Polityka prywatności ENNO-EMS obowiązuje od 01.05.2025 r.
Pojęcia pisane dużą literą posiadają takie znaczenie jak wskazane w Regulaminie świadczenia usługi korzystania z aplikacji „ENNO-EMS” Ennovation Technology.
1. Postanowienia ogólne
1.1 Niniejsza Polityka Prywatności skierowana jest do Użytkowników, odwiedzających stronę internetową https://ennovationtech.eu/system-zarzadzania-energia-ems/ i korzystających z usługi aplikacji „ENNO-EMS” Ennovation Technology.
1.2 Niniejsza Polityka Prywatności została opracowana w oparciu o przepisy RODO, ustawę o ochronie danych osobowych oraz inne obowiązujące przepisy krajowe, w celu zapewnienia maksymalnej ochrony danych osobowych i bezpieczeństwa przetwarzanych informacji przez Administratora. Dokument ten jest zgodny z najlepszymi praktykami w obszarze zarządzania bezpieczeństwem danych, uwzględniając międzynarodowe standardy, oraz krajowe normy dotyczące ochrony danych osobowych i bezpieczeństwa IT.
1.3 Niniejsza Polityka Prywatności odnosi się do wszystkich systemów informacyjnych, procesów przetwarzania danych, aplikacji oraz infrastruktury IT wykorzystywanych przez Administratora, jak również do podmiotów zewnętrznych zaangażowanych w przetwarzanie danych. Obejmuje również osoby związane z Administratorem, takie jak pracownicy, współpracownicy, partnerzy biznesowi, podwykonawcy oraz dostawcy usług.
2. Definicje
2.1 Administrator – ENNOVATION TECHNOLOGY sp. z o.o. z siedzibą w 02-867 Warszawa przy ul. Baletowa 14, zarejestrowaną w Sądzie Rejonowym dla m.st. Warszawy, Wydział XIV Gospodarczy Krajowego Rejestru Sądowego, pod nr KRS 0000760282, posiadającym NIP 1132989675.
2.2 Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Oznacza to dane, które pozwalają na bezpośrednie lub pośrednie ustalenie tożsamości danej osoby, takie jak: imię, nazwisko, adres zamieszkania, numer telefonu, adres e-mail, numer PESEL, adres IP, dane lokalizacyjne, a także inne informacje, które w połączeniu z innymi danymi mogą prowadzić do identyfikacji.
2.3 Incydent – zdarzenie skutkujące przypadkowym lub niezgodnym z prawem ujawnieniem, zniszczeniem, utratą, zmianą lub nieuprawnionym dostępem do danych osobowych. Administrator jest zobowiązany do odpowiedniego zarządzania incydentami tego typu, w tym ich rejestrowania, analizowania oraz podejmowania działań naprawczych, zgodnie z obowiązującymi procedurami i regulacjami prawnymi, w szczególności RODO.
2.4 Inspektor Ochrony Danych (IOD) – osoba powołana przez Administratora do nadzorowania przestrzegania przepisów dotyczących ochrony danych osobowych w ramach jego działalności. Inspektor odpowiada za realizację obowiązków określonych w art. 39 RODO, w tym za monitorowanie zgodności procesów przetwarzania z przepisami prawa, wdrażanie odpowiednich środków ochrony danych w komunikacji elektronicznej, szkolenie personelu, a także współpracę z organami nadzorczymi, takimi jak Prezes Urzędu Ochrony Danych Osobowych (PUODO).
2.5 PKE – ustawa z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej (Dz. U. 2024 poz. 1221).
2.6 Pliki cookies – pliki wykorzystywane w celu przechowywania informacji związanych z działaniem strony internetowej, takich jak preferencje użytkownika, historia przeglądania czy dane umożliwiające logowanie. W zależności od ich rodzaju, stosowanie cookies wymaga uzyskania zgody użytkownika.
