Polityka ochrony danych osobowych – TMF Group

1. Wprowadzenie i zakres 

Niniejsza Polityka ochrony danych osobowych („Polityka“) przedstawia praktyki TMF w zakresie ochrony prywatności, odnoszące się do Przetwarzania Danych Osobowych członków zarządu, członków wyższej kadry kierowniczej i pracowników oraz – w stosownym zakresie – klientów Klienta i/lub odnośnych Podmiotów Powiązanych z Klientem, w ramach świadczenia Usług TMF na rzecz Klientów. Te Dane Osobowe mogą być przechowywane w systemach TMF, systemach Klienta lub systemach osób trzecich, do których TMF umożliwiono dostęp w celu świadczenia przez TMF Usług. W przypadku świadczenia przez TMF Usług na rzecz Klientów, TMF będzie pełnił rolę Podmiotu Przetwarzającego, a Klient będzie pełnił rolę Administratora. Niniejsza Polityka ma zastosowanie na całym świecie w odniesieniu do wszystkich Usług świadczonych przez TMF na rzecz Klientów.

TMF Przetwarza Dane Osobowe w imieniu Klienta zgodnie z Przepisami o Ochronie Danych. O ile będzie to konieczne, Umowa o Świadczenie Usług zostanie uzupełniona o Załącznik określający dodatkowe kwestie, które są specyficzne dla Klienta i nie mogą być uregulowane w niniejszej Polityce.

Niniejsza Polityka nie dotyczy gromadzenia Danych Osobowych za pośrednictwem naszej witryny internetowej lub plików cookie, w odniesieniu do których TMF może być uznany za Administratora. Więcej informacji w tym zakresie znajduje się w naszych odrębnych dokumentach: Oświadczenie o prywatności witryny oraz Polityka dotycząca plików cookie.

Niniejsza Polityka jest dostępna w witrynie internetowej TMF Group pod następującym linkiem: https://www.tmf- group.com/en/legal/data-protection/. TMF zastrzega sobie prawo do aktualizacji niniejszej Polityki bez uzgadniania lub wcześniejszego informowania swoich Klientów. 

2. Definicje

W niniejszej Polityce wymienione poniżej terminy pisane wielką literą mają następujące znaczenie:

a. Klient“ oznacza stronę Umowy o Świadczenie Usług zawartej z TMF;
b. „Podmiot Powiązany z Klientem“ oznacza każdą osobę prawną powiązaną z Klientem;
c. „Podmioty Danych Klienta“ oznaczają byłych i obecnych członków zarządu, członków wyższej kadry kierowniczej i pracowników oraz klientów Klienta i Podmiotów Powiązanych z Klientem;
d. „Administrator“ oznacza osobę fizyczną lub prawną, organ władzy publicznej, agencję lub inny organ, który samodzielnie lub wspólnie z innymi określa cele i środki Przetwarzania Danych Osobowych;
e. „Przepisy o Ochronie Danych“ oznaczają, w odniesieniu do wszelkich Danych Osobowych Przetwarzanych w ramach realizacji Umowy o Świadczenie Usług, Rozporządzenie Ogólne o Ochronie Danych Osobowych (UE) 2016/679 („RODO (GDPR)“), wraz ze wszystkimi przepisami wykonawczymi i wszelkimi innymi obowiązującymi przepisami i regulacjami dotyczącymi ochrony danych i prywatności;
f. „Dane Osobowe“ oznaczają wszelkie informacje, za pomocą których można ustalić bezpośrednio lub pośrednio tożsamość Podmiotu Danych Klienta;
g. „Przetwarzanie” oznacza wszelkie działania lub ciąg działań podjętych w stosunku do Danych Osobowych lub zbiorów Danych Osobowych, w sposób zautomatyzowany lub inny, takich jak gromadzenie, zapisywanie, porządkowanie, systematyzowanie, przechowywanie, przystosowywanie lub zmienianie, wyszukiwanie, wgląd, wykorzystywanie, ujawnianie poprzez przesyłanie, rozpowszechnianie lub udostępnianie w jakikolwiek inny sposób, szeregowanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
h. „Podmiot Przetwarzający“ oznacza stronę, która Przetwarza Dane Osobowe w imieniu Administratora;
i. „Usługi“ oznaczają usługi świadczone przez TMF na rzecz Klienta w ramach Umowy o Świadczenie Usług;
j. „Umowa o Świadczenie Usług“ oznacza każdy pisemny kontrakt, pisemną umowę dotyczącą zakresu prac lub inną pisemną wiążącą umowę, w tym wszelkie załączniki do niej, pomiędzy TMF a Klientem;
k. „Podmiot Podprzetwarzający“ oznacza każdy podmiot przetwarzający dane wyznaczony przez Podmiot Przetwarzający do przetwarzania Danych Osobowych w imieniu Administratora;
l. „TMF“ oznacza Podmiot Powiązany z TMF, będący stroną Umowy o Świadczenie Usług;
m. „Podmiot Powiązany z TMF“ oznacza, w odniesieniu do danej osoby lub podmiotu, jakąkolwiek inną osobę lub podmiot bezpośrednio lub pośrednio kontrolujący lub kontrolowany przez daną osobę lub podmiot, lub znajdujący się pod wspólną kontrolą z daną osobą lub podmiotem. Do celów niniejszej definicji, „kontrola“, w odniesieniu do danej osoby lub podmiotu, oznacza uprawnienie do kierowania lub wywierania wpływu na kierowanie zarządzaniem i polityką takiej osoby lub podmiotu, na podstawie posiadanych papierów wartościowych, z których przysługuje prawo głosu, na podstawie umowy lub na innej podstawie. Terminy „kontrolujący“ i „kontrolować“ mają znaczenie powiązane z powyższym. Spółki kontrolujące TMF Group B.V. są wyraźnie wyłączone z tej definicji.

