Dostawcy towarów i usług
GWW Grynhoff i Partnerzy Radcowie Prawni i Doradcy Podatkowi spółka partnerska („GWW Legal”) oraz GWW Ladziński, Cmoch i Wspólnicy spółka komandytowa („GWW Tax”) jako Współadministratorzy (administratorzy, którzy wspólnie ustalają cele i sposoby przetwarzania danych), w związku z nabywaniem przez Współadministratorów towarów i usług od kontrahentów i ich podwykonawców/partnerów („Dostawcy”), przetwarzają dane osobowe następujących osób:
- osób fizycznych, od których Współadministratorzy nabywają lub zamierzają nabyć towary lub usługi („Dostawcy będący osobami fizycznymi”),
- osób działających w imieniu lub na rzecz Dostawców, tj. osób kontaktowych, pełnomocników lub osób reprezentujących Dostawców lub potencjalnych Dostawców, a osób fizycznych będących podwykonawcami Dostawców oraz osób działających w imieniu podwykonawców Dostawcy lub na ich rzecz („Przedstawiciele Dostawców”).
Realizując obowiązki nałożone Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”), w związku z przetwarzaniem przez Współadministratorów danych osobowych Dostawców będących osobami fizycznymi, oraz Przedstawicieli Dostawców, Współadministratorzy przedstawiają poniżej informacje dotyczące zasad przetwarzania ich danych osobowych przez Współadministratorów, w tym celów przetwarzania, podstaw prawnych przetwarzania, okresu przechowywania, odbiorców danych osobowych, a także praw przysługujących osobom, których dane osobowe są przetwarzane przez Współadministratorów.
- WSPÓŁADMINISTRATORZY
Współadministratorami danych osobowych Dostawców będących osobami fizycznymi oraz Przedstawicieli Dostawców są spółki:
- GWW Grynhoff i Partnerzy Radcowie Prawni i Doradcy Podatkowi sp. p. z siedzibą w Warszawie przy ul. Książęcej 4 (00-498 Warszawa), wpisana do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m.st. Warszawy w Warszawie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS 0000541501, NIP 7792022623, REGON 631226810, oraz
- GWW Ladziński, Cmoch i Wspólnicy sp. k. z siedzibą w Warszawie przy ul. Książęcej 4 (00-498 Warszawa), wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m.st. Warszawy w Warszawie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS 0000956566, NIP 7010313649, REGON 145496595.
- ZAKRESY ODPOWIEDZIALNOŚCI WSPÓŁADMINISTRATORÓW
W ramach umowy o współadministrowanie zawartej pomiędzy Współadministratorami Współadministratorzy uzgodnili zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO, w tym w szczególności uzgodnili, że:
- w zakresie spełniania obowiązku informacyjnego wobec osób, których dane osobowe dotyczą, zgodnie z postanowieniami art. 12-14 RODO, odpowiedzialny jest Współadministrator, który zbiera dane osobowe lub inicjuje proces zbierania danych osobowych;
- w zakresie realizacji praw osób, których dane osobowe dotyczą, określonych w art. 7 ust. 3 oraz art. 15-22 RODO, tj. wycofania zgody, realizacji prawa dostępu do danych osobowych, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych osobowych, sprzeciwu wobec przetwarzania danych osobowych, odpowiedzialny jest Współadministrator, który otrzymał żądanie;
- w zakresie wywiązywania się przez Współadministratorów z obowiązków dotyczących zarządzania naruszeniami ochrony danych osobowych, ich zgłaszania do organu nadzoru (art. 33 RODO) oraz osoby, której dane osobowe dotyczą (art. 34 RODO), właściwy jest Współadministrator, który jako pierwszy uzyskał informację o naruszeniu; w przypadku równoczesnego uzyskania informacji o naruszeniu, właściwy jest Współadministrator, po którego stronie doszło do naruszenia;
- jeżeli na podstawie powyższych reguł nie można ustalić, który Współadministrator jest odpowiedzialny za wykonanie obowiązków określonych w tych ustępach, odpowiedzialny jest GWW Legal.
