Rejestr czynności przetwarzania danych osobowych

Rejestr czynności przetwarzania danych osobowych obowiązuje w firmie:

ANNA KWASIGROCH FIRMA HANDLOWA PAPIER BOX 30-110 Kraków, ul. Filarecka, nr 17A, Firma wpisana do Centralnej Ewidencji i Informacji Gospodarczej pod numerami ewidencyjnymi: REGON: 350500355, NIP: 6760002054 zwanej dalej ADMINISTRATOREM.

Rejestr czynności sporządzono w oparciu o wytyczne w dokumencie:

Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – zwane dalej RODO oraz o przepisy powiązane.

Zbiory danych osobowych podlegające przepisom rozporządzenia:

Zbiór A. „Rejestr sprzedaży i rozliczeń”

a) cel przetwarzania danych osobowych – W związku z prowadzoną działalnością jako potwierdzenie dokonanej sprzedaży dla przedsiębiorców oraz na żądanie – dla konsumentów – są wystawiane faktury.

Dokumenty sprzedaży – faktury są wystawiane w programie komputerowym:
RETOM Faktury dostarczonym przez firmę:

ZAKŁAD USŁUG INFORMATYCZNYCH RETOM RENATA RUTKOWSKA WITOLD RUTKOWSKI ELŻBIETA TOMCZYK ul. Piotra Stachiewicza 9, 31-303 Kraków REGON 350536123, NIP6760032397,

W programie są wystawiane faktury potwierdzające sprzedaż prowadzoną :
– poprzez sklep internetowy,
– poprzez aukcje na portalu allegro.pl,
– poprzez sklep stacjonarny,
– jako realizacja zamówień przyjętych telefonicznie bądź poprzez e-mail,

W programie fakturowym każdy klient, który dokona zakupu ma w bazie danych programu zakładane swoje konto. Konto służy do ewidencji sprzedaży i rozliczeń z klientem.

Dane kontrahenta są przetwarzane w celu
– utrzymania konta klienta,
– prowadzenia rozliczeń z klientem,
– wystawienia dokumentów sprzedaży i dokumentów korygujących,
– ewidencji potwierdzeń wysyłki paczek,
– rejestrowania zwrotów z tytułu odstąpienia od umowy

b) forma zbioru danych – baza danych jest tworzona na serwerze lokalnym

c) opis kategorii osób, których dane dotyczą – klienci dokonujący zakupu, lub składający zamówienie poprzez sklep internetowy, sklep stacjonarny lub platformy aukcyjne,

d) opis oraz kategorie danych osobowych,

– imię i nazwisko lub nazwa firmy,
– adres,
– adres do wysyłki,
– numer telefonu,
– adres poczty elektronicznej e-mail,
– w przypadku przedsiębiorcy – NIP.

e) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione – wraz z informacją o podpisaniu umowy o powierzeniu do przetwarzania danych osobowych:

f) Dane osobowe nie są przekazywane do państwa trzeciego lub organizacji międzynarodowej poza UE.

g) planowane terminy usunięcia poszczególnych kategorii danych – dane są przechowywane przez okres wymagany dla dokumentacji podatkowej – 6 lat od końca roku kalendarzowego, w którym wystawiono dokument

h) ogólny opis technicznych i organizacyjnych środków bezpieczeństwa zawiera
„INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych”

Zbiór B. „Rejestr finansowo-księgowy KPiR”

a) cel przetwarzania danych osobowych –
W związku z prowadzoną działalnością jako forma rozliczenia księgowego prowadzona jest Książka Przychodów i Rozchodów (KPiR). Księgowość jest prowadzona we własnym zakresie. Do prowadzenia KPiR jest wykorzystywany program RETOM SKP dostarczonym przez firmę:

ZAKŁAD USŁUG INFORMATYCZNYCH RETOM RENATA RUTKOWSKA WITOLD
RUTKOWSKI ELŻBIETA TOMCZYK
ul. Piotra Stachiewicza 9, 31-303 Kraków
REGON 350536123, NIP6760032397,

b) forma zbioru danych – baza danych tworzona na serwerze lokalnym
– kopie faktur oraz dokumenty kosztowe wpięte do segregatora przechowywane są w firmie w zamkniętych szafach.

c) opis kategorii osób, których dane dotyczą
– klienci dokonujący zakupu oraz dostawcy

d) opis oraz kategorie danych osobowych,
– imię i nazwisko lub nazwa firmy,
– adres,
– w przypadku przedsiębiorcy – NIP.

e) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione – wraz z informacją o podpisaniu umowy o powierzeniu do przetwarzania danych osobowych:
Dane z KPiR są przekazywane wyłącznie w formie deklaracji do Urzędów Skarbowych w
zakresie wymaganym przepisami.

f) Dane osobowe nie są przekazywane do państwa trzeciego lub organizacji międzynarodowej poza UE.

g) planowane terminy usunięcia poszczególnych kategorii danych – dane są przechowywane przez okres wymagany dla dokumentacji podatkowej – 6 lat od końca roku kalendarzowego, w którym wystawiono dokument

h) ogólny opis technicznych i organizacyjnych środków bezpieczeństwa zawiera
„INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych”

