POLITYKA PRZETWARZANIA DANYCH OSOBOWYCH
(POLITYKA PRYWATNOŚCI)

Niniejsza Polityka Przetwarzania Danych Osobowych (Polityka Prywatności) zawiera informacje  dotyczące przetwarzania przez MAKRO Cash and Carry Polska S.A. danych osobowych osób  odwiedzających lub korzystających z usług świadczonych przez MAKRO.

MAKRO przywiązuje szczególną uwagę do najwyższych standardów obsługi swoich Klientów, w tym  ich bezpieczeństwa, poszanowania ich prywatności oraz ochrony danych osobowych, w związku z czym  udostępnia niniejszą Politykę Prywatności, aby każdy użytkownik wiedział w jakim zakresie jej/jego dane  osobowe są przetwarzane, w tym mógł samodzielnie, świadomie i swobodnie decydować o tym, czy  skorzysta z usług MAKRO.

W ramach niniejszej Polityki Prywatności opisano w jaki sposób i w jakim zakresie zbierane są dane  osobowe, do jakich celów są wykorzystywane, komu są udostępniane oraz jak chronione. Znajdują się  tu również informacje o tym, jakie prawa przysługują osobom, których dane dotyczą, zgodnie z  obowiązującymi przepisami o ochronie danych osobowych.

  1. DEFINICJE

1.1. Administrator – MAKRO Cash and Carry Polska S.A. z siedzibą w Warszawie, Al.  Jerozolimskie 186, wpisana do Krajowego Rejestru Sądowego pod nr KRS 0000047354 przez  Sąd Rejonowy dla m.st. Warszawy XIV Wydział Gospodarczy, NIP: 522-000-28-60,  REGON: 012775559, BDO: 000008316, kapitał zakładowy 257 068 680,00 zł, kapitał  wpłacony 257 068 680,00 zł, która oświadcza, że posiada status dużego przedsiębiorcy.

1.2. Współadministrator – podmiot, który wspólnie z Administratorem ustala cele i sposoby  przetwarzania danych. W ramach niniejszej Polityki Współadministratorzy zostali wskazani  w pkt. 5.16.10 oraz pkt. 13.4.

1.3. Dane osobowe – informacje o osobie fizycznej zidentyfikowanej lub możliwej  do zidentyfikowania poprzez jeden bądź kilka szczególnych czynników określających  fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną  tożsamość, w tym wizerunek, nagranie głosu, dane kontaktowe, dane o lokalizacji,  informacje zawarte w korespondencji, informacje gromadzone za pośrednictwem sprzętu  rejestrującego lub innej podobnej technologii.

1.4. Polityka – niniejsza polityka przetwarzania danych osobowych.

1.5. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27  kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych  osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy  95/46/WE.

1.6. Podmiot danych – osoba fizyczna, której dotyczą dane osobowe przetwarzane przez  Administratora.

  1. PRZETWARZANIE DANYCH PRZEZ ADMINISTRATORA

2.1. W związku z prowadzoną działalnością gospodarczą Administrator zbiera i przetwarza Dane  osobowe zgodnie z właściwymi przepisami prawa, w tym w szczególności z RODO,  i przewidzianymi w nich zasadami przetwarzania danych.

2.2. Administrator zapewnia przejrzystość przetwarzania Danych osobowych, w szczególności  zawsze informuje o przetwarzaniu danych w momencie ich zbierania, w tym o celu i  podstawie prawnej przetwarzania (np. przy zawieraniu umowy sprzedaży towarów lub  usług). Administrator dba o to, aby Dane osobowe były zbierane tylko w zakresie  niezbędnym do realizacji wskazanego celu i przetwarzane tylko przez okres, w jakim jest to  niezbędne.

2.3. Przetwarzając Dane osobowe, Administrator zapewnia ich bezpieczeństwo i poufność  oraz dostęp do informacji o przetwarzaniu osobom, których dane dotyczą. Gdyby pomimo  stosowanych środków bezpieczeństwa doszło do naruszenia ochrony Danych osobowych  (np. „wycieku” danych lub ich utraty), Administrator poinformuje o takim zdarzeniu Podmioty  danych w sposób zgodny z przepisami.

  1. KONTAKT Z ADMINISTRATOREM

3.1. Kontakt z Administratorem jest możliwy poprzez adres e-mail: ochrona.danych@makro.pl lub adres korespondencyjny wskazany w pkt 1.1 powyżej.

3.2. Administrator wyznaczył Inspektora Ochrony Danych, z którym można skontaktować  się poprzez adres e-mail: ochrona.danych@makro.pl lub adres korespondencyjny  wskazany w pkt 1.1 powyżej w każdej sprawie dotyczącej przetwarzania Danych osobowych  przez Administratora.

  1. BEZPIECZEŃSTWO DANYCH OSOBOWYCH

4.1. W celu zapewnienia integralności i poufności danych Administrator wdrożył procedury  umożliwiające dostęp do Danych osobowych jedynie osobom upoważnionym i wyłącznie  w zakresie, w jakim jest to niezbędne ze względu na wykonywane przez nie zadania.  Administrator stosuje rozwiązania organizacyjne i techniczne w celu zapewnienia,  że wszystkie operacje na danych osobowych są rejestrowane i dokonywane tylko przez  osoby uprawnione.

4.2. Administrator podejmuje ponadto wszelkie niezbędne działania, by także jego  podwykonawcy i inne podmioty współpracujące dawały gwarancję stosowania odpowiednich  środków bezpieczeństwa w każdym przypadku, gdy przetwarzają Dane osobowe na  zlecenie Administratora.

4.3. Administrator prowadzi na bieżąco analizę ryzyka związanego z przetwarzaniem Danych  osobowych i monitoruje adekwatność stosowanych zabezpieczeń danych  do identyfikowanych zagrożeń. W razie konieczności Administrator wdraża dodatkowe  środki i działania służące zwiększeniu bezpieczeństwa danych, w tym dostosowując te  środki i działania, w miarę potrzeby, do zmian prawnych lub nowych technologii.

  1. CELE ORAZ PODSTAWY PRAWNE PRZETWARZANIA

KORESPONDENCJA E-MAILOWA I TRADYCYJNA

5.1. W przypadku kierowania do Administratora za pośrednictwem poczty e-mail lub tradycyjnej  korespondencji niezwiązanej z usługami świadczonymi na rzecz nadawcy, inną zawartą  z nim umową lub w inny sposób niepowiązanej z jakąkolwiek relacją z Administratorem,  Dane osobowe zawarte w tej korespondencji są przetwarzane wyłącznie w celu komunikacji  i rozwiązania sprawy, której dotyczy korespondencja.

5.2. Podstawą prawną przetwarzania jest prawnie uzasadniony interes Administratora (art. 6  ust. 1 lit. f RODO), polegający na prowadzeniu korespondencji kierowanej do niego w  związku z jego działalnością gospodarczą.

5.3. Administrator przetwarza jedynie Dane osobowe istotne dla sprawy, której dotyczy  korespondencja. Całość korespondencji jest przechowywana w sposób zapewniający  bezpieczeństwo zawartych w niej Danych osobowych (oraz innych informacji) i ujawniana  jedynie osobom upoważnionym.

KONTAKT TELEFONICZNY

5.4. W przypadku kontaktowania się z Administratorem drogą telefoniczną, w sprawach  niezwiązanych z zawartą umową lub świadczonymi usługami, Administrator może żądać  podania Danych osobowych tylko wówczas, gdy będzie to niezbędne do obsługi sprawy,  której dotyczy kontakt. Podstawą prawną jest w takim wypadku prawnie uzasadniony interes  Administratora (art. 6 ust. 1 lit. f RODO), polegający na konieczności rozwiązania zgłoszonej  sprawy związanej z prowadzoną przez niego działalnością gospodarczą.

