Polityka prywatności Novus Point

1.1. Administratorem danych osobowych w rozumieniu art. 4 pkt 7 RODO jest Novus Point Limited – spółka prawa angielskiego (private company limited by shares, UK Ltd), prowadząca działalność pod marką „Novus Point” (dalej: „Administrator”).

1.2. Administrator jest podmiotem z siedzibą w Zjednoczonym Królestwie. Pełne dane rejestrowe Administratora, w tym numer rejestracyjny spółki (company number) oraz adres siedziby statutowej, są dostępne w publicznym rejestrze spółek Zjednoczonego Królestwa (Companies House) oraz zostają udostępnione na żądanie skierowane na adres kontaktowy wskazany w klauzuli 2.3 niniejszej Polityki (hello@novus-point.pl).

1.3. Administrator prowadzi butikową praktykę doradztwa regulacyjnego wyłącznie w zakresie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. ustanawiającego zharmonizowane przepisy dotyczące sztucznej inteligencji (Akt w sprawie sztucznej inteligencji). Administrator nie jest kancelarią prawną i nie świadczy pomocy prawnej w rozumieniu przepisów regulujących zawody prawnicze; świadczone usługi mają charakter doradztwa regulacyjnego i są kierowane wyłącznie do klientów biznesowych (B2B).

1.4. Administrator określa cele i sposoby przetwarzania danych osobowych objętych niniejszą Polityką i ponosi odpowiedzialność za zgodność tego przetwarzania z RODO oraz innymi przepisami o ochronie danych osobowych. W zakresie przetwarzania opisanego w niniejszej Polityce Administrator działa jako administrator danych w rozumieniu art. 4 pkt 7 RODO.

1.5. W relacjach z Klientami oraz dostawcami usług Administrator może występować w różnych rolach przewidzianych przez RODO. W odrębnych relacjach umownych Administrator może działać jako podmiot przetwarzający na rzecz Klienta (art. 28 RODO) lub jako współadministrator (art. 26 RODO); zasady takiego przetwarzania określa właściwa umowa zawarta z Klientem, a nie niniejsza Polityka. Rozróżnienie tych ról jest spójne z postanowieniami Regulaminu świadczenia usług. Szczegółowy opis ról w przetwarzaniu danych zawiera § 6 niniejszej Polityki.

1.6. Polityka ma zastosowanie do przetwarzania danych osobowych następujących kategorii osób: (a) osób fizycznych reprezentujących Klienta będącego osobą prawną lub inną jednostką organizacyjną, w szczególności członków zarządu, dyrektorów do spraw zgodności lub ryzyka, radców wewnętrznych, dyrektorów do spraw danych lub sztucznej inteligencji, osób kontaktowych, pełnomocników oraz pracowników; (b) osób fizycznych prowadzących jednoosobową działalność gospodarczą będących Klientem; (c) osób korzystających z formularza kontaktowego dostępnego w serwisie internetowym Administratora; (d) osób kontaktujących się z Administratorem za pośrednictwem serwisu LinkedIn.

1.7. Polityka dotyczy przetwarzania danych osobowych prowadzonego przez Administratora w związku z funkcjonowaniem serwisu internetowego dostępnego pod adresem https://novus-point.pl, prowadzeniem komunikacji biznesowej oraz świadczeniem usług doradztwa regulacyjnego. Polityka nie obejmuje zasad przetwarzania danych przez podmioty trzecie, w tym operatorów platform zewnętrznych (np. LinkedIn), którzy działają jako odrębni administratorzy na podstawie własnych polityk prywatności.

1.8. Administrator nie podejmuje wobec osób, których dane dotyczą, decyzji opierających się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywoływałyby skutki prawne lub w podobny sposób istotnie na te osoby wpływały, w rozumieniu art. 22 RODO.

2.1. Administrator dokonał oceny przesłanek określonych w art. 37 ust. 1 RODO i ustalił, że nie ma prawnego obowiązku wyznaczenia inspektora ochrony danych. Administrator nie jest organem ani podmiotem publicznym, jego główna działalność nie polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, ani na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych w rozumieniu art. 9 RODO lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych w rozumieniu art. 10 RODO.

2.2. Niezależnie od braku ustawowego obowiązku wyznaczenia inspektora ochrony danych, Administrator dobrowolnie wyznaczył punkt kontaktowy do spraw ochrony danych osobowych. Brak formalnego inspektora ochrony danych nie ogranicza w żaden sposób praw osób, których dane dotyczą, ani nie zwalnia Administratora z obowiązków wynikających z RODO; wyznaczony dobrowolnie punkt kontaktowy zapewnia osobom, których dane dotyczą, możliwość uzyskania informacji oraz realizacji przysługujących im praw w sposób równoważny.

2.3. We wszystkich sprawach dotyczących przetwarzania danych osobowych oraz wykonywania praw przysługujących na podstawie RODO można kontaktować się z Administratorem za pośrednictwem poczty elektronicznej pod adresem: hello@novus-point.pl. Wszelka korespondencja kierowana na ten adres, oznaczona jako dotycząca ochrony danych osobowych, jest obsługiwana przez dobrowolnie wyznaczony punkt kontaktowy, o którym mowa w klauzuli 2.2.

2.4. Adres wskazany w klauzuli 2.3 stanowi podstawowy i preferowany kanał kontaktu w sprawach ochrony danych. Kanałem alternatywnym, służącym do nawiązania pierwszego kontaktu, jest wiadomość prywatna (DM) za pośrednictwem profilu Administratora w serwisie LinkedIn; ze względów bezpieczeństwa oraz właściwej weryfikacji tożsamości żądania dotyczące realizacji praw osób, których dane dotyczą, powinny być kierowane na adres poczty elektronicznej wskazany w klauzuli 2.3.

2.5. W celu sprawnego rozpatrzenia zgłoszenia Administrator może zwrócić się do osoby kierującej żądanie o podanie dodatkowych informacji pozwalających na potwierdzenie jej tożsamości, zgodnie z art. 12 ust. 6 RODO, w szczególności gdy Administrator ma uzasadnione wątpliwości co do tożsamości osoby składającej żądanie.

2.6. Administrator ma siedzibę poza Unią Europejską (w Zjednoczonym Królestwie), a niniejsza Polityka dotyczy przetwarzania związanego z oferowaniem usług osobom znajdującym się w Unii w rozumieniu art. 3 ust. 2 lit. a RODO. Administrator dokonał oceny przesłanek z art. 27 RODO w zakresie obowiązku wyznaczenia przedstawiciela w Unii. Jeżeli Administrator wyznaczył przedstawiciela w Unii w rozumieniu art. 27 RODO, jego tożsamość oraz dane kontaktowe są udostępniane w niniejszej Polityce oraz na żądanie skierowane na adres wskazany w klauzuli 2.3, zgodnie z art. 13 ust. 1 lit. a oraz art. 14 ust. 1 lit. a RODO. Jeżeli natomiast zastosowanie znajduje wyłączenie, o którym mowa w art. 27 ust. 2 RODO — w szczególności gdy przetwarzanie ma charakter okazjonalny, nie obejmuje przetwarzania na dużą skalę szczególnych kategorii danych osobowych (art. 9 RODO) ani danych dotyczących wyroków skazujących i czynów zabronionych (art. 10 RODO) i jest mało prawdopodobne, by powodowało ryzyko dla praw lub wolności osób fizycznych — Administrator wskazuje tę okoliczność oraz nie jest zobowiązany do wyznaczenia przedstawiciela. Aktualny status w tym zakresie Administrator udostępnia na żądanie skierowane na adres hello@novus-point.pl; postanowienie to pozostaje spójne z § 8 Regulaminu świadczenia usług.

3.1. Administrator przetwarza dane osobowe osób fizycznych reprezentujących Klienta będącego osobą prawną lub inną jednostką organizacyjną, w szczególności: członków zarządu i innych organów, dyrektorów i specjalistów do spraw zgodności (compliance) oraz ryzyka, radców i prawników wewnętrznych (in-house), dyrektorów i specjalistów do spraw danych oraz sztucznej inteligencji, osób kontaktowych wyznaczonych po stronie Klienta, pełnomocników oraz pozostałych pracowników i współpracowników Klienta zaangażowanych w nawiązanie współpracy, jej realizację lub bieżącą obsługę.

3.2. Administrator przetwarza dane osobowe osób fizycznych prowadzących jednoosobową działalność gospodarczą (JDG), które same są Klientem Administratora, to jest są stroną umowy o świadczenie usług doradczych zawieranej z Administratorem.

3.3. Administrator przetwarza dane osobowe osób korzystających z formularza kontaktowego dostępnego w serwisie internetowym Administratora pod adresem https://novus-point.pl, niezależnie od tego, czy osoby te działają w imieniu własnym, czy w imieniu i na rzecz reprezentowanego podmiotu, a także dane osobowe osób kontaktujących się z Administratorem za pośrednictwem serwisu LinkedIn, w szczególności w drodze wiadomości bezpośrednich (LinkedIn DM), stanowiącego alternatywny kanał kontaktu wskazany przez Administratora.

