Obowiązuje od dnia 14.08.2024 r.
I. Postanowienia ogólne
1. Celem niniejszej Polityki prywatności jest szczegółowe określenie zasad przetwarzania danych osobowych Klientów i Użytkowników w ramach Portalu oraz Systemu prowadzonego przez Administratora.
2. Opierając się w szczególności na regulacjach rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, dalej RODO, Administrator podejmuje wszelkie niezbędne środki bezpieczeństwa w celu ochrony przetwarzanych danych osobowych.
3. Pod pojęciem danych osobowych należy rozumieć wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, której dane dotyczą. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
II. Definicje
1) Administrator – Labjet sp. z o.o. z siedzibą w Łodzi, ul. Mikołaja Kopernika 64A, lok.3 p. II (Tobaco Park), 90-553 Łódź, NIP: 7272875816, sąd Rejestrowy: Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, nr KRS: 0001082473, email: biuro@labjet.pl
2) Portal – serwis internetowy należący do Administratora, dostępny pod domeną www.labjet.pl,
3) System – program informatyczny typu CRM, który służy do pełnego zarządzania zleceniami i usługami dostępny po zarejestrowaniu w Portalu.
4) Klient – każdy podmiot składający zamówienie w Portalu, będący jednocześnie płatnikiem (nieposiadający statusu konsumenta).
5) Użytkownik – Klient i inna osoba trzecia przeglądająca i korzystająca z zawartości Systemu.
6) Regulamin - regulamin świadczenia usług drogą elektroniczną wraz z zasadami działania Portalu oraz Systemu na rzecz podmiotów profesjonalnych dostępny pod adresem https://www.labjet.pl/rules/
III. Dane osobowe przetwarzane przez Administratora
1. Administratorem danych osobowych jest Labjet sp. z o.o. z siedzibą w Łodzi, ul. Mikołaja Kopernika 64A, lok.3 p. II (Tobaco Park), 90-553 Łódź, NIP: 7272875816, sąd Rejestrowy: Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, nr KRS: 0001082473.
2. Kontakt z Administratorem jest możliwy pod adresem: ul. Mikołaja Kopernika 64A, lok.3 p. II (Tobaco Park), 90-553 Łódź oraz poprzez pocztę elektroniczną na adres: biuro@labjet.pl
3. Administrator przetwarza dane osobowe Klientów i Użytkowników w następujących celach:
a) wykonania zawartej umowy w zakresie i w sposób zgodny z treścią Regulaminu oraz zapewnienia kontaktu z Klientem lub Użytkownikiem. Podstawę prawną przetwarzania stanowi niezbędność przetwarzania do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. (art. 6 ust. 1 lit. b RODO).
Administrator prowadzi Portal, który umożliwia Klientowi i Użytkownikowi dostęp do Systemu i realizację określonych usług po zalogowaniu. W związku z powyższym dochodzi do zawarcia umowy pomiędzy Administratorem a Klientem. Zawarcie umowy wiąże się z niezbędnością przetwarzania danych osobowych osoby lub osób będących stroną umowy. Nadto Administrator wykorzystuje zamieszczone w Systemie dane kontaktowe Klienta w celu bezpośrednio z nim kontaktu w zakresie niezbędnym do prawidłowej realizacji zawartej Umowy.
b) wypełnienia obowiązku prawnego ciążącego na Administratorze wynikającego z przepisów prawa podatkowego i rachunkowości. Podstawę prawną stanowi ciążący na Administratorze obowiązek prawny, regulowany w art. 6 ust. 1 lit. c RODO w związku z brzmieniem przepisów ustawy z dnia 29 września 1994 r. o rachunkowości.
Administrator zobowiązany jest do prowadzenia rachunkowości w sposób zgodny z obowiązującymi przepisami prawa. Nadto ciążą na nim określone obowiązki podatkowe. Powyższe wiąże się z koniecznością przetwarzania danych Klientów, dla których Administrator wystawia faktury VAT.
c) rozpatrywania reklamacji, dochodzenia roszczeń i praw. Podstawą prawną przetwarzania danych w wyżej opisanym celu jest prawnie uzasadniony interes Administratora – (art. 6 ust. 1 lit. f RODO).