2.7 Podmiot danych/Użytkownik – osoba fizyczna, której dane osobowe są przetwarzane przez Administratora. Podmiot danych posiada określone przepisami prawa uprawnienia, w tym prawo do sprzeciwu wobec przetwarzania jego danych w celach marketingowych, prawo dostępu do swoich danych, ich sprostowania, usunięcia („prawo do bycia zapomnianym”) oraz inne prawa wynikające z obowiązujących przepisów, w szczególności RODO,
2.8 Polityka – niniejszy dokument określający zasady przetwarzania i ochrony danych osobowych w ramach działalności Administratora, sporządzony zgodnie z obowiązującymi przepisami prawa, w szczególności Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO), ustawą Prawo komunikacji elektronicznej (PKE),
2.9 RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. dotyczące ochrony osób fizycznych w kontekście przetwarzania danych osobowych oraz swobodnego przepływu tych danych, uchylające dyrektywę 95/46/WE,
2.10 Aplikacja – oprogramowanie udostępniane w ramach Usługi, umożliwiające gromadzenie, przetwarzanie oraz zarządzanie danymi pochodzącymi z instalacji technicznych wykorzystywanych przez Użytkownika.
2.11 Zgoda użytkownika – dobrowolne, świadome i jednoznaczne wyrażenie woli użytkownika, na mocy którego wyraża on zgodę na przetwarzanie swoich danych osobowych, w tym na cele marketingowe oraz stosowanie technologii śledzących.
3. Cele polityki prywatności
3.1 Celem Polityki jest minimalizacja ryzyka związanego z przetwarzaniem danych osobowych oraz zapewnienie poufności, integralności i dostępności informacji. Polityka obejmuje identyfikację ryzyk, wdrażanie środków ochrony oraz monitorowanie zgodności z przepisami prawa. Polityka uwzględnia wymagania RODO, PKE oraz przepisy krajowe, w tym ustawę o ochronie danych osobowych i regulacje dotyczące bezpieczeństwa w komunikacji elektronicznej.
3.2 Administrator zobowiązuje się do przestrzegania obowiązujących regulacji prawnych oraz ich regularnej weryfikacji.
3.3 Administrator wdrożył odpowiednie środki techniczne i organizacyjne, mające na celu ochronę systemów IT przed zagrożeniami zarówno zewnętrznymi, jak i wewnętrznymi, zapewniając ich niezakłócone funkcjonowanie oraz zgodność z obowiązującymi przepisami prawa.
3.4 Administrator stosuje kompleksowe podejście do zarządzania ryzykiem związanym z przetwarzaniem danych osobowych, obejmujące jego identyfikację, ocenę i minimalizację. Kluczowym elementem jest zapewnienie ciągłości działania systemów IT, w tym planowanie awaryjne, zarządzanie incydentami i procedury przywracania po awarii.
4. Zasady ochrony danych osobowych
4.1 Dane osobowe przetwarzane są tylko w zakresie niezbędnym do realizacji celów, zgodnie z zasadą minimalizacji, ograniczając zbieranie danych do niezbędnego minimum.
4.2 Administrator przetwarza dane osobowe zgodnie z prawem i w sposób przejrzysty, opierając każdy proces na odpowiedniej podstawie prawnej, takiej jak zgoda, umowa, obowiązek prawny lub uzasadniony interes.
4.3 Administrator prowadzi dokumentację procesów przetwarzania danych, w tym rejestry czynności i ocenę ryzyka, zapewniając zgodność z przepisami prawa.
5. Zakres zbieranych danych
5.1 Podczas wizyty na stronie internetowej Administratora automatycznie gromadzone są dane związane z aktywnością Użytkownika, takie jak czas spędzony na stronie, wyszukiwane frazy, liczba wyświetlonych podstron, data oraz źródło wizyty, adres IP, nazwa domeny, typ przeglądarki internetowej.