3.4. Z uwagi na wyłącznie biznesowy (B2B) charakter działalności Administrator nie kieruje swoich usług do konsumentów i nie przetwarza danych osobowych w celach związanych z obsługą konsumentów; dane osób fizycznych są przetwarzane wyłącznie w kontekście relacji zawodowych i gospodarczych opisanych powyżej.

3.5. Administrator przetwarza dane identyfikacyjne i kontaktowe, w szczególności imię i nazwisko, służbowy adres poczty elektronicznej, służbowy numer telefonu oraz identyfikator lub adres profilu w serwisie LinkedIn, a w odniesieniu do osób fizycznych prowadzących jednoosobową działalność gospodarczą również firmę, pod którą działalność jest wykonywana, adres wykonywania działalności oraz numery identyfikacyjne (w szczególności NIP i REGON) w zakresie, w jakim odnoszą się one do osoby fizycznej.

3.6. Administrator przetwarza dane dotyczące zatrudnienia oraz pełnionej funkcji, w szczególności nazwę organizacji (podmiotu reprezentowanego), zajmowane stanowisko lub pełnioną rolę, dział oraz zakres obowiązków lub umocowania w zakresie niezbędnym do nawiązania i prowadzenia kontaktu biznesowego oraz ustalenia uprawnienia danej osoby do reprezentowania Klienta.

3.7. Administrator przetwarza treść korespondencji oraz opis sprawy przekazany przez osobę, której dane dotyczą. W przypadku korzystania z formularza kontaktowego przetwarzane są: imię i nazwisko, nazwa organizacji, stanowisko, krótki opis sprawy o długości do 500 znaków oraz dane kontaktowe (adres poczty elektronicznej) podane w celu udzielenia odpowiedzi, a także metadane techniczne związane z wysłaniem formularza. W przypadku kontaktu pocztą elektroniczną lub za pośrednictwem serwisu LinkedIn przetwarzana jest treść wiadomości oraz dane ujawnione przez osobę w toku prowadzonej komunikacji.

3.8. Administrator przetwarza dane techniczne oraz dane zawarte w logach systemowych, w szczególności adres IP oraz znacznik czasu, gromadzone w celu zapewnienia bezpieczeństwa serwisu i infrastruktury. Administrator korzysta z analityki Plausible Analytics, która jest rozwiązaniem przyjaznym prywatności, nie wykorzystuje śledzących plików cookie, nie prowadzi profilowania i operuje wyłącznie na danych zagregowanych. W celu zapamiętania preferencji osoby odwiedzającej (na przykład zamknięcia paska informacyjnego) wykorzystywany jest mechanizm pamięci lokalnej przeglądarki (localStorage), który nie przesyła danych do Administratora ani nie służy do identyfikacji czy profilowania. Szczegółowe zasady dotyczące analityki, plików cookie, pamięci lokalnej przeglądarki (localStorage) oraz logów serwera określa § 9 niniejszej Polityki.

3.9. Administrator przetwarza wyłącznie dane adekwatne, niezbędne i ograniczone do tego, co konieczne dla celów, w których są przetwarzane, zgodnie z zasadą minimalizacji danych wyrażoną w art. 5 ust. 1 lit. c RODO. Administrator nie zwraca się o podanie i nie zmierza do przetwarzania szczególnych kategorii danych osobowych w rozumieniu art. 9 RODO; w razie samodzielnego podania przez osobę takich danych w treści korespondencji lub w opisie sprawy osoba ta jest proszona o ich nieprzekazywanie, a Administrator ogranicza ich przetwarzanie do zakresu niezbędnego do obsługi zgłoszenia.

3.10. Administrator pozyskuje dane osobowe bezpośrednio od osoby, której dane dotyczą, w szczególności w wyniku przesłania formularza kontaktowego, skierowania wiadomości pocztą elektroniczną na adres hello@novus-point.pl, nawiązania kontaktu za pośrednictwem serwisu LinkedIn, prowadzenia korespondencji oraz w toku negocjowania i wykonywania umowy.

3.11. Administrator pozyskuje dane osobowe osób reprezentujących Klienta będącego osobą prawną lub inną jednostką organizacyjną od samego Klienta, który udostępnia Administratorowi dane swoich reprezentantów, osób kontaktowych, pełnomocników, pracowników lub współpracowników w celu nawiązania i realizacji współpracy. W odniesieniu do tych osób, których dane nie zostały pozyskane bezpośrednio od nich, Administrator realizuje obowiązek informacyjny wynikający z art. 14 RODO.

3.12. Administrator może pozyskiwać dane osobowe ze źródeł publicznie dostępnych, w szczególności z serwisu LinkedIn oraz z publicznych rejestrów, takich jak Krajowy Rejestr Sądowy (KRS) i Centralna Ewidencja i Informacja o Działalności Gospodarczej (CEIDG), w zakresie niezbędnym do weryfikacji statusu i umocowania osób reprezentujących Klienta, weryfikacji danych Klienta będącego osobą fizyczną prowadzącą działalność gospodarczą oraz do nawiązania kontaktu biznesowego. Cel i podstawę prawną tego przetwarzania określa klauzula 4.7a niniejszej Polityki.

3.13. W przypadku pozyskania danych w sposób inny niż bezpośrednio od osoby, której dane dotyczą, Administrator pozyskuje, w odniesieniu do osób reprezentujących Klienta, dane z kategorii wskazanych w klauzulach 3.5 oraz 3.6 niniejszego paragrafu, to jest dane identyfikacyjne i kontaktowe oraz dane dotyczące zatrudnienia i pełnionej funkcji. Administrator przekazuje takim osobom informacje wymagane przez art. 14 RODO, w tym informację o źródle pochodzenia danych oraz o kategoriach przetwarzanych danych, o celach i podstawach prawnych przetwarzania, o odbiorcach lub kategoriach odbiorców danych, o zamiarze przekazania danych do państwa trzeciego (Zjednoczonego Królestwa) wraz ze wskazaniem podstawy tego przekazania zgodnie z § 7 niniejszej Polityki, o okresie przechowywania danych lub kryteriach jego ustalania oraz o prawach przysługujących osobie, której dane dotyczą, zgodnie z § 8 niniejszej Polityki, najpóźniej w terminach określonych w art. 14 ust. 3 RODO, chyba że zastosowanie znajduje wyłączenie przewidziane w art. 14 ust. 5 RODO.

3.14. Podanie danych osobowych jest dobrowolne, jednak w określonym zakresie może być warunkiem niezbędnym do podjęcia kontaktu, udzielenia odpowiedzi na zapytanie, przygotowania oferty oraz zawarcia i wykonania umowy. Niepodanie danych identyfikacyjnych i kontaktowych może uniemożliwić Administratorowi obsługę zgłoszenia lub nawiązanie i prowadzenie współpracy. W odniesieniu do osób fizycznych będących stroną umowy podanie danych w zakresie wynikającym z obowiązków podatkowo-rachunkowych jest wymogiem ustawowym. Szczegółowe zasady dobrowolności podania danych i skutków ich niepodania określa § 4 niniejszej Polityki.

4.1. Administrator przetwarza dane osobowe wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach oraz w zakresie niezbędnym do ich osiągnięcia, zgodnie z zasadą minimalizacji danych wyrażoną w art. 5 ust. 1 lit. b i lit. c RODO. Dla każdego celu wskazano poniżej odrębną podstawę prawną przetwarzania w rozumieniu art. 6 ust. 1 RODO.

4.2. Cel: obsługa zapytania przesłanego za pośrednictwem formularza kontaktowego, korespondencji e-mail lub wiadomości na portalu LinkedIn oraz przeprowadzenie wstępnej rozmowy konsultacyjnej (kontaktu o charakterze biznesowym B2B). Podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora) w odniesieniu do osób fizycznych reprezentujących Klienta będącego osobą prawną lub jednostką organizacyjną, a także osób kontaktujących się w imieniu takiego podmiotu; prawnie uzasadnionym interesem jest nawiązanie i utrzymanie kontaktu biznesowego, udzielenie odpowiedzi na zapytanie oraz prowadzenie korespondencji handlowej. W odniesieniu do osoby fizycznej, która kontaktuje się we własnym imieniu jako potencjalna strona przyszłej umowy (w szczególności osoby prowadzącej jednoosobową działalność gospodarczą), podstawą jest art. 6 ust. 1 lit. b RODO (podjęcie działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy).

4.3. Cel: przygotowanie i przedstawienie oferty oraz zawarcie i wykonanie umowy o świadczenie usług doradztwa regulacyjnego w zakresie Rozporządzenia (UE) 2024/1689 (Akt w sprawie sztucznej inteligencji). Podstawa prawna: art. 6 ust. 1 lit. b RODO (niezbędność do wykonania umowy lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy) wyłącznie w przypadku, gdy stroną umowy jest osoba fizyczna, w tym osoba fizyczna prowadząca jednoosobową działalność gospodarczą; w przypadku gdy stroną umowy jest Klient będący osobą prawną lub jednostką organizacyjną, a dane dotyczą osób fizycznych ją reprezentujących lub działających w jej imieniu (członków zarządu, dyrektorów, pełnomocników, osób kontaktowych, pracowników) — art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora polegający na przygotowaniu oferty, zawarciu i należytym wykonaniu umowy z reprezentowanym podmiotem oraz na bieżącej komunikacji niezbędnej do realizacji tej umowy). W zakresie działań ofertowych podejmowanych z inicjatywy Administratora (a nie na żądanie osoby fizycznej), podstawą może być art. 6 ust. 1 lit. f RODO (uzasadniony interes w nawiązaniu relacji B2B), zgodnie z testem równowagi opisanym w klauzulach 4.8–4.10.

