POLITYKA PRYWATNOŚCI I COOKIES
§1
Niniejsza Polityka Prywatności, zwana dalej „Polityką”, określa zasady zbierania, przetwarzania oraz wykorzystywania Danych Osobowych Użytkowników przez Nordbaltica Polska Sp. z o.o.
§2
Pojęcia użyte w niniejszej Polityce mają znaczenie nadane im w przepisach prawa bądź w niniejszym paragrafie:
1. Dane Osobowe – dane w rozumieniu art. 4 pkt 1) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „Rozporządzenie”), tj. wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;2. Przetwarzanie danych osobowych – wszelkie operacje lub zestawy operacji wykonywanych na Danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, w tym zbieranie, utrwalanie, organizowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
3. Użytkownik – przedsiębiorca korzystający z usług Serwisu w celach bezpośrednio związanych z prowadzoną działalnością gospodarczą;
4. Platforma Wymiany Informacji Pożyczkowej – oznacza platformę internetową realizującą usługę poufnej wymiany informacji, umożliwiającą współpracę kredytodawców w rozumieniu w ramach umowy powierzenia przetwarzania danych; lista uczestników dostępna jest pod adresem: http://www.credit-check.pl/uczestnicy/;
5. Serwis – system aplikacji internetowych udostępnionych na domenie www.wyplatka.pl służących Użytkownikowi do korzystania z Usług;
6. Spółka – oznacza spółkę działającą pod firmą Nordbaltica Polska spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie, ul. Tytusa Chałubińskiego 8, 00-63 Warszawa, wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000751832, NIP: 7010873213, REGON: 381502261.
§3
Spółka zbiera, przetwarza i wykorzystuje Dane Osobowe osób fizycznych prowadzących działalność gospodarczą zgodnie z obowiązującymi przepisami prawa, w tym zgodnie z przepisami RODO.
§4
Użytkownik, który chce zaaplikować o pożyczkę dla przedsiębiorcy, musi założyć profil w Serwisie poprzez podanie następujących danych:- Nazwa przedsiębiorstwa,
- Imię i nazwisko właściciela lub osób upoważnionych do reprezentacji,
- Numer PESEL właściciela lub osób upoważnionych do reprezentacji,
- Seria i numer dowodu osobistego właściciela lub osób upoważnionych do reprezentacji,
- Kraj pochodzenia właściciela lub osób upoważnionych do reprezentacji,
- Adres siedziby przedsiębiorstwa,
- Adres do korespondencji przedsiębiorstwa,
- Numer NIP przedsiębiorstwa,
- Numer REGON przedsiębiorstwa,
- Kraj rejestracji przedsiębiorstwa,
- Forma prawna przedsiębiorstwa,
- Branża, w której działa przedsiębiorstwo,
- Dochód miesięczny przedsiębiorstwa,
- Adres e–mail przedsiębiorstwa,
- Numer telefonu przedsiębiorstwa.
- Nazwę banku przedsiębiorstwa,
- Numer rachunku bankowego przedsiębiorstwa,
- Informacje o wpłatach i wypłatach dokonanych na rachunek firmowy,
- Informacje o stanie środków na rachunkach firmowych,
- Informacje o innych zobowiązaniach finansowych przedsiębiorstwa.
§5
Spółka przetwarza Dane Osobowe Użytkowników zgodnie z obowiązującymi przepisami prawa, tj. na podstawie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 94/46/WE (dalej „Rozporządzenie”).
§6
1. Spółka jest Administratorem Danych osobowych w rozumieniu art. 4 pkt 7) Rozporządzenia, która samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania Danych Osobowych;2. Spółka, działając na podstawie pisemnej umowy, o której mowa w art. 28 Rozporządzenia, może powierzyć przetwarzanie danych innym podmiotom.