5.5. Rozmowy telefoniczne mogą być także nagrywane – w takim wypadku na początku rozmowy  przekazywana jest osobie fizycznej stosowna informacja. Rozmowy są rejestrowane w celu  monitorowania jakości świadczonej usługi oraz weryfikacji pracy konsultantów, a także  w celach statystycznych. Nagrania są dostępne wyłącznie dla pracowników Administratora  oraz osób obsługujących infolinię Administratora.

5.6. Dane osobowe w postaci nagrania rozmowy są przetwarzane:

5.6.1. w celach związanych z obsługą klientów i interesantów za pośrednictwem infolinii,  jeśli Administrator udostępnia taką usługę – podstawą prawną przetwarzania jest  niezbędność przetwarzania do świadczenia usługi (art. 6 ust. 1 lit. b RODO);

5.6.2. w celu monitorowania jakości obsługi i weryfikacji pracy konsultantów obsługujących  infolinię, jak również w celach analitycznych i statystycznych – podstawą prawną  przetwarzania jest uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO),  polegający na dbaniu o jak najwyższą jakość obsługi na rzecz klientów  i interesantów, a także najwyższą jakość pracy konsultantów oraz prowadzenie  analiz statystycznych dotyczących komunikacji telefonicznej.

MONITORING WIZYJNY ORAZ KONTROLA WSTĘPU

5.7. W związku z koniecznością zapewnienia bezpieczeństwa osób i mienia Administrator  stosuje monitoring wizyjny oraz kontroluje wstęp do lokali i na teren przez niego zarządzany.  Zebrane w ten sposób dane nie są wykorzystywane do żadnych innych celów niż opisane  poniżej.

5.8. Dane osobowe w postaci nagrań z monitoringu oraz dane zbierane w rejestrze wejść i wyjść  są przetwarzane w celu zapewnienia bezpieczeństwa osób i mienia oraz utrzymania  porządku na terenie obiektów Administratora oraz ewentualnie w celu obrony przed  roszczeniami wysuwanymi wobec Administratora lub ustalenia i dochodzenia roszczeń  przez Administratora. Podstawą prawną przetwarzania danych osobowych jest prawnie  uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO), polegający na zapewnieniu  bezpieczeństwa osób i mienia znajdujących się na terenie zarządzanym przez  Administratora oraz ochrony jego praw.

5.9. Obszar objęty przez Administratora monitoringiem jest oznakowany za pomocą  odpowiednich znaków graficznych.

5.10. Nagrania z monitoringu, o którym mowa powyżej przechowywane są przez okres trzech  miesięcy od dnia nagrania, a następnie są niszczone. Jeżeli nagrania te stanowią dowód w  postępowaniu prowadzonym na podstawie prawa lub Administrator powziął wiadomość, iż  mogą one stanowić dowód w postępowaniu, termin przechowywania nagrań ulega  przedłużeniu do czasu prawomocnego zakończenia postępowania.

REKRUTACJA

5.11. W ramach procesów rekrutacyjnych Administrator oczekuje przekazywania Danych  osobowych (np. w CV lub życiorysie) jedynie w zakresie określonym w przepisach prawa  pracy. W związku z tym nie należy przekazywać informacji w szerszym zakresie. W razie,  gdy przesłane aplikacje będą zawierać dodatkowe dane, wykraczające poza zakres  wskazany przepisami prawa pracy, ich przetwarzanie będzie oparte na zgodzie kandydata  (art. 6 ust. 1 lit. a RODO), wyrażonej poprzez jednoznaczną czynność potwierdzającą, jaką  jest przesłanie przez kandydata dokumentów aplikacyjnych. W przypadku, gdy przesłane  aplikacje będą zawierać informacje nieadekwatne do celu, jakim jest rekrutacja, nie będą  one wykorzystywane ani uwzględniane w procesie rekrutacyjnym.

5.12. Dane osobowe są przetwarzane:

5.12.1. w przypadku, gdy preferowaną formą zatrudnienia jest umowa o pracę – w celu  wykonania obowiązków wynikających z przepisów prawa, związanych z procesem  zatrudnienia, w tym przede wszystkim Kodeksu pracy – podstawą prawną  przetwarzania jest obowiązek prawny ciążący na Administratorze (art. 6 ust. 1  lit. c RODO w związku z przepisami prawa pracy);

5.12.2. w przypadku, gdy preferowaną formą zatrudnienia jest umowa cywilnoprawna – w celu prowadzenia procesu rekrutacyjnego – podstawą prawną przetwarzania  danych zawartych w dokumentach aplikacyjnych jest podjęcie działań przed  zawarciem umowy na żądanie osoby, której dane dotyczą (art. 6 ust. 1 lit. b RODO);

5.12.3. w celu przeprowadzenia procesu rekrutacji w zakresie danych niewymaganych  przepisami prawa ani przez Administratora, a także dla celów przyszłych procesów  rekrutacyjnych – podstawą prawną przetwarzania jest zgoda (art. 6 ust. 1 lit. a  RODO);

5.12.4. w celu weryfikacji kwalifikacji i umiejętności kandydata lub kandydatki oraz ustalenia  warunków współpracy – podstawą prawną przetwarzania danych jest prawnie  uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO). Prawnie uzasadnionym  interesem Administratora jest weryfikacja kandydatów do pracy oraz określenie  warunków ewentualnej współpracy;

5.12.5. w celu ustalenia lub dochodzenia przez Administratora ewentualnych roszczeń  lub obrony przed roszczeniami wysuwanymi wobec Administratora – podstawą  prawną przetwarzania danych jest prawnie uzasadniony interes Administratora  (art. 6 ust. 1 lit. f RODO).

5.13. W zakresie, w jakim Dane osobowe są przetwarzane na podstawie wyrażonej zgody,  zgodę tą można wycofać w każdym czasie, bez wpływu na zgodność z prawem  przetwarzania dokonanego przed jej wycofaniem. W przypadku wyrażenia zgody dla celów  przyszłych procesów rekrutacyjnych, dane osobowe usuwane są po upływie dwóch lat – o  ile wcześniej zgoda nie została wycofana.

5.14. Podanie danych w zakresie określonym w art. 22(1) Kodeksu pracy jest wymagane –  w przypadku preferowania przez kandydata zatrudnienia w oparciu o umowę o pracę – przez  przepisy prawa, w tym przede wszystkim przez Kodeks pracy, zaś w przypadku  preferowania zatrudnienia w oparciu o umowę cywilnoprawną – przez Administratora.  Konsekwencją niepodania tych danych jest brak możliwości rozpatrzenia danej kandydatury  w procesie rekrutacyjnym. Podanie innych danych jest dobrowolne.

ZBIERANIE DANYCH W ZWIĄZKU ZE ŚWIADCZENIEM USŁUG LUB WYKONYWANIEM INNYCH  UMÓW

5.15. W razie zbierania danych dla celów związanych z wykonaniem konkretnej umowy,  Administrator przekazuje Podmiotowi danych szczegółowe informacje dotyczące  przetwarzania jego danych osobowych w momencie zawierania umowy lub w momencie  pozyskania danych osobowych w przypadku, gdy przetwarzanie jest niezbędne w celu  podjęcia przez Administratora działań na żądanie Podmiotu danych, przed zawarciem  umowy.

