§1. Informacje ogólne
1. Niniejsza Polityka Prywatności określa zasady przetwarzania danych osobowych Użytkowników korzystających z Platformy Procuro dostępnej pod adresem platformaprocuro.pl.
2. Administratorem danych osobowych jest CORETHREE DIGITAL sp. z o.o. z siedzibą we Wrocławiu 50-078 przy ulicy Leszczyńskiego 4 lokal 29, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS (dalej: „Administrator”, „Usługodawca”).
3. Kontakt z Administratorem jest możliwy pod adresem e-mail: procuro@corethreedigital.com.
4. Administrator przetwarza dane osobowe zgodnie z przepisami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 („RODO”).
§2. Zakres przetwarzanych danych
1. Administrator przetwarza dane niezbędne do:
a) świadczenia usług SaaS,
b) założenia i prowadzenia Konta,
c) rozliczeń finansowych,
d) zapewnienia bezpieczeństwa Platformy,
e) analizy działania systemu,
f) kontaktu z Użytkownikiem.
2. Przetwarzane są następujące dane Użytkownika:
a) adres e-mail,
b) dane firmy (nazwa, NIP, adres — jeśli podane),
c) dane profilu biznesowego: kody CPV, słowa kluczowe, branże i kategorie przetargów wskazane przez Użytkownika w ustawieniach Konta,
d) dane logowania (hash hasła),
e) adres IP,
f) dane techniczne urządzenia i przeglądarki,
g) dane billingowe,
h) dane aktywności w systemie (logi).
3. Administrator nie przetwarza plików przesyłanych przez Użytkowników, ponieważ Platforma nie posiada funkcji uploadu dokumentów.
4. Administrator przetwarza dane przetargowe pochodzące ze źródeł publicznych (BZP, TED). Dane te nie są danymi osobowymi Użytkowników.
§3. Cele i podstawy prawne przetwarzania danych
Administrator przetwarza dane osobowe na podstawie:
1. Art. 6 ust. 1 lit. b RODO – niezbędność do wykonania umowy:
a) założenie i obsługa Konta,
b) świadczenie usług drogą elektroniczną,
c) rozliczenia i wystawianie faktur.
2. Art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Administratora:
a) zapewnienie bezpieczeństwa Platformy (logi techniczne),
b) zapobieganie nadużyciom,
c) analiza statystyczna,
d) ulepszanie działania usług,
e) prowadzenie korespondencji.
3. Art. 6 ust. 1 lit. c RODO – obowiązek prawny:
a) przechowywanie dokumentacji księgowej,
b) rozliczenia podatkowe.
4. Art. 6 ust. 1 lit. a RODO – zgoda, jeśli Użytkownik wyrazi ją dobrowolnie:
a) wysyłka newslettera,
b) komunikacja marketingowa.
§4. Sztuczna inteligencja (AI) — OpenAI
1. Platforma wykorzystuje modele językowe AI dostarczane przez OpenAI, L.L.C. (San Francisco, USA) w celu:
a) automatycznej klasyfikacji przetargów według kodów CPV,
b) dopasowywania ogłoszeń przetargowych do profilu biznesowego Użytkownika,
c) generowania podsumowań i analiz treści przetargów.
2. W procesie przetwarzania AI do modeli OpenAI przekazywane są wyłącznie:
a) treści ogłoszeń przetargowych pochodzące ze źródeł publicznych (BZP, TED),
b) dane profilu biznesowego Użytkownika: kody CPV, słowa kluczowe i kategorie branżowe.
3. Do OpenAI NIE są przekazywane: adres e-mail, dane identyfikacyjne, dane billingowe, logi aktywności ani inne dane osobowe Użytkownika.
4. Dane przekazywane do OpenAI NIE są używane przez OpenAI do trenowania modeli AI — przetwarzanie odbywa się na podstawie umowy powierzenia przetwarzania danych (DPA) zawartej z OpenAI, która wyklucza takie wykorzystanie.
5. Użytkownik przyjmuje do wiadomości, że wyniki AI mogą zawierać błędy, nieścisłości lub pomyłki wynikające z automatycznego przetwarzania.
§5. Odbiorcy danych
Administrator może ujawniać dane wyłącznie:
1. Podmiotom przetwarzającym dane na zlecenie Administratora (procesorzy):
a) dostawca hostingu: OVH SAS (Francja, EOG),
b) dostawca modeli AI: OpenAI, L.L.C. (USA) — wyłącznie dane profilu biznesowego i treści przetargowe; szczegóły w §6,
c) operator płatności: Przelewy24 (PayPro S.A., Polska),
d) dostawca usług księgowych: mBank,
e) dostawcy systemów mailingowych (SMTP),
f) kancelarie prawne obsługujące Administratora.
2. Organom państwowym – wyłącznie na podstawie przepisów prawa.
Administrator nie sprzedaje danych osobowych Użytkowników.
§6. Przekazywanie danych poza EOG
1. Co do zasady dane Użytkowników przetwarzane są na serwerach OVH zlokalizowanych w Europejskim Obszarze Gospodarczym (Francja/Niemcy) i nie są przekazywane poza EOG.