§7
1. Spółka wdraża zabezpieczenia pozwalające osiągnąć określony poziom ochrony danych osobowych. Wdrożenie zasad ochrony danych osobowych odbywa się na podstawie:a) analizy ryzyka, zgodnie z wymaganiami określonymi w art. 24 RODO,
b) wdrożenia zasad ochrony prywatności w fazie projektowania i domyślnej ochrony danych (PIA/Privacy by design/Privacy by default), zgodnie z wymaganiami określonymi w art. 25 Rozporządzenia,
c) wdrożenia zasad przeprowadzania oceny skutków przetwarzania danych osobowych (DPIA), zgodnie z wymaganiami określonymi w art. 35 i 36 Rozporządzenia.
2. Spółka stosuje wymagane aktualnymi przepisami o ochronie danych osobowych środki techniczne i organizacyjne, niezbędne do podjęcia wszelkich przewidzianych prawem środków zmierzających do zabezpieczenia zbiorów Danych Osobowych.
3. Spółka prowadzi rejestr czynności przetwarzania.
4. Spółka wyznaczyła inspektora ochrony danych osobowych.
§8
W wykonaniu obowiązku, wynikającego z art. 13 Rozporządzenia, poniżej przedstawiamy informacje dotyczące przetwarzania Pani/Pana danych osobowych przez Spółkę.
1. Podstawa prawna: Informacja jest przekazywana na postawie art. 13 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 94/46/WE (dalej „Rozporządzenie”).2. Administrator danych: Administratorem Danych osobowych w rozumieniu art. 4 pkt 7) Rozporządzenia, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych jest Nordbaltica Polska spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie, ul. Tytusa Chałubińskiego 8, 00-613 Warszawa, wpisana do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000751832, NIP: 7010873213, REGON: 381502261 (dalej „Nordbaltica Polska” lub „Spółka”).
3. Dane kontaktowe: Z Administratorem Danych osobowych można się skontaktować poprzez adres e-mail: [email protected] lub telefonicznie pod numer: 732 521 521. W Spółce wyznaczony jest inspektor ochrony danych, z którym można się skontaktować pisemnie na adres pocztowy Nordbaltica Polska (Nordbaltica Polska spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie, ul. Tytusa Chałubińskiego 8, 00-613 Warszawa) lub poprzez e-mail: [email protected]. Z inspektorem ochrony danych można się kontaktować we wszystkich sprawach dotyczących przetwarzania danych osobowych oraz korzystania z praw związanych z przetwarzaniem danych osobowych.
4. Cele przetwarzania oraz podstawa prawna przetwarzania: Pani/Pana dane będą przetwarzane przez Spółkę w celach głównych:
a) rozpatrywania wniosku o pożyczkę lub podejmowania czynności związanych z zawarciem umowy pożyczki, a w przypadku jeśli dojdzie do zawarcia umowy pożyczki, również w związku z jej wykonywaniem lub rozwiązaniem oraz wykonywaniem innych czynności związanych z umową takich jak: ocena zdolności kredytowej i analiza ryzyka kredytowego, w tym z wykorzystaniem automatycznych systemów podejmujących decyzje kredytowe – podstawą prawną przetwarzania danych osobowych jest w takim przypadku art. 6 ust. 1 lit. b) Rozporządzenia;
b) świadczenia usług drogą elektroniczną za pośrednictwem serwisu (art. 6 ust. 1 lit. b Rozporządzenia);
c) marketingowych w trakcie obowiązywania umowy pożyczki – podstawą prawną przetwarzania danych osobowych jest art. 6 ust. 1 lit. f) Rozporządzenia, polegający na prawie do prowadzenia marketingu produktów i usług własnych;
d) marketingowych po rozwiązaniu umowy pożyczki lub w przypadku, jeśli nie dojdzie do jej zawarcia – podstawą prawną przetwarzania danych osobowych jest art. 6 ust. 1 lit. a) Rozporządzenia, polegający na prawie do prowadzenia marketingu produktów i usług własnych;
e) marketingu bezpośredniego; przesyłania informacji handlowych drogą elektroniczną – podstawą prawną przetwarzania danych osobowych jest art. 6 pkt. 1 lit. a) Rozporządzenia, art. 172 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne, art. 10 ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną;
f) rozpatrywania Pani/Pana potencjalnych reklamacji i zgłoszonych roszczeń – podstawą prawną przetwarzania danych osobowych jest prawnie uzasadniony interes administratora danych tj. art. 6 ust. 1 lit. f) Rozporządzenia, polegający na rozpatrzeniu zgłoszenia będącego przedmiotem reklamacji oraz obronie przed potencjalnymi roszczeniami;
g) weryfikacji Pani/Pana tożsamości oraz spełnienia obowiązku identyfikacyjnego – podstawą prawną przetwarzania danych osobowych jest art. 6 ust. 1 lit. c) Rozporządzenia w zw. z art. 36 – 37 ustawy z dn. 1 marca 2018 roku o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu;
h) dochodzenia roszczeń i ich windykacji, jeżeli nastąpi sytuacja, w której Spółka będzie do takich działań uprawniona – podstawą prawną przetwarzania danych osobowych jest prawnie uzasadniony interes administratora danych tj. art. 6 ust. 1 lit. f) Rozporządzenia, polegający na dochodzeniu przez administratora swoich roszczeń.