Zbiór C. „Rejestr użytkowników strony sklepu internetowego”

a) cel przetwarzania danych osobowych – Klient może na stronie www założyć konto (zarejestrować się) i następnie jako zalogowany użytkownik złożyć zamówienie lub złożyć zamówienie bez tworzenia swojego konta. Dane osobowe użytkownika zarejestrowanego są przetwarzane w celu:
– utrzymania konta użytkownika,
– zrealizowania zamówienia – w tym celu dane są przetwarzane w celu sporządzenia dokumentu sprzedaży oraz przekazywane do firmy kurierskiej celem dostarczenia przesyłki na wskazany adres,
– dodatkowo jeżeli w trakcie rejestracji użytkownik wyrazi zgodę na otrzymywanie biuletynu informacyjnego w formie newslettera – w celu przesyłania biuletynu.

b) forma zbioru danych – baza danych tworzona na serwerze zdalnym w firmie hostingowej. Sklep internetowy prowadzony jest pod domeną www.papierbox.com
Do obsługi sklepu internetowego wykorzystywane jest oprogramowanie sklepu internetowego opracowane we własnym zakresie.

c) opis kategorii osób, których dane dotyczą
– użytkownicy strony, którzy założą konto lub dokonają zakupu w sklepie internetowym,

d) opis oraz kategorie danych osobowych,
– imię i nazwisko lub nazwa firmy,
– adres do wysyłki
– telefon,
– adres e-mail,
– NIP.

e) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione – wraz z informacją o podpisaniu umowy o powierzeniu do przetwarzania danych osobowych:

Oprogramowanie zostało skonfigurowane i umieszczone na serwerze firmy hostingowej:
SERVERADMIN PL SP Z O O, ul. Krakowska 66, 35-506 Rzeszów, KRS 0000639143, REGON 365489544, NIP 5170377048

Dane osobowe są zapisywane na serwerze w postaci zaszyfrowanych plików baz danych. Z firmą hostingową została podpisana umowa o powierzeniu do przetwarzania danych osobowych. Do transmisji danych osobowych wykorzystywany jest protokół szyfrowania danych SSL.

f) Dane osobowe nie są przekazywane do państwa trzeciego lub organizacji międzynarodowej poza UE.

g) planowane terminy usunięcia poszczególnych kategorii danych – dane są przechowywane nie krócej niż okres ważności rękojmi na sprzedane produkty – i nie dłużej niż do końca roku kalendarzowego, w którym zakończyła się ważność rękojmi.

h) ogólny opis technicznych i organizacyjnych środków bezpieczeństwa zawiera „INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Zbiór D . „Rejestry wysłanych przesyłek (paczek) z zamówionymi produktami”

a) cel przetwarzania danych osobowych – klient dokonujący zakupu „na odległość” poprzez sklep internetowy lub platformy aukcyjne składa zamówienie. W celu realizacji – zamówione produkty są wysyłane z pośrednictwem firmy kurierskiej UPS. Firma kurierska udostępnia aplikację umożliwiającą bezpośrednie – drogą elektroniczną za pośrednictwem internetu – złożenie zamówienia na odebranie przesyłki z równoczesnym wygenerowaniem listu przewozowego. Baza danych koniecznych do wydrukowania listu przewozowego przetwarzana jest bezpośrednio na serwerze administrowanym przez firmę kurierską. Firma kurierska pełni rolę procesora dla tych danych.

b) forma zbioru danych
Dane adresowe do dostarczenia przesyłki są wprowadzane bezpośrednio do aplikacji udostępnianych przez firmę kurierską – do baz danych przetwarzanych na serwerach administrowanych przez tą firmę.

c) opis kategorii osób, których dane dotyczą
– klienci dokonujący zakupu, do których w celu realizacji umowy są wysyłane paczki.

d) opis oraz kategorie danych osobowych,
– imię i nazwisko,
– adres do wysyłki
– telefon,
– adres e-mail

e) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione – wraz z informacją o podpisaniu umowy o powierzeniu do przetwarzania danych osobowych:

W celu dostarczenia przesyłek z zamówionymi w sklepie internetowym produktów dane osobowe są przekazywane firmie kurierskiej UPS, z którą została podpisana umowa o powierzeniu do przetwarzania danych osobowych.

f) Dane osobowe nie są przekazywane do państwa trzeciego lub organizacji międzynarodowej poza UE.

g) planowane terminy usunięcia poszczególnych kategorii danych – dane o charakterze dokumentacji podatkowej są przechowywane w terminach określonych dla takiej dokumentacji – 6 lat, pozostałe 1 rok.

h) ogólny opis technicznych i organizacyjnych środków bezpieczeństwa zawiera
„INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych”