5.16. Dane osobowe są przetwarzane:

5.16.1. w celu wykonania umowy, w szczególności realizacji sprzedaży, zamówień i  dostawy, rozliczeń (w tym płatności bezgotówkowych), obsługi reklamacji oraz  zgłoszeń a także do zawiadamiania Podmiotu danych w przypadku zaistnienia  konieczności wycofania ze sprzedaży produktów niezgodnych z wymogami prawa  Unii Europejskiej – podstawą prawną przetwarzania jest wykonanie umowy, której  stroną jest Podmiot danych lub podjęcie działań przed zawarciem umowy na żądanie  osoby, której dane dotyczą (art. 6 ust. 1 lit. b RODO);

5.16.2. w celu wypełnienia obowiązku prawnego ciążącego na Administratorze, tj. przepisy  prawa wymagają od Administratora przetwarzania danych dla celów podatkowych i  rachunkowych, np. wystawianie faktur i przechowywanie ich przez określony czas –  podstawą prawną przetwarzania jest art. 6 ust. 1 lit. c RODO;

5.16.3. w celu ustalenia lub dochodzenia przez Administratora ewentualnych roszczeń  lub obrony przed roszczeniami wysuwanymi wobec Administratora – podstawą  prawną przetwarzania danych jest prawnie uzasadniony interes Administratora,  którym jest obsługa roszczeń z tytułu prowadzonej przez Administratora działalności  (art. 6 ust. 1 lit. f RODO);

5.16.4. w celu analitycznym lub statystycznym do analiz finansowych i sprzedażowych –  podstawą prawną przetwarzania danych jest prawnie uzasadniony interes  Administratora, którym jest poprawa jakości usług oraz potrzeba wewnętrznego raportowania i wyznaczania optymalnych kierunków rozwoju Administratora (art. 6  ust. 1 lit. f RODO);

5.16.5. w celu marketingu bezpośredniego za pośrednictwem poczty tradycyjnej lub  pracowników Administratora – podstawą prawną przetwarzania danych jest prawnie  uzasadniony interes Administratora, którym jest potrzeba informowania o ofertach i  usługach Administratora (art. 6 ust. 1 lit. f RODO);

5.16.6. w celu oceny wiarygodności kredytowej (scoring) w przypadku ubiegania się przez  Podmiot danych o linię kredytową – podstawą prawną przetwarzania danych jest  prawnie uzasadniony interes Administratora, którym jest ocena wiarygodności  kredytowej (art. 6 ust. 1 lit. f RODO);

5.16.7. w celu analizy i kształtowania osobistych preferencji Podmiotu danych – podstawą  prawną przetwarzania danych jest prawnie uzasadniony interes Administratora,  którym jest dostosowanie usług, produktów i treści Administratora do potrzeb  Podmiotu danych (art. 6 ust. 1 lit. f RODO);

5.16.8. w celu kierowania treści marketingowych za pośrednictwem poczty e-mail i/lub  telefonu – podstawą prawną przetwarzania danych jest zgoda Podmiotu danych  (art. 6 ust. 1 lit. a RODO);

5.16.9. w celu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu, tj. dane  podstawowe (takie jak imię i nazwisko, data urodzenia – jeśli Administrator ją  przetwarza), zostaną sprawdzone przez Administratora pod kątem unijnych list  sankcji określonych w rozporządzeniach Rady UE. Administrator jest prawnie  zobowiązany do zapewnienia, że nie przyzna żadnych korzyści finansowych  odbiorcom wymienionym w odpowiednich rozporządzeniach Rady UE (art. 6 ust.  1 lit. c RODO);

5.16.10. w celu zaoferowania Podmiotom danych usług i narzędzi świadczonych przez  Hospitality Digital GmbH z siedzibą w Dusseldorfie (RFN), Metrostrasse 1, 40235.

PRZETWARZANIE DANYCH OSOBOWYCH CZŁONKÓW PERSONELU KONTRAHENTÓW LUB  KLIENTÓW WSPÓŁPRACUJĄCYCH Z ADMINISTRATOREM

5.17. W związku z zawieraniem umów handlowych w ramach prowadzonej działalności  gospodarczej, Administrator pozyskuje od kontrahentów / klientów dane osób  zaangażowanych w realizację takich umów (np. osób uprawnionych do kontaktu,  składających zamówienia, wykonujących zlecenia, podwykonawców, itp.). Zakres  przekazywanych danych jest w każdym wypadku ograniczony do stopnia niezbędnego dla  wykonania umowy i zazwyczaj nie obejmuje innych informacji niż imię i nazwisko oraz  służbowe dane kontaktowe.

5.18. Ponadto, w ramach elektronicznej rejestracji klientów, Administrator może pozyskać  dane osób wskazanych przez reprezentanta firmy klienta (np. pracownik). Zakres  przekazywanych danych jest w każdym wypadku ograniczony do stopnia niezbędnego dla  dokonania rejestracji i zazwyczaj nie obejmuje innych informacji niż imię i nazwisko oraz  służbowe dane kontaktowe.

5.19. Takie dane osobowe są przetwarzane w celu realizacji prawnie uzasadnionego interesu  Administratora oraz jego kontrahenta (art. 6 ust. 1 lit. f RODO), polegającego na  umożliwieniu prawidłowego i efektywnego wykonywania umowy/dokonania rejestracji. Takie  dane mogą być ujawniane osobom trzecim zaangażowanym w realizację umowy, a także podmiotom uzyskującym dostęp do danych w oparciu o przepisy z zakresu jawności  informacji publicznej oraz postępowań prowadzonych w oparciu o prawo zamówień  publicznych, w zakresie przewidzianym przez te przepisy.

5.20. Dane przetwarzane są przez okres niezbędny do realizacji powyższych interesów  oraz wykonania obowiązków wynikających z przepisów prawa.

5.21. Osoba, która udostępnia Administratorowi dane osobowe, zobowiązana jest do  poinformowania osób, których dane udostępnia o fakcie przetwarzania ich danych  osobowych zgodnie z niniejszym akapitem. Osoba, która udostępnia Administratorowi dane  osobowe zapewnia, że wszystkie dane osobowe udostępnione przez nią Administratorowi  zostały zgromadzone i udostępnione zgodnie z obowiązującymi przepisami prawa.

ZBIERANIE DANYCH W INNYCH PRZYPADKACH

5.22. W związku z prowadzoną działalnością Administrator zbiera Dane osobowe także w  innych przypadkach – np. poprzez budowanie i wykorzystywanie trwałych, wzajemnych  kontaktów biznesowych (networking) podczas spotkań biznesowych, na wydarzeniach  branżowych czy też poprzez wymianę wizytówek – w celach związanych z inicjowaniem i  utrzymywaniem kontaktów biznesowych. Podstawą prawną przetwarzania jest w tym  wypadku prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO), polegający  na tworzeniu sieci kontaktów w związku z prowadzoną działalnością.

5.23. Dane osobowe zebrane w takich przypadkach przetwarzane są wyłącznie w celu, dla  jakiego zostały zebrane a Administrator zapewnia ich odpowiednią ochronę.

NEWSLETTER / KOMUNIKACJA MARKETINGOWA

5.24. Zaprenumerowanie elektronicznych i bezpłatnych czasopism należących do  Administratora wymaga podania w odpowiednim formularzu numeru Karty Klienta MAKRO,  imienia i nazwiska lub numeru NIP oraz adresu e-mail i/lub numeru telefonu. Uzyskane w ten  sposób dane dodane zostaną do listy mailingowej w celu kierowania treści marketingowych.

5.25. Każdy użytkownik ma możliwość zapisania się do ww. elektronicznych i bezpłatnych  czasopism oraz w dowolnym momencie może zrezygnować z chęci ich otrzymywania, bez  podawania przyczyny.