Przetwarzanie danych osobowych jest niezbędne w przypadku wystąpienia przez Klienta do Administratora z reklamacją w zakresie oferowanych usług. Powyższe uzupełnione jest dodatkowo przez dochodzenie wzajemnych roszczeń i dochodzenie praw w toku ewentualnych postępowań sądowych i pozasądowych.
d) działania marketingowe Administratora. Podstawą prawną przetwarzania danych w wyżej opisanym celu jest zgoda adresata na przetwarzanie jego danych osobowych (art. 6 ust. 1 lit. a RODO) lub prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO), w zależności od kanału dotarcia do Klienta.
Administrator podejmuje różne działania marketingowe obejmujące zarówno marketing własnych produktów i usług jak i swoich partnerów biznesowych. Działania marketingowe realizowane są poprzez różne narzędzia np. newsletter. Działania te prowadzone są zarówno w ramach Portalu, do czego wymagana jest zgoda adresata informacji na przetwarzanie jego danych osobowych w celu marketingowym jak i w ramach Systemu, jako mailing wewnętrzny co jest realizowane przez Administratora na podstawie prawnie uzasadnionego interesu.
e) badanie aktywności i efektywności marketingu wewnętrznego oraz zewnętrznego kampanii reklamowych Google Ads. Podstawą prawną przetwarzania danych w wyżej opisanym celu jest zgoda adresata na przetwarzanie jego danych osobowych (art. 6 ust. 1 lit. a RODO).
Administrator bada aktywność i efektywność marketingu wewnętrznego i zewnętrznego kampanii reklamowych Google Ads przy pomocy plików Cookies – w ramach tych czynności zbierane mogą być adresy IP Klientów.
f) kontakt z Administratorem za pośrednictwem formularza kontaktowego w ramach Portalu. Podstawą prawną przetwarzania danych w wyżej opisanym celu jest zgoda autora pytania na przetwarzanie jego danych osobowych (art. 6 ust. 1 lit. a RODO).
4. Administrator może przechowywać dane osobowe jedynie przez okres niezbędny do realizacji celów, do których są wykorzystywane. Uwzględniając powyższe Administrator będzie przechowywał dane osobowe Klientów i Uczestników przez następujący okres:
a) w odniesieniu do danych przetwarzanych w celach określonych w ust. 3 pkt a, c – przez czas realizacji umowy, a po jego upływie przez czas wynikający z obowiązujący przepisów prawa, w szczególności w zakresie dochodzenia roszczeń,
b) w odniesieniu do danych przetwarzanych w celach wskazanych w ust. 3 pkt d i e – do czasu wniesienia sprzeciwu lub do czasu wycofania zgody w przypadku przetwarzania danych na podstawie zgody,
c) w odniesieniu do danych przetwarzanych w celach wskazanych w ust. 3 pkt f – do czasu odpowiedzi na pytania zadane w formularzu lub do czasu wycofania zgody,
d) w odniesieniu do danych przetwarzanych w celu określonym w ust. 3 pkt b – przez czas wymagany obowiązującymi przepisami prawa.
IV. Zasady przetwarzania danych osobowych przez Administratorów
1. Administratorzy przetwarzają dane osobowe z zachowaniem odpowiednich środków bezpieczeństwa, spełniających wymagania polskiego prawa, w szczególności zgodnie z RODO. Przestrzegając zasad dotyczących przetwarzania danych osobowych, Administratorzy zapewniają, by dane były:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą,
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami,
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane,
d) prawidłowe i w razie potrzeby uaktualniane,
e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane,
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
2. Administratorzy zbierają dane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie przetwarzają ich dalej w sposób niezgodny z tymi celami. W przypadku, w którym Administratorzy zostaną pozbawieni celu przetwarzania, niezwłocznie trwale usuwają dane, chyba że prawo do ich dalszego przetwarzania wynika z powszechnie obowiązujących przepisów prawa. Administratorzy dokonują cyklicznej oceny zasadności przetwarzania określonych danych osobowych, z uwzględnieniem aktualności celów ich przetwarzania.