4.4. Cel: wypełnienie obowiązków prawnych ciążących na Administratorze, w szczególności obowiązków podatkowych i rachunkowych związanych z wystawianiem i przechowywaniem faktur oraz innych dokumentów księgowych. Podstawa prawna: art. 6 ust. 1 lit. c RODO (niezbędność do wypełnienia obowiązku prawnego ciążącego na Administratorze) w związku z właściwymi przepisami prawa podatkowego i o rachunkowości, którym podlega Administrator.

4.5. Cel: ustalenie, dochodzenie lub obrona roszczeń, jakie mogą powstać w związku z prowadzoną korespondencją, ofertą lub umową, w tym roszczeń o charakterze cywilnoprawnym. Podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora polegający na ochronie jego praw oraz możliwości ustalenia, dochodzenia i obrony roszczeń).

4.6. Cel: zapewnienie bezpieczeństwa, integralności i prawidłowego działania infrastruktury teleinformatycznej Administratora, w tym strony internetowej, a także zapobieganie nadużyciom i wykrywanie incydentów bezpieczeństwa (m.in. poprzez prowadzenie logów serwera obejmujących adres IP oraz znacznik czasu). Podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora polegający na zapewnieniu bezpieczeństwa systemów informatycznych oraz ochronie przed nieuprawnionym dostępem i innymi zagrożeniami).

4.7. Cel: analityka ruchu na stronie internetowej. Administrator korzysta z narzędzia Plausible Analytics, które jest narzędziem przyjaznym prywatności: nie wykorzystuje śledzących plików cookie, nie dokonuje profilowania i przetwarza wyłącznie dane zagregowane i statystyczne, które co do zasady nie pozwalają na bezpośrednią identyfikację osoby. W zakresie, w jakim w ramach tej analityki dochodziłoby do przetwarzania danych osobowych, podstawą prawną jest art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora polegający na prowadzeniu zagregowanej, anonimizującej statystyki odwiedzin w celu utrzymania i ulepszania strony internetowej).

4.7a. Cel: weryfikacja statusu Klienta oraz umocowania i tożsamości osób reprezentujących Klienta, a także pozyskanie danych kontaktowych do nawiązania relacji biznesowej B2B, w oparciu o publicznie dostępne źródła (w szczególności serwis LinkedIn, Krajowy Rejestr Sądowy oraz Centralną Ewidencję i Informację o Działalności Gospodarczej), o których mowa w klauzuli 3.12. Podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora polegający na weryfikacji kontrahenta i jego reprezentantów oraz na zapewnieniu bezpieczeństwa i prawidłowości obrotu gospodarczego), z poszanowaniem zasady minimalizacji danych wyrażonej w art. 5 ust. 1 lit. c RODO. Przetwarzanie to zostało poddane ocenie (testowi równowagi), o której mowa w klauzulach 4.8–4.10.

4.8. W każdym przypadku, w którym Administrator opiera przetwarzanie na art. 6 ust. 1 lit. f RODO, dokonał on uprzednio oceny (testu równowagi) polegającej na zważeniu swojego prawnie uzasadnionego interesu wobec interesów oraz podstawowych praw i wolności osób, których dane dotyczą.

4.9. Administrator ustalił, że jego interesy wskazane w niniejszej Polityce — w szczególności nawiązanie i utrzymanie relacji biznesowej B2B, obsługa zapytań, przygotowanie i wykonanie umowy z reprezentowanym podmiotem, ochrona roszczeń oraz zapewnienie bezpieczeństwa systemów — są realne, bieżące i zgodne z prawem, a przetwarzanie jest niezbędne do ich realizacji oraz interesów tych nie można w sposób rozsądny osiągnąć przy użyciu środków w mniejszym stopniu ingerujących w prywatność osób, których dane dotyczą.

4.10. Przetwarzanie oparte na art. 6 ust. 1 lit. f RODO dotyczy danych osób fizycznych występujących w roli zawodowej (jako reprezentanci, osoby kontaktowe lub pracownicy Klienta), w ograniczonym zakresie obejmującym dane służbowe i kontaktowe, co odpowiada rozsądnym oczekiwaniom tych osób związanym z prowadzeniem kontaktów biznesowych; przetwarzanie nie obejmuje szczególnych kategorii danych osobowych w rozumieniu art. 9 RODO. W wyniku przeprowadzonego testu równowagi Administrator stwierdził, że jego prawnie uzasadnione interesy nie są podporządkowane w sposób wykluczający przetwarzanie względem interesów lub podstawowych praw i wolności osób, których dane dotyczą. Osobie, której dane dotyczą, przysługuje prawo wniesienia sprzeciwu wobec przetwarzania opartego na art. 6 ust. 1 lit. f RODO na zasadach określonych w art. 21 RODO; na żądanie skierowane na adres hello@novus-point.pl Administrator przekaże dalsze informacje dotyczące przeprowadzonej oceny.

4.11. Administrator nie podejmuje wobec osób, których dane dotyczą, decyzji opierających się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywoływałyby wobec tych osób skutki prawne lub w podobny sposób istotnie na nie wpływały w rozumieniu art. 22 RODO. Dane osobowe nie są wykorzystywane do profilowania w rozumieniu art. 4 pkt 4 RODO; w szczególności narzędzie analityczne Plausible Analytics nie tworzy profili użytkowników, nie stosuje śledzących plików cookie i przetwarza dane wyłącznie w postaci zagregowanej.

4.12. Podanie danych osobowych jest dobrowolne, jednak w określonych sytuacjach jest warunkiem niezbędnym do osiągnięcia danego celu, a brak ich podania uniemożliwia jego realizację. W przypadku kontaktu za pośrednictwem formularza kontaktowego podanie imienia i nazwiska, nazwy organizacji, stanowiska, krótkiego opisu sprawy o długości do 500 znaków oraz danych kontaktowych (adresu poczty elektronicznej) podanych w celu udzielenia odpowiedzi jest niezbędne do obsługi zapytania; niepodanie tych danych uniemożliwia obsługę zapytania i prowadzenie dalszej korespondencji.

4.13. W przypadku zawarcia i wykonania umowy podanie danych niezbędnych do jej zawarcia i realizacji jest warunkiem zawarcia umowy w rozumieniu art. 13 ust. 2 lit. e RODO; odmowa ich podania uniemożliwia przygotowanie oferty, zawarcie umowy lub jej należyte wykonanie. Szczegółowy zakres danych wymaganych w związku z konkretną umową określa odrębna umowa lub jest on ustalany w toku indywidualnego kontaktu. W zakresie, w jakim przetwarzanie danych wynika z obowiązków podatkowych i rachunkowych (art. 6 ust. 1 lit. c RODO), podanie danych jest wymogiem ustawowym, a ich niepodanie uniemożliwia wystawienie dokumentów księgowych i wypełnienie obowiązków prawnych ciążących na Administratorze.

5.1. Administrator przechowuje dane osobowe wyłącznie przez okres niezbędny do realizacji celów, dla których zostały zebrane, zgodnie z zasadą ograniczenia przechowywania oraz zasadą minimalizacji danych wyrażonymi w art. 5 ust. 1 lit. e oraz art. 5 ust. 1 lit. c RODO.

5.2. Okres przechowywania danych jest ustalany odrębnie dla każdego celu przetwarzania. Jeżeli te same dane osobowe są przetwarzane jednocześnie w kilku celach, Administrator przechowuje je do upływu najdłuższego z mających zastosowanie okresów, przy czym po wygaśnięciu podstawy dla danego celu zakres dalszego przetwarzania zostaje odpowiednio ograniczony do celu, którego okres przechowywania nadal trwa.

5.3. Po upływie okresu przechowywania właściwego dla danego celu dane osobowe są usuwane w sposób trwały albo poddawane anonimizacji w taki sposób, że dalsze przypisanie ich do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej nie jest możliwe. Dane zanonimizowane nie stanowią danych osobowych w rozumieniu RODO i mogą być wykorzystywane przez Administratora wyłącznie w postaci zagregowanej, w szczególności do celów statystycznych.

5.4. Administrator dokonuje okresowego przeglądu przechowywanych danych osobowych w celu weryfikacji, czy ich dalsze przechowywanie jest nadal niezbędne, oraz usuwa lub anonimizuje dane, których przechowywanie nie jest już uzasadnione którymkolwiek z celów wskazanych w niniejszej Polityce.