BADANIE SATYSFAKCJI KLIENTÓW (NPS)

5.26. Dane osobowe mogą być przetwarzane w celu przeprowadzania ankiet badania  satysfakcji klientów nt. jakości świadczonych przez Administratora usług, co pomaga  udoskonalać i poprawiać poziom takich usług. Takie przetwarzanie obejmuje imię i  nazwisko, nazwę firmy, stanowisko w firmie, płeć, język, adres e-mail, numer telefonu, numer  telefonu komórkowego, adres pocztowy, numer karty i klienta (Podmiotu danych) MAKRO,  segment i kategoryzację klientów i posiadaczy kart MAKRO, dane transakcji, numer  dostawy, datę i godzinę transakcji, zakupione grupy produktów, odwiedzone hale oraz sumę  faktur. Obejmuje to również udzielane przez Podmiot danych odpowiedzi w ankiecie, które  mogą dodatkowo zostać wykorzystane do analizy procesu badania satysfakcji klientów  poprzez zbadanie zależności pomiędzy udzielonymi odpowiedziami w danym okresie a  zachowaniami zakupowymi oraz do sprawdzenia, czy informacje zwrotne z ankiet są  prawidłowo wykorzystywane. Ponadto, Dane osobowe mogą być przetwarzane do celów administracyjnych i  ewaluacyjnych, aby wspierać i ulepszać proces badania satysfakcji klientów.

W tym przypadku przetwarzanie Danych osobowych odbywa się na podstawie art. 6 par. 1  lit. f) RODO, tj. w prawnie uzasadnionym interesie Administratora leży badanie opinii  klientów nt. jakości świadczonych przez Administratora usług oraz ich udoskonalanie i  poprawa.

5.27. Odpowiadając na ankietę, Podmiot danych może wyrazić zgodę na kontakt telefoniczny w  celu omówienia szczegółów odpowiedzi udzielonych w ankiecie oraz podzielenia się z  Administratorem swoimi doświadczeniami.

W tym przypadku przetwarzanie Danych osobowych odbywa się na podstawie art. 6 par. 1 lit.  a) RODO. Zgodę można wycofać ze skutkiem na przyszłość w dowolnym momencie; cofnięcie  zgody nie wpłynie na zgodność z prawem przetwarzania, którego dokonano na podstawie  zgody przed jej wycofaniem.

5.28. Dane osobowe mogą zostać udostępnione usługodawcy zewnętrznemu / podwykonawcy,  który skontaktuje się z Podmiotem danych w celu przeprowadzenia ankiety i przeanalizuje  uzyskane odpowiedzi / opinie w imieniu Administratora. Udostępnienie danych nastąpi tylko  w takim zakresie, w jakim będzie to niezbędne do świadczenia tych usług.

Dane osobowe mogą też zostać ujawnione podmiotom powiązanym organizacyjnie z  Administratorem, w tym spółkom z jego grupy kapitałowej.

Administrator korzysta również z usług podmiotów zewnętrznych prowadzących działalność  poza terytorium Unii Europejskiej. Administrator zapewnia, że w takim przypadku  przekazywanie danych odbywać się będzie w oparciu o stosowną umowę pomiędzy  Administratorem a tym podmiotem, zawierającą standardowe klauzule ochrony danych  przyjęte przez Komisję Europejską i zapewniającą przetwarzanie danych osobowych zgodnie  z europejskimi uregulowaniami ochrony danych.

5.29. Przetwarzanie Danych osobowych jest ściśle ograniczone do użytku wewnętrznego i ma  charakter poufny. Wyniki takiego badania w domenach publicznych mogą być publikowane  wyłącznie w formie zanonimizowanej i zagregowanej. Udział Podmiotu danych w badaniu i  odpowiedzi w ankiecie są dobrowolne. Podmiot danych nie jest zobowiązany do przekazania  swoich Danych osobowych, nie jest to również konieczne do spełnienia wymogu ustawowego  lub umownego, ani wymogu niezbędnego do zawarcia umowy. Brak udziału w badaniu  satysfakcji klientów nie będzie miał dla Podmiotu danych żadnych negatywnych konsekwencji.

APLIKACJA MOBILNA

5.28. Aplikacja mobilna Administratora korzysta z oprogramowania SDK Proxi.cloud.  Proxi.cloud Sp. z o.o. świadczy w ramach aplikacji mobilnej usługę dostarczania  użytkownikowi treści reklamowych dostosowanych do jego preferencji i/lub lokalizacji. SDK  Proxi.cloud, po uprzednim wyrażeniu zgody przez użytkownika aplikacji mobilnej na usługę  lokalizacji, w sposób anonimowy zbiera dane o lokalizacji, dostępnych w halach Makro  sieciach wi-fi oraz beaconach, umożliwiając świadczenie usługi i posługując się  anonimowym numerem Google Advertisement ID lub IDFA (w przypadku systemu IOS).  Dane takie ułatwiają Administratorowi lepsze poznanie zainteresowań i potrzeb użytkownika  aplikacji mobilnej, w szczególności umożliwiają prezentowanie możliwie najbardziej  dopasowanych treści reklamowych na urządzeniu mobilnym użytkownika. Zarówno Google  Advertisement ID, jak i IDFA nie dają możliwości ustalenia personaliów użytkownika a użytkownik może całkowicie zablokować w ustawieniach swojego urządzenia mobilnego  pobieranie numeru Google Advertisement ID lub IDFA przez aplikację mobilną. Dane będą  przetwarzane przez Proxi.cloud Sp. z o.o. z siedzibą w Poznaniu (kod pocztowy: 60-529),  ul. Dąbrowskiego 79a dla celów świadczenia usługi oraz dla celów statystycznych.  Użytkownik w każdej chwili uprawniony jest do zażądania zaprzestania wykorzystywania  przez SDK Proxi.cloud identyfikatorów Google Advertisement ID lub IDFA, poprzez kontakt  z Administratorem lub poprzez formularz opt–out dostępny na stronie  www.proxi.cloud/privacy.

SKLEP INTERNETOWY

5.29. Złożenie zamówienia na produkty będące w ofercie Administratora jest również  możliwe za pośrednictwem sklepu internetowego. Wszystkie Dane osobowe, które Podmiot  danych udostępnia w sklepie internetowym, będą wykorzystywane wyłącznie w celu  zawarcia oraz wykonania umowy. Podstawą prawną tego przetwarzania jest art. 6 ust. 1 lit.  f RODO. Udostępnienie Danych osobowych jest bowiem niezbędne w celu zawarcia oraz  wykonania umowy i bez ich podania nie będzie możliwe zawarcie umowy, w tym złożenie  zamówienia. Dane osobowe będą przechowywane jedynie do momentu zakończenia  zawartej umowy, z wyłączeniem sytuacji dalszego przechowywania danych wymaganego  przepisami prawa, np. w celu przedstawienia ich organom podatkowym. Podstawą prawną  takiego przechowywania Danych osobowych i udostępniania ich organom publicznym w  celu wywiązania się z obowiązków prawnych jest art. 6 ust. 1 lit. c RODO. Dane adresowe  będą przekazane w imieniu Podmiotu danych do dostawców usług logistycznych w celu  dostawy zamówionych towarów. Takie przetwarzanie jest konieczne do wykonania zawartej  umowy a podstawą prawną jest art. 6 ust. 1 lit. b RODO. Dane osobowe będą  przechowywane przez dostawców usług logistycznych wyłącznie do momentu dostarczenia  zamówionych towarów, z wyłączeniem sytuacji, w której dostawcy usług logistycznych są  prawnie zobowiązani do dalszego przechowywania danych, tj. w celu przedstawienia ich  organom podatkowym. W przypadku zawarcia umowy i wyboru metody płatności kartą  kredytową, dane karty kredytowej zostaną przekazane operatorowi kart kredytowych, który  wydał kartę w celu realizacji płatności. Takie przetwarzanie jest konieczne do wykonania  umowy a podstawą prawną jest art. 6 ust. 1 lit. b RODO. Dane osobowe będą  przechowywane przez operatora kart kredytowych wyłącznie do momentu realizacji  płatności, z wyłączeniem sytuacji, w której operator kart kredytowych jest prawnie  zobowiązany do dalszego przechowywania danych, tj. w celu przedstawienia ich organom  podatkowym. W przypadku zawarcia umowy i wyboru metody płatności przelewem  bankowym, dane bankowe zostaną udostępnione bankowi w celu realizacji płatności. Takie  przetwarzanie jest konieczne do wykonania umowy a podstawą prawną jest art. 6 ust. 1 lit.  b RODO. Dane osobowe będą przechowywane przez bank wyłącznie do momentu realizacji  płatności, z wyłączeniem sytuacji, w której bank jest prawnie zobowiązany do dalszego  przechowywania danych, tj. w celu przedstawienia ich organom podatkowym.