Niezależnie od powyższych uzgodnień, osoba, której dane osobowe dotyczą, może wykonywać przysługujące jej prawa wynikające z RODO wobec każdego ze Współadministratorów.
- DANE KONTAKTOWE
Współadministratorzy wyznaczyli jeden punkt kontaktowy dla wszystkich żądań i zapytań dotyczących przetwarzanych przez nich danych osobowych:
- w przypadku kontaktu pocztą tradycyjną, poprzez przesłanie listu na adres: Koordynator ds. danych osobowych: ul. Książęca 4, 00-498, Warszawa, z dopiskiem „Dane osobowe”,
- w przypadku kontaktu pocztą elektroniczną, poprzez przesłanie wiadomości e-mail na adres: odo@gww.pl
- JAKIE DANE OSOBOWE PRZETWARZAJĄ WSPÓŁADMINISTRATORZY I JAKIE JEST ŹRÓDŁO TYCH DANYCH
Współadministratorzy przetwarzają dane osobowe Dostawców będących osobami fizycznymi, które zostały im przekazane bezpośrednio przez Dostawców będących osobami fizycznymi lub przez Przedstawicieli Dostawców, w związku z zawarciem i realizacją umów dotyczących nabycia przez Współadministratorów towarów lub usług, w szczególności imię i nazwisko Dostawcy będącego osobą fizyczną, jego dane kontaktowe, podpis, dane niezbędne do realizacji i rozliczenia nabycia towarów lub usług oraz inne dane osobowe Dostawcy będącego osobą fizyczną, przekazane w ramach kontaktu ze Współadministratorami.
Współadministratorzy mogą również przetwarzać dane osobowe Przedstawicieli Dostawców, udostępnione przez Dostawców lub przekazane bezpośrednio przez Przedstawicieli Dostawców w związku z zawarciem i realizacją umowy pomiędzy Dostawcą a Współadministratorami lub jednym ze Współadministratorów, w szczególności imię i nazwisko Przedstawiciela Dostawcy, jego stanowisko, dane kontaktowe Przedstawiciela Dostawcy, dane zawarte w pełnomocnictwie lub rejestrze, do którego wpisany jest Dostawca, oraz inne dane osobowe Przedstawiciela Dostawcy przekazane w ramach kontaktu ze Współadministratorami.
Podanie danych osobowych Dostawców będących osobami fizycznymi oraz Przedstawicieli Dostawców jest dobrowolne, jednakże niezbędne do zawarcia i realizacji umowy dotyczącej nabycia przez Współadministratorów towarów lub usług.
- CEL PRZETWARZANIA DANYCH OSOBOWYCH ORAZ PODSTAWA PRAWNA
Współadministratorzy przetwarzają dane osobowe Dostawców będących osobami fizycznymi:
- w celu zawarcia i realizacji umowy dotyczącej nabycia przez Współadministratorów towarów lub usług od Dostawców będących osobami fizycznymi (podstawa prawna z art. 6 ustęp 1 litera b RODO);
- w celach wynikających z prawnie uzasadnionych interesów realizowanych przez Współadministratorów lub podmioty trzecie (podstawa prawna z art. 6 ustęp 1 litera f RODO), którymi są: prowadzenie przez Współadministratorów rozliczeń dotyczących produktów i usług dostarczanych przez Dostawców będących osobami fizycznymi, zarządzanie działalnością oraz administrowanie zawartymi z Dostawcami umowami, zawarcie i realizacja umowy z Dostawcami i prowadzenie z nimi rozliczeń (w przypadku gdy Dostawca będący osobą fizyczną jest podwykonawcą lub partnerem Dostawcy), zawarcie i realizacja umowy z klientami Współadministratorów i prowadzenie z nimi rozliczeń, kształtowanie i utrzymywanie relacji biznesowych z Dostawcami będącymi osobami fizycznymi, ustalenie, dochodzenie lub obrona przed roszczeniami, realizacja wewnętrznych procedur (np. dotyczących ochrony danych osobowych), w tym zapobieganie czynom karalnym oraz nadużyciom;
- w celu zapewnienia i wykazania zgodności z nałożonymi na Współadministratorów obowiązkami prawnymi, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Współadministratorach, w szczególności wynikającego z przepisów ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, RODO oraz przepisów podatkowych i rachunkowych (podstawa prawna z art. 6 ustęp 1 litera c RODO);
- w innych celach, na podstawie odrębnie udzielonej przez Dostawcę będącego osobą fizyczną zgody (podstawa prawna z art. 6 ustęp 1 litera a RODO).