Pani/Pana dane mogą być przetwarzane również (o ile będzie to miało związek z działalnością Spółki i cele poboczne będą powiązane z celami głównymi) w następujących celach pobocznych:
- archiwizowanie danych
- prowadzenie audytów wewnętrznych w Spółce,
- pozostałe badania statystyczne, analizy lub badania historyczne, lub naukowe,
- doradztwo biznesowe, ekonomiczne lub prawne, które jest świadczone jest na rzecz Nordbaltica Polska.
5. Kategorie przetwarzanych danych: Nordbaltica Polska przetwarza Pani/Pana dane osobowe w zakresie:
- dane identyfikujące osobę, w tym: PESEL, imiona, nazwiska, dane dotyczące dokumentu tożsamości, data i kraj urodzenia, płeć, obywatelstwo, stan cywilny, liczbę dzieci na utrzymaniu, status zawodowy, branżę, w której Pani/Pan pracuje, nazwę pracodawcy i numer telefonu pracodawcy, miejsce prowadzenia działalności gospodarczej oraz numer NIP w przypadku działalności gospodarczej, dochód miesięczny;
- dane adresowe i teleadresowe, w tym adres e-mail i numer telefonu;
- dane dotyczące zobowiązania, w tym: cel i źródło zobowiązania, kwota i waluta, stan zadłużenia, okres, warunki spłaty zobowiązania, przebieg realizacji zobowiązania, dane dotyczące wniosków kredytowych;
- informacje pozyskane z rachunku bankowego;
- informacje pozyskane z Biura Informacji Kredytowej S. A., biur informacji gospodarczych i od Uczestników Platformy Wymiany Informacji Pożyczkowej, których lista dostępna jest pod adresem:
http://www.credit-check.pl/uczestnicy/;
- głos.
6. Źródło pochodzenia danych: Dane osobowe zbieramy wyłącznie od osób, których dane dotyczą, za wyjątkiem danych pozyskanych z Biura Informacji Kredytowej S. A., biur informacji gospodarczych i uczestników Platformy Wymiany Informacji Kredytowej.
7. Dobrowolność lub obowiązek podania danych: Podanie danych ma charakter dobrowolny, ale jest konieczne do zawarcia (w tym do oceny zdolności kredytowej) i realizacji umowy pożyczki (z wyłączeniem przetwarzania w celach marketingowych na podstawie wyrażonej zgody, które jest dobrowolne).
