POLITYKA INFORMACYJNA DOTYCZĄCA PRZETWARZANIA DANYCH OSOBOWYCH
NCBR Investment Fund ASI S.A. z siedzibą w Warszawie
Wprowadzenie
NCBR Investment Fund ASI S.A. z siedzibą w Warszawie (dalej: NIF lub administrator danych osobowych) przywiązuje najwyższą wagę do poszanowania prywatności osób, których dane osobowe przetwarza. Jednym z podstawowych obowiązków NIF jest zapewnienie odpowiedniej ochrony i właściwego wykorzystywania Państwa danych osobowych zgromadzonych w trakcie świadczonych usług (np. poprzez pocztę elektroniczną, czy serwisy internetowe). Dlatego NIF wprowadza niniejszy dokument Polityki. W sprawach związanych z ochroną danych osobowych, może się Pani/Pan kontaktować z IOD: iod@nifasi.pl
Zasady postępowania z danymi osobowymi
1. W związku z korzystaniem z usług NIF, które wymagają przetwarzania danych osobowych, administrator danych osobowych zbiera dane jedynie w zakresie niezbędnym do poprawnego świadczenia usług.
2. Poniżej określone zostały zasady przetwarzania danych osobowych, którymi kieruje się NIF w celu bezpiecznego i zgodnego z prawem przetwarzania danych osobowych.
3. NIF szanuje prywatność osób odwiedzających serwisy internetowe którymi administruje, i dokłada wszelkich starań, aby przetwarzanie danych osobowych było zgodne z przepisami prawa, w szczególności z wymogami następujących aktów prawnych:
1) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.Urz.UE.L 2016 Nr 119, str. 1 z późn. zm., zwanego dalej „RODO”,
2) Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, tj. Dz.U. z 2019 r. poz. 1781,
3) Ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, t.j. Dz.U. z 2020 r. poz. 344,
4) Ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne, tj. Dz.U. z 2019 r. poz. 2460 z późn. zm.
4. Administrator danych stosuje odpowiednie środki techniczne i organizacyjne w celu zabezpieczenia procesów przetwarzania danych osobowych, ale także o odpowiednie zabezpieczenie pomieszczeń i miejsc gromadzenia danych, system kontroli dostępu do obszarów przetwarzania, jak również stosowanie dedykowanych procedur postępowania z danymi, zapewnienie dostępu do przetwarzania tylko osób upoważnionych oraz zabezpieczenie procesów przetwarzania z udziałem innych podmiotów współpracujących lub współadministrujących w drodze stosownych umów powierzenia przetwarzania danych oraz porozumień dotyczących współadministrowania danymi. Stosując odpowiednie zabezpieczenia NIF opiera swoje postępowanie na podejściu opartym na bieżącej ocenie i monitorowaniu ryzyka przetwarzania danych.
5. Przetwarzanie danych osobowych uwzględnia w szczególności następujące zasady:
1) Legalności – dane przetwarzane są na podstawie przesłanek wynikających z RODO i w zgodzie z innymi przepisami prawa.
Przesłankami takimi, w zależności od sytuacji mogą być:
– art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes administratora:
• polegający na zapewnienia odpowiednich funkcjonalności i prawidłowości świadczonych usług oraz bezpieczeństwa przetwarzania danych;
• polegający na umożliwieniu prawidłowego i efektywnego przeprowadzenia procesu naboru i ewentualnego wyboru Oferty złożonej w ramach Naboru Funduszy Partnerskich;
• polegający na możliwości obrony przed roszczeniami i dochodzenia roszczeń;
– art. 6 ust. 1 lit. b RODO – gdy jest to konieczne do zawarcia i realizacji umowy między NIF a drugą
stroną umowy;
– art. 6 ust. 1 lit. c RODO – gdy jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na NIF
np. wynikającego z przepisów kodeksu pracy lub z ustawy o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi, ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, ustawy o wykonywaniu Umowy między Rządem Rzeczpospolitej Polskiej a Rządem Stanów Zjednoczonych Ameryki w sprawie poprawy wypełniania międzynarodowych obowiązków podatkowych oraz wdrożenia ustawodawstwa FATCA oraz ustawy o wymianie informacji podatkowych z innymi państwami (CRS), ustawy o rachunkowości lub ustaw podatkowych;
– art. 6 ust. 1 lit. a RODO – zgoda osoby, której dane dotyczą.
