stopnia niezbędnego dla dokonania rejestracji i zazwyczaj nie obejmuje innych informacji niż imię i nazwisko oraz służbowe dane kontaktowe.
5.19. Takie dane osobowe są przetwarzane w celu realizacji prawnie uzasadnionego interesu Administratora oraz jego kontrahenta (art. 6 ust. 1 lit. f RODO), polegającego na umożliwieniu prawidłowego i efektywnego wykonywania umowy/dokonania rejestracji. Takie dane mogą być ujawniane osobom trzecim zaangażowanym w realizację umowy, a także podmiotom uzyskującym dostęp do danych w oparciu o przepisy z zakresu jawności informacji publicznej oraz postępowań prowadzonych w oparciu o prawo zamówień publicznych, w zakresie przewidzianym przez te przepisy.
5.20. Dane przetwarzane są przez okres niezbędny do realizacji powyższych interesów oraz wykonania obowiązków wynikających z przepisów prawa.
5.21. Osoba, która udostępnia Administratorowi dane osobowe, zobowiązana jest do poinformowania osób, których dane udostępnia o fakcie przetwarzania ich danych osobowych zgodnie z niniejszym akapitem. Osoba, która udostępnia Administratorowi dane osobowe zapewnia, że wszystkie dane osobowe udostępnione przez nią Administratorowi zostały zgromadzone i udostępnione zgodnie z obowiązującymi przepisami prawa.
ZBIERANIE DANYCH W INNYCH PRZYPADKACH
5.22. W związku z prowadzoną działalnością Administrator zbiera Dane osobowe także w innych przypadkach – np. poprzez budowanie i wykorzystywanie trwałych, wzajemnych kontaktów biznesowych (networking) podczas spotkań biznesowych, na wydarzeniach branżowych czy też poprzez wymianę wizytówek – w celach związanych z inicjowaniem i utrzymywaniem kontaktów biznesowych. Podstawą prawną przetwarzania jest w tym wypadku prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO), polegający na tworzeniu sieci kontaktów w związku z prowadzoną działalnością.
5.23. Dane osobowe zebrane w takich przypadkach przetwarzane są wyłącznie w celu, dla jakiego zostały zebrane a Administrator zapewnia ich odpowiednią ochronę.
NEWSLETTER / KOMUNIKACJA MARKETINGOWA
5.24. Zaprenumerowanie elektronicznych i bezpłatnych czasopism należących do Administratora wymaga podania w odpowiednim formularzu numeru Karty Klienta MAKRO, imienia i nazwiska lub numeru NIP oraz adresu e-mail i/lub numeru telefonu. Uzyskane w ten sposób dane dodane zostaną do listy mailingowej w celu kierowania treści marketingowych.
5.25. Każdy użytkownik ma możliwość zapisania się do ww. elektronicznych i bezpłatnych czasopism oraz w dowolnym momencie może zrezygnować z chęci ich otrzymywania, bez podawania przyczyny.
BADANIE SATYSFAKCJI KLIENTÓW (NPS)
5.26. Dane osobowe mogą być przetwarzane w celu przeprowadzania ankiet badania satysfakcji klientów nt. jakości świadczonych przez Administratora usług, co pomaga udoskonalać i poprawiać poziom takich usług. Takie przetwarzanie obejmuje imię i nazwisko, nazwę firmy, stanowisko w firmie, płeć, język, adres e-mail, numer telefonu, numer telefonu komórkowego, adres pocztowy, numer karty i klienta (Podmiotu danych) MAKRO, segment i kategoryzację klientów i posiadaczy kart MAKRO, dane transakcji, numer dostawy, datę i godzinę transakcji, zakupione grupy produktów, odwiedzone hale oraz sumę faktur. Obejmuje to również udzielane przez Podmiot danych odpowiedzi w ankiecie, które mogą dodatkowo zostać wykorzystane do analizy procesu badania satysfakcji klientów poprzez zbadanie zależności pomiędzy udzielonymi odpowiedziami w danym okresie a zachowaniami zakupowymi oraz do sprawdzenia, czy informacje zwrotne z ankiet są prawidłowo wykorzystywane. Ponadto, Dane osobowe mogą być przetwarzane do celów administracyjnych i ewaluacyjnych, aby wspierać i ulepszać proces badania satysfakcji klientów.
W tym przypadku przetwarzanie Danych osobowych odbywa się na podstawie art. 6 par. 1 lit. f) RODO, tj. w prawnie uzasadnionym interesie Administratora leży badanie opinii klientów nt. jakości świadczonych przez Administratora usług oraz ich udoskonalanie i poprawa.
5.27. Odpowiadając na ankietę, Podmiot danych może wyrazić zgodę na kontakt telefoniczny w celu omówienia szczegółów odpowiedzi udzielonych w ankiecie oraz podzielenia się z Administratorem swoimi doświadczeniami.
W tym przypadku przetwarzanie Danych osobowych odbywa się na podstawie art. 6 par. 1 lit. a) RODO. Zgodę można wycofać ze skutkiem na przyszłość w dowolnym momencie; cofnięcie zgody nie wpłynie na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.