5.2 Użytkownik może przekazać dane w celu rejestracji Konta Użytkownika w Aplikacji. Formularz rejestracyjny wymaga podania danych identyfikacyjnych i kontaktowych niezbędnych do korzystania z Konta Użytkownika i realizacji usługi przez Administratora. Użytkownik może również dobrowolnie podać dane dodatkowe. Na Koncie Użytkownika przechowywane będą informacje o wybranym Pakiecie, historii płatności oraz reklamacje. Aplikacja uniemożliwia skorzystanie z Usługi bez rejestracji Konta Użytkownika.
5.3 Aplikacja umożliwia kontakt z Administratorem, przy czym Użytkownik może przekazać swoje dane identyfikacyjne, kontaktowe oraz informacje związane z treścią wiadomości.
5.4 Za zgodą Użytkownika, mogą być zbierane dane kontaktowe i/lub analityczne w celach marketingowych, w tym do przesyłania ofert promocyjnych lub informacji o nowych produktach i usługach.
6. Cele i podstawa prawna przetwarzania danych osobowych
6.1 Administrator przetwarza dane osobowe w następujących celach:
6.1.1 Analizy ruchu sieciowego, zapewnienia bezpieczeństwa w ramach Aplikacji oraz dostosowywania treści do potrzeb Użytkowników na podstawie prawnie uzasadnionego interesu Administratora (art. 6 ust. 1 lit. f RODO);
6.1.2 Udzielania odpowiedzi na zadane pytania i prowadzenia korespondencji w celu załatwienia sprawy, na podstawie zgody i prawnie uzasadnionego interesu Administratora, jakim jest realizowanie żądań oraz świadczenia Usług na rzecz Użytkowników (art. 6 ust. 1 lit. a i f RODO);
6.1.3 Założenia i korzystania z Konta Użytkownika w Aplikacji na podstawie Umowy o świadczenie usług drogą elektroniczną, zawartej z Użytkownikiem, jako usługobiorcą (art. 6 ust. 1 lit. b RODO);
6.1.4 Rozpatrywania reklamacji, na podstawie prawnie uzasadnionego interesu Administratora (art. 6 ust. 1 lit. f RODO);
6.1.5 Promocji towarów i usług lub przekazania oferty na podstawie zgody Użytkownika (art. 6 ust. 1 lit. a RODO);
6.1.6 Windykacji należności w razie braku zapłaty za świadczone przez Administratora usługi (art. 6 ust. 1 lit. f RODO);
6.1.7 Przekazania danych osobowych spółce Santander Bank Polska S.A. z siedzibą w Warszawie, przy al. Jana Pawła II 17, 00-854 Warszawa („Bank”) w związku z:
6.1.7.1 Świadczeniem przez Bank na rzecz Administratora usługi udostępnienia infrastruktury do obsługi płatności przez Internet (art. 6 ust. 1 lit. f) RODO),
6.1.7.2 Obsługą i rozliczaniem przez Bank płatności dokonywanych przez Użytkowników przez Internet przy użyciu instrumentów płatniczych (art. 6 ust. 1 lit. f) RODO),
6.1.7.3 W celu weryfikacji przez Bank należytego wykonania Umów zawartych z Użytkownikiem, w szczególności zapewnienia ochrony interesów płatników w związku ze składanymi przez nich reklamacjami (art. 6 ust. 1 lit. f) RODO),
6.1.8 Podanie danych jest dobrowolne, ale niezbędne. Ich niepodanie uniemożliwi odpowiednio świadczenie Usługi, założenie Konta Użytkownika, rozpatrzenie reklamacji, otrzymanie oferty lub zamówionych materiałów marketingowych, otrzymanie odpowiedzi na zadane pytanie.
6.1.9 Podanie danych niezbędnych do analizy statycznej Użytkowników Aplikacji jest dobrowolne. Można skorzystać z tzw. trybu incognito w celu przeglądania strony bez udostępniania Administratorowi informacji o wizycie na jego stronie internetowej. Korzystanie z trybu incognito, a zatem niepodanie danych, nie ma wpływu na możliwość korzystania z Aplikacji za pośrednictwem przeglądarki.