3. Dane osobowe przetwarzane przez TMF Group

Szczegóły dotyczące Danych Osobowych, które będą przetwarzane przez TMF w imieniu Klienta, w tym okres przetwarzania, cel i kategorie Danych Osobowych, zostaną określone w Umowie o Świadczenie Usług (w Załączniku do niej).

4. Wykorzystywanie danych osobowych

TMF nie będzie przetwarzał, przekazywał, modyfikował, poprawiał ani zmieniał Danych Osobowych, ani też ujawniał lub zezwalał na ujawnianie Danych Osobowych osobom trzecim, o ile:

  • nie będzie to niezbędne do przetwarzania Danych Osobowych w celu świadczenia Usług i/lub w inny sposób zgodnie z udokumentowanymi poleceniami Klienta, lub
  • nie będą tego wymagały Przepisy o Ochronie Danych lub inne przepisy prawne, do przestrzegania których TMF jest zobowiązany, w którym to przypadku TMF (w zakresie dozwolonym przez prawo) poinformuje Klienta o tym wymogu prawnym przed przetworzeniem Danych Osobowych.

Ponadto, TMF może wykorzystywać dane sumaryczne – w zakresie, w jakim dane takie nie będą uznawane za Dane Osobowe – na potrzeby analizy, witryny internetowej i wewnętrznych operacji, w tym w celu rozwiązywania problemów, analizy danych, testowania, badań, do celów statystycznych oraz w celu poprawy jakości swoich Usług.