5.28. Dane osobowe mogą zostać udostępnione usługodawcy zewnętrznemu / podwykonawcy, który skontaktuje się z Podmiotem danych w celu przeprowadzenia ankiety i przeanalizuje uzyskane odpowiedzi / opinie w imieniu Administratora. Udostępnienie danych nastąpi tylko w takim zakresie, w jakim będzie to niezbędne do świadczenia tych usług.
Dane osobowe mogą też zostać ujawnione podmiotom powiązanym organizacyjnie z Administratorem, w tym spółkom z jego grupy kapitałowej.
Administrator korzysta również z usług podmiotów zewnętrznych prowadzących działalność poza terytorium Unii Europejskiej. Administrator zapewnia, że w takim przypadku przekazywanie danych odbywać się będzie w oparciu o stosowną umowę pomiędzy Administratorem a tym podmiotem, zawierającą standardowe klauzule ochrony danych przyjęte przez Komisję Europejską i zapewniającą przetwarzanie danych osobowych zgodnie z europejskimi uregulowaniami ochrony danych.
5.29. Przetwarzanie Danych osobowych jest ściśle ograniczone do użytku wewnętrznego i ma charakter poufny. Wyniki takiego badania w domenach publicznych mogą być publikowane wyłącznie w formie zanonimizowanej i zagregowanej. Udział Podmiotu danych w badaniu i odpowiedzi w ankiecie są dobrowolne. Podmiot danych nie jest zobowiązany do przekazania swoich Danych osobowych, nie jest to również konieczne do spełnienia wymogu ustawowego lub umownego, ani wymogu niezbędnego do zawarcia umowy. Brak udziału w badaniu satysfakcji klientów nie będzie miał dla Podmiotu danych żadnych negatywnych konsekwencji.
APLIKACJA MOBILNA
5.28. Aplikacja mobilna Administratora korzysta z oprogramowania SDK Proxi.cloud. Proxi.cloud Sp. z o.o. świadczy w ramach aplikacji mobilnej usługę dostarczania użytkownikowi treści reklamowych dostosowanych do jego preferencji i/lub lokalizacji. SDK Proxi.cloud, po uprzednim wyrażeniu zgody przez użytkownika aplikacji mobilnej na usługę lokalizacji, w sposób anonimowy zbiera dane o lokalizacji, dostępnych w halach Makro sieciach wi-fi oraz beaconach, umożliwiając świadczenie usługi i posługując się anonimowym numerem Google Advertisement ID lub IDFA (w przypadku systemu IOS). Dane takie ułatwiają Administratorowi lepsze poznanie zainteresowań i potrzeb użytkownika aplikacji mobilnej, w szczególności umożliwiają prezentowanie możliwie najbardziej dopasowanych treści reklamowych na urządzeniu mobilnym użytkownika. Zarówno Google Advertisement ID, jak i IDFA nie dają możliwości ustalenia personaliów użytkownika a użytkownik może całkowicie zablokować w ustawieniach swojego urządzenia mobilnego pobieranie numeru Google Advertisement ID lub IDFA przez aplikację mobilną. Dane będą przetwarzane przez Proxi.cloud Sp. z o.o. z siedzibą w Poznaniu (kod pocztowy: 60-529), ul. Dąbrowskiego 79a dla celów świadczenia usługi oraz dla celów statystycznych. Użytkownik w każdej chwili uprawniony jest do zażądania zaprzestania wykorzystywania przez SDK Proxi.cloud identyfikatorów Google Advertisement ID lub IDFA, poprzez kontakt z Administratorem lub poprzez formularz opt–out dostępny na stronie www.proxi.cloud/privacy.