3. Administratorzy przetwarzają dane w sposób adekwatny, stosowny oraz ograniczony do tego, co niezbędne do celów, w których są przetwarzane. Administratorzy dążą do ciągłej minimalizacji przetwarzanych danych osobowych. W tym celu dokonują cyklicznej oceny zakresu oraz rodzajów przetwarzanych danych osobowych dla określenia niezbędności ich przetwarzania lub możliwości ich trwałego usunięcia
4. Administratorzy dbają o to, aby przetwarzane przez nich dane były prawidłowe, a w miarę potrzeby i posiadanych możliwości dokonują ich uaktualnienia.
5. Odbiorcami danych osób wskazanych w dziale III powyżej mogą być organy władzy publicznej oraz podmioty wykonujące zadania publiczne lub działające na zlecenie organów władzy publicznej, w zakresie i w celach, które wynikają z przepisów powszechnie obowiązującego prawa oraz inne podmioty, które na podstawie stosownych umów podpisanych z Administratorami przetwarzają dane osobowe jako procesor i świadczą na jego rzecz określone usługi (np. doradcze, księgowe, informatyczne, pośrednictwa płatności, marketingowe), zapewniając adekwatne środki bezpieczeństwa dla powierzonych danych osobowych, a także banki.
6. Administratorzy nie będą przetwarzali danych osób wskazanych w dziale III powyżej w sposób zautomatyzowany, a dane nie będą podlegać profilowaniu.
7. Każda osoba, której dane dotyczą, ma prawo do:
a) dostępu do danych — uzyskania od właściwego Administratora potwierdzenia, czy przetwarzane są jej dane osobowe. Jeżeli dane o osobie są przetwarzane, jest ona uprawniona do uzyskania dostępu do nich oraz uzyskania następujących informacji: o celach przetwarzania, kategoriach danych osobowych, odbiorcach lub kategoriach odbiorców, którym dane zostały lub zostaną ujawnione, o okresie przechowywania danych lub o kryteriach ich ustalania, o prawie do żądania sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych przysługujących osobie, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania (art. 15 RODO);
b) otrzymania kopii danych — uzyskania kopii danych podlegających przetwarzaniu, przy czym pierwsza kopia jest bezpłatna, a za kolejne kopie właściwy Administrator może nałożyć opłatę w rozsądnej wysokości, wynikającą z kosztów administracyjnych (art. 15 ust. 3 RODO);
c) sprostowania — żądania sprostowania dotyczących jej danych osobowych, które są nieprawidłowe, lub uzupełnienia niekompletnych danych (art. 16 RODO);
d) usunięcia danych — żądania usunięcia jej danych osobowych, jeżeli właściwy Administrator nie ma już podstawy prawnej do ich przetwarzania lub dane nie są już niezbędne do celów przetwarzania (art. 17 RODO);
e) ograniczenia przetwarzania — żądania ograniczenia przetwarzania danych osobowych (art. 18 RODO), gdy:
i. osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych — na okres pozwalający właściwemu Administratorowi sprawdzić prawidłowość tych danych,
ii. przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się ich usunięciu, żądając ograniczenia ich wykorzystywania,
iii. właściwy Administrator nie potrzebuje już tych danych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
iv. osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania — do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie właściwego Administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą;
f) przenoszenia danych — otrzymania w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego danych osobowych jej dotyczących, które dostarczyła właściwemu Administratorowi, oraz żądania przesłania tych danych innemu Administratorowi, jeżeli dane są przetwarzane na podstawie zgody osoby, której dane dotyczą, lub umowy z nią zawartej oraz jeżeli dane są przetwarzane w sposób zautomatyzowany (art. 20 RODO);
g) sprzeciwu — wniesienia sprzeciwu wobec przetwarzania jej danych osobowych w prawnie uzasadnionych celach właściwego Administratora, z przyczyn związanych z jej szczególną sytuacją, w tym wobec profilowania. Administrator dokonuje oceny istnienia ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osób, których dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. Jeżeli zgodnie z oceną interesy osoby, której dane dotyczą, będą ważniejsze od interesów Administratora, Administrator będzie zobowiązany zaprzestać przetwarzania danych w tych celach (art. 21 RODO);
8. Każda osoba, której dane dotyczą, ma prawo wniesienia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych, gdy uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy. Skargi można składać w formie:
a) pisemnej na adres: ul. Stawki 2, 00-193 Warszawa,
b) elektronicznie: za pośrednictwem platformy ePUAP.