5.30. Podmiot danych może utworzyć konto na stronie internetowej Administratora  korzystając z podanego linku. Utworzenie takiego konta nie jest obowiązkowe do robienia  zakupów w sklepie internetowym Administratora, ale jeśli Podmiot danych utworzy takie  konto, nie będzie musiał podawać swoich danych za każdym razem, gdy dokonuje zakupu.  Po wypełnieniu formularza i wpisaniu swoich Danych osobowych, Podmiot danych otrzyma  nazwę użytkownika i hasło w wiadomości e-mail na udostępniony przez siebie adres  mailowy. Aby zakończyć rejestrację, należy kliknąć w link „aktywuj konto” podany w tej  wiadomości. Nazwa użytkownika i hasło umożliwia logowanie się na swoje konto i dalsze  korzystanie z niego. Dane osobowe, które Podmiot danych wpisuje w formularzu rejestracyjnym, będą przetwarzane wyłącznie w celu utworzenia i prowadzenia konta i  jedynie wtedy, gdy Podmiot danych wyraził zgodę na przetwarzanie swoich danych.  Podstawą prawną przetwarzania tych danych jest art. 6 ust. 1 lit. a RODO. Udostępnienie  Danych osobowych jest dobrowolne. Podmiot danych nie ma obowiązku podawać swoich  Danych osobowych, ani też nie jest to konieczne do wywiązania się z ustawowego lub  umownego wymogu lub wymogu niezbędnego do zawarcia umowy. Nieudostępnienie  Danych osobowych nie niesie ze sobą żadnych niekorzystnych konsekwencji dla Podmiotu  danych, poza tym, że Administrator nie będzie mógł utworzyć konta Klienta. Dane osobowe  będą przechowywane wyłącznie do momentu dezaktywacji konta przez Podmiot danych.  Konto można dezaktywować poprzez kliknięcie w link „dezaktywuj konto”, który znajduje się  w menu głównym konta. Po dezaktywacji konta Dane osobowe będą niezwłocznie usunięte,  a dalsze korzystanie z konta stanie się niemożliwe.

  1. ODBIORCY DANYCH

6.1. W związku z prowadzeniem działalności wymagającej przetwarzania, Dane osobowe  są ujawniane zewnętrznym podmiotom, w tym w szczególności dostawcom  odpowiedzialnym za obsługę systemów informatycznych i sprzętu (np. wyposażenia CCTV  w zakresie monitoringu wizyjnego), agencjom marketingowym czy rekrutacyjnym,  przewoźnikom, firmom kurierskim i pocztowym, drukarniom, bankom i instytucjom  płatniczym, dostawcom usług consultingowych, prawnych, księgowych, windykacyjnych lub  audytowych, podmiotom świadczącym usługi promocji sprzedaży, usługi badania rynku i  opinii. Dane osobowe mogą też zostać ujawnione podmiotom powiązanym organizacyjnie z  Administratorem, w tym spółkom z jego grupy kapitałowej.

6.2. Administrator zastrzega sobie prawo ujawnienia wybranych informacji dotyczących  Podmiotu danych właściwym organom bądź osobom trzecim, które zgłoszą żądanie  udzielenia takich informacji, opierając się na odpowiedniej podstawie prawnej oraz zgodnie  z przepisami obowiązującego prawa.

6.3. W celu rozwiązania kwestii nielegalnego obrotu wyrobami tytoniowymi zgodnie z dyrektywą  2014/40/UE wszystkie opakowania jednostkowe wyrobów tytoniowych są opatrzone  niepowtarzalnym identyfikatorem, aby umożliwić rejestrowanie ich ruchu. Dzięki temu  wyroby te mogą być śledzone i identyfikowane na terenie całej Unii Europejskiej.  W związku z powyższym, Administrator przekazuje dane dotyczące Podmiotów danych  nabywających wyroby tytoniowe do repozytorium, o którym mowa w Rozporządzeniu  Wykonawczym Komisji (UE) 2018/574 z dnia 15 grudnia 2017 r. w sprawie norm  technicznych dotyczących ustanowienia i funkcjonowania systemu identyfikowalności  wyrobów tytoniowych.

6.4. Zważywszy, że Administrator kupuje od swoich partnerów biznesowych („Dostawców”)  produkty na podstawie zawartych z nimi umów handlowych oraz Strony dokonują uzgodnień  na podstawie odrębnych porozumień w zakresie realizacji przez Strony współpracy  handlowej, w tym monitorowania zapasów i sprzedaży produktów Dostawców oraz  weryfikowania przez Dostawców realizacji przez MAKRO warunków porozumień  dotyczących cen maksymalnych, rabatów odsprzedażowych lub innych akcji promocyjnych  dotyczących produktów Dostawców, Administrator zastrzega sobie prawo ujawnienia  informacji dotyczących Podmiotu danych (nazwa, adres, NIP) wybranym Dostawcom.

Administrator i wybrani Dostawcy odrębnie dokonali analizy stanu prawnego i faktycznego  w celu wyboru podstawy prawnej przetwarzania danych osobowych, w wyniku której  ustalono, iż przetwarzanie takie oparte jest na prawnie uzasadnionym interesie Stron, tj. art. 6 ust. 1 lit. f) RODO a wybór podstawy prawnej został dokonany na podstawie  przeprowadzonych analiz: celu, niezbędności i równowagi.

Udostępnienie danych osobowych pomiędzy Stronami nastąpi za pośrednictwem  połączenia szyfrowanego. Dostawcy zobowiązują się, że będą przestrzegać postanowień  RODO i innych przepisów krajowych w zakresie ochrony danych osobowych, a w  szczególności zobowiązują się stosować środki zabezpieczające dane adekwatne do  rodzaju tych danych oraz ryzyka ich utraty, zniszczenia lub uszkodzenia lub dostępu przez  osoby nieupoważnione.

Szczegółowe informacje dotyczące przetwarzania danych osobowych przez Dostawców są  dostępne bezpośrednio u Dostawców, np.:

– w przypadku Dostawcy Philip Morris Polska pod adresem:  https://www.pmiprivacy.com/pl/business-partner;

– w przypadku Dostawcy Carlsberg Polska pod adresem www.carlsbergpolska.pl.

Aktualna lista Dostawców, o których mowa w ramach niniejszego punktu, dostępna jest u  Inspektora Ochrony Danych – patrz punkt 3.2.