5. Podprzetwarzanie

TMF może być w pewnych okolicznościach zmuszony do wyznaczenia określonych osób trzecich do świadczenia części Usług na rzecz Klienta lub pomocy w zapewnianiu wsparcia technicznego, takich jak dostawcy usług IT lub inni dostawcy. Podpisując Umowę o Świadczenie Usług, Klient upoważnia TMF do podzlecenia Przetwarzania Danych Osobowych Podmiotom Podprzetwarzającym. Każdy Podmiot Podprzetwarzający w każdym przypadku podlega warunkom uzgodnionym między TMF a Podmiotem Podprzetwarzającym, zapewniającym nie mniejszą ochronę niż warunki określone w niniejszej Polityce i Umowie o Świadczenie Usług. TMF poda Klientowi szczegółowe informacje na temat takich Podmiotów Podprzetwarzających, na pisemny wniosek Klienta. TMF poinformuje Klienta z wyprzedzeniem o wszelkich zamierzonych zmianach polegających na dodaniu lub zamianie Podmiotów Podprzetwarzających, a tym samym umożliwi Klientowi zgłoszenie sprzeciwu wobec takich zmian. Jeżeli Klient nie wyrazi sprzeciwu na piśmie w terminie pięciu (5) dni od otrzymania zawiadomienia, przyjmuje się, że Klient zaakceptował nowy Podmiot Podprzetwarzający. Jeżeli Klient wyrazi sprzeciw na piśmie w terminie pięciu (5) dni od otrzymania zawiadomienia, TMF i Klient omówią możliwe rozwiązania tej kwestii.

6. Poufność i bezpieczeństwo

TMF zachowa poufność Danych Osobowych i zapewni, by jego personel i Podmioty Podprzetwarzające również zachowały taką poufność. TMF wprowadzi odpowiednie środki techniczne i organizacyjne zapewniające poziom bezpieczeństwa Danych Osobowych adekwatny do ryzyka, wymagane na mocy obowiązujących Przepisów o Ochronie Danych, a w przypadku Przetwarzania danych osobowych mieszkańców UE podejmie wszelkie niezbędne środki wymagane na mocy art. 32 RODO (GDPR). Oceniając adekwatność poziomu bezpieczeństwa, TMF uwzględni w szczególności ryzyko, jakie stwarza proces Przetwarzania, w szczególności ryzyko przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do przesyłanych, przechowywanych lub w inny sposób przetwarzanych Danych Osobowych. Środki bezpieczeństwa są dokładniej opisane i określone w „Oświadczeniu o ciągłości“, które jest opublikowane w witrynie TMF (https://www.tmf-group.com/en/legal/data-protection/) i stanowi integralną część niniejszej Polityki.

7. Spełnianie żądań klienta

W zakresie wymaganym przez Przepisy o Ochronie Danych, TMF będzie spełniał żądania Klienta dotyczące Przetwarzania Danych Osobowych. W szczególności, TMF będzie spełniał żądania związane z prawami Podmiotów Danych Klienta, ocenami skutków dla ochrony danych oraz prawem do przeprowadzania audytów, jak opisano poniżej.

Prawa Podmiotów Danych Klienta: Na żądanie Klienta, TMF umożliwi Klientowi zapewnienie wykonania przez Podmiot Danych Klienta wszelkich praw w odniesieniu do Danych Osobowych oraz przeprowadzenie i dokonanie wszelkich ocen, zapytań, zawiadomień lub dochodzeń na mocy Przepisów o Ochronie Danych, o ile w każdym przypadku Klient w pełni zwróci TMF wszystkie koszty (w tym koszty związane z zaangażowaniem zasobów wewnętrznych i wszelkie koszty osób trzecich), zasadnie poniesione przez TMF w związku z wykonywaniem swojego obowiązku wynikającego z niniejszego ustępu.

Ocena skutków dla ochrony danych: TMF zapewni Klientowi zasadną pomoc w zakresie wszelkich ocen skutków ochrony danych, wymaganych na podstawie art. 35 RODO (GDPR) oraz wszelkich uprzednich konsultacji z jakimkolwiek Organem Nadzorczym Klienta, wymaganych na podstawie art. 36 RODO (GDPR), w każdym przypadku w odniesieniu do Przetwarzania Danych Osobowych przez TMF w imieniu Klienta oraz z uwzględnieniem charakteru przetwarzania i informacji dostępnych TMF.

Prawo do przeprowadzania audytów: Na zasadne żądanie Klienta, po stosownym uprzednim zawiadomieniu, TMF będzie współuczestniczył, na koszt Klienta, w przeprowadzaniu audytu lub inspekcji zasadnej i niezbędnej do wykazania spełnienia przez TMF obowiązków określonych w niniejszej Polityce, przy czym wymóg ten nie zobowiązuje TMF do zapewnienia dostępu lub zezwolenia na dostęp do następujących informacji: (i) wewnętrzne informacje Dostawcy dotyczące wyceny; (ii) informacje dotyczące innych Klientów TMF; (iii) jakiekolwiek niepubliczne raporty zewnętrzne TMF; (iv) informacje poufne TMF lub (v) jakiekolwiek wewnętrzne raporty sporządzone przez komórkę audytu wewnętrznego TMF.