9. Podanie danych osobowych jest dobrowolne, ale dla Klientów – stanowi warunek realizacji umowy na rzecz podmiotu, którego dane dotyczą, a odmowa podania danych uniemożliwi realizację umowy przez Administratora,
10. Dane osobowe nie będą przekazywane do państwa trzeciego (tj. państwa innego niż państwo członkowskie Unii Europejskiej, Islandia, Liechtenstein lub Norwegia) ani organizacji międzynarodowej.
V. Warunki powierzenia przetwarzania danych osobowych Klientów
1. W ramach realizacji usług objętych treścią Regulaminu, Klient powierza Administratorowi przetwarzanie danych osobowych swoich kontrahentów lub pacjentów, a Administrator staje się ich Procesorem.
Klient powierza Procesorowi następujące kategorie danych osobowych:
Imię i nazwisko pacjenta, imię i nazwisko pracownika, imię i nazwisko lekarza prowadzącego, dane kontaktowe klienta, dane kontaktowe pracownika, dane kontaktowe pacjenta, dane kontaktowe lekarza prowadzącego, wynagrodzenie pracownika, numer rachunku bankowego administratora, numer rachunku bankowego klienta, pesel pacjenta, nip klienta, nip administratora, przychody administratora, loginy i hasła pracowników do systemu LabJet, loginy i hasła klientów administratora do Paneli Kontrahentów, zdjęcia tomografii np.: RTG cefalometryczne, CBCT itp., zdjęcia twarzy pacjenta, zdjęcia uśmiechu pacjenta, skany 3D uzębienia pacjenta, inne zdjęcia dokumentacji medycznej, inne dane medyczne, które wprowadza administrator tj. opisy zleceń, uwagi między administratorem a jego klientami dot. pacjentów.
2. Klient powierza Procesorowi dane osobowe w celu realizacji zawartej Umowy na usługę, o której mowa w Regulaminie.
3. W ramach powierzenia Procesor zobowiązany jest do:
a) stosowania się do poleceń przetwarzania oraz instrukcji Klienta, z zastrzeżeniem przypadku kiedy Procesor nie ma możliwości zastosowania się do polecenia lub instrukcji Klienta o czym uprzednio go informuje wstrzymując przetwarzanie danych osobowych w tym zakresie,
b) podjęcia wszelkich czynności organizacyjnych i technicznych mających na celu zapewnienie bezpieczeństwa i zapobieżenie naruszeniu zasad ochrony danych osobowych, zgodnie z art. 32 RODO, ze szczególnym uwzględnieniem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych, których dane dotyczą,
c) zachowania poufności danych oraz zapewnienia dostępu do danych wyłącznie osobom dysponującym stosownym upoważnieniem,
d) prowadzenia wymaganej dokumentacji ochrony danych osobowych,
e) współdziałania z Klientem w zakresie zapewnienia bezpieczeństwa przetwarzanych danych osobowych oraz w odniesieniu do wypełniania przez Klienta innych obowiązków nałożonych regulacjami RODO, w szczególności związanych z prawami osób fizycznych, których dane osobowe są przetwarzanie oraz współdziałania z Klientem w relacjach z organami publicznymi w odniesieniu do ochrony danych, szczególnie UODO,
f) informowania Klienta o każdym przypadku stwierdzonego naruszenia ochrony danych osobowych, których administratorem jest Klient w ciągu maksymalnie 72 godzin od stwierdzenia naruszenia,
g) udzielenia Klientowi, na każde jego żądanie, informacji na temat przetwarzania powierzonych danych osobowych, gdzie Klient sprawuje nadzór nad wykonywanymi przez Procesora operacjami przetwarzania powierzonych danych osobowych. Klient ma prawo do przeprowadzenia kontroli Procesora w zakresie przetwarzania powierzonych danych osobowych, z zastrzeżeniem, że kontrola prowadzona jest po uprzednim zawiadomieniu Procesora o zamiarze jej przeprowadzenia nie później niż na 14 dni przed termin jej przeprowadzenia,
5. Klient zobowiązany do pełnego współdziałania z Procesorem w zakresie niezbędnym do realizacji celu Umowy w sposób zapewniający optymalne bezpieczeństwo powierzonym danym osobowym.