Zbiór E. „Rejestr formularzy reklamacji”

a) cel przetwarzania danych osobowych
Klienci mogą składać zgłoszenia reklamacji oraz oświadczenia o odstąpieniu od umowy w formie telefonicznej, wiadomości e-mail lub przesyłki pocztowej lub kurierskiej. Na podstawie otrzymanych informacji sporządzone są notatki dotyczące reklamacji i zwrotów na luźnych kartkach papieru. Informacje mają luźny charakter – są zbiorem informacji pozwalającym na realizację zgłoszenia. We wpisach są stosowane skróty i hasła zrozumiałe dla obsługi sprzedaży. Zgłoszenia są wpinane do segregatora. Segregator przechowywany jest w zamkniętej szafie.

b) forma zbioru danych – forma papierowa – notatki na luźnych kartkach – wpinane do segregatora – wpisy dowolnie redagowane.

c) opis kategorii osób, których dane dotyczą
– klienci którzy złożyli zgłoszenia reklamacji lub oświadczenia o odstąpieniu od umowy,

d) opis oraz kategorie danych osobowych,
– imię i nazwisko lub nazwa firmy,
– adres,
– adres do wysyłki,
– numer telefonu,
– adres poczty elektronicznej e-mail,
– w przypadku przedsiębiorcy – NIP.

e) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione – wraz z informacją o podpisaniu umowy o powierzeniu do przetwarzania danych osobowych:
Dane nie są przekazywane innym podmiotom.

f) Dane osobowe nie są przekazywane do państwa trzeciego lub organizacji międzynarodowej
poza UE.

g) planowane terminy usunięcia poszczególnych kategorii danych – dane są przechowywane w terminach nie krótszych niż okres obowiązywania rękojmi na sprzedane produkty i nie dłuższych niż do końca roku kalendarzowego po zakończeniu ważności rękojmi.

h) ogólny opis technicznych i organizacyjnych środków bezpieczeństwa zawiera
„INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych”

Zbiór F. „Ewidencja pomocnicza klientów”

a) cel przetwarzania danych osobowych
Na potrzeby ułatwienia w organizacji obsługi klientów są tworzone dodatkowe bazy danych
klientów, zamówień itd. związanych z realizacja zamówień.

b) forma zbioru danych – arkusze excel tworzone we włąsnym zakresie – o treści wynikającej z doraźnych potrzeb, przechowywane w folderze na komputerze lokalnym. Dostęp do folderu zabezpieczony hasłem.

c) opis kategorii osób, których dane dotyczą
– klienci i dostawcy

d) opis oraz kategorie danych osobowych,
– imię i nazwisko , nazwa firmy
– adres,
– telefon,
– e-mail

e) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione – wraz z informacją o podpisaniu umowy o powierzeniu do przetwarzania danych osobowych:
– dane nie są udostępniane innym podmiotom.

f) Dane osobowe nie są przekazywane do państwa trzeciego lub organizacji międzynarodowej poza UE.

g) planowane terminy usunięcia poszczególnych kategorii danych – ewidencję przechowuje się nie dłużej niż przez okres 3 lat od zakończenia roku, w którym został dokonany wpis.

h) ogólny opis technicznych i organizacyjnych środków bezpieczeństwa zawiera
„INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych”

Zbiór G. Rejestr kont e-mail

W związku z prowadzoną działalnością firma udostępnia klientom i pracownikom skrzynki do wiadomości e-mail. Do użytku firmowego są przeznaczone poniższe adresy poczty elektronicznej – administrowane przez firmę:
AZ.pl. Sp.z o.o. ul. Zbożowa 4, 70-653 Szczecin

Dostęp do treści wiadomości znajdujących się w skrzynkach e-mail mają wyłącznie osoby upoważnione przez Administratora. Wiadomości e-mail służą do korespondencji z klientami, przyjmowania zamówień i nadzoru nad ich realizacją, przyjmowania reklamacji itp. W wiadomościach e-mail mogą być zawarte dane osobowe podlegające ochronie – po zapoznaniu się z treścią maila – dane osobowe są przenoszone do jednego z wyżej wymienionych zbiorów danych. Wiadomość e-mail – jeżeli ma znaczenie dowodowe jest archiwizowana na koncie e- mail. Z firmą obsługująca program pocztowy zawarto umowę z uwzględnieniem warunków umowy o powierzeniu do przetwarzania danych osobowych.

Załącznik nr 1.

Wykaz zawartych umów powierzenia danych osobowych do przetwarzania.

1. Firma hostingowa – SERVERADMIN PL SP Z O O,
ul. Krakowska 66, 35-506 Rzeszów, KRS 0000639143, REGON 365489544, NIP
5170377048
2. firma UPS Polska Sp. z o. o. (United Parcel Service) z siedzibą w Warszawie 01-222, ul.
Prądzyńskiego 1/3, Spółka wpisana do rejestru przedsiębiorców pod nr KRS 0000036680, NIP:
522-10-04-200, Regon 10771280, realizująca usługę kurierską.
3. AZ.pl Sp. z o.o.
ul. Zbożowa 4, 70-653 Szczecin, KRS 360147, REGON 810903 927, NIP: PL8561164306