Żądania Klienta, o których mowa w niniejszym art. 7, będą spełniane w ścisłej współpracy z Dyrektorem ds. Bezpieczeństwa Informacji TMF, Dyrektorem ds. Ochrony Prywatności TMF lub podobnym przedstawicielem lokalnego kierownictwa TMF, oraz pod jego nadzorem.

8. Usunięcie lub zwrot danych osobowych klienta

TMF Group, zgodnie z decyzją Klienta, usunie lub zwróci Dane Osobowe po zakończeniu świadczenia Usług związanych z Przetwarzaniem, w zakresie, w jakim jest to racjonalnie możliwe i o ile (i) Przepisy o Ochronie Danych, (ii) jakiekolwiek przepisy, ustawy, zarządzenia, rozporządzenia, zasady, wymogi, praktyki i wytyczne jakiegokolwiek rządu, organu regulacyjnego lub organizacji samoregulującej się, dotyczące Usług w kraju, w którym świadczone są te Usługi („Obowiązujące Prawo“), lub (iii) właściwy sąd, organ nadzoru lub organ regulacyjny, nie wymagają zachowania takich Danych Osobowych przez TMF Group.

9. Zarządzanie incydentami

Gdy TMF dowie się o naruszeniu danych osobowych, powiadomi o tym Klienta bez zbędnej zwłoki i przekaże mu informacje wystarczające, by Klient mógł wypełnić wszelkie obowiązki dotyczące zgłoszenia naruszenia danych zgodnie z Przepisami o Ochronie Danych. Na żądanie Klienta i pod warunkiem pokrycia przez Klienta wszystkich kosztów poniesionych przez TMF (w tym kosztów związanych z zaangażowaniem zasobów wewnętrznych i wszelkich kosztów osób trzecich), TMF będzie w pełni współpracował z Klientem i podejmie uzasadnione kroki, wskazane przez Klienta, w celu wsparcia dochodzenia w sprawie każdego przypadku naruszenia danych, zminimalizowania skutków takiego naruszenia oraz jego usunięcia, aby umożliwić Klientowi (i) przeprowadzenie szczegółowego dochodzenia w sprawie naruszenia danych, (ii) określenie właściwej reakcji i podjęcie odpowiednich dalszych kroków w odniesieniu do naruszenia danych w celu spełnienia wszelkich wymogów wynikających z Przepisów o Ochronie Danych.

10. Międzynarodowe przekazywanie danych osobowych klienta

W przypadku międzynarodowego przekazywania Danych Osobowych między TMF a jakimkolwiek Podmiotem Podprzetwarzającym, zastosowanie mają następujące przepisy (w stosownym zakresie):

a. Dane Osobowe mogą, według uznania TMF, zostać przekazane (i) jednemu lub więcej Podmiotom Powiązanym z TMF w jednym lub kilku Państwach Członkowskich Europejskiego Obszaru Gospodarczego („EOG“) lub Szwajcarii na podstawie Przepisów o Ochronie Danych, lub (ii) jednemu lub więcej Podmiotom Powiązanym z TMF w jednym lub kilku państwach trzecich na podstawie Wiążących reguł korporacyjnych, które są opublikowane w witrynie TMF Group (https://www.tmf- group.com/en/legal/data-protection/). Klient lub odnośny Podmiot Powiązany z TMF, na żądanie Podmiotu Danych Klienta, przekaże Podmiotowi Danych Klienta egzemplarz Wiążących reguł korporacyjnych i niniejszej Polityki (bez żadnych wrażliwych informacji biznesowych lub informacji poufnych). O ile pozwalają na to Przepisy o Ochronie Danych, TMF uzyska wszystkie stosowne zezwolenia lub pozwolenia na takie przekazanie Danych Osobowych na podstawie rzeczonych Wiążących reguł korporacyjnych. W przypadku gdy Przepisy o Ochronie Danych nie pozwalają na to, by TMF sam uzyskał takie zezwolenie lub pozwolenie, Klient w odpowiednim terminie wystawi pełnomocnictwo odnośnemu Podmiotowi Powiązanemu z TMF do uzyskania rzeczonego zezwolenia lub pozwolenia w imieniu Klienta. W przypadku gdy Przepisy o Ochronie Danych nie dopuszczają korzystania z pełnomocnictwa, Klient zobowiązany jest do zapewnienia, że uzyskał wszystkie niezbędne zezwolenia lub pozwolenia, aby umożliwić TMF udostępnianie Danych Osobowych Podmiotom Powiązanym z TMF w państwie trzecim.

