Polityka prywatności Tajemniczy Klient
1. Administrator danych
Administratorem danych osobowych jest firma działająca pod marką "Tajemniczy Klient", NIP: 8522672145. Szczegółowe dane rejestrowe i kontaktowe są udostępniane w Serwisie, w korespondencji z Klientem oraz w dokumentach sprzedaży.
Kontakt z Administratorem jest możliwy pod adresem e-mail i numerem telefonu wskazanym w Serwisie.
Jeżeli Administrator wyznaczy inspektora ochrony danych, jego dane kontaktowe zostaną opublikowane w tym dokumencie.
2. Jakie dane przetwarzamy
Możemy przetwarzać w szczególności:
- dane identyfikacyjne i kontaktowe Klienta: imię, nazwisko, firma, NIP, adres e-mail, telefon, dane rozliczeniowe,
- dane konta: login/e-mail, hasło w postaci skrótu kryptograficznego, historia logowania w zakresie niezbędnym dla bezpieczeństwa,
- dane zamówienia: wybrany pakiet, Brief, lokalizacje, statusy, treść raportu,
- dane płatności: status płatności, identyfikator transakcji, kwota; pełnych danych karty nie przechowuje Serwis,
- dane supportu: treść zgłoszeń, załączniki i korespondencję,
- dane osób realizujących wizyty i menadżerki: dane kontaktowe, treść zgłoszeń raportowych i decyzje akceptacyjne,
- dane techniczne: adres IP, identyfikatory sesji, logi bezpieczeństwa, pliki cookies niezbędne.
Klient nie powinien przekazywać danych nadmiarowych, w szczególności danych szczególnych kategorii, danych o karalności, danych medycznych, danych dzieci lub danych osób trzecich, jeżeli nie ma podstawy do ich przekazania.
3. Cele i podstawy prawne
Dane przetwarzamy w następujących celach:
- założenie i obsługa konta, złożenie zamówienia, realizacja wizyty tajemniczego klienta i udostępnienie raportu - art. 6 ust. 1 lit. b RODO,
- obsługa płatności, dokumentów księgowych, podatków i obowiązków prawnych - art. 6 ust. 1 lit. c RODO,
- obsługa reklamacji, supportu i dochodzenie lub obrona roszczeń - art. 6 ust. 1 lit. f RODO,
- bezpieczeństwo Serwisu, logi techniczne, zapobieganie nadużyciom - art. 6 ust. 1 lit. f RODO,
- wysyłka komunikatów transakcyjnych dotyczących zamówienia - art. 6 ust. 1 lit. b lub f RODO,
- marketing własny, newsletter albo analityka niewymagana technicznie - wyłącznie po spełnieniu wymogów zgody albo innej właściwej podstawy prawnej.
Jeżeli przetwarzanie odbywa się na podstawie zgody, można ją wycofać w dowolnym momencie bez wpływu na zgodność z prawem wcześniejszego przetwarzania.
4. Odbiorcy danych
Dane mogą być przekazywane:
- dostawcy hostingu i infrastruktury technicznej,
- dostawcy poczty e-mail (Gmail Workspace lub Microsoft 365 / Outlook) – do wysyłki e-maili transakcyjnych i obsługi kontaktu z klientem,
- operatorom płatności: Przelewy24 (DialCom24 sp. z o.o.) lub PayU S.A. – wybór operatora dla każdej transakcji zależy od preferencji Klienta,
- Krajowemu Systemowi e-Faktur (KSeF) prowadzonemu przez Ministerstwo Finansów – w zakresie danych zawartych na fakturze sprzedaży i fakturze korygującej,
- aplikacjom obsługującym pracę osób realizujących wizyty - w zakresie niezbędnym do zlecania wizyt,
- osobom współpracującym wyłącznie w zakresie potrzebnym do realizacji wizyty (osoba realizująca wizytę widzi adres lokalizacji, wytyczne wizyty i opcjonalny opis kontekstu),
- księgowości, doradcom prawnym, podatkowym i technicznym,
- organom publicznym, jeżeli wymagają tego przepisy prawa.
Lista konkretnych dostawców może być udostępniona Klientowi w zakresie wymaganym przez przepisy prawa.
5. Transfer danych poza EOG
Jeżeli korzystamy z dostawców, którzy mogą przetwarzać dane poza Europejskim Obszarem Gospodarczym, stosujemy mechanizmy przewidziane przez RODO, np. decyzję stwierdzającą odpowiedni stopień ochrony, standardowe klauzule umowne albo inne wymagane zabezpieczenia.
Przy wyborze dostawców weryfikujemy lokalizację przetwarzania danych oraz wymagane zabezpieczenia transferów poza EOG.
6. Okres przechowywania
Dane przechowujemy przez okres potrzebny do realizacji celu:
- konto - przez czas posiadania konta, a po usunięciu w zakresie potrzebnym do rozliczeń i roszczeń,
- zamówienia, płatności i dokumenty księgowe - przez okres wymagany przepisami podatkowymi i rachunkowymi,
- Brief i raport - przez czas obsługi zamówienia, a następnie przez okres przedawnienia roszczeń, chyba że uzgodniono krótszy okres,
- zgłoszenia supportowe - przez czas obsługi sprawy i okres potrzebny do wykazania jej przebiegu,
- logi bezpieczeństwa - przez okres adekwatny do celu bezpieczeństwa,
- dane przetwarzane na podstawie zgody - do wycofania zgody lub ustania celu.
7. Prawa osób, których dane dotyczą
Osoba, której dane dotyczą, ma prawo:
- dostępu do danych,
- sprostowania danych,
- usunięcia danych,
- ograniczenia przetwarzania,
- przenoszenia danych,
- sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie,
- wycofania zgody,
- złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
Żądania można kierować na adres kontaktowy wskazany w Serwisie.
8. Zautomatyzowane decyzje
Serwis nie powinien podejmować wobec Klientów decyzji wywołujących skutki prawne lub podobnie istotnie wpływających wyłącznie w sposób zautomatyzowany. Jeżeli w przyszłości pojawią się takie mechanizmy, Polityka zostanie zaktualizowana.
9. Bezpieczeństwo
Stosujemy środki organizacyjne i techniczne dobrane do ryzyka, w szczególności kontrolę dostępu, hasła przechowywane w postaci skrótów, tokeny CSRF, ograniczenia sesji, logi bezpieczeństwa i rozdzielenie ról.
Procedury backupu, retencji, obsługi incydentów i nadawania dostępów są rozwijane adekwatnie do ryzyka i skali działania Serwisu.
10. Dane osób trzecich w briefie
Jeżeli Klient przekazuje dane pracowników, współpracowników lub innych osób, powinien mieć podstawę prawną do ich przekazania oraz przekazać im wymagane informacje, chyba że przepisy przewidują wyjątek.
W przypadku gdy zakres wizyty wymaga powierzenia przetwarzania danych, strony powinny zawrzeć umowę powierzenia przetwarzania danych.