8. Okres przez który dane będą przetwarzane: Pani/Pana dane osobowe będą przetwarzane przez Spółkę:
a) dla celów dokonywania oceny zdolności kredytowej i analizy ryzyka kredytowego, w tym profilowania – przez okres 3 lat od zebrania danych, a jeśli dojdzie do zawarcia umowy pożyczki – przez okres 3 lat po: wykonaniu zobowiązań wynikających z zawartej umowy pożyczki, zbyciu przez kredytodawcę wierzytelności wynikających z umowy pożyczki lub rozwiązaniu umowy pożyczki;
b) dla celów realizacji umowy pożyczki – przez okres trwania umowy;
c) dla celów marketingowych w trakcie obowiązywania umowy pożyczki – przez czas trwania tej umowy;
d) dla celów marketingowych po rozwiązaniu umowy pożyczki lub w przypadku, jeśli nie dojdzie do jej zawarcia – do czasu odwołania zgody na przetwarzanie danych osobowych;
e) dla celów rozpatrywania Pani/Pana reklamacji i zgłoszonych roszczeń – do momentu przedawnienia Pani/Pana potencjalnych roszczeń z tytułu naruszenia przetwarzania danych;
f) dla celów windykacji i dochodzenia roszczeń przez Spółkę – do momentu przedawnienia Pani/Pana potencjalnych roszczeń;
g) dla celów związanych z prowadzeniem postępowań sądowych – dane mogą być przetwarzane do 6 lat od dnia wydania prawomocnego orzeczenia kończącego postępowanie;
h) dla celów wykrywania nadużyć i zapobiegania im – przez czas trwania umowy, a następnie przez okres, po którym przedawnią się roszczenia wynikające z umowy, a w przypadku dochodzenia przez Spółkę lub zawiadamiania właściwych organów – przez czas trwania takich postępowań;
i) dla celów stosowania środków bezpieczeństwa finansowego przez okres 5 lat, licząc od pierwszego dnia roku następującego po roku, w którym zakończono stosunki gospodarcze z klientem;
j) dla celów tworzenia zestawień, analiz i statystyk– przez czas trwania umowy, a następnie nie dłużej niż przez okres, po którym przedawnią się roszczenia wynikające z umowy;
k) do celów archiwalnych – po wygaśnięciu danej relacji prawnej (czyli np. umowy) dane osobowe dotyczące klienta są przetwarzane przez 6 lat, chyba że przepisy prawa przewidują krótszy okres.
W przypadkach pozyskania przez Nordbaltica Polska danych z baz prowadzonych przez inne podmioty lub danych przekazanych przez inne podmioty (np. te określone w pkt 6 niniejszej Polityki Prywatności) okres przetwarzania zależny jest od celu przekazania lub odwołania zgody.
9. Odbiorcy danych: Pani/Pana dane osobowe mogą być udostępniane przez Nordbaltica Polska podmiotom uprawnionym do ich otrzymania na podstawie Pana/Pani zgody w celu oceny zdolności kredytowej i analizy ryzyka kredytowego tj.:
- Biuro Informacji Kredytowej S. A. z siedzibą w Warszawie (02-679) przy ul. Zygmunta Modzelewskiego 77A,
- Krajowy Rejestr Długów Biuro Informacji Gospodarczej S.A. z siedzibą we Wrocławiu (51-214) przy ul. Danuty Siedzikówny 12,
- ERIF Biuro Informacji Gospodarczej S.A. z siedzibą w Warszawie (00-095) przy Plac Bankowy 2,
- Biuro Informacji Gospodarczej InfoMonitor S. A. z siedzibą w Warszawie (02-679) przy ul. Zygmunta Modzelewskiego 77,
- Krajowe Biuro Informacji Gospodarczej z siedzibą w Krakowie (31-476) przy ul. Lublańska 38,
- CRIF Sp. z o.o. z siedzibą w Krakowie (31-476) przy ul. Lublańska 38,
- Uczestnicy Platformy Wymiany Informacji Pożyczkowej. Lista uczestników dostępna jest pod adresem:
http://www.credit-check.pl/uczestnicy/.
Pani/Pana dane osobowe mogą być udostępniane przez Nordbaltica Polska sp. z o. o. również do następującej kategorii podmiotów:
- Blue Media S.A. z siedzibą w Sopocie (81-718) przy ul. Powstańców Warszawy 6,
- DotPay S. A. z siedzibą w Krakowie (30-552) przy ul. Wielickiej 28B,
- firmy wspierające Nordbaltica Polska sp. z o. o. w świadczeniu usług drogą elektroniczną,
- firmy świadczące usługi IT,
- firmy, które wspierają Nordbaltica Polska w obsłudze klientów,
- firmy wspierające promocję produktów i współpracują w ramach kampanii marketingowych,
- firmy, które wykonują usługi księgowo-podatkowe, audytowe, zewnętrzne kancelarie prawne i firmy windykacyjne – na podstawie umów powierzenia, w celach związanych z obsługą księgowo-finansową, prawną i windykacyjną,
- nabywcy wierzytelności z tytułu zawartych przez Spółkę umów pożyczek, w przypadku, jeśli Spółka dokona cesji wierzytelności.