  1. PRZEKAZYWANIE DANYCH POZA EOG

7.1. Poziom ochrony Danych osobowych poza Europejskim Obszarem Gospodarczym („EOG”)  różni się od tego zapewnianego przez prawo europejskie. Z tego powodu Administrator  przekazuje Dane osobowe poza EOG tylko wtedy, gdy jest to konieczne, i z zapewnieniem  odpowiedniego stopnia ochrony, przede wszystkim poprzez:

7.1.1. współpracę z podmiotami przetwarzającymi Dane osobowe w państwach,  w odniesieniu do których została wydana stosowna decyzja Komisji Europejskiej  dotycząca stwierdzenia zapewnienia odpowiedniego stopnia ochrony Danych  osobowych;

7.1.2. stosowanie standardowych klauzul umownych wydanych przez Komisję Europejską;

7.1.3. stosowanie wiążących reguł korporacyjnych zatwierdzonych przez właściwy organ  nadzorczy.

7.2. Administrator zawsze informuje o zamiarze przekazania Danych osobowych poza EOG  na etapie ich zbierania.

  1. OKRES PRZETWARZANIA DANYCH OSOBOWYCH

8.1. Okres przetwarzania danych przez Administratora zależy od rodzaju świadczonej usługi i  celu przetwarzania. Okres przetwarzania danych może także wynikać z przepisów (np.  podatkowych czy rachunkowych), gdy stanowią one podstawę przetwarzania. W przypadku  przetwarzania danych na podstawie prawnie uzasadnionego interesu Administratora (np. ze  względów bezpieczeństwa), dane przetwarzane są przez okres umożliwiający realizację  tego interesu lub do zgłoszenia skutecznego sprzeciwu względem przetwarzania danych.  Jeśli przetwarzanie odbywa się na podstawie zgody, dane przetwarzane są do czasu jej  wycofania. Gdy podstawę przetwarzania stanowi niezbędność do zawarcia i wykonania  umowy, dane są przetwarzane do momentu jej rozwiązania.

8.2. Okres przetwarzania danych może zostać przedłużony w przypadku, gdy przetwarzanie jest  niezbędne do ustalenia lub dochodzenia roszczeń lub obrony przed roszczeniami, a po tym  okresie – jedynie w przypadku i w zakresie, w jakim będą wymagać tego przepisy prawa.

  1. OBOWIĄZEK PODANIA DANYCH OSOBOWYCH

9.1. Korzystanie z usług Administratora oraz podanie Danych osobowych jest dobrowolne, ale  niezbędne do m. in. zawarcia umowy (w szczególności realizacji sprzedaży, zamówień i  dostawy), obsługi reklamacji oraz zgłoszeń kierowanych do Administratora przez Podmiot  danych.

9.2. Konsekwencją niepodania Danych osobowych jest brak możliwości świadczenia przez  Administratora ww. usług, w tym wydania Karty Klienta MAKRO. Niepodanie wymaganych  danych zablokuje czynność, której te dane dotyczyły, jeśli niepodane dane są wymagane do  jej poprawnego wykonania.

9.3. Podanie Danych osobowych w celach marketingowych jest dobrowolne.

  1. PASYWNE ZBIERANIE INFORMACJI

10.1. Podczas poruszania się po stronach internetowych Administratora pewne anonimowe  informacje mogą zostać zebrane w sposób pasywny (to znaczy bez ich aktywnego  przekazania przez użytkownika), przy zastosowaniu różnych technologii, takich jak pliki  Cookies, znaczniki internetowe czy pliki „Web beacon” oraz przez zbieranie danych  nawigacyjnych (za pomocą plików rejestrów, rejestrów serwera czy mechanizmu  „clickstream”). Przeglądarka internetowa automatycznie przekazuje do tej strony pewne  anonimowe informacje, takie jak adres URL strony, z której użytkownik korzystał  bezpośrednio wcześniej, adres IP oraz wersję przeglądarki internetowej zainstalowanej na  komputerze użytkownika. Strony te mogą także pobierać anonimowe informacje z  komputera użytkownika za pomocą plików Cookies, znaczników internetowych lub plików  „Web beacon”. Istnieje możliwość ustawienia w przeglądarce, aby informowała ona, kiedy  wysyłany jest plik Cookie lub aby odrzucała ona wszystkie pliki Cookies, jednak bez  włączonej opcji obsługi plików Cookies pewne funkcje tej strony mogą nie działać lub działać  w sposób nieprawidłowy.

10.2. Zebrane w pasywny sposób anonimowe informacje Administrator będzie  wykorzystywać w celu zapewnienia odwiedzającym stronę internetową lepszej obsługi,  dostosowania strony do ich preferencji, kompilowania i analizowania danych statystycznych  i trendów, administrowania stroną i jej doskonalenia oraz oferowania promocji i ofert  dostosowanych do potrzeb użytkownika. Takie informacje nie są łączone z Danymi  osobowymi zebranymi w inny sposób na stronie, o ile użytkownik nie wyrazi na to zgody.

  1. LOGI SYSTEMOWE / DANE TECHNICZNE

11.1. Do celów statystycznych Administrator zbiera informacje o wykorzystywaniu stron  internetowych przez użytkowników posługując się logami systemowymi serwerów  Administratora. Zbierane są m. in. następujące informacje: data połączenia, adres IP, URL  odwiedzanej strony, rodzaj systemu operacyjnego, rodzaj przeglądarki.

  1. CIASTECZKA (ANG. COOKIES) I FUNKCJA ŚLEDZENIA

12.1. Aby jeszcze bardziej uatrakcyjnić Podmiotowi danych odwiedziny na stronach  internetowych Administratora oraz aby umożliwić mu korzystanie z pewnych funkcji, na  różnych stronach Administrator używa tak zwanych „ciasteczek”. Są to niewielkie pliki  tekstowe przechowywane na urządzeniu końcowym Podmiotu danych. Niektóre z nich są  usuwane po zakończeniu sesji przeglądania przez Podmiot danych, tj. po zamknięciu  przeglądarki (tak zwane „ciasteczka sesyjne”). Inne pozostają na urządzeniu końcowym i  umożliwiają Administratorowi lub jego firmom partnerskim rozpoznawanie przeglądarki  Podmiotu danych przy następnej wizycie („ciasteczka trwałe”). Podmiot danych może  ustawić swoją przeglądarkę w taki sposób, aby być informowanym oddzielnie o ustawieniach  ciasteczek i decydować indywidualnie o ich akceptacji bądź wykluczeniu ciasteczek w  określonych przypadkach lub ogólnie. Aby uzyskać więcej informacji na ten temat, należy  skorzystać z opcji pomocy w swojej przeglądarce internetowej. W przypadku braku  akceptacji ciasteczek funkcjonalność danej strony internetowej może być ograniczona.  Szczególne rodzaje ciasteczek są opisane poniżej.