SKLEP INTERNETOWY
5.29. Złożenie zamówienia na produkty będące w ofercie Administratora jest również możliwe za pośrednictwem sklepu internetowego. Wszystkie Dane osobowe, które Podmiot danych udostępnia w sklepie internetowym, będą wykorzystywane wyłącznie w celu zawarcia oraz wykonania umowy. Podstawą prawną tego przetwarzania jest art. 6 ust. 1 lit. f RODO. Udostępnienie Danych osobowych jest bowiem niezbędne w celu zawarcia oraz wykonania umowy i bez ich podania nie będzie możliwe zawarcie umowy, w tym złożenie zamówienia. Dane osobowe będą przechowywane jedynie do momentu zakończenia zawartej umowy, z wyłączeniem sytuacji dalszego przechowywania danych wymaganego przepisami prawa, np. w celu przedstawienia ich organom podatkowym. Podstawą prawną takiego przechowywania Danych osobowych i udostępniania ich organom publicznym w celu wywiązania się z obowiązków prawnych jest art. 6 ust. 1 lit. c RODO. Dane adresowe będą przekazane w imieniu Podmiotu danych do dostawców usług logistycznych w celu dostawy zamówionych towarów. Takie przetwarzanie jest konieczne do wykonania zawartej umowy a podstawą prawną jest art. 6 ust. 1 lit. b RODO. Dane osobowe będą przechowywane przez dostawców usług logistycznych wyłącznie do momentu dostarczenia zamówionych towarów, z wyłączeniem sytuacji, w której dostawcy usług logistycznych są prawnie zobowiązani do dalszego przechowywania danych, tj. w celu przedstawienia ich organom podatkowym. W przypadku zawarcia umowy i wyboru metody płatności kartą kredytową, dane karty kredytowej zostaną przekazane operatorowi kart kredytowych, który wydał kartę w celu realizacji płatności. Takie przetwarzanie jest konieczne do wykonania umowy a podstawą prawną jest art. 6 ust. 1 lit. b RODO. Dane osobowe będą przechowywane przez operatora kart kredytowych wyłącznie do momentu realizacji płatności, z wyłączeniem sytuacji, w której operator kart kredytowych jest prawnie zobowiązany do dalszego przechowywania danych, tj. w celu przedstawienia ich organom podatkowym. W przypadku zawarcia umowy i wyboru metody płatności przelewem bankowym, dane bankowe zostaną udostępnione bankowi w celu realizacji płatności. Takie przetwarzanie jest konieczne do wykonania umowy a podstawą prawną jest art. 6 ust. 1 lit. b RODO. Dane osobowe będą przechowywane przez bank wyłącznie do momentu realizacji płatności, z wyłączeniem sytuacji, w której bank jest prawnie zobowiązany do dalszego przechowywania danych, tj. w celu przedstawienia ich organom podatkowym.
5.30. Podmiot danych może utworzyć konto na stronie internetowej Administratora korzystając z podanego linku. Utworzenie takiego konta nie jest obowiązkowe do robienia zakupów w sklepie internetowym Administratora, ale jeśli Podmiot danych utworzy takie konto, nie będzie musiał podawać swoich danych za każdym razem, gdy dokonuje zakupu. Po wypełnieniu formularza i wpisaniu swoich Danych osobowych, Podmiot danych otrzyma nazwę użytkownika i hasło w wiadomości e-mail na udostępniony przez siebie adres mailowy. Aby zakończyć rejestrację, należy kliknąć w link „aktywuj konto” podany w tej wiadomości. Nazwa użytkownika i hasło umożliwia logowanie się na swoje konto i dalsze korzystanie z niego. Dane osobowe, które Podmiot danych wpisuje w formularzu rejestracyjnym, będą przetwarzane wyłącznie w celu utworzenia i prowadzenia konta i jedynie wtedy, gdy Podmiot danych wyraził zgodę na przetwarzanie swoich danych. Podstawą prawną przetwarzania tych danych jest art. 6 ust. 1 lit. a RODO. Udostępnienie Danych osobowych jest dobrowolne. Podmiot danych nie ma obowiązku podawać swoich Danych osobowych, ani też nie jest to konieczne do wywiązania się z ustawowego lub umownego wymogu lub wymogu niezbędnego do zawarcia umowy. Nieudostępnienie Danych osobowych nie niesie ze sobą żadnych niekorzystnych konsekwencji dla Podmiotu danych, poza tym, że Administrator nie będzie mógł utworzyć konta Klienta. Dane osobowe będą przechowywane wyłącznie do momentu dezaktywacji konta przez Podmiot danych. Konto można dezaktywować poprzez kliknięcie w link „dezaktywuj konto”, który znajduje się w menu głównym konta. Po dezaktywacji konta Dane osobowe będą niezwłocznie usunięte, a dalsze korzystanie z konta stanie się niemożliwe.
- ODBIORCY DANYCH
6.1. W związku z prowadzeniem działalności wymagającej przetwarzania, Dane osobowe są ujawniane zewnętrznym podmiotom, w tym w szczególności dostawcom odpowiedzialnym za obsługę systemów informatycznych i sprzętu (np. wyposażenia CCTV w zakresie monitoringu wizyjnego), agencjom marketingowym czy rekrutacyjnym, przewoźnikom, firmom kurierskim i pocztowym, drukarniom, bankom i instytucjom płatniczym, dostawcom usług consultingowych, prawnych, księgowych, windykacyjnych lub audytowych, podmiotom świadczącym usługi promocji sprzedaży, usługi badania rynku i opinii. Dane osobowe mogą też zostać ujawnione podmiotom powiązanym organizacyjnie z Administratorem, w tym spółkom z jego grupy kapitałowej.
6.2. Administrator zastrzega sobie prawo ujawnienia wybranych informacji dotyczących Podmiotu danych właściwym organom bądź osobom trzecim, które zgłoszą żądanie udzielenia takich informacji, opierając się na odpowiedniej podstawie prawnej oraz zgodnie z przepisami obowiązującego prawa.
6.3. W celu rozwiązania kwestii nielegalnego obrotu wyrobami tytoniowymi zgodnie z dyrektywą 2014/40/UE wszystkie opakowania jednostkowe wyrobów tytoniowych są opatrzone niepowtarzalnym identyfikatorem, aby umożliwić rejestrowanie ich ruchu. Dzięki temu wyroby te mogą być śledzone i identyfikowane na terenie całej Unii Europejskiej. W związku z powyższym, Administrator przekazuje dane dotyczące Podmiotów danych nabywających wyroby tytoniowe do repozytorium, o którym mowa w Rozporządzeniu Wykonawczym Komisji (UE) 2018/574 z dnia 15 grudnia 2017 r. w sprawie norm technicznych dotyczących ustanowienia i funkcjonowania systemu identyfikowalności wyrobów tytoniowych.
6.4. Zważywszy, że Administrator kupuje od swoich partnerów biznesowych („Dostawców”) produkty na podstawie zawartych z nimi umów handlowych oraz Strony dokonują uzgodnień na podstawie odrębnych porozumień w zakresie realizacji przez Strony współpracy handlowej, w tym monitorowania zapasów i sprzedaży produktów Dostawców oraz weryfikowania przez Dostawców realizacji przez MAKRO warunków porozumień dotyczących cen maksymalnych, rabatów odsprzedażowych lub innych akcji promocyjnych dotyczących produktów Dostawców, Administrator zastrzega sobie prawo ujawnienia informacji dotyczących Podmiotu danych (nazwa, adres, NIP) wybranym Dostawcom.
Administrator i wybrani Dostawcy odrębnie dokonali analizy stanu prawnego i faktycznego w celu wyboru podstawy prawnej przetwarzania danych osobowych, w wyniku której ustalono, iż przetwarzanie takie oparte jest na prawnie uzasadnionym interesie Stron, tj. art. 6 ust. 1 lit. f) RODO a wybór podstawy prawnej został dokonany na podstawie przeprowadzonych analiz: celu, niezbędności i równowagi.
Udostępnienie danych osobowych pomiędzy Stronami nastąpi za pośrednictwem połączenia szyfrowanego. Dostawcy zobowiązują się, że będą przestrzegać postanowień RODO i innych przepisów krajowych w zakresie ochrony danych osobowych, a w szczególności zobowiązują się stosować środki zabezpieczające dane adekwatne do rodzaju tych danych oraz ryzyka ich utraty, zniszczenia lub uszkodzenia lub dostępu przez osoby nieupoważnione.
Szczegółowe informacje dotyczące przetwarzania danych osobowych przez Dostawców są dostępne bezpośrednio u Dostawców, np.:
– w przypadku Dostawcy Philip Morris Polska pod adresem: https://www.pmiprivacy.com/pl/business-partner;
– w przypadku Dostawcy Carlsberg Polska pod adresem www.carlsbergpolska.pl.
Aktualna lista Dostawców, o których mowa w ramach niniejszego punktu, dostępna jest u Inspektora Ochrony Danych – patrz punkt 3.2.
- PRZEKAZYWANIE DANYCH POZA EOG
7.1. Poziom ochrony Danych osobowych poza Europejskim Obszarem Gospodarczym („EOG”) różni się od tego zapewnianego przez prawo europejskie. Z tego powodu Administrator przekazuje Dane osobowe poza EOG tylko wtedy, gdy jest to konieczne, i z zapewnieniem odpowiedniego stopnia ochrony, przede wszystkim poprzez:
7.1.1. współpracę z podmiotami przetwarzającymi Dane osobowe w państwach, w odniesieniu do których została wydana stosowna decyzja Komisji Europejskiej dotycząca stwierdzenia zapewnienia odpowiedniego stopnia ochrony Danych osobowych;
7.1.2. stosowanie standardowych klauzul umownych wydanych przez Komisję Europejską;
7.1.3. stosowanie wiążących reguł korporacyjnych zatwierdzonych przez właściwy organ nadzorczy.
7.2. Administrator zawsze informuje o zamiarze przekazania Danych osobowych poza EOG na etapie ich zbierania.
- OKRES PRZETWARZANIA DANYCH OSOBOWYCH
8.1. Okres przetwarzania danych przez Administratora zależy od rodzaju świadczonej usługi i celu przetwarzania. Okres przetwarzania danych może także wynikać z przepisów (np. podatkowych czy rachunkowych), gdy stanowią one podstawę przetwarzania. W przypadku przetwarzania danych na podstawie prawnie uzasadnionego interesu Administratora (np. ze względów bezpieczeństwa), dane przetwarzane są przez okres umożliwiający realizację tego interesu lub do zgłoszenia skutecznego sprzeciwu względem przetwarzania danych. Jeśli przetwarzanie odbywa się na podstawie zgody, dane przetwarzane są do czasu jej wycofania. Gdy podstawę przetwarzania stanowi niezbędność do zawarcia i wykonania umowy, dane są przetwarzane do momentu jej rozwiązania.
8.2. Okres przetwarzania danych może zostać przedłużony w przypadku, gdy przetwarzanie jest niezbędne do ustalenia lub dochodzenia roszczeń lub obrony przed roszczeniami, a po tym okresie – jedynie w przypadku i w zakresie, w jakim będą wymagać tego przepisy prawa.