2) Ograniczenia celu przetwarzania – dane przetwarzane są jedynie w zakresie niezbędnym do realizacji celu, dla którego zostały zebrane i nie są przetwarzane dalej niezgodnie z tymi celami. Po osiągnięciu celu lub wyczerpania przesłanek legalizujących przetwarzanie, dane są niezwłocznie usuwane w sposób zapewniający bezpieczeństwo tego procesu.
3) Minimalizacji danych i ograniczenia okresu przetwarzania – dane zbierane są jedynie w zakresie niezbędnym dla realizacji celów przetwarzania. Tam, gdzie to możliwe określane są terminy przetwarzania danych, zgodne z celami. Dokonywane są również bieżące, okresowe przeglądy i kontrole zasadności przetwarzania danych.
4) Poufności i integralności – przetwarzanie odbywa się w oparciu o adekwatne do poziomu ryzyka odpowiednie środki techniczne i organizacyjne, przede wszystkim z uwzględnieniem ochrony danych osobowych przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.
5) Przejrzystości i rzetelności – dokładane są wszelkie starania aby przetwarzanie odbywało się w sposób uczciwy i rzetelny, a osoby, których dane dotyczą były informowane w czytelny sposób i w jasnej, przejrzystej formie na temat procesów przetwarzania oraz związanych z nimi przysługujących im praw.
6) Merytorycznej poprawności – dane przetwarzane są w zgodzie z rzeczywistością, w razie potrzeby lub stosownej informacji na bieżąco aktualizowane, prostowane lub usuwane.
7) Rozliczalności – procesy przetwarzania danych i stosowania technicznych oraz organizacyjnych środków ich zabezpieczenia są w miarę możliwości dokumentowane, co zapewnia większą i efektywniejszą kontrolę administratora nad procesami przetwarzania.
Ogólna informacja o przetwarzaniu danych osobowych
6. NIF traktując ochronę danych osobowych jako jeden z najwyższych priorytetów w ramach prowadzonej przez siebie działalności, przygotowała następującą informację na temat przetwarzania danych osobowych w trakcie świadczenia usług, w tym w szczególności w ramach kontaktów drogą poczty elektronicznej czy przetwarzania danych osobowych w ramach korzystania z serwisów internetowych.
6.1. Kto jest administratorem Pana/Pani danych osobowych?
6.1.1. Administratorem Pani/Pana danych osobowych jest NCBR Investment Fund ASI S.A. z siedzibą w Warszawie, przy ul. Chmielnej 69, 00-801 Warszawa z którą skontaktować się można adresując korespondencję na wyżej wskazany adres lub za pośrednictwem poczty elektronicznej pod adresem: biuro@nifasi.pl.
6.2. Z kim kontaktować się w sprawie przetwarzania danych osobowych?
6.2.1. NIF wyznaczyła Inspektora Ochrony Danych, z którym można skontaktować się w każdej sprawie dotyczącej przetwarzania danych osobowych. Kontakt z Inspektorem jest możliwy przez e-mail (adres e-mail: iod@nifasi.pl) lub pisemnie (adres: ul. Chmielna 69, 00-801 Warszawa, z dopiskiem „IOD”)
6.3. Czy ma Pani/Pan obowiązek podania danych osobowych?
6.3.1. W zależności od celu i przesłanki przetwarzania danych osobowych, podanie danych osobowych może być dobrowolne, np. gdy podstawą przetwarzania jest zgoda albo obowiązkowe, gdy przetwarzanie zachodzi na innych podstawach prawnych.
6.4. Czy może Pani/Pan wycofać udzieloną nam zgodę?
6.4.1. Wycofanie zgody lub wgląd do danych może nastąpić w każdym momencie poprzez zgłoszenie takiego żądania za pośrednictwem elektronicznych kanałów komunikacji.
6.4.2. Cofnięcie zgody pozostaje bez wpływu na zgodność z prawem przetwarzania danych osobowych, którego dokonano na podstawie zgody przed jej cofnięciem.
6.5. Komu co do zasady możemy udostępnić bądź przekazać Pani/Pana dane osobowe?
6.5.1. Jeżeli jest to konieczne, dane mogą zostać udostępnione przez NIF organom władzy publicznej oraz podmiotom wykonującym zadania publiczne lub działającym na zlecenie organów władzy publicznej, w zakresie i w celach, które wynikają z przepisów prawa, a także podmiotom świadczącym usługi niezbędne do realizacji zadań przez NIF, w szczególności takim podmiotem jest NCBR+ sp. z o.o. w Warszawie. Dane te mogą być także przekazywane doradcom NIF, partnerom IT, podmiotom realizującym wsparcie techniczne lub organizacyjne na rzecz NIF.
6.5.2. W niektórych przypadkach, podmioty zewnętrzne świadczące usługi na zlecenie NIF mogą występować w roli niezależnych administratorów np. sieci telekomunikacyjne, czy operatorzy pocztowi, w tym firmy kurierskie.
6.5.3. Dane osobowe mogą zostać również udostępniane podmiotom, które będą uprawnione do ich otrzymania na podstawie przepisów prawa – np. służbom, organom administracji publicznej, sądom i prokuraturze, komornikom sądowym, państwowym i samorządowym jednostkom organizacyjnym, stronom postępowania oraz innym podmiotom – w zakresie niezbędnym tym podmiotom do realizacji ich zadań.
6.6. Jak długo będziemy przetwarzać Pani/Pana dane osobowe?
6.6.1. Dane osobowe będą przetwarzane przez okres niezbędny do realizacji celów, dla których zostały zebrane, a także biorąc pod uwagę charakter podejmowanego przetwarzania (np. w ramach oceny Ofert). W każdym wypadku dane osobowe nie będą przetwarzane krócej niż przez okres 6 lat od zakończenia realizacji czynności, z którą związane było pozyskanie danych osobowych z uwagi na konieczność obrony przed ewentualnymi roszczeniami przez NIF (termin zgodny z art. 118 w zw. z art. 120 § 1 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny).
6.7. Czy przetwarzamy Pani/Pana dane osobowe automatycznie (w tym poprzez profilowanie) w sposób wpływający na Pani/Pana prawa?
6.7.1. Pani/Pana dane osobowe nie będą przetwarzane w sposób zautomatyzowany (w tym w formie profilowania).
7. W związku z przetwarzaniem danych osobowych przysługuje Pani/Panu również szereg praw, które dla zapewnienia jak największej przejrzystości i szczegółowości ich zakomunikowania zostały opisane w odrębnym rozdziale Polityki.
Szczegółowa informacja o przetwarzaniu danych osobowych
8. Odnośnie każdej ze świadczonych przez NIF usług, część przekazywanych informacji w zakresie przetwarzania danych osobowych może być/zostać uregulowana odrębnie (np. przetwarzanie może odbywać się na podstawie innych podstaw prawnych).
Poczta e-mail
9. Szczegółowe informacje na temat przetwarzania danych osobowych w zakresie usługi – poczta email:
9.1. Na jakiej podstawie i w jakim celu przetwarzamy Pani/Pana dane osobowe?
9.1.2. – art. 6 ust. 1 lit. f RODO, tj. przetwarzanie jest prowadzone w związku z prawnie uzasadnionym interesem NIF, przez który należy rozumieć możliwość prowadzenia korespondencji z potencjalnym klientem, oferentem, kontrahentem, partnerem. Przez prawnie uzasadniony interes NIF należy rozumieć również przetwarzanie danych osobowych w celu obrony przed ewentualnymi roszczeniami i związane z powyższym zabezpieczenie niezbędnych danych do prowadzenia postępowań sądowych.
9.2. Czy w ramach realizacji tej usługi przechowujemy dane osobowe przez z góry określony czas?
9.2.1. Dane osobowe będą przetwarzane przez okres niezbędny do realizacji celów, dla których zostały zebrane, a także biorąc pod uwagę charakter podejmowanego przetwarzania.