12.2. Administrator rozróżnia cztery rodzaje Cookies (ciasteczek):

  1. a) Bezwględnie konieczne pliki cookies – są wymagane dla poprawnego działania  strony internetowej Administratora. Odrzucenie takich ciasteczek zmieni  doświadczenie użytkownika (ang. user experience) podczas przeglądania strony  internetowej i z tego powodu działanie stron lub niektórych usług tych stron nie  będzie dostępne.
  2. b) Funkcjonalne pliki cookies – umożliwiają przechowywanie informacji już podanych  przez użytkownika (takich jak zarejestrowana nazwa lub wybór języka) oraz  zapewnienie użytkownikowi większej wygody dzięki ulepszonym i bardziej  spersonalizowanym ustawieniom. Pliki te gromadzą i przechowują informacje o  użytkowniku tylko w taki sposób, aby nie można było śledzić jego zachowania na  innych stronach internetowych.
  3. c) Wydajnościowe pliki cookies – zbierają informacje na temat interakcji użytkowników  ze stroną internetową Administratora, tj. gromadzą informacje o sposobie  użytkowania strony, czasu spędzonego na stronie oraz dokonanych na niej  czynnościach (w tym na wielu urządzeniach). Gromadzone informacje są zazwyczaj  przetwarzane w formie zagregowanej. Pliki te są wykorzystywane wyłącznie w celu  poprawy wydajności stron internetowych i dostosowania ich do potrzeb  użytkowników.
  4. d) Reklamowe pliki cookies – gromadzą informacje o zachowaniach użytkowników  podczas przeglądania stron internetowych w celu wyświetlania reklam, które mogą  być dla nich interesujące. Administrator rejestruje na przykład, kiedy użytkownik po  raz ostatni odwiedził stronę internetową oraz jakie działania podejmował na tej  stronie. Informacje te są wykorzystywane do tworzenia profilu zainteresowań, który  umożliwia Administratorowi umieszczanie w innych witrynach internetowych reklam,  które są odpowiednie dla użytkownika.

12.3. Szczegółowe informacje na temat plików Cookies opisane są w zakładce „Cookies”  dostępnej na stronie www.makro.pl.

  1. KANAŁY MEDIÓW SPOŁECZNOŚCIOWYCH

13.1. Strony internetowe Administratora korzystają z wtyczek społecznościowych (ang.  social plugins) dostępnych dla niżej wymienionych sieci społecznościowych (zwanych dalej  „sieciami społecznościowymi”): Facebook, YouTube, LinkedIn, Instagram.

13.2. Aby zapewnić najbardziej kompleksową ochronę danych Podmiotu danych,  Administrator stosuje rozwiązania techniczne, które gwarantują, że udostępnianie danych  za pomocą wtyczek społecznościowych odpowiedniemu dostawcy usług sieci  społecznościowej nie nastąpi bez uprzedniej aktywacji wtyczki społecznościowej przez  Podmiot danych. Takie wtyczki są początkowo nieaktywne i nie nawiązują połączenia z  serwerami Facebooka ani innymi operatorami sieci społecznościowych bez ich aktywacji.  Aktywacja takiej wtyczki jest równoznaczna z wyrażeniem zgody na przekazanie Danych  osobowych określonych w niniejszym ustępie sieciom społecznościowym. W takim  przypadku podstawą prawną przetwarzania tych danych jest art. 6 ust. 1 lit. a) RODO. Po  aktywacji wtyczki społecznościowej nawiązane zostaje połączenie z odpowiednią siecią  społecznościową. Następnie klikając na kolejną opcję można wysłać rekomendację do  odpowiedniej sieci społecznościowej. Jeśli Podmiot danych jest zalogowany do takiej sieci  w czasie, gdy odwiedza strony internetowe Administratora, nie będzie musiał ponownie się  logować. W dowolnym momencie można anulować swoją zgodę. W przypadku aktywacji  wtyczek społecznościowych, które są domyślnie nieaktywne, nawiązane zostaje połączenie  z serwerami sieci społecznościowych. Następnie każda wtyczka społecznościowa  przekazuje dane do odpowiedniej sieci. Administrator nie ma żadnego wpływu na ilość  danych, które są gromadzone przez sieci społecznościowe za pomocą takiej wtyczki.

13.3. Jeśli Podmiot danych jest już zalogowany w sieci społecznościowej w trakcie  odwiedzania stron Administratora, operator takiej sieci społecznościowej może przypisać  taką wizytę do jego osobistego konta, gdy tylko aktywuje on wtyczki społecznościowe. Przy  korzystaniu z funkcji wtyczek społecznościowych (np. opcji polubienia – „Like”), informacje  na ten temat są przekazywane bezpośrednio z przeglądarki Podmiotu danych do  odpowiedniej sieci społecznościowej i tam przechowywane. To samo dotyczy wywoływania  strony internetowej operatora mediów społecznościowych poprzez kliknięcie w odpowiednią  ikonę.

13.4. Jeśli Podmiot danych nie jest członkiem sieci społecznościowych, mogą one nadal  otrzymywać i przechowywać jego adres IP oraz informacje na temat przeglądarki i systemu  operacyjnego używanego przez niego po aktywowaniu wtyczek społecznościowych. W  zakresie i w celu zbierania danych, ich przetwarzania i korzystania z nich przez sieci  społecznościowe, jak również aby uzyskać informacje o prawach dotyczących ochrony  prywatności, należy zapoznać się z informacją o ochronie danych danej sieci  społecznościowej:

Facebook: https://www.facebook.com/policy.php

YouTube: https://www.youtube.com/intl/en-GB/about/policies/#community-guidelines LinkedIn: https://www.linkedin.com/legal/privacy-policy?trk=hb_ft_priv

Instagram: https://help.instagram.com/402411646841720

13.5. Strony internetowe Administratora zawierają również proste linki do stron takich jak np.  Facebook. W tym przypadku udostępnianie danych powyższym operatorom mediów  społecznościowych może nastąpić wtedy, gdy użytkownik kliknie na odpowiednią ikonę (np.  „f” to Facebook). W przypadku kliknięcia ikony otwiera się wybrana strona operatora strony  społecznościowej w wyskakującym okienku. Można na niej publikować informacje na temat produktów Administratora zgodnie z regulacjami konkretnego operatora takiej strony  społecznościowej.

13.6. Śledzenie sieciowe może odbywać się niezależnie od tego, czy użytkownik jest  zalogowany lub zarejestrowany na platformie mediów społecznościowych. Administrator nie  ma wpływu na metody śledzenia stron internetowych platformy mediów społecznościowych,  a w szczególności nie może ich wyłączyć. Administrator otrzymuje jedynie anonimowe  statystyki i nie ma dostępu do danych osobowych, które są przetwarzane przez dostawcę  platformy. Przetwarzanie i wykorzystywanie danych wynika z prawnie uzasadnionego  interesu Administratora polegającego na optymalizacji kanału social media (art. 6 ust. 1 lit.  f) RODO). Możliwości skorzystania z praw do zatrzymania tych metod śledzenia w sieci  można znaleźć w wyżej wymienionych oświadczeniach dostawców platform o ochronie  danych.

13.7. W przypadku, o którym mowa w niniejszym pkt. 13, Administrator jest częściowo  odpowiedzialny za przetwarzanie danych a częściowo dostawca platformy danego kanału  mediów społecznościowych. W przypadku indywidualnego przetwarzania danych (np.  Facebook Insights) odpowiedni dostawca platformy oraz Administrator stają się  współadministratorami (zgodnie z art. 26 RODO).

  1. ZAUTOMATYZOWANE PRZETWARZANIE DANYCH OSOBOWYCH,  PROFILOWANIE

14.1. Dane osobowe mogą być przetwarzane dla potrzeb analizy i kształtowania preferencji  osób, których dane dotyczą. Takie przetwarzanie może obejmować m. in. badania rynku,  badania opinii, analizę, segmentację i profilowanie. Takie przetwarzanie danych ułatwia  Administratorowi lepsze poznanie zainteresowań i potrzeb Podmiotu danych oraz umożliwia  uwzględnianie tych potrzeb i podejmowanie odpowiednich działań, np. komunikowanie się z  Podmiotem danych w sposób zindywidualizowany.