- OBOWIĄZEK PODANIA DANYCH OSOBOWYCH
9.1. Korzystanie z usług Administratora oraz podanie Danych osobowych jest dobrowolne, ale niezbędne do m. in. zawarcia umowy (w szczególności realizacji sprzedaży, zamówień i dostawy), obsługi reklamacji oraz zgłoszeń kierowanych do Administratora przez Podmiot danych.
9.2. Konsekwencją niepodania Danych osobowych jest brak możliwości świadczenia przez Administratora ww. usług, w tym wydania Karty Klienta MAKRO. Niepodanie wymaganych danych zablokuje czynność, której te dane dotyczyły, jeśli niepodane dane są wymagane do jej poprawnego wykonania.
9.3. Podanie Danych osobowych w celach marketingowych jest dobrowolne.
- PASYWNE ZBIERANIE INFORMACJI
10.1. Podczas poruszania się po stronach internetowych Administratora pewne anonimowe informacje mogą zostać zebrane w sposób pasywny (to znaczy bez ich aktywnego przekazania przez użytkownika), przy zastosowaniu różnych technologii, takich jak pliki Cookies, znaczniki internetowe czy pliki „Web beacon” oraz przez zbieranie danych nawigacyjnych (za pomocą plików rejestrów, rejestrów serwera czy mechanizmu „clickstream”). Przeglądarka internetowa automatycznie przekazuje do tej strony pewne anonimowe informacje, takie jak adres URL strony, z której użytkownik korzystał bezpośrednio wcześniej, adres IP oraz wersję przeglądarki internetowej zainstalowanej na komputerze użytkownika. Strony te mogą także pobierać anonimowe informacje z komputera użytkownika za pomocą plików Cookies, znaczników internetowych lub plików „Web beacon”. Istnieje możliwość ustawienia w przeglądarce, aby informowała ona, kiedy wysyłany jest plik Cookie lub aby odrzucała ona wszystkie pliki Cookies, jednak bez włączonej opcji obsługi plików Cookies pewne funkcje tej strony mogą nie działać lub działać w sposób nieprawidłowy.
10.2. Zebrane w pasywny sposób anonimowe informacje Administrator będzie wykorzystywać w celu zapewnienia odwiedzającym stronę internetową lepszej obsługi, dostosowania strony do ich preferencji, kompilowania i analizowania danych statystycznych i trendów, administrowania stroną i jej doskonalenia oraz oferowania promocji i ofert dostosowanych do potrzeb użytkownika. Takie informacje nie są łączone z Danymi osobowymi zebranymi w inny sposób na stronie, o ile użytkownik nie wyrazi na to zgody.
- LOGI SYSTEMOWE / DANE TECHNICZNE
11.1. Do celów statystycznych Administrator zbiera informacje o wykorzystywaniu stron internetowych przez użytkowników posługując się logami systemowymi serwerów Administratora. Zbierane są m. in. następujące informacje: data połączenia, adres IP, URL odwiedzanej strony, rodzaj systemu operacyjnego, rodzaj przeglądarki.
- CIASTECZKA (ANG. COOKIES) I FUNKCJA ŚLEDZENIA
12.1. Aby jeszcze bardziej uatrakcyjnić Podmiotowi danych odwiedziny na stronach internetowych Administratora oraz aby umożliwić mu korzystanie z pewnych funkcji, na różnych stronach Administrator używa tak zwanych „ciasteczek”. Są to niewielkie pliki tekstowe przechowywane na urządzeniu końcowym Podmiotu danych. Niektóre z nich są usuwane po zakończeniu sesji przeglądania przez Podmiot danych, tj. po zamknięciu przeglądarki (tak zwane „ciasteczka sesyjne”). Inne pozostają na urządzeniu końcowym i umożliwiają Administratorowi lub jego firmom partnerskim rozpoznawanie przeglądarki Podmiotu danych przy następnej wizycie („ciasteczka trwałe”). Podmiot danych może ustawić swoją przeglądarkę w taki sposób, aby być informowanym oddzielnie o ustawieniach ciasteczek i decydować indywidualnie o ich akceptacji bądź wykluczeniu ciasteczek w określonych przypadkach lub ogólnie. Aby uzyskać więcej informacji na ten temat, należy skorzystać z opcji pomocy w swojej przeglądarce internetowej. W przypadku braku akceptacji ciasteczek funkcjonalność danej strony internetowej może być ograniczona. Szczególne rodzaje ciasteczek są opisane poniżej.
12.2. Administrator rozróżnia cztery rodzaje Cookies (ciasteczek):
- a) Bezwględnie konieczne pliki cookies – są wymagane dla poprawnego działania strony internetowej Administratora. Odrzucenie takich ciasteczek zmieni doświadczenie użytkownika (ang. user experience) podczas przeglądania strony internetowej i z tego powodu działanie stron lub niektórych usług tych stron nie będzie dostępne.