b. Dane Osobowe mogą zostać przekazane (i) jednemu lub więcej Podmiotom Podprzetwarzającym (innym niż Podmioty Powiązane z TMF) w jednym lub kilku Państwach Członkowskich EOG lub Szwajcarii na mocy Przepisów o Ochronie Danych, na podstawie pozwolenia Klienta, wynikającego z art. 5 niniejszej Polityki, lub (ii) jednemu lub więcej Podmiotom Podprzetwarzającym w jednym lub kilku państwach trzecich na podstawie wyjątku wynikającego z Przepisów o Ochronie Danych, lub (iii) po dodaniu odpowiedniego zabezpieczenia w celu zapewnienia ochrony Danych Osobowych, o ile pozwalają na to Przepisy o Ochronie Danych, przez TMF lub przez Klienta, w którym to przypadku TMF pomoże Klientowi w znalezieniu odpowiedniej podstawy do transgranicznego przekazania Danych Osobowych takiemu Podmiotowi Podprzetwarzającemu. Na życzenie Klienta, TMF poinformuje Klienta o odnośnej podstawie do transgranicznego przekazania Danych Osobowych.

c. W przypadku gdy do Danych Osobowych mają zastosowanie przepisy dotyczące ochrony danych lub prywatności w jakimkolwiek kraju innym niż kraje EOG lub Szwajcaria, Klient jest zobowiązany do zapewnienia, że wszelkie transgraniczne przekazywanie Danych Osobowych przez TMF Podmiotowi Podprzetwarzającemu będzie dozwolone, po wdrożeniu dodatkowych zabezpieczeń zgodnie z Przepisami o Ochronie Danych lub w inny sposób dozwolony przez Przepisy o Ochronie Danych.

11. Zwolnienie z odpowiedzialności

Klient zapewnia, że wszystkie Dane Osobowe przetwarzane przez TMF w imieniu Klienta były i będą przetwarzane przez Klienta zgodnie z Przepisami o Ochronie Danych, w tym między innymi: (a) zapewnia, że wszystkie zawiadomienia i zgody organów regulacyjnych wymagane przez Przepisy o Ochronie Danych są dokonywane i utrzymywane w mocy przez Klienta; oraz (b) zapewnia, że wszystkie Dane Osobowe są Przetwarzane rzetelnie i zgodnie z prawem, są prawidłowe i aktualne oraz że Podmioty Danych Klienta otrzymały należyte powiadomienia, w których opisano sposób, w jaki TMF będzie przetwarzał dane w związku z realizacją Usług uzgodnionych w Umowie o Świadczenie Usług.

Podpisując Umowę o Świadczenie Usług, Klient zwolni TMF z odpowiedzialności oraz przejmie na siebie i pokryje wszelkie roszczenia, pozwy, roszczenia osób trzecich lub Organów Nadzorczych, straty, odszkodowania i wydatki wynikające z naruszenia przez Klienta niniejszej Polityki.

Wyłączenia i ograniczenia odpowiedzialności TMF określone w Umowie o Świadczenie Usług mają również zastosowanie w odniesieniu do niniejszej Polityki.

Polityka ochrony danych osobowych – TMF Group - wersja z 29.03.2018 r.