6. Klient udziela Procesorowi ogólnej zgody na podpowierzenie danych osobowych w zakresie niezbędnym do realizacji Umowy. Katalog podprocesorów obejmuje:
OVHcloud OVH SP. Z O.O (Oddział w Polsce), Amazon Web Services EMEA SARL Amazon Web Services EMEA SP. Z O.O. (Oddział w Polsce).
7. Zmiana w ramach katalogu podprocesorów wymaga zgody Klienta.
8. Charakter i cel przetwarzanych danych w momencie przekazania ich przez Użytkowników/Klientów Administratorowi:
a) Administrator staje się Procesorem przechowując dane zwykłe, wrażliwe i medyczne Klienta/Użytkownika, a Klient/Użytkownik staje się w momencie ich przekazania Administratorem. Klient/Użytkownik jest w pełni odpowiedzialny za rodzaj oraz charakter i zmiany powierzonych danych Procesorowi. Procesor nie dokonuje żadnych zmian w danych bez wyraźnej zgody Klienta/Użytkownika. Procesor wyróżnia następujące cechy przetwarzania powierzonych danych przez Klienta/Użytkownika:
Pasywne: Procesor nie dokonuje żadnych operacji na danych poza ich przechowywaniem. Nie analizuje ich, nie łączy z innymi danymi ani nie wykorzystuje do podejmowania decyzji.
Izolowane: Przechowywane dane są oddzielone od innych danych firmy programistycznej, co minimalizuje ryzyko ich przypadkowego ujawnienia lub połączenia z innymi informacjami.
Ograniczone: Zakres przetwarzania jest ściśle określony i dotyczy wyłącznie czynności związanych z przechowywaniem.
Zgodne z instrukcjami administratora: Procesor (LABJET) działa zgodnie z instrukcjami Administratora/Klienta/Użytkownika dotyczącymi warunków przechowywania danych, środków bezpieczeństwa oraz czasu ich przechowywania.
b) Celem przetwarzania danych przez Procesora jest realizacja Umowy zawartej w Regulaminie poprzez udostępnienie Klientowi/Użytkownikowi systemu CRM-online do obsługi swoich zleceń, kontaktu ze swoimi kontrahentami, fakturowaniem wyrobów, zarządzaniem i organizacją firmy. Procesor wyróżnia następujące cele dodatkowe przetwarzania danych udostępnionych przez Klienta/Użytkownika Procesorowi:
Zapewnienie bezpieczeństwa danych: Przechowywanie danych w wyspecjalizowanym środowisku informatycznym zwiększającym ich bezpieczeństwo w porównaniu do przechowywania ich w lokalnych systemach Administratora.
Monitorowanie wydajności systemu: Dane o ilości przechowywanych danych, częstotliwości dostępu do nich czy występowaniu błędów mogą być wykorzystywane do monitorowania wydajności systemu i optymalizacji jego działania.
Automatyzacja procesów: Dane przekazane przez Administratora mogą być wykorzystywane w celu poprawy działania systemu albo wprowadzenia nowych rozwiązań systemowych w celu ulepszenia działania systemu.
VI. Postanowienia końcowe
1. Polityka prywatności wchodzi w życie z dniem 14.08.2024 roku.
2. W zakresie nieuregulowanym zastosowanie mają powszechnie obowiązujące przepisy prawa, ze szczególnym uwzględnieniem RODO oraz krajowych regulacji prawnych w zakresie ochrony danych osobowych.
3. Administratorzy zachowują prawo dokonywania niezbędnych zmian w polityce prywatności, które ogłaszane są za pośrednictwem Portalu Administratora, z wyłączeniem warunków powierzenia przetwarzania danych osobowych, chyba że zmiana będzie konieczna ze względu na obowiązujące przepisy prawa lub będzie dotyczyła zmiany katalogu podprocesorów.
4. Administrator zbiera i przetwarza pliki cookies jedynie na potrzeby badania aktywności i efektywności marketingu wewnętrznego oraz zewnętrznego kampanii reklamowych poprzez Google Ads.
5. Akceptacja niniejszej polityki prywatności oraz warunków powierzenia przetwarzania danych osobowych jest elementem obligatoryjnym do zawarcia umowy świadczenia usług opisanych w Regulaminie.