- b) Funkcjonalne pliki cookies – umożliwiają przechowywanie informacji już podanych przez użytkownika (takich jak zarejestrowana nazwa lub wybór języka) oraz zapewnienie użytkownikowi większej wygody dzięki ulepszonym i bardziej spersonalizowanym ustawieniom. Pliki te gromadzą i przechowują informacje o użytkowniku tylko w taki sposób, aby nie można było śledzić jego zachowania na innych stronach internetowych.
- c) Wydajnościowe pliki cookies – zbierają informacje na temat interakcji użytkowników ze stroną internetową Administratora, tj. gromadzą informacje o sposobie użytkowania strony, czasu spędzonego na stronie oraz dokonanych na niej czynnościach (w tym na wielu urządzeniach). Gromadzone informacje są zazwyczaj przetwarzane w formie zagregowanej. Pliki te są wykorzystywane wyłącznie w celu poprawy wydajności stron internetowych i dostosowania ich do potrzeb użytkowników.
- d) Reklamowe pliki cookies – gromadzą informacje o zachowaniach użytkowników podczas przeglądania stron internetowych w celu wyświetlania reklam, które mogą być dla nich interesujące. Administrator rejestruje na przykład, kiedy użytkownik po raz ostatni odwiedził stronę internetową oraz jakie działania podejmował na tej stronie. Informacje te są wykorzystywane do tworzenia profilu zainteresowań, który umożliwia Administratorowi umieszczanie w innych witrynach internetowych reklam, które są odpowiednie dla użytkownika.
12.3. Szczegółowe informacje na temat plików Cookies opisane są w zakładce „Cookies” dostępnej na stronie www.makro.pl.
- KANAŁY MEDIÓW SPOŁECZNOŚCIOWYCH
13.1. Strony internetowe Administratora korzystają z wtyczek społecznościowych (ang. social plugins) dostępnych dla niżej wymienionych sieci społecznościowych (zwanych dalej „sieciami społecznościowymi”): Facebook, YouTube, LinkedIn, Instagram.
13.2. Aby zapewnić najbardziej kompleksową ochronę danych Podmiotu danych, Administrator stosuje rozwiązania techniczne, które gwarantują, że udostępnianie danych za pomocą wtyczek społecznościowych odpowiedniemu dostawcy usług sieci społecznościowej nie nastąpi bez uprzedniej aktywacji wtyczki społecznościowej przez Podmiot danych. Takie wtyczki są początkowo nieaktywne i nie nawiązują połączenia z serwerami Facebooka ani innymi operatorami sieci społecznościowych bez ich aktywacji. Aktywacja takiej wtyczki jest równoznaczna z wyrażeniem zgody na przekazanie Danych osobowych określonych w niniejszym ustępie sieciom społecznościowym. W takim przypadku podstawą prawną przetwarzania tych danych jest art. 6 ust. 1 lit. a) RODO. Po aktywacji wtyczki społecznościowej nawiązane zostaje połączenie z odpowiednią siecią społecznościową. Następnie klikając na kolejną opcję można wysłać rekomendację do odpowiedniej sieci społecznościowej. Jeśli Podmiot danych jest zalogowany do takiej sieci w czasie, gdy odwiedza strony internetowe Administratora, nie będzie musiał ponownie się logować. W dowolnym momencie można anulować swoją zgodę. W przypadku aktywacji wtyczek społecznościowych, które są domyślnie nieaktywne, nawiązane zostaje połączenie z serwerami sieci społecznościowych. Następnie każda wtyczka społecznościowa przekazuje dane do odpowiedniej sieci. Administrator nie ma żadnego wpływu na ilość danych, które są gromadzone przez sieci społecznościowe za pomocą takiej wtyczki.
13.3. Jeśli Podmiot danych jest już zalogowany w sieci społecznościowej w trakcie odwiedzania stron Administratora, operator takiej sieci społecznościowej może przypisać taką wizytę do jego osobistego konta, gdy tylko aktywuje on wtyczki społecznościowe. Przy korzystaniu z funkcji wtyczek społecznościowych (np. opcji polubienia – „Like”), informacje na ten temat są przekazywane bezpośrednio z przeglądarki Podmiotu danych do odpowiedniej sieci społecznościowej i tam przechowywane. To samo dotyczy wywoływania strony internetowej operatora mediów społecznościowych poprzez kliknięcie w odpowiednią ikonę.
13.4. Jeśli Podmiot danych nie jest członkiem sieci społecznościowych, mogą one nadal otrzymywać i przechowywać jego adres IP oraz informacje na temat przeglądarki i systemu operacyjnego używanego przez niego po aktywowaniu wtyczek społecznościowych. W zakresie i w celu zbierania danych, ich przetwarzania i korzystania z nich przez sieci społecznościowe, jak również aby uzyskać informacje o prawach dotyczących ochrony prywatności, należy zapoznać się z informacją o ochronie danych danej sieci społecznościowej:
Facebook: https://www.facebook.com/policy.php
YouTube: https://www.youtube.com/intl/en-GB/about/policies/#community-guidelines LinkedIn: https://www.linkedin.com/legal/privacy-policy?trk=hb_ft_priv
Instagram: https://help.instagram.com/402411646841720
13.5. Strony internetowe Administratora zawierają również proste linki do stron takich jak np. Facebook. W tym przypadku udostępnianie danych powyższym operatorom mediów społecznościowych może nastąpić wtedy, gdy użytkownik kliknie na odpowiednią ikonę (np. „f” to Facebook). W przypadku kliknięcia ikony otwiera się wybrana strona operatora strony społecznościowej w wyskakującym okienku. Można na niej publikować informacje na temat produktów Administratora zgodnie z regulacjami konkretnego operatora takiej strony społecznościowej.
