Polityka prywatności systemu OMS
POLITYKA PRYWATNOŚCI SYSTEMU OMS
obowiązująca od dnia wdrożenia systemu
§1. Informacje ogólne
- Niniejsza Polityka prywatności opisuje zasady przetwarzania danych osobowych w związku z korzystaniem z systemu OMS - System Zarządzania Zamówieniami, zwanego dalej „Systemem".
- System jest zamkniętą aplikacją webową przeznaczoną wyłącznie dla uprawnionych użytkowników wskazanych przez Klienta.
- System nie jest publicznym serwisem internetowym i nie umożliwia samodzielnej rejestracji kont przez osoby trzecie.
§2. Administrator danych i podmiot przetwarzający
- Administratorem danych osobowych użytkowników korzystających z Systemu w ramach działalności Klienta jest co do zasady Klient wskazany w umowie głównej.
- Podmiotem przetwarzającym dane osobowe w imieniu Klienta w zakresie utrzymania, hostingu, obsługi technicznej i wsparcia Systemu jest Usługodawca wskazany w umowie głównej, zwany dalej „Procesorem".
- Szczegółowe zasady powierzenia przetwarzania danych osobowych określa odrębna umowa powierzenia przetwarzania danych osobowych zawarta pomiędzy Klientem a Procesorem.
- W sprawach dotyczących danych osobowych można kontaktować się pod adresem e-mail wskazanym w umowie głównej.
§3. Kategorie użytkowników
System może przetwarzać dane następujących kategorii osób:
- użytkowników Systemu z rolą ADMIN,
- użytkowników Systemu z rolą OPERATOR,
- użytkowników Systemu z rolą VIEWER / Podgląd,
- osób kontaktowych po stronie dostawców, magazynów, kontrahentów lub podwykonawców Klienta,
- osób wskazanych w danych importowanych z plików Excel, jeżeli takie dane znajdują się w importowanych plikach,
- osób, których dane pojawiają się w dokumentach WZ, raportach, notatkach lub danych operacyjnych Systemu.
§4. Zakres przetwarzanych danych
- W ramach kont użytkowników System może przetwarzać:
- imię i nazwisko,
- adres e-mail,
- zaszyfrowane hasło,
- rolę systemową,
- status konta,
- datę utworzenia i modyfikacji konta,
- informacje o operacjach wykonanych przez użytkownika w Systemie.
- W ramach danych technicznych System może przetwarzać:
- znaczniki czasu operacji,
- dane sesji użytkownika,
- tokeny techniczne niezbędne do działania logowania,
- informacje zapisane w historii audytu,
- dane dotyczące wysyłki dokumentów e-mail.
- W ramach danych operacyjnych System może przetwarzać:
- dane stacji BTS/5G,
- numery zamówień SAP,
- dane dokumentów WZ,
- dane produktów, ilości, statusów i zamówień,
- dane dostawców,
- dane magazynów,
- dane osób kontaktowych,
- dane adresowe,
- dane z importowanych plików Excel,
- dane zawarte w raportach PDF, XLSX i CSV.
- System nie powinien być używany do przetwarzania szczególnych kategorii danych osobowych, takich jak dane o zdrowiu, dane biometryczne, dane dotyczące przekonań religijnych, politycznych lub inne dane wrażliwe, chyba że Strony odrębnie ustalą takie przetwarzanie i zapewnią wymaganą podstawę prawną oraz zabezpieczenia.
§5. Cele przetwarzania danych
Dane osobowe są przetwarzane w następujących celach:
- umożliwienie logowania i korzystania z Systemu,
- zarządzanie kontami użytkowników i uprawnieniami,
- zapewnienie bezpieczeństwa Systemu,
- prowadzenie historii audytu i rozliczalności operacji,
- obsługa dokumentów WZ,
- import i przetwarzanie danych operacyjnych z plików Excel,
- generowanie raportów,
- wysyłka dokumentów i komunikatów technicznych,
- obsługa zgłoszeń supportowych,
- utrzymanie, diagnozowanie i rozwój Systemu,
- realizacja obowiązków prawnych i umownych,
- ochrona roszczeń i obrona przed roszczeniami.
§6. Podstawy prawne przetwarzania
- Dane osobowe mogą być przetwarzane na podstawie:
- art. 6 ust. 1 lit. b RODO - gdy przetwarzanie jest niezbędne do wykonania umowy lub podjęcia działań przed jej zawarciem,
- art. 6 ust. 1 lit. c RODO - gdy przetwarzanie jest niezbędne do wykonania obowiązku prawnego,
- art. 6 ust. 1 lit. f RODO - gdy przetwarzanie jest niezbędne do realizacji prawnie uzasadnionego interesu, w szczególności zapewnienia bezpieczeństwa, audytu, obrony przed roszczeniami i utrzymania Systemu,
- art. 28 RODO - w zakresie, w jakim Klient powierza Procesorowi przetwarzanie danych osobowych.
- W przypadku danych użytkowników będących pracownikami lub współpracownikami Klienta, szczegółowa podstawa przetwarzania danych przez Klienta wynika z relacji prawnej pomiędzy Klientem a daną osobą.