7. Prawa Użytkownika
7.1 Administrator zapewnia możliwość realizacji praw przysługujących Podmiotom danych zgodnie z zasadami określonymi w RODO, w tym:
7.1.1 Prawo do uzyskania informacji o celach, podstawach prawnych, zakresie przetwarzanych danych, odbiorcach oraz okresie przechowywania danych,
7.1.2 Prawo do otrzymania kopii przetwarzanych danych osobowych,
7.1.3 Prawo do poprawienia lub uzupełnienia nieścisłych lub niekompletnych danych osobowych,
7.1.4 Prawo do usunięcia lub anonimizacji danych, które nie są już potrzebne do realizacji celów, dla których zostały zebrane,
7.1.5 Prawo do żądania wstrzymania przetwarzania danych, z wyjątkiem sytuacji, gdy dane muszą być przechowywane zgodnie z polityką retencji lub na podstawie decyzji organu nadzorczego,
7.1.6 Prawo do otrzymania danych osobowych w powszechnie używanym formacie umożliwiającym ich przeniesienie do innego administratora,
7.1.7 Prawo do sprzeciwu przetwarzania jego danych w celach marketingowych,
7.1.8 Prawo do sprzeciwu wobec przetwarzania danych na podstawie prawnie uzasadnionego interesu Administratora, jeśli istnieją szczególne okoliczności,
7.1.9 Prawo do wycofania zgody na przetwarzanie danych w każdej chwili, bez wpływu na zgodność z prawem przetwarzania przed jej wycofaniem.
8. Udostępnianie i powierzanie przetwarzania danych osobowych
8.1 Dane osobowe mogą być udostępniane innym administratorom tylko wtedy, gdy spełnione są wymogi RODO. Administrator dokładnie sprawdza podstawy prawne przed udostępnieniem danych.
8.2 Powierzanie przetwarzania danych osobowych odbywa się na podstawie umowy powierzenia, zgodnie z art. 28 RODO, określającej cel, zakres przetwarzania oraz odpowiednie środki ochrony danych.
8.3 Przed powierzeniem przetwarzania danych, Administrator weryfikuje, czy podmiot przetwarzający spełnia wymagania bezpieczeństwa i stosuje odpowiednie środki ochrony danych, zapewniając zgodność z RODO.
9. Retencja danych
9.1 Dane są przechowywane tylko przez okres niezbędny do realizacji celów przetwarzania, a po tym czasie są usuwane lub archiwizowane zgodnie z obowiązującymi przepisami prawa. Dane osobowe będą przechowywane:
9.1.1 W przypadku założenia Konta Użytkownika przez okres korzystania, a po jego zamknięciu Administrator będzie przechowywać dane rozliczeniowe przez 5 lat następujących po roku, w którym wystąpił obowiązek podatkowy związany z zamówieniem;
9.1.2 Dotyczące rozliczeń przez 5 lat następujących po roku, w którym wystąpił obowiązek podatkowy związany z Umową;
9.1.3 Do czasu wycofania zgody lub do czasu załatwienia sprawy, a następnie do upływu okresu przedawnienia roszczeń stron związanych z jej realizacją;
9.1.4 W przypadku reklamacji, do czasu przedawnienia ewentualnych roszczeń
9.1.5 Związane z analizą ruchu sieciowego gromadzone za pośrednictwem plików cookies oraz podobnych technologii mogą być przechowywane do momentu wygaśnięcia pliku cookie. Niektóre pliki cookie nigdy nie wygasają, w związku z tym czas przechowywania danych będzie równoważny z czasem niezbędnym Administratorowi do zrealizowania celów związanych z gromadzeniem danych, jak zapewnienie bezpieczeństwa i analiza danych historycznych związanych z ruchem na stronie.
9.2 Administrator stosuje procedury regularnej weryfikacji danych, aby ograniczyć ich przechowywanie do niezbędnego minimum. Po upływie ustalonego okresu dane są usuwane lub archiwizowane.