13.6. Śledzenie sieciowe może odbywać się niezależnie od tego, czy użytkownik jest zalogowany lub zarejestrowany na platformie mediów społecznościowych. Administrator nie ma wpływu na metody śledzenia stron internetowych platformy mediów społecznościowych, a w szczególności nie może ich wyłączyć. Administrator otrzymuje jedynie anonimowe statystyki i nie ma dostępu do danych osobowych, które są przetwarzane przez dostawcę platformy. Przetwarzanie i wykorzystywanie danych wynika z prawnie uzasadnionego interesu Administratora polegającego na optymalizacji kanału social media (art. 6 ust. 1 lit. f) RODO). Możliwości skorzystania z praw do zatrzymania tych metod śledzenia w sieci można znaleźć w wyżej wymienionych oświadczeniach dostawców platform o ochronie danych.
13.7. W przypadku, o którym mowa w niniejszym pkt. 13, Administrator jest częściowo odpowiedzialny za przetwarzanie danych a częściowo dostawca platformy danego kanału mediów społecznościowych. W przypadku indywidualnego przetwarzania danych (np. Facebook Insights) odpowiedni dostawca platformy oraz Administrator stają się współadministratorami (zgodnie z art. 26 RODO).
- ZAUTOMATYZOWANE PRZETWARZANIE DANYCH OSOBOWYCH, PROFILOWANIE
14.1. Dane osobowe mogą być przetwarzane dla potrzeb analizy i kształtowania preferencji osób, których dane dotyczą. Takie przetwarzanie może obejmować m. in. badania rynku, badania opinii, analizę, segmentację i profilowanie. Takie przetwarzanie danych ułatwia Administratorowi lepsze poznanie zainteresowań i potrzeb Podmiotu danych oraz umożliwia uwzględnianie tych potrzeb i podejmowanie odpowiednich działań, np. komunikowanie się z Podmiotem danych w sposób zindywidualizowany.
14.2. Co do zasady, Dane osobowe nie będą przetwarzane w sposób zautomatyzowany, tj. bez ingerencji człowieka.
14.3. Dane osobowe mogą być przetwarzane w sposób zautomatyzowany w celu oceny zdolności i wiarygodności kredytowej na potrzeby zawarcia i wykonywania umowy dot. odroczonego terminu płatności – jeśli Podmiot danych wystąpi z takim wnioskiem. Administrator korzysta wówczas z oceny wykonanej przez rejestry kredytowe oraz z informacji gospodarczych i informacji o wiarygodności płatniczej z biur informacji gospodarczych. Konsekwencją oceny jest automatyczna zgoda na zawarcie umowy albo odmowa jej zawarcia lub konieczność podjęcia przez Administratora decyzji indywidualnej.
- UPRAWNIENIA ZWIĄZANE Z PRZETWARZANIEM DANYCH OSOBOWYCH PRAWA PODMIOTÓW DANYCH
15.1. Podmiotom danych przysługują następujące prawa:
15.1.1. prawo do informacji o przetwarzaniu danych osobowych – na tej podstawie Administrator przekazuje osobie fizycznej zgłaszającej żądanie informację o przetwarzaniu danych, w tym przede wszystkim o celach i podstawach prawnych przetwarzania, zakresie posiadanych danych, podmiotach, którym są ujawniane, i planowanym terminie usunięcia danych;
15.1.2. prawo uzyskania kopii danych – na tej podstawie Administrator przekazuje kopię przetwarzanych danych dotyczących osoby fizycznej zgłaszającej żądanie;
15.1.3. prawo do sprostowania – Administrator zobowiązany jest usuwać ewentualne niezgodności lub błędy przetwarzanych Danych osobowych oraz uzupełniać je, jeśli są niekompletne;
15.1.4. prawo do usunięcia danych – na tej podstawie można żądać usunięcia danych, których przetwarzanie nie jest już niezbędne do realizowania żadnego z celów, dla których zostały zebrane;
15.1.5. prawo do ograniczenia przetwarzania – w razie zgłoszenia takiego żądania Administrator zaprzestaje wykonywania operacji na Danych osobowych – z wyjątkiem operacji, na które wyraziła zgodę osoba, której dane dotyczą – oraz ich przechowywania, zgodnie z przyjętymi zasadami retencji lub dopóki nie ustaną przyczyny ograniczenia przetwarzania danych (np. zostanie wydana decyzja organu nadzorczego zezwalająca na dalsze przetwarzanie danych);