§7. Odbiorcy danych
- Dane osobowe mogą być udostępniane następującym kategoriom odbiorców:
- Usługodawcy jako podmiotowi technicznie utrzymującemu System,
- dostawcy hostingu,
- dostawcy usług poczty elektronicznej / SMTP,
- dostawcy backupu,
- podmiotom świadczącym usługi IT, bezpieczeństwa lub utrzymania infrastruktury,
- organom publicznym, jeżeli wynika to z obowiązujących przepisów prawa.
- Dane nie są sprzedawane ani udostępniane do celów marketingowych.
- Dane nie są przekazywane podmiotom trzecim niezwiązanym z utrzymaniem, obsługą lub realizacją celów Systemu.
§8. Transfer danych poza Europejski Obszar Gospodarczy
- Dane osobowe są co do zasady przetwarzane na terytorium Polski lub Unii Europejskiej.
- Jeżeli dostawca hostingu, poczty, backupu lub innej usługi technicznej będzie powodował przekazywanie danych poza Europejski Obszar Gospodarczy, przekazanie nastąpi wyłącznie przy zastosowaniu mechanizmów wymaganych przez RODO, w szczególności standardowych klauzul umownych lub innej prawidłowej podstawy prawnej.
- Procesor poinformuje Administratora, jeżeli wybrany dostawca techniczny będzie powodował transfer danych poza EOG.
§9. Okres przechowywania danych
- Dane kont użytkowników są przechowywane przez okres obowiązywania umowy pomiędzy Klientem a Usługodawcą oraz przez okres wynikający z umowy powierzenia, chyba że dłuższe przechowywanie jest wymagane przepisami prawa lub uzasadnione ochroną roszczeń.
- Dane operacyjne są przechowywane przez okres korzystania przez Klienta z Systemu oraz przez okres ustalony w umowie głównej, polityce backupu lub umowie powierzenia.
- Historia audytu jest przechowywana przez okres określony w umowie głównej, chyba że Strony ustalą dłuższy okres retencji.
- Dane z importów Excel, w tym surowe dane importu, są przechowywane przez okres ustalony z Klientem lub do czasu ich usunięcia zgodnie z polityką retencji.
- Backupy są przechowywane zgodnie z polityką backupu.
- Po zakończeniu współpracy dane mogą zostać przekazane Klientowi w formie eksportu, a następnie usunięte lub zanonimizowane zgodnie z umową.
§10. Prawa osób, których dane dotyczą
- Osobom, których dane dotyczą, przysługuje - w zakresie wynikającym z RODO - prawo do:
- dostępu do danych,
- sprostowania danych,
- usunięcia danych,
- ograniczenia przetwarzania,
- przenoszenia danych,
- sprzeciwu wobec przetwarzania,
- wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
- Żądania dotyczące danych osobowych należy kierować do Klienta jako administratora danych albo na adres e-mail wskazany w umowie głównej.
- Niektóre żądania mogą wymagać współdziałania Klienta i Usługodawcy, w szczególności gdy dane są przechowywane w historii audytu, backupach lub dokumentach operacyjnych.
§11. Profilowanie i automatyczne podejmowanie decyzji
- System nie służy do profilowania użytkowników.
- System nie podejmuje wobec użytkowników zautomatyzowanych decyzji wywołujących skutki prawne lub podobnie istotnie wpływających na użytkowników.
§12. Cookies i dane sesyjne
- System używa wyłącznie niezbędnych technicznie plików cookies służących do logowania, utrzymywania sesji i zapewnienia bezpieczeństwa.
- System może wykorzystywać w szczególności cookies związane z NextAuth, takie jak token sesji, token CSRF oraz adres przekierowania po logowaniu.
- Cookies te są niezbędne do prawidłowego działania Systemu i nie mogą zostać wyłączone bez utraty możliwości korzystania z aplikacji.
- System nie wykorzystuje cookies analitycznych ani marketingowych.
- System nie wykorzystuje narzędzi takich jak Google Analytics, Facebook Pixel, Hotjar ani innych zewnętrznych skryptów śledzących, chyba że zostanie to wyraźnie wskazane w zaktualizowanej Polityce prywatności.
§13. Bezpieczeństwo danych
- Usługodawca stosuje środki techniczne i organizacyjne mające na celu ochronę danych przed nieuprawnionym dostępem, utratą, zmianą lub ujawnieniem.
- Stosowane lub planowane środki bezpieczeństwa obejmują w szczególności:
- hashowanie haseł użytkowników,
- kontrolę dostępu opartą na rolach,
- historię audytu operacji użytkowników,
- dostęp do Systemu wyłącznie po zalogowaniu,
- szyfrowane połączenie HTTPS,
- backupy danych,
- ograniczenie dostępu administracyjnego,
- aktualizacje bezpieczeństwa,
- monitoring błędów i zdarzeń,
- zabezpieczenie sekretów i danych konfiguracyjnych.
- Część środków bezpieczeństwa może wymagać wdrożenia przed uruchomieniem produkcyjnym lub w ramach dalszego utrzymania Systemu.
§14. Zmiany Polityki prywatności
- Polityka prywatności może zostać zmieniona w przypadku zmiany przepisów prawa, funkcji Systemu, dostawców technicznych, sposobu przetwarzania danych lub zasad bezpieczeństwa.
- O istotnych zmianach Usługodawca lub Klient poinformuje użytkowników w Systemie lub drogą elektroniczną.
- Polityka prywatności obowiązuje od dnia wdrożenia Systemu.