9.3 Systemy automatycznie monitorują okresy przechowywania danych i inicjują proces ich usuwania po upływie ustalonych terminów, zapewniając zgodność ze wskazaną w pkt 3.1 zasadą minimalizacji przetwarzania.
9.4 Dane dotyczące komunikacji elektronicznej, w tym dane ruchu i metadane, są przechowywane zgodnie z wymogami PKE i tylko w sytuacjach niezbędnych do realizacji celów określonych przepisami prawa.
10. Przekazywanie danych do państwa trzeciego
10.1 Zgodnie z obowiązującymi przepisami prawa, dane osobowe Użytkowników nie będą przekazywane do państw trzecich (poza teren Unii Europejskiej oraz Europejskiego Obszaru Gospodarczego), ani do organizacji międzynarodowych, chyba że obowiązek taki wynika z przepisów prawa lub Użytkownik wyrazi na to zgodę.
10.2 Administrator podejmuje wszelkie niezbędne środki w celu ochrony danych osobowych i nie przekazuje ich do państw, które nie zapewniają odpowiedniego poziomu ochrony danych osobowych zgodnie z regulacjami prawa europejskiego, w tym RODO.
10.3 W przypadku zmiany sytuacji prawnej, która mogłaby wpłynąć na sposób przetwarzania danych osobowych, w szczególności poprzez konieczność przekazania ich do państwa trzeciego, Administrator będzie niezwłocznie informować o tym Użytkownika.
11. Pliki cookies
11.1 Aplikacja w wersji przeglądarkowej wykorzystuje pliki cookies oraz podobne technologie w celu gromadzenia informacji o Użytkowniku. Ich stosowanie polega na zapisywaniu danych w urządzeniu Użytkownika (np. komputerze, smartfonie). Cookies służą do:
11.1.1 Zapamiętywania decyzji Użytkownika (np. wybór czcionki, kontrastu, akceptacja polityki prywatności),
11.1.2 Utrzymania sesji Użytkownika (np. po zalogowaniu),
11.1.3 Zapamiętywania hasła (za wyraźną zgodą),
11.1.4 Zapewnienia bezpieczeństwa (np. wykrywanie nadużyć),
11.1.5 Analizy wizyt i dostosowywania treści.
11.2 Informacje pozyskiwane za pomocą cookies nie są łączone z innymi danymi Użytkownika Aplikacji i nie służą do jego identyfikacji.
11.3 Użytkownik może:
11.3.1 Ustawiać w przeglądarce blokowanie wybranych rodzajów cookies lub ograniczyć ich stosowanie wyłącznie do niezbędnych.
11.3.2 W każdej chwili zmienić ustawienia przeglądarki lub usunąć zapisane pliki cookies.
11.3.3 Korzystać ze strony w trybie incognito, który blokuje gromadzenie danych o jego wizycie.
11.4 Domyślnie większość przeglądarek akceptuje wszystkie cookies. Szczegółowe informacje na temat zarządzania cookies znajdują się w ustawieniach oprogramowania przeglądarki.
11.5 Aplikacja korzysta z następujących kategorii cookies:
11.5.1 Niezbędne – przyczyniają się do użyteczności strony poprzez umożliwianie podstawowych funkcji takich jak nawigacja na stronie i dostęp do bezpiecznych obszarów strony internetowej. Strona internetowa nie może funkcjonować poprawnie bez tych ciasteczek.
11.5.2 Preferencyjne – dotyczące preferencji umożliwiają stronie zapamiętanie informacji, które zmieniają wygląd lub funkcjonowanie strony, np. preferowany język lub region, w którym znajduje się Użytkownik.
11.5.3 Statystyczne – pomagają Administratorowi zrozumieć, w jaki sposób różni Użytkownicy zachowują się na stronie, gromadząc i zgłaszając anonimowe informacje.
11.5.4 Marketingowe – stosowane są w celu śledzenia użytkowników na stronach internetowych. Celem jest wyświetlanie reklam, które są istotne i interesujące dla poszczególnych Użytkowników i tym samym bardziej cenne dla wydawców i reklamodawców strony trzeciej.
11.6 W celach marketingowych i statystycznych pliki cookies są wykorzystywane wyłącznie za wyraźną i dobrowolną zgodą Użytkownika. Zgoda jest zbierana za pomocą odpowiednich narzędzi dostępnych w Serwisie.
11.7 Blokowanie lub ograniczanie cookies może wpłynąć na działanie niektórych funkcji Serwisu.
12. Zarządzanie incydentami
12.1 Polityka bezpieczeństwa obejmuje szczegółowy plan zarządzania incydentami bezpieczeństwa, który definiuje procedury identyfikacji incydentów, ich klasyfikacji i oceny ryzyka, podejmowania działań naprawczych, raportowania oraz zapobiegania przyszłym naruszeniom.
12.2 W przypadku Incydentu Administrator podejmuje niezwłocznie następujące kroki:
12.2.1 Analizuje zakres i charakter incydentu, aby ograniczyć jego skutki;
12.2.2 Informuje osoby, których dane dotyczą, o incydencie oraz działaniach podjętych w celu ochrony ich danych, a także wskazuje na możliwe konsekwencje i zalecane środki ochrony;
12.2.3 Przeprowadza wewnętrzne audyty w celu wyciągnięcia wniosków i zminimalizowania ryzyka wystąpienia podobnych zdarzeń w przyszłości;
12.2.4 Zgłasza naruszenie odpowiedniemu organowi nadzorczemu (Prezesowi Urzędu Ochrony Danych Osobowych) w ciągu 72 godzin od wykrycia incydentu, chyba że naruszenie nie stwarza ryzyka naruszenia praw lub wolności osób fizycznych. Zgłoszenie zawiera opis charakteru naruszenia, kategorie i przybliżoną liczbę poszkodowanych osób, możliwe konsekwencje naruszenia, działania podjęte w celu zaradzenia sytuacji.
12.3 Administrator wdraża i stale doskonali środki ochrony przed cyberzagrożeniami, w tym:
12.3.1 Systemy zapobiegania włamaniom (IDS/IPS),
12.3.2 Regularne aktualizacje i łatki zabezpieczające,
12.3.3 Szyfrowanie danych w tranzycie i w spoczynku,
12.3.4 Monitorowanie ruchu sieciowego w celu identyfikacji podejrzanej aktywności,
12.3.5 Wdrożenie zasad minimalizacji uprawnień dostępu do danych,
12.3.6 Regularne audyty i przeglądy bezpieczeństwa,
12.3.7 Szkolenia dla pracowników w zakresie reagowania na incydenty,
12.3.8 Testowanie procedur poprzez symulacje incydentów.
12.3.9 Automatyczne i ręczne testy bezpieczeństwa aplikacji i infrastruktury.
12.3.10 Administrator szczególną uwagę zwraca na ochronę przed zagrożeniami komunikacji elektronicznej, takimi jak ataki DDoS, ransomware, phishing, nieautoryzowany dostęp do danych.
13. Postanowienia końcowe
13.1 We wszystkich sprawach z zakresu ochrony danych osobowych Administrator umożliwia kontakt z Inspektorem Ochrony Danych. Kontakt możliwy jest za pośrednictwem adresu e-mail: inspektor@ennovationtech.eu
13.2 W sprawach nieuregulowanych Polityką zastosowanie mają postanowienia Kodeksu cywilnego i odpowiednich ustaw prawa polskiego, a także prawa Unii Europejskiej, w szczególności RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE).
13.3 Polityka obowiązuje od dnia 1 maja 2025 roku. O zmianie Polityki Użytkownik zostanie poinformowany, poprzez jej ponowne opublikowanie w Aplikacji oraz odpowiedni komunikat.