2. Wyjątek stanowi przetwarzanie przez OpenAI, L.L.C. z siedzibą w USA. Transfer danych do OpenAI odbywa się na podstawie:
a) Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską (decyzja 2021/914),
b) umowy powierzenia przetwarzania danych (DPA) z OpenAI, dostępnej pod adresem: https://openai.com/policies/data-processing-addendum.
3. Zakres danych przekazywanych do USA jest ograniczony do minimum opisanego w §4 ust. 2 — dane osobowe Użytkownika (e-mail, dane identyfikacyjne) nie są przekazywane do OpenAI.
§7. Okres przechowywania danych
Administrator przechowuje dane:
1. przez okres świadczenia usług,
2. po zakończeniu usług przez okres:
a) 5 lat – dla dokumentacji księgowej i podatkowej,
b) 3 lata – dla roszczeń cywilnych,
3. logi bezpieczeństwa – maksymalnie 12 miesięcy.
Dane mogą być przechowywane dłużej w przypadku dochodzenia roszczeń lub gdy obowiązek taki wynika z przepisów prawa.
§8. Prawa Użytkownika
Użytkownikowi przysługują następujące prawa:
1. Prawo dostępu do danych (art. 15 RODO).
2. Prawo do sprostowania danych (art. 16 RODO).
3. Prawo do usunięcia danych („prawo do bycia zapomnianym”) – art. 17 RODO.
4. Prawo do ograniczenia przetwarzania (art. 18 RODO).
5. Prawo do przenoszenia danych (art. 20 RODO).
6. Prawo sprzeciwu wobec przetwarzania danych (art. 21 RODO).
7. Prawo do wycofania zgody w dowolnym momencie (art. 7 ust. 3 RODO).
8. Prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
Wnioski w zakresie realizacji praw należy kierować na adres: procuro@corethreedigital.com. Administrator rozpatruje wnioski w terminie 30 dni.
§9. Bezpieczeństwo danych
1. Administrator wdraża odpowiednie środki techniczne i organizacyjne, w tym:
a) szyfrowanie transmisji (HTTPS/TLS),
b) szyfrowanie haseł,
c) politykę uprawnień i kontrolę dostępu,
d) systemy firewall,
e) rejestrowanie incydentów bezpieczeństwa,
f) regularne kopie zapasowe danych (backup),
g) monitorowanie logów systemowych,
h) sesje serwerowe z automatycznym wygasaniem.
2. W przypadku naruszenia ochrony danych osobowych Administrator powiadomi Prezesa UODO w terminie 72 godzin (art. 33 RODO), a w przypadku wysokiego ryzyka — również Użytkowników (art. 34 RODO).
§10. Pliki cookies oraz logi systemowe
1. Platforma wykorzystuje wyłącznie techniczne pliki cookies niezbędne do jej prawidłowego działania. Nie są stosowane cookies analityczne ani marketingowe podmiotów trzecich.
2. Stosowane są następujące rodzaje cookies:
a) cookies sesji (session cookies) — przechowują identyfikator zalogowanej sesji; usuwane po zamknięciu przeglądarki lub wylogowaniu,
b) cookies CSRF — token zabezpieczający formularze przed atakami Cross-Site Request Forgery; czas życia: czas trwania sesji.
3. Korzystanie z Platformy jest równoznaczne z wyrażeniem zgody na używanie wyłącznie niezbędnych cookies technicznych, bez których działanie Platformy nie jest możliwe.
4. Logi systemowe mogą zawierać:
a) adres IP,
b) czas i rodzaj żądania HTTP,
c) wersję przeglądarki i systemu operacyjnego,
d) kody błędów systemowych.
Logi przechowywane są przez okres maksymalnie 12 miesięcy.
§11. Profilowanie i zautomatyzowane dopasowanie
1. Platforma buduje profil biznesowy Użytkownika na podstawie danych wprowadzonych przez niego w ustawieniach Konta (kody CPV, słowa kluczowe, branże). Profil ten jest wykorzystywany do automatycznego dopasowywania i rekomendowania ogłoszeń przetargowych.
2. Profilowanie to nie wywołuje wobec Użytkownika skutków prawnych ani w podobny sposób istotnie na niego nie wpływa w rozumieniu art. 22 RODO — służy wyłącznie poprawie trafności wyników wyszukiwania.
3. Administrator nie podejmuje wobec Użytkownika decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, które wywoływałyby skutki prawne.
4. Użytkownik może w każdej chwili zmodyfikować lub usunąć dane swojego profilu biznesowego w ustawieniach Konta.
§12. Zmiany Polityki Prywatności
1. Administrator zastrzega sobie prawo do wprowadzania zmian w Polityce Prywatności z ważnych przyczyn (zmiany przepisów prawa, zmiany techniczne Platformy, zmiany w zakresie stosowanych procesorów).
2. Użytkownik zostanie powiadomiony o zmianach e-mailem co najmniej 14 dni przed ich wejściem w życie.
3. Aktualna wersja Polityki Prywatności jest zawsze dostępna pod adresem: https://www.platformaprocuro.pl/polityka-prywatnosci.html.
§13. Kontakt
W sprawach dotyczących danych osobowych, realizacji praw RODO oraz pytań dotyczących prywatności prosimy o kontakt:
E-mail: procuro@corethreedigital.com
Adres korespondencyjny: CORETHREE DIGITAL sp. z o.o., ul. Leszczyńskiego 4 lok. 29, 50-078 Wrocław