14.2. Co do zasady, Dane osobowe nie będą przetwarzane w sposób zautomatyzowany, tj.  bez ingerencji człowieka.

14.3. Dane osobowe mogą być przetwarzane w sposób zautomatyzowany w celu oceny  zdolności i wiarygodności kredytowej na potrzeby zawarcia i wykonywania umowy dot.  odroczonego terminu płatności – jeśli Podmiot danych wystąpi z takim wnioskiem.  Administrator korzysta wówczas z oceny wykonanej przez rejestry kredytowe oraz z  informacji gospodarczych i informacji o wiarygodności płatniczej z biur informacji  gospodarczych. Konsekwencją oceny jest automatyczna zgoda na zawarcie umowy albo  odmowa jej zawarcia lub konieczność podjęcia przez Administratora decyzji indywidualnej.

  1. UPRAWNIENIA ZWIĄZANE Z PRZETWARZANIEM DANYCH OSOBOWYCH  PRAWA PODMIOTÓW DANYCH

15.1. Podmiotom danych przysługują następujące prawa:

15.1.1. prawo do informacji o przetwarzaniu danych osobowych – na tej podstawie  Administrator przekazuje osobie fizycznej zgłaszającej żądanie informację  o przetwarzaniu danych, w tym przede wszystkim o celach i podstawach prawnych  przetwarzania, zakresie posiadanych danych, podmiotach, którym są ujawniane,  i planowanym terminie usunięcia danych;

15.1.2. prawo uzyskania kopii danych – na tej podstawie Administrator przekazuje kopię  przetwarzanych danych dotyczących osoby fizycznej zgłaszającej żądanie;

15.1.3. prawo do sprostowania – Administrator zobowiązany jest usuwać ewentualne  niezgodności lub błędy przetwarzanych Danych osobowych oraz uzupełniać je, jeśli  są niekompletne;

15.1.4. prawo do usunięcia danych – na tej podstawie można żądać usunięcia danych,  których przetwarzanie nie jest już niezbędne do realizowania żadnego z celów,  dla których zostały zebrane;

15.1.5. prawo do ograniczenia przetwarzania – w razie zgłoszenia takiego żądania  Administrator zaprzestaje wykonywania operacji na Danych osobowych – z wyjątkiem operacji, na które wyraziła zgodę osoba, której dane dotyczą –  oraz ich przechowywania, zgodnie z przyjętymi zasadami retencji lub dopóki  nie ustaną przyczyny ograniczenia przetwarzania danych (np. zostanie wydana  decyzja organu nadzorczego zezwalająca na dalsze przetwarzanie danych);

15.1.6. prawo do przenoszenia danych – na tej podstawie – w zakresie, w jakim dane  są przetwarzane w sposób zautomatyzowany w związku z zawartą umową  lub wyrażoną zgodą – Administrator wydaje dane dostarczone przez osobę, której  one dotyczą, w formacie pozwalającym na odczyt danych przez komputer. Możliwe  jest także zażądanie przesłania tych danych innemu podmiotowi, jednakże  pod warunkiem, że istnieją w tym zakresie techniczne możliwości zarówno  po stronie Administratora, jak również wskazanego podmiotu;

15.1.7. prawo sprzeciwu wobec przetwarzania danych w celach marketingowych – Podmiot danych może w każdym momencie sprzeciwić się przetwarzaniu Danych  osobowych w celach marketingowych, bez konieczności uzasadnienia takiego  sprzeciwu;

15.1.8. prawo sprzeciwu wobec innych celów przetwarzania danych – Podmiot danych  może w każdym momencie sprzeciwić się – z przyczyn związanych z jego  szczególną sytuacją – przetwarzaniu Danych osobowych, które odbywa się  na podstawie prawnie uzasadnionego interesu Administratora (np. dla celów  analitycznych lub statystycznych albo ze względów związanych z ochroną mienia);  sprzeciw w tym zakresie powinien zawierać uzasadnienie;

15.1.9. prawo wycofania zgody – jeśli dane przetwarzane są na podstawie wyrażonej  zgody, Podmiot danych ma prawo wycofać ją w dowolnym momencie  zawiadamiając o tym Administratora (np. pod adresem email:  ochrona.danych@makro.pl, osobiście w hali MAKRO lub na stronie  www.zgody.makro.pl), co jednak nie wpływa na zgodność z prawem przetwarzania  dokonanego przed jej wycofaniem; nieudzielenie lub cofnięcie zgody nie wywiera  dla Podmiotu danych żadnych niekorzystnych konsekwencji;

15.1.10. prawo do skargi – w przypadku uznania, że przetwarzanie Danych osobowych  narusza przepisy RODO lub inne przepisy dotyczące ochrony Danych osobowych,  Podmiot danych może złożyć skargę do organu nadzorującego przetwarzanie  Danych osobowych, właściwego ze względu na miejsce zwykłego pobytu Podmiotu  danych, jego miejsce pracy lub miejsce popełnienia domniemanego naruszenia.  W Polsce organem nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych.

ZGŁASZANIE ŻĄDAŃ ZWIĄZANYCH Z REALIZACJĄ PRAW

15.2. Żądanie dotyczące realizacji praw Podmiotów danych można zgłosić:  15.2.1. w formie pisemnej na adres korespondencyjny wskazany w pkt 1.1 powyżej;  15.2.2. drogą elektroniczną na adres e-mail: ochrona.danych@makro.pl.

15.3. Jeżeli Administrator nie będzie w stanie zidentyfikować osoby fizycznej na podstawie  zgłoszonego żądania, zwróci się do wnioskodawcy o dodatkowe informacje. Podanie takich  danych nie jest obowiązkowe, jednak brak ich podania będzie skutkować odmową realizacji  żądania.

15.4. Odpowiedź na zgłoszenie powinna zostać udzielona w ciągu miesiąca od jego  otrzymania. W razie konieczności przedłużenia tego terminu Administrator informuje  wnioskodawcę o przyczynach tego działania.

15.5. W przypadku, w którym żądanie zostało skierowane do Administratora elektronicznie,  odpowiedzi udziela się w tej samej formie, chyba że wnioskodawca zażądał udzielenia  odpowiedzi w innej formie. W innych przypadkach odpowiedzi udziela się pisemnie. W  przypadku, gdy termin realizacji żądania uniemożliwia udzielenie odpowiedzi drogą  pisemną, a zakres danych wnioskodawcy przetwarzanych przez Administratora umożliwia  kontakt drogą elektroniczną, Administrator udzieli odpowiedzi drogą elektroniczną.

ZASADY POBIERANIA OPŁAT

15.6. Postępowanie w sprawie składanych wniosków jest nieodpłatne. Opłaty mogą zostać  pobrane jedynie w przypadku:

15.6.1. zgłoszenia żądania wydania drugiej i każdej kolejnej kopii danych (pierwsza kopia  danych jest bezpłatna); w takim wypadku Administrator może zażądać uiszczenia  rozsądnej opłaty; opłata taka zawiera koszty administracyjne związane z realizacją  żądania;

15.6.2. zgłaszania przez tę samą osobę żądań nadmiernych (np. niezwykle częstych)  lub ewidentnie nieuzasadnionych; w takim wypadku Administrator może zażądać  uiszczenia rozsądnej opłaty; opłata taka zawiera koszty prowadzenia komunikacji  oraz koszty związane z podjęciem żądanych działań;

  1. ZMIANY POLITYKI PRZETWARZANIA DANYCH OSOBOWYCH  16.1. Polityka jest na bieżąco weryfikowana i w razie potrzeby aktualizowana.  16.2. Aktualna wersja Polityki została przyjęta 28 października 2022 r.