15.1.6. prawo do przenoszenia danych – na tej podstawie – w zakresie, w jakim dane są przetwarzane w sposób zautomatyzowany w związku z zawartą umową lub wyrażoną zgodą – Administrator wydaje dane dostarczone przez osobę, której one dotyczą, w formacie pozwalającym na odczyt danych przez komputer. Możliwe jest także zażądanie przesłania tych danych innemu podmiotowi, jednakże pod warunkiem, że istnieją w tym zakresie techniczne możliwości zarówno po stronie Administratora, jak również wskazanego podmiotu;
15.1.7. prawo sprzeciwu wobec przetwarzania danych w celach marketingowych – Podmiot danych może w każdym momencie sprzeciwić się przetwarzaniu Danych osobowych w celach marketingowych, bez konieczności uzasadnienia takiego sprzeciwu;
15.1.8. prawo sprzeciwu wobec innych celów przetwarzania danych – Podmiot danych może w każdym momencie sprzeciwić się – z przyczyn związanych z jego szczególną sytuacją – przetwarzaniu Danych osobowych, które odbywa się na podstawie prawnie uzasadnionego interesu Administratora (np. dla celów analitycznych lub statystycznych albo ze względów związanych z ochroną mienia); sprzeciw w tym zakresie powinien zawierać uzasadnienie;
15.1.9. prawo wycofania zgody – jeśli dane przetwarzane są na podstawie wyrażonej zgody, Podmiot danych ma prawo wycofać ją w dowolnym momencie zawiadamiając o tym Administratora (np. pod adresem email: ochrona.danych@makro.pl, osobiście w hali MAKRO lub na stronie www.zgody.makro.pl), co jednak nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem; nieudzielenie lub cofnięcie zgody nie wywiera dla Podmiotu danych żadnych niekorzystnych konsekwencji;
15.1.10. prawo do skargi – w przypadku uznania, że przetwarzanie Danych osobowych narusza przepisy RODO lub inne przepisy dotyczące ochrony Danych osobowych, Podmiot danych może złożyć skargę do organu nadzorującego przetwarzanie Danych osobowych, właściwego ze względu na miejsce zwykłego pobytu Podmiotu danych, jego miejsce pracy lub miejsce popełnienia domniemanego naruszenia. W Polsce organem nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych.
ZGŁASZANIE ŻĄDAŃ ZWIĄZANYCH Z REALIZACJĄ PRAW
15.2. Żądanie dotyczące realizacji praw Podmiotów danych można zgłosić: 15.2.1. w formie pisemnej na adres korespondencyjny wskazany w pkt 1.1 powyżej; 15.2.2. drogą elektroniczną na adres e-mail: ochrona.danych@makro.pl.
15.3. Jeżeli Administrator nie będzie w stanie zidentyfikować osoby fizycznej na podstawie zgłoszonego żądania, zwróci się do wnioskodawcy o dodatkowe informacje. Podanie takich danych nie jest obowiązkowe, jednak brak ich podania będzie skutkować odmową realizacji żądania.
15.4. Odpowiedź na zgłoszenie powinna zostać udzielona w ciągu miesiąca od jego otrzymania. W razie konieczności przedłużenia tego terminu Administrator informuje wnioskodawcę o przyczynach tego działania.
15.5. W przypadku, w którym żądanie zostało skierowane do Administratora elektronicznie, odpowiedzi udziela się w tej samej formie, chyba że wnioskodawca zażądał udzielenia odpowiedzi w innej formie. W innych przypadkach odpowiedzi udziela się pisemnie. W przypadku, gdy termin realizacji żądania uniemożliwia udzielenie odpowiedzi drogą pisemną, a zakres danych wnioskodawcy przetwarzanych przez Administratora umożliwia kontakt drogą elektroniczną, Administrator udzieli odpowiedzi drogą elektroniczną.
ZASADY POBIERANIA OPŁAT
15.6. Postępowanie w sprawie składanych wniosków jest nieodpłatne. Opłaty mogą zostać pobrane jedynie w przypadku:
15.6.1. zgłoszenia żądania wydania drugiej i każdej kolejnej kopii danych (pierwsza kopia danych jest bezpłatna); w takim wypadku Administrator może zażądać uiszczenia rozsądnej opłaty; opłata taka zawiera koszty administracyjne związane z realizacją żądania;
15.6.2. zgłaszania przez tę samą osobę żądań nadmiernych (np. niezwykle częstych) lub ewidentnie nieuzasadnionych; w takim wypadku Administrator może zażądać uiszczenia rozsądnej opłaty; opłata taka zawiera koszty prowadzenia komunikacji oraz koszty związane z podjęciem żądanych działań;
- ZMIANY POLITYKI PRZETWARZANIA DANYCH OSOBOWYCH 16.1. Polityka jest na bieżąco weryfikowana i w razie potrzeby aktualizowana. 16.2. Aktualna wersja Polityki została przyjęta 28 października 2022 r.