Współadministratorzy przetwarzają dane osobowe Przedstawicieli Dostawców:
- w celach wynikających z prawnie uzasadnionych interesów realizowanych przez Współadministratorów lub podmioty trzecie (podstawa prawna z art. 6 ustęp 1 litera f RODO), którymi są: zawarcie i realizacja umowy dotyczącej nabycia przez Współadministratorów towarów lub usług od Dostawców oraz prowadzenie w zakresie zawartej umowy rozliczeń, zarządzanie działalnością oraz administrowanie zawartymi z Dostawcami umowami, kształtowanie i utrzymywanie relacji biznesowych z Dostawcami, ustalenie, dochodzenie lub obrona przed roszczeniami; realizacja wewnętrznych procedur (np. dotyczących ochrony danych osobowych), w tym zapobieganie czynom karalnym oraz nadużyciom;
- w celu zapewnienia i wykazania zgodności z nałożonymi na Współadministratorów obowiązkami prawnymi, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Współadministratorach, w szczególności wynikającego z przepisów ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, RODO oraz przepisów podatkowych i rachunkowych (podstawa prawna z art. 6 ustęp 1 litera c RODO);
- w innych celach, na podstawie odrębnie udzielonej przez Przedstawiciela Dostawcy zgody (podstawa prawna z art. 6 ustęp 1 litera a RODO).
- ODBIORCY DANYCH OSOBOWYCH
Współadministratorzy udostępniają dane osobowe innym podmiotom (odbiorcom danych osobowych), wyłącznie w przypadku, gdy posiadają ku temu podstawę prawną. Jeżeli Współadministratorzy przekazują dane osobowe odbiorcom znajdującym się poza Unią Europejską lub Europejskim Obszarem Gospodarczym (EOG), odbywa się to tylko wówczas, jeżeli w stosunku do tego kraju trzeciego Komisja Europejska potwierdziła stosowny poziom ochrony danych lub z odbiorcą danych został uzgodniony stosowny poziom ochrony danych (np. z wykorzystaniem tzw. standardowych klauzul umownych).
Dane osobowe mogą zostać udostępnione organom publicznym lub innym podmiotom uprawnionym do takiego dostępu na podstawie przepisów prawa.
Odbiorcami danych osobowych Dostawców będących osobami fizycznymi oraz Przedstawicieli Dostawców mogą być również: podmioty świadczące na rzecz Współadministratorów usługi teleinformatyczne, podmioty świadczące usługi wsparcia informatycznego/ technicznego/ serwisowego, dostawcy wykorzystywanego przez Współadministratorów oprogramowania, podmioty świadczące usługi kurierskie lub pocztowe, banki – jeśli konieczne jest dokonywanie rozliczeń, podmioty świadczące usługi księgowe i rozliczeniowe, inne podmioty współpracujące ze Współadministratorami w związku ze świadczonymi usługami (np. firmy doradcze/audytorskie).
Przetwarzanie danych osobowych w systemach teleinformatycznych, może skutkować przekazaniem tych danych na serwery dostawców oprogramowania i usług IT, w związku z korzystaniem przez Współadministratorów z usług/oprogramowania, które wyżej wymienieni dostawcy dostarczają. Niektóre z tych serwerów znajdują się w USA. Transfer danych do USA odbywa się tylko wówczas, gdy odbiorca danych przystąpił do programu „Ramy ochrony danych UE – USA” (tj. Komisja Europejska potwierdziła stosowny poziom ochrony danych) lub z odbiorcą danych został uzgodniony stosowny poziom ochrony danych z wykorzystaniem tzw. standardowych klauzul umownych. Kopia stosowanych zabezpieczeń, w tym standardowych klauzul umownych może być uzyskana od Współadministratorów..