5.5. Zapytania kierowane za pośrednictwem formularza kontaktowego, poczty elektronicznej lub wiadomości w serwisie LinkedIn, które nie doprowadziły do nawiązania współpracy ani do zawarcia umowy, Administrator przechowuje przez okres niezbędny do udzielenia odpowiedzi i obsługi sprawy, a następnie przez okres do 12 (dwunastu) miesięcy od ostatniego kontaktu, na potrzeby ewentualnej dalszej korespondencji oraz wykazania prawidłowości obsługi zapytania. Podstawą tego przetwarzania jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO). Okres ten ustalono jako proporcjonalny w wyniku oceny (testu równowagi), o której mowa w klauzulach 4.8–4.10 niniejszej Polityki. W przypadku wniesienia skutecznego sprzeciwu na podstawie art. 21 RODO dane przestają być przetwarzane w tym celu wcześniej, tj. niezwłocznie po rozpatrzeniu sprzeciwu, chyba że Administrator wykaże istnienie ważnych prawnie uzasadnionych podstaw do dalszego przetwarzania nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, albo podstaw do ustalenia, dochodzenia lub obrony roszczeń.

5.6. Dane osobowe osób fizycznych reprezentujących Klienta będącego osobą prawną lub jednostką organizacyjną, przetwarzane w celu nawiązania i utrzymania kontaktu biznesowego (B2B), obsługi zapytania, przygotowania oferty oraz wykonania umowy zawartej z reprezentowanym podmiotem, Administrator przechowuje przez okres obowiązywania umowy z reprezentowanym podmiotem, a po jej zakończeniu przez okres przedawnienia roszczeń mogących wynikać z tej umowy. Podstawą tego przetwarzania jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO), w tym interes polegający na ustaleniu, dochodzeniu lub obronie roszczeń.

5.7. Dane osobowe Klienta będącego osobą fizyczną prowadzącą jednoosobową działalność gospodarczą, gdy osoba ta jest stroną umowy zawartej z Administratorem, są przechowywane przez okres niezbędny do wykonania umowy (art. 6 ust. 1 lit. b RODO), a następnie przez okres przedawnienia roszczeń wynikających z tej umowy lub z nią związanych. Podstawą przechowywania danych po zakończeniu umowy jest prawnie uzasadniony interes Administratora polegający na ustaleniu, dochodzeniu lub obronie roszczeń (art. 6 ust. 1 lit. f RODO).

5.8. Ogólny termin przedawnienia roszczeń cywilnoprawnych wynika z przepisów Kodeksu cywilnego i co do zasady wynosi 6 (sześć) lat, a dla roszczeń związanych z prowadzeniem działalności gospodarczej oraz roszczeń o świadczenia okresowe 3 (trzy) lata, przy czym koniec terminu przedawnienia przypada na ostatni dzień roku kalendarzowego, o ile termin przedawnienia jest dłuższy niż dwa lata. Administrator przechowuje dane, o których mowa w klauzulach 5.6 i 5.7, do upływu właściwego terminu przedawnienia, wydłużonego odpowiednio o okres niezbędny do zakończenia ewentualnego postępowania, jeżeli na koniec tego okresu toczy się postępowanie, którego dane te dotyczą.

5.9. Dane osobowe zawarte w dokumentacji księgowej i podatkowej, przetwarzane w celu wypełnienia obowiązków prawnych ciążących na Administratorze, w szczególności obowiązków wynikających z przepisów o rachunkowości oraz z przepisów podatkowych (art. 6 ust. 1 lit. c RODO), Administrator przechowuje przez okres wymagany przez te przepisy, co do zasady przez 5 (pięć) lat liczonych od końca roku kalendarzowego, w którym upłynął termin płatności podatku związanego z daną operacją lub w którym zamknięto księgi rachunkowe obejmujące dany dokument. Po upływie tego okresu dane przetwarzane wyłącznie w tym celu są usuwane.

5.10. Dane przetwarzane w logach serwera (w szczególności adres IP oraz znacznik czasu), gromadzone w celu zapewnienia bezpieczeństwa, integralności i prawidłowego działania strony internetowej oraz wykrywania i przeciwdziałania nadużyciom, Administrator przechowuje przez krótki, proporcjonalny do tego celu okres, nieprzekraczający co do zasady 12 (dwunastu) miesięcy, a w przypadku stwierdzenia incydentu bezpieczeństwa lub naruszenia, którego dane te dotyczą, do czasu jego wyjaśnienia oraz ustalenia, dochodzenia lub obrony związanych z nim roszczeń. Podstawą tego przetwarzania jest prawnie uzasadniony interes Administratora polegający na zapewnieniu bezpieczeństwa systemów (art. 6 ust. 1 lit. f RODO).

5.11. Dane statystyczne pochodzące z analityki realizowanej za pomocą narzędzia Plausible Analytics są przetwarzane w postaci zagregowanej i nie umożliwiają identyfikacji poszczególnych osób ani profilowania; narzędzie to nie wykorzystuje plików cookie śledzących. W zakresie, w jakim dane te nie stanowią danych osobowych, nie podlegają one okresom przechowywania określonym w niniejszym paragrafie dla danych osobowych.

5.12. W przypadkach, w których nie jest możliwe wskazanie z góry konkretnego okresu przechowywania danych osobowych, Administrator ustala ten okres na podstawie obiektywnych kryteriów, w szczególności: czasu trwania relacji biznesowej lub umownej z Klientem albo reprezentowanym przez niego podmiotem; długości terminów przedawnienia roszczeń wynikających z przepisów prawa; długości okresów przechowywania dokumentacji wymaganych przepisami prawa, w szczególności przepisami podatkowymi i o rachunkowości; czasu niezbędnego do ustalenia, dochodzenia lub obrony roszczeń; a także czasu rozpatrzenia ewentualnego sprzeciwu wniesionego na podstawie art. 21 RODO oraz aktualności prawnie uzasadnionego interesu Administratora stanowiącego podstawę przetwarzania.

5.13. Jeżeli przetwarzanie odbywa się na podstawie prawnie uzasadnionego interesu Administratora (art. 6 ust. 1 lit. f RODO), kryterium decydującym o zakończeniu przechowywania jest ustanie tego interesu, skuteczne wniesienie sprzeciwu na podstawie art. 21 RODO niepodlegającego uwzględnieniu nadrzędnych podstaw przetwarzania, albo upływ okresu, w którym interes ten pozostaje aktualny, w zależności od tego, które z tych zdarzeń nastąpi wcześniej.

5.14. Szczegółowe lub zindywidualizowane okresy przechowywania danych mogące wynikać z konkretnej umowy zawartej z Klientem lub z odrębnych ustaleń określa właściwa umowa albo dokumentacja powierzenia przetwarzania; w celu uzyskania informacji o okresie przechowywania danych w konkretnej sprawie należy skontaktować się z Administratorem pod adresem hello@novus-point.pl.

6.1. W odniesieniu do danych osobowych przetwarzanych w związku z prowadzeniem strony internetowej https://novus-point.pl, obsługą formularza kontaktowego, korespondencją (w tym za pośrednictwem wiadomości prywatnych w serwisie LinkedIn), nawiązywaniem i utrzymywaniem relacji z Klientami będącymi osobami prawnymi oraz osobami fizycznymi prowadzącymi działalność gospodarczą, a także wykonywaniem umów o świadczenie usług doradztwa regulacyjnego, Novus Point Limited występuje w roli administratora danych osobowych w rozumieniu art. 4 pkt 7 RODO i samodzielnie ustala cele oraz sposoby przetwarzania.

6.2. Podmioty, którym Administrator powierza przetwarzanie danych osobowych w celu realizacji własnych celów Administratora i które przetwarzają dane wyłącznie na udokumentowane polecenie Administratora, występują w roli podmiotów przetwarzających (procesorów) w rozumieniu art. 4 pkt 8 oraz art. 28 RODO. Podmioty te nie są uprawnione do przetwarzania powierzonych danych dla własnych celów.

6.3. W zakresie, w jakim Administrator świadczy na rzecz Klienta usługi obejmujące przetwarzanie danych osobowych w imieniu i na polecenie tego Klienta (na przykład gdy w ramach realizacji projektu doradczego Administrator uzyskuje dostęp do danych osobowych, których administratorem pozostaje Klient), Administrator występuje wówczas w roli podmiotu przetwarzającego, a Klient pozostaje administratorem tych danych. Zasady takiego przetwarzania, w tym przedmiot, czas trwania, charakter, cel przetwarzania, rodzaj danych oraz kategorie osób, których dane dotyczą, określa odrębna umowa powierzenia przetwarzania zawierana zgodnie z art. 28 ust. 3 RODO.

6.4. Jeżeli w ramach konkretnego przedsięwzięcia Administrator wspólnie z innym podmiotem ustala cele i sposoby przetwarzania danych osobowych, podmioty te występują jako współadministratorzy w rozumieniu art. 26 RODO. W takim przypadku zawierane jest odrębne uzgodnienie określające zakresy odpowiedzialności każdego ze współadministratorów za wypełnianie obowiązków wynikających z RODO, w szczególności w odniesieniu do wykonywania praw osób, których dane dotyczą, oraz obowiązków informacyjnych. Zasadnicza treść takiego uzgodnienia jest udostępniana osobie, której dane dotyczą, na jej żądanie.

6.5. Podział ról opisany w niniejszym paragrafie pozostaje spójny z postanowieniami Regulaminu świadczenia usług (§ 8), który rozróżnia funkcje administratora, podmiotu przetwarzającego oraz współadministratora i odsyła do niniejszej Polityki jako rozwinięcia obowiązków informacyjnych wynikających z art. 13 i art. 14 RODO.

6.6. Dane osobowe mogą być ujawniane kategoriom odbiorców wskazanym w klauzulach 6.7–6.13 wyłącznie w zakresie niezbędnym do realizacji celów wskazanych w niniejszej Polityce oraz na podstawach prawnych w niej określonych.

6.7. Dostawcy usług informatycznych, w tym dostawca infrastruktury hostingowej i wdrożeniowej strony internetowej Administratora (spółka Vercel Inc. wraz z podmiotami z jej grupy), zapewniający dostępność, wydajność i bezpieczeństwo strony internetowej oraz przetwarzanie technicznych logów serwera.

6.8. Dostawcy usług poczty elektronicznej oraz przekierowywania wiadomości, obsługujący komunikację Administratora prowadzoną pod adresem hello@novus-point.pl, to jest – w zależności od aktualnie stosowanej konfiguracji – usługa Cloudflare Email Routing (Cloudflare, Inc.) albo Google Workspace (Google Ireland Limited / Google LLC).

6.9. Dostawca usługi analityki internetowej przyjaznej prywatności (Plausible Analytics), który przetwarza wyłącznie zagregowane, statystyczne dane o ruchu na stronie internetowej, bez stosowania śledzących plików cookie, bez identyfikowania poszczególnych użytkowników i bez profilowania.

6.10. Dostawca systemu zarządzania relacjami z klientami (CRM) – w przypadku wdrożenia takiego narzędzia – wykorzystywanego do organizacji kontaktów biznesowych, ewidencji zapytań oraz obsługi procesu ofertowego.

6.11. Biuro rachunkowe oraz doradcy podatkowi i księgowi, w zakresie niezbędnym do wypełnienia ciążących na Administratorze obowiązków podatkowych i rachunkowych, o których mowa w art. 6 ust. 1 lit. c RODO.

6.12. Doradcy prawni i inni profesjonalni doradcy Administratora, w zakresie niezbędnym do ustalenia, dochodzenia lub obrony roszczeń oraz do uzyskania profesjonalnej pomocy, na podstawie prawnie uzasadnionego interesu Administratora, o którym mowa w art. 6 ust. 1 lit. f RODO.

6.13. Organy publiczne, sądy oraz inne uprawnione podmioty – wyłącznie wówczas, gdy obowiązek udostępnienia danych wynika z powszechnie obowiązujących przepisów prawa, przy czym organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania prowadzonego zgodnie z prawem, nie są uznawane za odbiorców w rozumieniu art. 4 pkt 9 RODO.

6.14. Administrator korzysta wyłącznie z usług takich dostawców i podmiotów, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, tak by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą, zgodnie z art. 28 ust. 1 RODO.

6.15. Powierzenie przetwarzania danych osobowych podmiotom przetwarzającym następuje na podstawie umowy powierzenia przetwarzania lub innego instrumentu prawnego spełniającego wymogi art. 28 ust. 3 RODO, który wiąże podmiot przetwarzający z Administratorem i określa przedmiot oraz czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa Administratora.

6.16. Umowa powierzenia zobowiązuje podmiot przetwarzający w szczególności do: przetwarzania danych wyłącznie na udokumentowane polecenie Administratora; zapewnienia, by osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy; podejmowania środków bezpieczeństwa wymaganych na mocy art. 32 RODO; pomocy Administratorowi w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą; pomocy w realizacji obowiązków określonych w art. 32–36 RODO; oraz – po zakończeniu świadczenia usług – usunięcia lub zwrotu wszelkich danych osobowych, zależnie od decyzji Administratora.

6.17. Umowa powierzenia zobowiązuje podmiot przetwarzający do udostępniania Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz do umożliwiania Administratorowi lub upoważnionemu przez niego audytorowi przeprowadzania audytów, w tym inspekcji, i przyczyniania się do nich. Podmiot przetwarzający niezwłocznie informuje Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych osobowych.

6.18. Podmiot przetwarzający może korzystać z usług dalszych podmiotów przetwarzających (subprocesorów) wyłącznie z zachowaniem warunków określonych w art. 28 ust. 2 i 4 RODO, to jest na podstawie uprzedniej szczegółowej lub ogólnej pisemnej zgody Administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia dalszych podmiotów przetwarzających, umożliwiając Administratorowi wyrażenie sprzeciwu wobec takich zmian.

6.19. Na dalsze podmioty przetwarzające nakładane są – w drodze umowy lub innego instrumentu prawnego – te same obowiązki ochrony danych, które ciążą na pierwotnym podmiocie przetwarzającym na mocy umowy z Administratorem, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, zgodnie z art. 28 ust. 4 RODO. Pierwotny podmiot przetwarzający ponosi wobec Administratora pełną odpowiedzialność za wywiązanie się przez dalszy podmiot przetwarzający z jego obowiązków w zakresie ochrony danych.

6.20. Na żądanie skierowane na adres hello@novus-point.pl Administrator udostępnia aktualne informacje o kategoriach lub tożsamości podmiotów przetwarzających i dalszych podmiotów przetwarzających, którym powierzono przetwarzanie danych osobowych, z zastrzeżeniem ochrony tajemnicy przedsiębiorstwa oraz zobowiązań do poufności.

6.21. Administrator nie sprzedaje danych osobowych ani nie udostępnia ich osobom trzecim w celu prowadzenia przez te osoby trzecie własnych działań marketingowych. Dane osobowe nie są przekazywane brokerom danych ani sieciom reklamowym i nie są wykorzystywane do tworzenia profili reklamowych, marketingu behawioralnego ani targetowania reklam.

6.22. Administrator nie stosuje wobec osób, których dane dotyczą, zautomatyzowanego podejmowania decyzji, w tym profilowania, wywołującego skutki prawne lub w podobny sposób istotnie wpływającego na te osoby, w rozumieniu art. 22 RODO. Ujawnianie danych osobowych odbiorcom następuje wyłącznie w celach i na podstawach prawnych określonych w niniejszej Polityce, w zakresie niezbędnym i z poszanowaniem zasady minimalizacji danych wyrażonej w art. 5 ust. 1 lit. c RODO.

6.23. Niektórzy dostawcy i podmioty przetwarzające, z których usług korzysta Administrator, mają siedzibę poza Europejskim Obszarem Gospodarczym lub przetwarzają dane poza tym obszarem, w szczególności w Zjednoczonym Królestwie. Administrator zapewnia, aby zabezpieczenia stosowane w relacjach z podmiotami przetwarzającymi dane w Zjednoczonym Królestwie były spójne z wymogami art. 28 RODO (powierzenie przetwarzania) oraz z mechanizmem przekazania danych do państwa trzeciego, tak aby cały łańcuch przetwarzania, w tym z udziałem dalszych podmiotów przetwarzających (subprocesorów), pozostawał zgodny z RODO. Szczegółowe zasady przekazywania danych do państwa trzeciego określa § 7 niniejszej Polityki.

7.1. Z uwagi na siedzibę Administratora poza Europejskim Obszarem Gospodarczym (EOG), przetwarzanie danych osobowych w ramach bieżącej działalności Administratora wiąże się z przekazywaniem danych osobowych do państwa trzeciego w rozumieniu rozdziału V RODO, tj. do Zjednoczonego Królestwa Wielkiej Brytanii i Irlandii Północnej.

7.2. Do przekazywania danych do Zjednoczonego Królestwa dochodzi w szczególności w związku z faktem, że Administrator prowadzi i zarządza swoją działalnością z terytorium Zjednoczonego Królestwa, a także z uwagi na to, że część dostawców usług, z których Administrator korzysta jako podmiotów przetwarzających (m.in. w zakresie hostingu, obsługi poczty elektronicznej oraz ewentualnie systemu CRM), może przetwarzać dane osobowe na serwerach lub w infrastrukturze zlokalizowanej w Zjednoczonym Królestwie albo z dostępem do danych z terytorium Zjednoczonego Królestwa.

7.3. Administrator przekazuje do Zjednoczonego Królestwa wyłącznie te dane osobowe, które są niezbędne do realizacji celów wskazanych w niniejszej Polityce, w szczególności do nawiązania i utrzymania kontaktu B2B, obsługi zapytań kierowanych za pośrednictwem formularza kontaktowego lub serwisu LinkedIn, przygotowania oferty oraz zawarcia i wykonania umowy z reprezentowanym podmiotem, z poszanowaniem zasady minimalizacji danych (art. 5 ust. 1 lit. c RODO).

7.4. Poza przekazywaniem danych do Zjednoczonego Królestwa Administrator nie przekazuje danych osobowych do innych państw trzecich ani do organizacji międzynarodowych. W razie zaistnienia konieczności takiego przekazania w przyszłości Administrator dokona go wyłącznie na podstawie odpowiedniego instrumentu prawnego przewidzianego w rozdziale V RODO i odpowiednio zaktualizuje niniejszą Politykę.

7.5. Podstawowym instrumentem prawnym, na którym Administrator opiera przekazywanie danych osobowych do Zjednoczonego Królestwa, jest każdorazowo obowiązująca decyzja wykonawcza Komisji Europejskiej stwierdzająca, że Zjednoczone Królestwo zapewnia odpowiedni stopień ochrony danych osobowych, wydana na podstawie art. 45 ust. 3 RODO (tzw. decyzja w sprawie odpowiedniego stopnia ochrony / decyzja adekwatności). Przekazanie danych dokonywane na podstawie takiej decyzji nie wymaga uzyskania dodatkowego, szczególnego zezwolenia (art. 45 ust. 1 RODO).

7.6. W dniu sporządzenia niniejszej Polityki podstawę przekazania stanowi decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony danych osobowych w Zjednoczonym Królestwie na podstawie RODO, przyjęta pierwotnie jako decyzja wykonawcza Komisji (UE) 2021/1772 z dnia 28 czerwca 2021 r. wraz z aktami ją przedłużającymi oraz zastępującymi. Pierwotna decyzja, jako wyjątkowo przyjęta z ograniczeniem czasowym (tzw. klauzulą wygaśnięcia), została przedłużona decyzją wykonawczą Komisji z czerwca 2025 r., a następnie odnowiona (zastąpiona) decyzją Komisji Europejskiej z dnia 19 grudnia 2025 r., potwierdzającą dalsze utrzymanie odpowiedniego stopnia ochrony danych w Zjednoczonym Królestwie, w tym po wejściu w życie brytyjskiej ustawy Data (Use and Access) Act 2025. Wskazane wyżej odniesienia do konkretnych aktów prawnych i dat odzwierciedlają stan prawny na dzień wejścia w życie niniejszej Polityki wskazany w § 10; w razie wątpliwości co do aktualnej podstawy przekazania należy skontaktować się z Administratorem pod adresem hello@novus-point.pl.

7.7. Aktualnie obowiązująca decyzja Komisji w sprawie odpowiedniego stopnia ochrony danych w Zjednoczonym Królestwie również została przyjęta z klauzulą wygaśnięcia i — o ile nie zostanie wcześniej zmieniona, zawieszona, uchylona lub ponownie przedłużona — traci moc z dniem 27 grudnia 2031 r. Administrator wyraźnie zaznacza, że żadna decyzja adekwatności nie ma charakteru bezterminowego ani trwale niewzruszalnego; zgodnie z art. 45 ust. 3, 4 i 5 RODO Komisja Europejska na bieżąco monitoruje sytuację w państwie trzecim i może taką decyzję zmienić, zawiesić lub uchylić, a jej ważność może też zostać podważona w drodze kontroli sądowej.

7.8. Administrator na bieżąco monitoruje status decyzji Komisji Europejskiej w sprawie odpowiedniego stopnia ochrony danych w Zjednoczonym Królestwie, w tym ewentualne akty ją przedłużające, zmieniające, zawieszające lub zastępujące, a także orzecznictwo i decyzje organów nadzorczych mające wpływ na podstawę przekazania. Odniesienia do konkretnej decyzji zawarte w niniejszej Polityce należy odczytywać jako odniesienia do każdorazowo obowiązującego aktu prawnego pełniącego tę funkcję.

7.9. Na wypadek, gdyby decyzja Komisji Europejskiej w sprawie odpowiedniego stopnia ochrony danych w Zjednoczonym Królestwie wygasła, została zmieniona w sposób uniemożliwiający dalsze opieranie się na niej, została zawieszona lub uchylona, albo gdyby z innych przyczyn przestała stanowić wystarczającą podstawę przekazania, Administrator zapewni, aby przekazywanie danych osobowych do Zjednoczonego Królestwa odbywało się z zastosowaniem odpowiednich zabezpieczeń, o których mowa w art. 46 RODO.

7.10. W takim przypadku podstawowym mechanizmem zastępczym będą standardowe klauzule ochrony danych przyjęte przez Komisję Europejską (tzw. standardowe klauzule umowne, SCC), o których mowa w art. 46 ust. 2 lit. c RODO, zawierane pomiędzy Administratorem a odpowiednim eksporterem lub importerem danych, uzupełnione — w razie potrzeby — o dodatkowe środki techniczne i organizacyjne zapewniające stopień ochrony danych zasadniczo równoważny temu gwarantowanemu w EOG.

7.11. W zakresie, w jakim byłoby to uzasadnione lub konieczne, Administrator może oprzeć przekazanie danych na innych odpowiednich zabezpieczeniach przewidzianych w art. 46 RODO, w szczególności na standardowych klauzulach ochrony danych przyjętych przez właściwy organ nadzorczy i zatwierdzonych przez Komisję (art. 46 ust. 2 lit. d RODO) bądź na zatwierdzonym kodeksie postępowania lub zatwierdzonym mechanizmie certyfikacji (art. 46 ust. 2 lit. e i f RODO). Skorzystanie z wyjątków dla szczególnych sytuacji przewidzianych w art. 49 RODO Administrator traktuje jako rozwiązanie wyłącznie subsydiarne, stosowane jedynie wtedy, gdy nie znajduje zastosowania decyzja adekwatności ani odpowiednie zabezpieczenia z art. 46 RODO.

7.12. Zgodnie z art. 13 ust. 1 lit. f oraz art. 14 ust. 1 lit. f RODO, a także z motywem 108 RODO, osobie, której dane dotyczą, przysługuje prawo do uzyskania informacji o przekazywaniu jej danych do państwa trzeciego oraz o stosowanej podstawie tego przekazania, w tym o tym, czy odbywa się ono na podstawie decyzji Komisji w sprawie odpowiedniego stopnia ochrony, czy na podstawie odpowiednich zabezpieczeń, o których mowa w art. 46 RODO.

7.13. W przypadku przekazania dokonywanego na podstawie odpowiednich zabezpieczeń w rozumieniu art. 46 RODO, w szczególności standardowych klauzul umownych, osoba, której dane dotyczą, ma prawo do uzyskania informacji o tych zabezpieczeniach oraz do otrzymania ich kopii lub informacji o miejscu ich udostępnienia (art. 46 ust. 1 RODO w związku z motywem 108 RODO). W celu skorzystania z tego uprawnienia należy skontaktować się z Administratorem pod adresem hello@novus-point.pl; kanałem alternatywnym pozostaje wiadomość prywatna (DM) za pośrednictwem serwisu LinkedIn.

7.14. Administrator udostępnia kopię stosowanych zabezpieczeń (w tym standardowych klauzul umownych) z poszanowaniem praw i wolności innych osób oraz z zastrzeżeniem ochrony tajemnicy przedsiębiorstwa i innych prawnie chronionych informacji. W razie potrzeby kopia może zostać udostępniona w formie, w której informacje stanowiące tajemnicę handlową lub dane osób trzecich zostały odpowiednio utajnione (zanonimizowane lub usunięte), w zakresie niezbędnym do ochrony tych interesów, przy jednoczesnym zachowaniu czytelności postanowień istotnych dla oceny poziomu ochrony danych.

7.15. Postanowienia niniejszego paragrafu pozostają w zgodności z Regulaminem świadczenia usług Administratora, w szczególności z jego § 8, który przewiduje, że niniejsza Polityka zawiera informację o przekazywaniu danych do Zjednoczonego Królestwa, o podstawie tego przekazania oraz o sposobie uzyskania na żądanie kopii stosowanych zabezpieczeń (standardowych klauzul umownych). W razie jakichkolwiek rozbieżności pomiędzy tymi dokumentami w zakresie przekazywania danych do państwa trzeciego rozstrzygające znaczenie mają postanowienia niniejszej Polityki jako dokumentu realizującego obowiązki informacyjne wynikające z art. 13 i art. 14 RODO.

8.1. W związku z przetwarzaniem danych osobowych przez Administratora każdej osobie, której dane dotyczą, przysługują prawa określone w RODO, opisane w niniejszym paragrafie. Z praw tych można skorzystać w granicach i na zasadach wynikających z art. 15–22 RODO, z uwzględnieniem podstaw prawnych, na których opiera się dane przetwarzanie.

8.2. Prawo dostępu do danych (art. 15 RODO). Osoba, której dane dotyczą, ma prawo uzyskać od Administratora potwierdzenie, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce — prawo dostępu do tych danych oraz do informacji obejmujących w szczególności: cele przetwarzania, kategorie przetwarzanych danych, informacje o odbiorcach lub kategoriach odbiorców, planowany okres przechowywania danych lub kryteria jego ustalania, informacje o przysługujących prawach oraz o prawie wniesienia skargi do organu nadzorczego, a także informacje o źródle danych, jeżeli nie zostały one zebrane od osoby, której dotyczą. Administrator informuje również o przekazywaniu danych do państwa trzeciego (Zjednoczonego Królestwa) oraz o odpowiednich zabezpieczeniach z tym związanych. Na żądanie Administrator dostarcza kopię danych osobowych podlegających przetwarzaniu; za wszelkie kolejne kopie Administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych.

8.3. Prawo do sprostowania danych (art. 16 RODO). Osoba, której dane dotyczą, ma prawo żądania niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe, a także — z uwzględnieniem celów przetwarzania — prawo żądania uzupełnienia danych niekompletnych, w tym poprzez przedstawienie dodatkowego oświadczenia.

8.4. Prawo do usunięcia danych — prawo do bycia zapomnianym (art. 17 RODO). Osoba, której dane dotyczą, ma prawo żądania niezwłocznego usunięcia dotyczących jej danych osobowych, a Administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z okoliczności wskazanych w art. 17 ust. 1 RODO, w szczególności gdy dane nie są już niezbędne do celów, w których zostały zebrane lub przetwarzane, gdy osoba wniosła skuteczny sprzeciw wobec przetwarzania, gdy dane były przetwarzane niezgodnie z prawem albo gdy cofnięto zgodę stanowiącą podstawę przetwarzania i brak jest innej podstawy prawnej. Prawo to nie ma zastosowania w zakresie, w jakim przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku ciążącego na Administratorze (w szczególności obowiązków podatkowych i rachunkowych) albo do ustalenia, dochodzenia lub obrony roszczeń, zgodnie z art. 17 ust. 3 RODO.

8.5. Prawo do ograniczenia przetwarzania (art. 18 RODO). Osoba, której dane dotyczą, ma prawo żądania ograniczenia przetwarzania w przypadkach przewidzianych w art. 18 ust. 1 RODO, to jest: gdy kwestionuje prawidłowość danych — na okres pozwalający Administratorowi sprawdzić ich prawidłowość; gdy przetwarzanie jest niezgodne z prawem, a osoba sprzeciwia się usunięciu danych, żądając w zamian ograniczenia ich wykorzystywania; gdy Administrator nie potrzebuje już danych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń; a także gdy osoba wniosła sprzeciw na podstawie art. 21 ust. 1 RODO — do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie Administratora są nadrzędne wobec podstaw sprzeciwu. W okresie ograniczenia takie dane mogą być przetwarzane wyłącznie w zakresie dozwolonym przez art. 18 ust. 2 RODO.

8.6. Prawo do przenoszenia danych (art. 20 RODO). W zakresie, w jakim dane osobowe są przetwarzane w sposób zautomatyzowany na podstawie zgody albo na podstawie umowy (art. 6 ust. 1 lit. a lub lit. b RODO), osoba, której dane dotyczą, ma prawo otrzymać dostarczone Administratorowi dane osobowe jej dotyczące w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz prawo przesłać te dane innemu administratorowi bez przeszkód ze strony Administratora, a także — o ile jest to technicznie możliwe — żądać, by dane zostały przesłane bezpośrednio innemu administratorowi. Prawo to nie ma zastosowania do przetwarzania, którego podstawą jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO) ani obowiązek prawny (art. 6 ust. 1 lit. c RODO).

8.7. Prawo do sprzeciwu (art. 21 RODO). Osobie, której dane dotyczą, przysługuje prawo wniesienia w dowolnym momencie sprzeciwu — z przyczyn związanych z jej szczególną sytuacją — wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora). Prawo to ma zastosowanie w szczególności do przetwarzania danych osób fizycznych reprezentujących Klienta będącego osobą prawną, dokonywanego w celu nawiązania i utrzymania kontaktu biznesowego (B2B), obsługi zapytania, przygotowania oferty oraz wykonania umowy z reprezentowanym podmiotem.

8.8. Po wniesieniu sprzeciwu, o którym mowa w klauzuli 8.7, Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych, prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń (art. 21 ust. 1 RODO). Skutkiem skutecznego sprzeciwu jest zaprzestanie przetwarzania danych w celach, wobec których sprzeciw został wniesiony, co może oznaczać brak możliwości dalszego prowadzenia korespondencji, obsługi zapytania lub przygotowania oferty w zakresie, jakiego sprzeciw dotyczy.

8.9. Administrator nie prowadzi marketingu bezpośredniego w rozumieniu art. 21 ust. 2 RODO w oparciu o automatyczne profilowanie ani nie podejmuje wobec osób, których dane dotyczą, decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, wywołujących skutki prawne lub w podobny sposób istotnie na nie wpływających (art. 22 RODO). W razie podjęcia w przyszłości marketingu bezpośredniego osobie, której dane dotyczą, przysługiwałby sprzeciw, którego uwzględnienie skutkuje bezwzględnym zaprzestaniem przetwarzania danych do tych celów.

8.10. Prawo do wycofania zgody (art. 7 ust. 3 RODO). W zakresie, w jakim przetwarzanie danych osobowych odbywa się na podstawie zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO), osoba ta ma prawo wycofać zgodę w dowolnym momencie. Wycofanie zgody jest równie łatwe jak jej wyrażenie i następuje poprzez kontakt z Administratorem na adres hello@novus-point.pl. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Administrator wskazuje, że przetwarzanie danych w celach opisanych w niniejszej Polityce co do zasady nie opiera się na zgodzie, lecz na podstawach wskazanych w art. 6 ust. 1 lit. b, lit. c oraz lit. f RODO; prawo do wycofania zgody znajduje zastosowanie wyłącznie wówczas, gdy w konkretnym przypadku zgoda stanowi rzeczywistą podstawę przetwarzania.

8.11. W celu skorzystania z któregokolwiek z praw opisanych w niniejszym paragrafie należy skontaktować się z Administratorem za pośrednictwem poczty elektronicznej pod adresem hello@novus-point.pl. Dopuszczalny jest również kontakt kanałem alternatywnym (wiadomość prywatna na portalu LinkedIn), z zastrzeżeniem, że w celu rzetelnej realizacji żądania Administrator może skierować dalszą korespondencję na adres e-mail.

8.12. Administrator bez zbędnej zwłoki — a w każdym razie w terminie miesiąca od otrzymania żądania — udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15–22 RODO. W razie potrzeby termin ten może zostać przedłużony o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań; w takim przypadku Administrator informuje osobę, której dane dotyczą, o takim przedłużeniu wraz z podaniem jego przyczyn, w terminie miesiąca od otrzymania żądania (art. 12 ust. 3 RODO).

8.13. Komunikacja oraz działania podejmowane przez Administratora w związku z realizacją praw osób, których dane dotyczą, są co do zasady wolne od opłat. Jeżeli jednak żądania są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, Administrator może pobrać rozsądną opłatę uwzględniającą administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań albo odmówić podjęcia działań w związku z żądaniem (art. 12 ust. 5 RODO).

8.14. Administrator może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby składającej żądanie, jeżeli ma uzasadnione wątpliwości co do tożsamości tej osoby (art. 12 ust. 6 RODO). Działanie to ma na celu ochronę danych osobowych przed ich ujawnieniem osobie nieuprawnionej.

8.15. Osobie, której dane dotyczą, przysługuje prawo wniesienia skargi do organu nadzorczego, jeżeli uzna, że przetwarzanie jej danych osobowych narusza przepisy RODO (art. 77 RODO). Organem nadzorczym właściwym w sprawach ochrony danych osobowych na terytorium Rzeczypospolitej Polskiej jest Prezes Urzędu Ochrony Danych Osobowych (PUODO).

8.16. Dane organu nadzorczego: Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa. Skargę można wnieść pisemnie, elektronicznie przez platformę ePUAP lub za pośrednictwem usługi e-Doręczeń, zgodnie z informacjami publikowanymi na stronie internetowej Urzędu Ochrony Danych Osobowych (uodo.gov.pl); na stronie tej udostępniane są również informacje o sposobie wnoszenia skarg oraz o dostępnych kanałach kontaktu.

8.17. Skorzystanie z prawa do wniesienia skargi do organu nadzorczego pozostaje bez uszczerbku dla innych środków ochrony prawnej, w tym prawa do skutecznego środka ochrony prawnej przed sądem. Niezależnie od powyższego Administrator zachęca, aby przed wniesieniem skargi skontaktować się z nim pod adresem hello@novus-point.pl w celu wyjaśnienia ewentualnych wątpliwości i polubownego rozpatrzenia sprawy.

9.1. Administrator korzysta na stronie https://novus-point.pl z narzędzia analitycznego Plausible Analytics, którego celem jest pomiar zagregowanego ruchu na stronie oraz ocena skuteczności treści i kanałów dotarcia (na przykład liczba odwiedzin, najczęściej oglądane podstrony, kraj pochodzenia ruchu na poziomie zagregowanym (bez przechowywania pełnego adresu IP osoby odwiedzającej), źródło wejścia oraz typ urządzenia).

9.2. Plausible Analytics jest narzędziem zaprojektowanym z poszanowaniem prywatności (privacy-friendly). Narzędzie to nie wykorzystuje plików cookie służących do śledzenia, nie tworzy trwałych identyfikatorów osób odwiedzających, nie śledzi użytkowników pomiędzy różnymi stronami internetowymi ani w czasie, a wszystkie raporty udostępniane Administratorowi mają charakter wyłącznie zagregowany i statystyczny. W ramach działania tego narzędzia nie dochodzi do profilowania w rozumieniu art. 4 pkt 4 RODO ani do zautomatyzowanego podejmowania decyzji wywołującego skutki prawne lub w podobny sposób istotnie wpływającego na osobę, o którym mowa w art. 22 RODO.

9.3. Plausible Analytics nie zapisuje na urządzeniu końcowym osoby odwiedzającej plików cookie służących do śledzenia ani innych podobnych technologii odczytujących dane przechowywane na tym urządzeniu w celach analitycznych lub marketingowych. Z tego względu korzystanie z tej analityki nie wymaga uzyskania zgody na pliki cookie, o której mowa w art. 397 ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej (która z dniem 10 listopada 2024 r. zastąpiła ustawę z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne), ponieważ taka zgoda dotyczy przechowywania lub uzyskiwania dostępu do informacji na urządzeniu końcowym, co w przypadku tego narzędzia nie ma miejsca.

9.4. W zakresie, w jakim dane przetwarzane w ramach analityki stanowią dane osobowe, podstawą ich przetwarzania jest art. 6 ust. 1 lit. f RODO, to jest prawnie uzasadniony interes Administratora polegający na zapewnieniu prawidłowego, bezpiecznego i zoptymalizowanego funkcjonowania strony internetowej oraz na zrozumieniu, w sposób zagregowany i nieidentyfikujący osób, jak strona jest wykorzystywana. Osobie, której dane dotyczą, przysługuje prawo wniesienia sprzeciwu wobec przetwarzania danych na podstawie art. 6 ust. 1 lit. f RODO, zgodnie z zasadami opisanymi w § 8 niniejszej Polityki.

9.5. Strona internetowa Administratora ogranicza wykorzystanie plików cookie oraz podobnych technologii do niezbędnego minimum. Administrator nie stosuje plików cookie służących do śledzenia, marketingowych ani reklamowych, nie korzysta z narzędzi profilujących ani z mechanizmów śledzenia osób odwiedzających pomiędzy różnymi stronami internetowymi. W zakresie, w jakim na stronie wykorzystywane są pliki cookie lub podobne technologie, mają one wyłącznie charakter techniczny i niezbędny do prawidłowego świadczenia usługi żądanej przez osobę odwiedzającą, na przykład do zapewnienia bezpieczeństwa, integralności oraz poprawnego wyświetlania strony.

9.6. W celu zapamiętania niektórych preferencji osoby odwiedzającej, takich jak fakt zamknięcia paska informacyjnego lub komunikatu na stronie, Administrator może wykorzystywać mechanizm pamięci lokalnej przeglądarki (localStorage). Informacja taka jest zapisywana wyłącznie w przeglądarce na urządzeniu osoby odwiedzającej, nie jest przesyłana do Administratora ani wykorzystywana do identyfikacji osoby, śledzenia jej aktywności czy profilowania, i służy jedynie poprawie komfortu korzystania ze strony.

9.7. Pliki cookie oraz dane w pamięci lokalnej przeglądarki, jeżeli są stosowane wyłącznie jako niezbędne do prawidłowego działania strony lub do realizacji usługi wyraźnie żądanej przez osobę odwiedzającą, nie wymagają uzyskania zgody. W zakresie, w jakim takie dane stanowiłyby dane osobowe, podstawą ich przetwarzania jest art. 6 ust. 1 lit. f RODO, to jest prawnie uzasadniony interes Administratora polegający na zapewnieniu poprawnego i bezpiecznego funkcjonowania strony. Osoba odwiedzająca może w każdej chwili samodzielnie zmienić ustawienia swojej przeglądarki internetowej w zakresie obsługi plików cookie oraz usunąć dane zapisane w pamięci lokalnej przeglądarki, w tym dane dotyczące zamkniętych komunikatów; ograniczenie lub wyłączenie technicznie niezbędnych plików cookie może wpłynąć na poprawność działania niektórych funkcji strony.

9.8. W związku z korzystaniem ze strony internetowej, w sposób typowy dla działania serwerów oraz infrastruktury hostingowej, automatycznie zapisywane są techniczne logi serwera. Logi te mogą obejmować w szczególności adres IP urządzenia, z którego następuje połączenie, znacznik czasu (datę i godzinę zapytania), informacje o przeglądarce i systemie operacyjnym, żądany adres URL oraz status odpowiedzi serwera.

9.9. Podstawą prawną przetwarzania danych zawartych w logach serwera jest art. 6 ust. 1 lit. f RODO, to jest prawnie uzasadniony interes Administratora polegający na zapewnieniu bezpieczeństwa strony i infrastruktury teleinformatycznej, zapobieganiu nadużyciom, wykrywaniu i analizie incydentów oraz nieuprawnionych prób dostępu, a także na zapewnieniu ciągłości i stabilności działania usługi oraz na ustaleniu, dochodzeniu lub obronie ewentualnych roszczeń. Dane zawarte w logach serwera nie są wykorzystywane do identyfikacji konkretnych osób w celach marketingowych ani do profilowania; mogą one zostać powiązane z innymi danymi wyłącznie w przypadku, gdy jest to niezbędne ze względów bezpieczeństwa, w szczególności w celu zbadania incydentu bezpieczeństwa lub w związku z obroną przed roszczeniami albo realizacją obowiązków prawnych. Okres przechowywania logów serwera określa § 5 niniejszej Polityki.

9.10. Administrator, zgodnie z art. 32 RODO, wdraża i utrzymuje odpowiednie środki techniczne i organizacyjne zapewniające stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko o różnym prawdopodobieństwie wystąpienia i wadze.

9.11. Stosowane środki obejmują w szczególności: szyfrowanie połączeń z wykorzystaniem protokołu HTTPS (TLS) podczas transmisji danych za pośrednictwem strony internetowej, ograniczenie dostępu do danych osobowych wyłącznie do osób upoważnionych i wyłącznie w zakresie niezbędnym do realizacji ich zadań (zasada minimalizacji dostępu), stosowanie uwierzytelniania oraz silnych haseł w systemach wykorzystywanych do przetwarzania danych, a także regularny przegląd uprawnień.

9.12. Administrator dąży do zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, w tym poprzez korzystanie ze sprawdzonych dostawców infrastruktury, wykonywanie kopii zapasowych w zakresie adekwatnym do prowadzonej działalności oraz okresowy przegląd i ocenę skuteczności wdrożonych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

9.13. W relacjach z podmiotami przetwarzającymi dane osobowe na zlecenie Administratora, w tym z dostawcą hostingu oraz dostawcą poczty elektronicznej, Administrator zawiera umowy powierzenia przetwarzania danych zgodne z art. 28 RODO oraz wymaga stosowania przez te podmioty odpowiednich środków bezpieczeństwa odpowiadających wymogom art. 32 RODO.

9.14. W przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator postępuje zgodnie z obowiązkami wynikającymi z art. 33 i art. 34 RODO, w tym, gdy ma to zastosowanie, zgłasza naruszenie Prezesowi Urzędu Ochrony Danych Osobowych oraz, jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, zawiadamia bez zbędnej zwłoki osoby, których dane dotyczą.

9.15. Mimo stosowania odpowiednich środków bezpieczeństwa Administrator wskazuje, że przesyłanie informacji za pośrednictwem sieci Internet, w tym poczty elektronicznej lub komunikatorów, nie jest całkowicie wolne od ryzyka. Administrator zaleca, aby za pośrednictwem formularza kontaktowego oraz w korespondencji elektronicznej nie przekazywać danych szczególnych kategorii ani informacji, których ujawnienie mogłoby być szkodliwe, jeżeli nie jest to niezbędne.

§ 10. Postanowienia końcowe i zmiany Polityki prywatności. 10.1. Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce, w szczególności w przypadku zmiany przepisów prawa, zmiany lub rozszerzenia zakresu prowadzonej działalności, wdrożenia nowych narzędzi, dostawców lub podmiotów przetwarzających, zmiany celów lub sposobów przetwarzania danych, a także w celu zapewnienia większej przejrzystości lub aktualności przekazywanych informacji.

10.2. Aktualna wersja Polityki jest każdorazowo publikowana na stronie internetowej Administratora pod adresem https://novus-point.pl i obowiązuje od dnia jej opublikowania, chyba że w treści Polityki wskazano inną datę jej wejścia w życie. Każda wersja Polityki jest oznaczona datą jej obowiązywania (datą wejścia w życie).

10.3. O istotnych zmianach Polityki, mogących wpłynąć na zakres lub sposób przetwarzania danych osobowych, Administrator może dodatkowo poinformować osoby, których dane dotyczą, w sposób adekwatny do okoliczności, na przykład poprzez wyraźny komunikat na stronie internetowej, a w uzasadnionych przypadkach, gdy dysponuje odpowiednimi danymi kontaktowymi, za pośrednictwem wiadomości elektronicznej. Zaleca się okresowe zapoznawanie się z treścią niniejszej Polityki w celu zapoznania się z jej aktualnym brzmieniem.

10.4. W zakresie nieuregulowanym w niniejszej Polityce zastosowanie mają powszechnie obowiązujące przepisy prawa, w szczególności RODO oraz krajowe przepisy o ochronie danych osobowych. W razie rozbieżności pomiędzy niniejszą Polityką a Regulaminem świadczenia usług (w szczególności jego § 8) w zakresie obowiązków informacyjnych wynikających z art. 13 i art. 14 RODO oraz przekazywania danych do państwa trzeciego rozstrzygające znaczenie mają postanowienia niniejszej Polityki.

10.5. Niniejsza Polityka prywatności wchodzi w życie z dniem 15 czerwca 2026 r., z dniem jej opublikowania na stronie internetowej Administratora pod adresem https://novus-point.pl.