10. Automatyczne podejmowanie decyzji: W procesie oceny zdolności kredytowej Nordbaltica Polska podejmuje decyzje w sposób zautomatyzowany w oparciu o dane podane przez Panią/Pana oraz dane pozyskane z baz zewnętrznych. Decyzje te są podejmowane automatycznie w oparciu o stosowany przez Spółkę model scoringowy. Decyzje podejmowane w ten zautomatyzowany sposób mają wpływ na decyzję o przyznaniu lub odmowie przyznania pożyczki lub na zaproponowanie Panu/Pani określonego produktu finansowego. Podejmowanie decyzji w sposób zautomatyzowany do celów oceny zdolności kredytowej jest niezbędne do zawarcia umowy pożyczki. W każdym przypadku, to jest zarówno w przypadku wydania pozytywnej decyzji kredytowej, jak również w przypadku odmowy, ma Pani/Pan prawo zwrócić się do Nordbaltica Polska sp. z o. o. z wnioskiem o otrzymanie stosownych wyjaśnień, co do podstaw podjętej decyzji, do uzyskania interwencji ludzkiej w celu podjęcia ponownej decyzji oraz do wyrażenia własnego stanowiska. Pani/Pana dane mogą być również przetwarzane w sposób zautomatyzowany również w formie profilowania w celu dokonania oceny ryzyka prania pieniędzy i finansowania terroryzmu. Ocena może obejmować dane osobowe zawarte we wszelkich dokumentach przekazanych przez Panią/Pana przy zawarciu umowy. Dokonanie oceny może skutkować automatycznym zakwalifikowaniem do grupy ryzyka, w tym do grupy nieakceptowalnego ryzyka zagrożonej automatyczną blokadą i nienawiązaniem relacji gospodarczej albo niewykonaniem transakcji. Nordbaltica Polska sp. z o. o. może również przetwarzać Pani/Pana dane w sposób zautomatyzowany, również w formie profilowania w celu prowadzenia działań marketingu bezpośredniego.
§9
Prawa osoby której dane dotyczą: Przysługuje Pani/Panu prawo dostępu do Pani/Pana danych oraz prawo żądania ich sprostowania (gdy są niezgodne ze stanem rzeczywistym), usunięcia, ograniczenia przetwarzania (w przypadkach przewidzianych prawem). W zakresie, w jakim podstawą przetwarzania Pani/Pana danych osobowych jest przesłanka prawnie uzasadnionego interesu administratora, przysługuje Pani/Panu prawo wniesienia sprzeciwu wobec przetwarzania Pani/Pana danych osobowych. W zakresie, w jakim podstawą przetwarzania Pani/Pana danych osobowych jest zgoda, ma Pani/Pan prawo wycofania zgody. Wycofanie zgody nie ma wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. W zakresie, w jakim Pani/Pana dane są przetwarzane w celu zawarcia i wykonywania umowy lub przetwarzane na podstawie zgody – przysługuje Pani/Panu także prawo do przenoszenia danych osobowych, tj. do otrzymania od administratora Pani/Pana danych osobowych, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego. Może Pani/Pan przesłać te dane innemu administratorowi danych. Uprawnienie do przenoszenia danych nie dotyczy danych, które stanowią tajemnicę przedsiębiorstwa, nie może niekorzystnie wpływać na prawa i wolności innych osób, w tym tajemnic handlowych lub własności intelektualnej i będzie ono realizowane w zakresie technicznie możliwym. Pierwsza kopia danych jest bezpłatna. Przysługuje Pani/Panu również prawo wniesienia skargi do organu nadzorczego zajmującego się ochroną danych osobowych, to jest Prezesa Urzędu Ochrony Danych Osobowych z siedzibą w Warszawie (00-923) przy ul. Stawki 2.