- OKRES PRZECHOWYWANIA DANYCH OSOBOWYCH
Współadministratorzy nie przechowują danych osobowych dłużej niż to konieczne do osiągnięcia celów, do jakich dane zostały zgromadzone.
Dane osobowe, uzyskane w związku z zawarciem i realizacją umowy pomiędzy Dostawcą a Współadministratorem, są przetwarzane do końca okresu przedawnienia roszczeń, które mogą potencjalnie wynikać z zawartej z Współadministratorem lub Współadministratorami umowy.
Dane osobowe przetwarzane w oparciu o uzasadniony interes Współadministratorów przetwarzane będą do czasu ustania celu przetwarzania lub wniesienia przez osobę, której dane osobowe dotyczą skutecznego sprzeciwu (w zależności od tego, co nastąpi wcześniej).
W przypadku danych osobowych wymaganych do spełnienia obowiązku prawnego, któremu podlegają Współadministratorzy, dane osobowe będą przetwarzane przez okres wynikający z obowiązujących przepisów prawnych.
Dane osobowe przetwarzane w oparciu o wyrażoną przez Dostawcę będącego osobą fizyczną /Przedstawiciela Dostawcy zgodę, będą przetwarzane do czasu wycofania zgody lub ustania celu przetwarzania (w zależności od tego, co nastąpi wcześniej).
- INFORMACJA O ZAUTOMATYZOWANYM PODJEMOWANIU DECYZJI W TYM PROFILOWANIU
Dane osobowe nie będą przetwarzane w sposób wyłącznie zautomatyzowany (w tym w formie profilowania), mogący wywoływać wobec osób, których dane osobowe dotyczą skutki prawne lub w podobny sposób istotnie wpływać na ich sytuację.
- PRAWA OSÓB, KTÓRYCH DANE OSOBOWE DOTYCZĄ
W zakresie i przypadkach określonych przepisami, w szczególności RODO, osobom, których dane osobowe są przetwarzane (podmiotom danych), w tym Dostawcom będącym osobami fizycznymi oraz Przedstawicielom Dostawców, przysługują następujące prawa:
- Prawo do wycofania zgody (art. 7 RODO) – jeżeli przetwarzanie danych osobowych realizowane jest w oparciu o zgodę, zgoda ta może być w każdym czasie cofnięta przez podmiot danych (nie ma to jednak wpływu na zgodność z prawem przetwarzania dokonanego przed wycofaniem zgody). Zgoda jest całkowicie dobrowolna.
- Prawo dostępu oraz prawo do uzyskania kopii danych (art. 15 RODO) – podmiot danych uprawniony jest do uzyskania od Współadministratorów informacji o przetwarzaniu jego danych osobowych – w tym o źródle danych osobowych, celach przetwarzania, kategoriach przetwarzanych danych osobowych, planowanym okresie przetwarzania oraz o odbiorcach, którym dane są ujawniane – a także do uzyskania kopii jego danych osobowych, które są przez Współadministratorów przetwarzane. Prawo do uzyskania kopii nie może niekorzystnie wpływać na prawa i wolności innych (w tym wynikające z przysługujących im praw autorskich czy tajemnic handlowych).
- Prawo do sprostowania (poprawiania) danych osobowych (art. 16 RODO) – podmiot danych ma prawo zwrócenia się do Współadministratorów z wnioskiem o sprostowanie nieprawidłowych lub uzupełnienie niekompletnych danych osobowych, które dotyczą podmiotu danych.