9.3. Czy w ramach realizacji tej usługi przekazujemy Pani/Pana dane osobowe do innego podmiotu?
9.4. W ramach realizacji tej usługi Pani/Pana dane mogą zostać udostępnione przez NIF podmiotom przetwarzającym świadczącym na zlecenie NIF określone usługi – np. usług hostingu czy obsługi IT.
9.5. Czy Pani/Pana dane osobowe mogą być przekazywane do państw trzecich?
9.5.1. W ramach realizacji tej usługi nie przekazujemy danych osobowych do państw trzecich.
Prawa osób, których dane dotyczą
10. W związku ze stosowaniem RODO, w odniesieniu do przetwarzania Pani/Pana danych osobowych
przysługują Pani/Panu następujące uprawnienia:
Prawo dostępu do danych
10.1. Uwzględnia możliwość uzyskania przez osobę, której dane dotyczą, od administratora, informacji czy i w jakim zakresie jego dane osobowe są przetwarzane. Dodatkowo osoba zwracając się o realizację tego prawa może żądać od administratora uzyskania dostępu do danych oraz – jeśli zajdzie taka potrzeba – uzyskania ich kopii. Kopia ta powinna zostać wydana bezpłatnie. Przy kolejnych tego rodzaju prośbach może zostać nałożona na wnioskującego rozsądna opłata, wynikająca m.in. z kosztów administracyjnych.
Prawo do sprostowania danych
10.2. Jeżeli przetwarzane przez administratora dane osobowe są nieprawidłowe lub niekompletne osoba, której dane dotyczą może żądać od administratora ich sprostowania.
Prawo do usunięcia danych
10.3. Często określane również jako „prawo do bycia zapomnianym”. Na zasadach i w przypadkach określonych prawem, gdy jest możliwe, osoba, której dane są przetwarzane ma prawo żądać ich usunięcia. Należy jednak pamiętać, że nie zawsze to żądanie może zostać zrealizowane, np. w sytuacji, gdy istnieje obowiązek prawny ich przetwarzania przez administratora przez określony okres czasu.
Prawo do ograniczenia przetwarzania
10.4. RODO przewiduje także możliwość wniesienia w określonych okolicznościach żądania o ograniczenie przetwarzania danych, którego dokonuje administrator, w szczególności w przypadkach, gdy przetwarzanie jest niezgodne z prawem, gdy osoba kwestionuje prawidłowość danych, lub gdy wyczerpały się cele przetwarzania danych przez administratora, a podmiot danych nadal ich potrzebuje (np. w celu obrony roszczeń).
Prawo do wniesienia sprzeciwu wobec przetwarzania
10.5. Sprzeciw wobec przetwarzania danych osobowych przysługuje osobie, której dane dotyczą, w sytuacjach, gdy przetwarzanie odbywa się na podstawie przesłanki z art. 6 ust. 1 lit. e) i f), odpowiednio w związku z realizacją zadań w ramach władzy publicznej lub w interesie publicznym oraz w ramachrealizacji interesu prawnego administratora danych. Jest to istotne prawo podmiotów danych umożliwiające sprzeciw wobec przetwarzania w sytuacji, gdy istnieje nierównowaga stron przetwarzania.
Prawo do przenoszenia danych osobowych
10.6. Dotyczy jedynie przypadków, gdy przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) i jednocześnie przetwarzanie ma charakter zautomatyzowany. Osoba może wówczas żądać, aby administrator przekazał jej komplet zgromadzonych danych na jej temat w formie mającej postać ustrukturyzowanego, powszechnie używanego formatu nadającego się do odczytu maszynowego, a dodatkowo również, żeby jej dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.
Skarga do organu nadzorczego
10.7. Na przetwarzanie niezgodne z prawem, osobie, której dane dotyczą przysługuje zawsze prawo do wniesienia skargi do organu nadzorczego, czyli do Prezesa Urzędu Danych Osobowych.
Wycofanie zgody
10.8. Gdy przetwarzanie odbywa się na podstawie zgody wyrażonej przez osobę, której dane dotyczą, przysługuje jej prawo do wycofania tej zgody w każdym i dowolnym momencie. Co istotne wycofanie zgody nie będzie miało wpływu na legalność przetwarzania przed wycofaniem zgody.