- Prawo do usunięcia danych osobowych („prawo do bycia zapomnianym” z art. 17 RODO) – podmiot danych ma prawo żądać od Współadministratorów niezwłocznego usunięcia swoich danych osobowych w przypadku, gdy (i) dane osobowe nie są już potrzebne do celów, do których zostały zebrane lub w inny sposób przetwarzane, (ii) cofnął zgodę, na podstawie której odbywało się przetwarzanie, i nie będzie istniała inna podstawa prawna do przetwarzania przez Współadministratorów jego danych osobowych, (iii) wniósł sprzeciw na mocy artykułu 21 ustęp 1 RODO wobec przetwarzania i nie będą istniały żadne nadrzędne uzasadnione podstawy do przetwarzania jego danych osobowych lub wniósł sprzeciw na mocy art. 21 ust. 2 RODO wobec przetwarzania jego danych osobowych, (iv) jego dane osobowe były przetwarzane niezgodnie z prawem, (v) usunięcie jego danych osobowych jest wymagane w celu wywiązania się z obowiązku prawnego, któremu podlega Współadministrator, (vi) jego dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w artykule 8 ustęp 1 RODO. Prawo do usunięcia danych nie jest prawem bezwzględnym. Prawo to nie przysługuje w zakresie, w jakim przetwarzanie jest niezbędne m.in. do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa, któremu podlega Współadministrator czy do ustalenia, dochodzenia lub obrony roszczeń.
- Prawo do ograniczenia przetwarzania danych osobowych (art. 18 RODO) – podmiot danych ma prawo zwrócenia się do Współadministratorów z żądaniem ograniczenia przetwarzania swoich danych osobowych, w przypadku gdy (i) kwestionuje prawidłowość jego danych osobowych – na okres pozwalający Współadministratorom sprawdzić prawidłowość tych danych; (ii) przetwarzanie jest niezgodne z prawem, a podmiot danych sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania, (iii) Współadministrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne podmiotowi danych do ustalenia, dochodzenia lub obrony roszczeń; (iv) podmiot danych wniósł sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie Współadministratorów są nadrzędne wobec podstaw sprzeciwu podmiotu danych. Realizacja tego prawa oznacza, że Współadministratorzy mogą przetwarzać dane osobowe, których żądanie dotyczy, z wyjątkiem przechowywania, wyłącznie za zgodą podmiotu danych lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.
- Prawo do przenoszenia danych osobowych (art. 20 RODO) – podmiot danych ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jego dotyczące, które dostarczył Współadministratorom, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony Współadministratorów, którym dostarczono te dane osobowe, jeżeli (i) przetwarzanie odbywa się na podstawie zgody lub na podstawie umowy; oraz (ii) przetwarzanie odbywa się w sposób zautomatyzowany. Podmiot danych ma przy tym prawo żądania, by jego dane osobowe zostały przesłane przez Współadministratorów bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe. Realizacja prawa do przenoszenia danych osobowych, nie może niekorzystnie wpływać na prawa i wolności innych.
- Prawo do wyrażenia sprzeciwu (art. 21 RODO) – podmiot danych ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jego szczególną sytuacją – wobec przetwarzania dotyczących jego danych osobowych opartego m.in. na prawnie uzasadnionym interesie Współadministratorów, w tym profilowania. Realizacja tego prawa oznacza, że Współadministratorom nie wolno już przetwarzać tych danych osobowych, chyba że wykażą oni istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności podmiotu danych lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. Jeżeli Współadministratorzy przetwarzają dane osobowe na potrzeby marketingu bezpośredniego, podmiot danych ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jego danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim. Realizacja tego prawa oznacza, że Współadministratorzy nie będą przetwarzać danych osobowych do takich celów.
Współadministratorzy zrealizują powyższe prawa zgodnie z przepisami RODO oraz innymi właściwymi przepisami. W celu realizacji przysługujących podmiotom danych praw lub uzyskania dalszych informacji dotyczących przysługujących im praw należy skontaktować się ze Współadministratorami (dane kontaktowe wskazano w pkt 3).
- PRAWO DO SKARGI
Jeżeli Dostawca będący osobą fizyczną lub Przedstawiciel Dostawcy uzna, że przetwarzanie jego danych osobowych przez Współadministratorów narusza przepisy RODO lub inne powszechnie obowiązujące przepisy dotyczące ochrony danych osobowych, może złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych.