pomiędzy Trusted Shops AG, Subbelrather Str. 15c, 50823 Kolonia, Niemcy
- zwaną dalej „Trusted Shops” -
i
Sklepem członkowskim
- „Członka” lub „Użytkownika” wymienionego w umowie członkowskiej lub umowie Użytkownika.
- dalej zwanych również indywidualnie "Stroną", a łącznie "Stronami". Termin „Użytkownik” w dalszej części odnosi się również do każdego Członka.
1 – Przedmiot porozumienia
Trusted Shops oferuje różne produkty służące umacnianiu zaufania do firm. W tym zakresie dane osobowe są przetwarzane w ramach wspólnej odpowiedzialności administratorów.Jeśli sklep członkowski nie działa jako pojedynczy administrator i w działania związane z przetwarzaniem danych objęte niniejszą umową zaangażowani są również inni administratorzy, sklep członkowski poinformuje TrustedShops o tych innych administratorach, aby mogli oni przystąpić do niniejszej umowy.
Prawa i obowiązki Stron wynikające z RODO, jak również cele i sposoby przetwarzania danych zostały uregulowane w niniejszym porozumieniu ws. współadministrowania danymi (art. 26 RODO).
2 - Opis przetwarzania danych i odpowiedzialność
Szczegóły dotyczące celu, sposobu i zakresu przetwarzania danych zostały określone w poszczególnych postanowieniach niniejszego porozumienia i załączniku I.
Załącznik I niniejszego porozumienia szczegółowo określa poszczególne czynności przetwarzania danych realizowane przez Strony w roli współadministratorów i ustanawia odpowiednie zakresy odpowiedzialności administratorów. Wszędzie tam, gdzie nie podano indywidualnego zakresu odpowiedzialności, w razie wątpliwości obie Strony są w równym stopniu odpowiedzialne za związane z Umową główną przetwarzanie danych.
3 - Realizacja praw osób, których dane dotyczą i obowiązków informacyjnych
Wnioski i zapytania osób, których współadministrowanedane dotyczą, należy w miarę możliwości kierować do TrustedShops. Niezależnie od tego osoby, których dane dotycząmogą kierować swoje zapytaniaw celu skorzystania z przysługujących im praw do obu stron.
Strony są zobowiązane do wzajemnego przekazywania sobie żądań do właściwej Strony. W tym celu Strony wzajemnie przekażą sobie adresy kontaktowe i będą informować się o wszelkich zmianach w formie tekstowej. Strony są zobowiązane do udzielenia informacji na temat osoby, której dane dotyczą i która wykonuje przysługujące jej prawa. Strony są zobowiązane do przekazywania skierowanych do nich zapytań do odpowiedzialnej w danym przypadku strony, o ile jest to niezbędne do prawidłowego rozpatrzenia zapytania lub wniosku osoby, której dane dotyczą. Powyższe nie dotyczysytuacji, gdy przekazanie tych informacji jest niedopuszczalne na podstawie przepisów prawa o ochronie danych osobowych lub prawa regulującego zasady wykonywania danego zawodu, w szczególności w sytuacji, gdy dana osoba wyraźnie nie życzy sobie ich przekazania. W tym celu strony przekazują sobie wzajemnie adresy kontaktowe i powiadamiają się o wszelkich zmianach w formie tekstowej. Adres kontaktowy TrustedShopszostał wskazany w załączniku I do niniejszej umowy i jest również dostępny w polityce prywatności TrustedShops w punkcie „Nasze dane kontaktowe i Państwa prawa”:https://www.trustedshops.pl/dane-firmy-ochrona-danych/.Obie strony w sposób niezależny zobowiązane są do spełnienia obowiązków informacyjnych względem osób, których dane dotyczą.
Strony mogą określić w załączniku I do niniejszego porozumienia podstawowe obowiązki w zakresie podawania informacji wskazanych w art. 13 i 14 RODO. Każda ze Stron jest zobowiązana do wypełniania obowiązków informacyjnych wynikających z art. 13 i 14 RODO oraz art. 26 ust. 2 zd. 2 RODO wobec osób, których dane dotyczą. Strony zapewniają dostęp do tych informacji przez internet i udostępniają sobie nawzajem adresy internetowe, pod którymi można znaleźć odpowiednie informacje.
Wymagane informacje przekazywane są przez Strony nieodpłatnie, w precyzyjnej, przejrzystej, zrozumiałej i łatwo dostępnej formie, w jasnym i prostym języku.
4 – Wnioski o usunięcie danych
W przypadku wniosków o usunięcie danych składanych przez osoby, których dane dotyczą, Strony informują się wzajemnie. Żądanie usunięcia danych zostanie uwzględnione zgodnie z § 3 niniejszego porozumienia, chyba że zaistnieją uzasadnione powody, aby tego nie czynić. Uzasadnione powody mogą stanowić np. ustawowe wymogi dot. okresów przechowywania danych.
Strony są zobowiązane udokumentować usunięcie danych osobowych.
Strona, która upubliczniła dane osobowe jest zobowiązana samodzielnie wypełnić obowiązki wynikające z art. 17 ust. 2 RODO. Jeżeli Strony wspólnie publiczniły dane osobowe na stronach internetowych należących do Trusted Shops, wówczas to Trusted Shops odpowiada za spełnienie obowiązków wynikających z art. 17 ust. 2 RODO.
5 – Bezpieczeństwo danych i zasady ochrony danych
W zakresie przetwarzania współadministrowanych danych (art. 26 RODO), Strony wzajemnie zobowiązują się do wdrożenia odpowiednich środków technicznych i organizacyjnych o których mowa w art. 32 RODO.
Strony będą przestrzegać zasad ochrony danych określonych w art. 5 RODO; w szczególności Strony zobowiązują się do zgodnego z prawem przetwarzania danych w ramach niniejszego porozumienia.
Strony uzgadniają, że obie Strony podejmą niezbędne środki techniczne i organizacyjne właściwe dla swoich zakresów odpowiedzialności. Środki techniczne i organizacyjne Trusted Shops są w każdej chwili dostępne pod poniższym linkiem: https://help.etrusted.com/hc/en-gb/articles/360021040178. Członek jest na własną odpowiedzialność zobowiązany podjąć odpowiednie środki techniczne i organizacyjne i na żądanie ujawnić je Trusted Shops.
W przypadku nieprawidłowości i błędów w przetwarzaniu danych w ramach niniejszego porozumienia, Strony są zobowiązane wzajemnie się informować i wspierać w ich usuwaniu. Dotyczy to także naruszeń postanowień niniejszego porozumienia.
6 – Naruszenia ochrony danych
W przypadku naruszenia ochrony danych osobowych w rozumieniu art. 4 nr 12 RODO (dalej: naruszenia ochrony danych) dotyczącego danych przetwarzanych w ramach niniejszego porozumienia, każda ze Stron niezwłocznie po uzyskaniu informacji o naruszeniu ochrony danych, poinformuje o tym drugą Stronę. Zawiadomienie należy przekazywać w formie tekstowej. Strony udostępniają sobie wzajemnie wszelkie informacje niezbędne do dokonania weryfikacji, usunięcia błędów i oceny zagrożeń i ryzyka dla ochrony danych.
Obie strony są odpowiedzialne za podjęcie działań i analizę naruszenia ochrony danych. Strony zobowiązują się do wzajemnego wspierania i bezzwłocznego wypełniania wszelkich ewentualnych obowiązków zgłoszeniowych zgodnie z art. 33 i 34 RODO. Obowiązek współdziałania Stron na mocy ust. 1 realizowany będzie w koniecznym i uzasadnionym zakresie.
Strony są zobowiązane do udokumentowania naruszeń ochrony danych i podjętych w tym zakresie działań naprawczych.
7 – Obowiązki dokumentacyjne
Strony zobowiązują się do samodzielnego wypełniania obowiązków dokumentacyjnych zawartych w RODO. Dotyczy to w szczególności prowadzenia rejestru czynności przetwarzania danych zgodnie z art. 30 RODO. Strony udostępniają sobie wzajemnie informacje konieczne do prowadzenia rejestru w odpowiedniej formie.
Strony wspierają się wzajemnie we wszystkich innych obowiązkach dokumentacyjnych, w szczególności wynikających z art. 32 do 36 RODO.
8 – Współpraca z organami nadzorującymi ochronę danych
Każda ze Stron zobowiązują się niezwłocznie poinformować drugą Stronę w przypadku otrzymania żądań organu nadzorującego ochronę danych dotyczących działań związanych z przetwarzaniem danych objętych niniejszym porozumieniem.
Żądania organu nadzorującego ochronę danych będą w takiej sytuacji rozpatrywane wspólnie przez obie Strony, chyba że w poszczególnych przypadkach uzgodniono inaczej.
Formalne żądania dotyczące niniejszego porozumienia będą – o ile to możliwe – rozpatrywane zawsze przez Trusted Shops. Członek przekazuje żądania do Trusted Shops bez wezwania, pod warunkiem, że żądanie zostało skierowane do Członka.
Niezbędne informacje, prawa dostępu i wglądu będą udostępniane przez Strony właściwym organom nadzorczym w ramach ich ustawowych uprawnień.
Prawo Stron do składania środków odwoławczych pozostaje nienaruszone.
9 – Podmiot przetwarzający
Podmioty przetwarzające w rozumieniu art. 4 nr 8 RODO mogą być w ramach niniejszego porozumienia wykorzystywane przez każdą ze Stron, bez konieczności uzyskiwania uprzedniej zgody drugiej Strony.
W przypadku powierzenia przetwarzania danych objętych niniejszym porozumieniem, Strona powierzająca dostarcza drugiej Stronie wszelkie niezbędne informacje. Umowa powierzenia przetwarzania danych musi spełniać wymogi określone w art. 28, 29 RODO.
W przypadku powierzenia danych podmiotowi przetwarzającemu spoza UE/EOG, Strona powierzająca zobowiązana jest za pomocą odpowiednich środków technicznych, organizacyjnych i umownych zapewnić, iż dane osobowe będą przetwarzane wyłącznie w obrębie UE/EOG albo przed ich przekazaniem do państwa trzeciego zapewnić stosowne gwarancje zmierzające do zagwarantowania odpowiedniego stopnia ochrony danych stosownie do treści art. 44 i nast. RODO oraz udokumentować ich zawarcie na piśmie w umowie powierzenia przetwarzania danych. Druga strona ma prawo do sprzeciwu po zapoznaniu się z wdrożonymi gwarancjami.W przypadkusprzeciwu strony zbadają, czymożliwa jest inna odpowiednia gwarancja zapewniająca odpowiedni stopień ochrony danych. Jeśli strony nie znajdą innej odpowiedniej gwarancji, wówczas Użytkownik powinien zgodnie z art. 49 ust. 1lit. a RODO uzyskać zgodę osoby, której dane dotycząna przekazanie danych osobowych do państwa trzeciego.
W przypadku zawarcia umowy powierzenia przetwarzania danych każda ze Stron na żądanie udostępni odpis umowy drugiej Stronie.
TrustedShops publikuje informacje o wykorzystywanych podwykonawcach na stronie https://help.etrusted.com/hc/pl/articles/360021040178.
10 – Odpowiedzialność
Strony ponoszą odpowiedzialność wobec osób, których dane dotyczą zgodnie z obowiązującymi przepisami.
W stosunkach wewnętrznych odpowiedzialność Stron jest uregulowana zgodnie z ustalonym zakresem odpowiedzialności bez uszczerbku dla postanowień niniejszego porozumienia, a także wszelkich innych ewentualnych porozumień o podziale odpowiedzialności między Stronami. Jeśli obie strony są odpowiedzialne za dany obszar przetwarzania, wówczas odpowiedzialność za szkody określa § 426 niemieckiego kodeksu cywilnego (BGB) oraz art. 82. ust 4 i 5 RODO.
11 - Postanowienia końcowe
Niniejsze porozumienie stanowi integralną część umowy głównej i staje się skuteczne z chwilą zawarcia umowy głównej. Do okresu obowiązywania oraz rozwiązania niniejszego porozumienia zastosowanie znajdują postanowienia umowy głównej. W przypadku sprzeczności w zakresie postanowień dot. ochrony danych osobowych występujących pomiędzy niniejszym porozumieniem a innymi porozumieniami Stron, w szczególności Umową główną, pierwszeństwo mają przepisy niniejszego porozumienia.
Jeżeli którekolwiek z postanowień niniejszego porozumienia jest lub stanie się nieskuteczne lub zawiera luki nie będzie to miało wpływu na ważność pozostałych postanowień. Strony zobowiązują się do zastąpienia nieskutecznego postanowienia innym, skutecznym postanowieniem, które będzie najbardziej zbliżone do celu nieskutecznego postanowienia i jednocześnie będzie spełniało wymogi ekonomiczne oraz wymogi prawa o ochronie danych.
Obowiązuje prawo niemieckie.
Załącznik I – Opis współpracy
W przypadku niektórych procesów przetwarzania danych związanych z realizacją usług Trusted Shops, Strony wspólnie ustalają cele i sposoby przetwarzania. W związku z tym, z punktu widzenia przepisów o ochronie danych – zgodnie z treścią art. 26 RODO w odniesieniu do niektórych operacji i czynność ma w takiej sytuacji miejsce tzw. współadministrowanie. Poniżej opisano przebieg współpracy oraz podział obowiązków. Współadministrowanie w zakresie niezbędnych czynności przetwarzania ma miejsce tylko wtedy, gdy Strony zawarły Umowę główną, względnie gdy Członek korzysta z danych produktów. Strony mogą swobodnie przetwarzać dane osobowe uzyskane w ramach współadministrowania do innych własnych celów, o ile jest to dopuszczalne w ramach obowiązujących przepisów o ochronie danych, a osoby, których dane dotyczą, zostaną o tym poinformowane przez daną Stronę.
Jeżeli w ramach opisanych niżej czynności przetwarzania danych Członek ponosi odpowiedzialność za spełnienie obowiązków informacyjnych o których mowa w art. 13 RODO, wówczas jest on zobowiązany umieścić w odpowiednim miejscu odnośnik do informacji dotyczących przetwarzania danych osobowych w ramach korzystania z usług Trusted Shops. Informacje te są dostępne pod następującym linkiem: https://www.trustedshops.com/tsdocument/BUYER_AUTO_PROTECTION_TERMS_pl.pdf
Trusted Shops udostępnia również dodatkowe informacje w Centrum Pomocy. Jest tam dostępne również m.in. tabelaryczne zestawienie obowiązków i kompetencji z pomocą którego Członek może poinformować osoby, których dane dotyczą, o zasadniczej treści uzgodnień zawartych w niniejszym porozumieniu dot. współadministrowania (art. 26 ust. 2 zd. 2 RODO). Zestawienie zawiera również niewiążące pomoce robocze w zakresie dokumentowania i ważenia tzw. uzasadnionych interesów administratorów wskazanych w niniejszym porozumieniu.
Wszystkie opisane niżej czynności związane z przetwarzaniem danych wykonywane są przy udziale usługodawców z którymi Trusted Shops zawarł umowę powierzenia przetwarzania danych. W przypadku przekazywania danych do państwa trzeciego, gdy dla danego państwa nie została wydana decyzja stwierdzająca odpowiedni stopień ochrony danych lub zachodzi wyjątek określony w art. 49 RODO, Trusted Shops odpowiada za stworzenie odpowiednich ramowych warunków prawnych, tj. w szczególności za zapewnienie odpowiednich zabezpieczeń. W przypadku przekazania danych objętych współadministrowaniem do państwa trzeciego, Trusted Shops poinformuje Członka, aby mógł on spełnić obowiązki informacyjne względem osób, których dane dotyczą.
W ramach wszystkich wymienionych czynności przetwarzania danych,w celu zapewnienia bezpieczeństwa i stabilności systemu, TrustedShops prowadzi rejestrowanie i monitorowanie (logging & monitoring). W niektórych przypadkach wykorzystywane są w tym celu podmioty przetwarzające mające siedzibę w USA i innych państwach trzecich. Podstawą prawną jest w tym zakresie art. 6 ust. 1 pkt 1 lit. f RODO. TrustedShopsprzeprowadzaw tym zakresie niezbędny test równowagi interesów stron i odpowiada za wszystkie obowiązki dokumentacyjne. Użytkownik musi poinformować osoby, których dane dotyczą, o przetwarzaniu danych.
W przypadku konieczności skontaktowania się z TrustedShops, należy to uczynić drogą elektroniczną: ochronadanych@trustedshops.pl.
Trustbadge i widżety
Wyświetlanie widżetu
Kategorie danych: dane dostępowe (tzw. pliki dziennika serwera, np. adres IP, data i godzina dostępu itp.)
Trusted Shops udostępnia dla poszczególnych stron internetowych Członka różne widżety (np. Trustbadge) i ponosi wyłączną odpowiedzialność za ich treść oraz związane z nimi przetwarzanie danych. W związku z integracją i wykorzystywaniem widżetów w określonych celach, Członek zobowiązany jest spełnić obowiązki informacyjne.
Integracja widżetu na stronie internetowej Członka umożliwia wyświetlanie autentycznych opinii klientów, a w przypadku Trustbadge również gromadzenie opinii klientów. Za wyświetlanie widżetu w internecie odpowiada Członek. Integracja Trustbadge umożliwia wyświetlanie znaku jakości Trusted Shops, zbieranie opinii i wyświetlanie usług Trusted Shops dla kupujących. Członek jest zobowiązany do poinformowania o integracji Trustbadge w swojej polityce prywatności. Członek jest w tym zakresie odpowiedzialny za wskazanie podstawy prawnej i realizację wszystkich pozostałych obowiązków informacyjnych. Jeśli podstawą prawną jest Art. 6 ust. 1 lit. f RODO, Członek jest odpowiedzialny za odpowiednie udokumentowanie podstawy prawnej w tym przeprowadzenie analizy ważenia interesów (tzw. test równowagi). Jeśli podstawą prawną jest art. 6 ust. 1 lit. a RODO, Członek jest odpowiedzialny za udokumentowanie zgody i zapewnienie, że fakt jej udzielenia jest możliwy do udowodniona. Trusted Shops poinformuje Członka, jeśli integracja Trustbadge skutkuje czynnościami przetwarzania, na które bezwzględnie należy uzyskać zgodę, np. poprzez konfigurację ustawień plików cookie.
Po wywołaniu Trustbadge są rejestrowane i zapisywane anonimowe pliki dziennika serwera osób odwiedzających witrynę. Zapisywane są w szczególności zanonimizowany adres IP, data i godzina wejścia na stronę oraz adres strony przekierowującej. Ma to na celu zapewnienie bezproblemowego działania strony internetowej oraz rejestrowanie błędów. Podstawą prawną dla sporządzania i przechowywania plików dziennika serwera jest art. 6 ust. 1 lit. f RODO. Członek jest zobowiązany poinformować o podstawie prawnej, z kolei Trusted Shops jest odpowiedzialny za udokumentowanie i przeprowadzenie analizy ważenia interesów (tzw. test równowagi).
Testy A/B
Kategorie danych: dane dostępowe (tzw. pliki dziennika serwera, np. adres IP, data i godzina dostępu itp.)
Trusted Shops przeprowadza okazjonalnie testy A/B, aby przeanalizować zachowanie osób odwiedzających strony internetowe Użytkowników Trusted Shops w oparciu o różne warianty widżetów. W tym celu konieczne jest zastosowanie plików cookie lub zapisanie informacji w lokalnej pamięci urządzenia użytkownika końcowego. Trusted Shops poinformuje Członka z odpowiednim wyprzedzeniem o przeprowadzaniu testu A/B. Członek ma możliwość sprzeciwić się przeprowadzeniu testu A/B dla jego własnej strony internetowej. Przed przeprowadzeniem testu A/B Strony uzgadniają odpowiednią podstawę prawną. Członek jest odpowiedzialny za poinformowanie osób, których dane dotyczą o podstawie prawnej oraz, jeśli to konieczne za pozyskanie zgody i jej udokumentowanie.
Oferta usługi w zakresie ochrony kupującego Trusted Shops
Czynności przetwarzania danych konieczne do świadczenia usługi ochrony kupującego Trusted Shops wchodzą częściowo w zakres wspólnej odpowiedzialności Członka i Trusted Shops. Czynności przetwarzania w zakresie których ma miejsce współadministrowanie zostały opisane w niniejszym porozumieniu. Za czynności przetwarzanie danych w związku z usługą ochrony kupującego, które nie zostały wymienione w niniejszym porozumieniu, odpowiadają oddzielnie Trusted Shops i Członek. W przypadku, gdy z charakteru danego rodzaju przetwarzania wynikać będzie współodpowiedzialność Stron, wówczas zastosowanie znajduje niniejsze porozumienie.
Rozpoznawanie zarejestrowanych klientów usług Trusted Shops dla kupujących
Kategorie danych: wartość hash adresu e-mail, numer transakcji, datazamówienia, suma zamówienia
Jeśli Trustbadge jest zintegrowany, wartość haszująca adres e-mail przy użyciu którego kupujący robił zakupy w sklepie Członka jest po złożeniu zamówienia wysyłana do Trusted Shops w celu zweryfikowania, czy kupujący dokonał już w przeszłości rejestracji w celu korzystania z usług Trusted Shops – w tym ochrony kupującego Trusted Shops. Weryfikacja ta jest konieczna ze względu na stosunek umowny pomiędzy Trusted Shops a klientami korzystającymi z programu ochrony kupujących Trusted Shops celem zapewnienia po złożeniu zamówienia na stronach internetowych podmiotów trzecich możliwości automatycznego skorzystania z umownych usług. Wartość hash jest pobierana za pomocą zapytania DIV. Prowadzi to do uzyskania przez Trustbadgedostępu do informacji przechowywanych w urządzeniu końcowym kupującego (użytkownika końcowego), w związku z czym zgodnie z obowiązującym na danym rynku docelowym prawem regulującym zasady dostępu do informacji przechowywanych w urządzeniu końcowym kupującego (użytkownika końcowego) może być wymagane pozyskanie zgody na taki dostęp. W takim przypadku Użytkownik musi zapewnić, że zgoda na taki dostęp zostanie uzyskana zgodnie z obowiązującym prawem na danym rynku docelowym, zanim nastąpi jakikolwiek dostęp do urządzenia końcowego.
Następujące pobranie danych przez Trustbadgeobejmuje również dane zamówienia kupującego, które po weryfikacjisą automatycznie usuwane (jeżeli klient nie dokonał rejestracji).Podstawą prawną dla pobierana tych danych jest art. 6 ust. 1lit. f RODO. Użytkownik jest zobowiązany poinformować osoby, których dane dotyczą, o podstawie prawnej, z kolei TrustedShops jest odpowiedzialny za przeprowadzenie analizy ważenia interesów (tzw. test równowagi). Alternatywnie Użytkownik może wybrać podstawę prawną wskazaną w art. 6 ust. 1lit. a RODO i jest wówczas odpowiedzialny za wszystkie związane z tym obowiązki w zakresie ochrony danych.
Jeżeli weryfikacja wykaże, że kupujący jest już zarejestrowany w celach korzystania z usługi ochrony kupującego, wówczas niezbędne w celu świadczenia tej usługi dane dot. zamówienia są przekazywane Trusted Shops, aby zgodnie z warunkami umowy o korzystanie z usług Trusted Shops dla kupujących objąć zakup ochroną. Podstawą przetwarzania danych jest zatem w tym przypadku art. 6 ust. 1 lit. b RODO. Spełnienie obowiązków informacyjnych wynikających z RODO (w szczególności z art. 13 RODO) leży zakresie odpowiedzialności Użytkownika, który może w tym celu skorzystać z przykładowych wzorów zamieszczonych w „Centrum pomocy”. Trusted Shops potwierdza objęcie zakupu ochroną kupującego poprzez wyświetlenie odpowiedniego komunikatu na karcie „Trustcard” na stronie finalizującej zamówienie oraz poprzez wysłanie automatycznej wiadomości e-mail i udziela dalszych informacji osobie, której dotyczą dane.
Pierwsza rejestracja do celów korzystania z usług Trusted Shops dla kupujących
Kategorie danych: adres e-mail, numer transakcji, data zamówienia, suma zamówienia, usługa ochrony kupującego
Jeśli podczas weryfikacji, o której mowa w punkcie 2.1, okaże się, że kupujący nie jest jeszcze zarejestrowany w Trusted Shops w celu korzystania z usług Trusted Shops – w tym usługi ochrony kupującego, wówczas kupujący będzie mieć możliwość dokonania rejestracji za pomocą tzw. kraty Trustcard, która jest zintegrowana ze stroną internetową Członka jako część składowa narzędzia Trustbadge. Wraz z rejestracją kupującego do celów skorzystania z usług Trusted Shops w tym usługi ochrony kupującego, dane zamówienia oraz adres e-mail zostają przekazane do Trusted Shops w celu utworzenia konta kupującego i zabezpieczenia danego zakupu internetowego. Członek i Trusted Shops ponoszą wspólną odpowiedzialność za przekazywanie danych. Przekazywanie danych dot. zamówienia odbywa się w celu objęcia zamówienia ochroną kupującego na podstawie art. 6 ust. 1 lit. b RODO w celu realizacji umowy zawartej pomiędzy Trusted Shops a kupującym, który dokonał rejestracji. Trusted Shops odpowiada za spełnienie stosownych obowiązków informacyjnych.
Zaproszenia do wystawienia opinii, formułowanie opinii
Jeżeli Członek korzysta z systemu opinii Trusted Shops, obowiązują wówczas poniższe postanowienia. W przypadku wysyłania zaproszeń do wystawienia opinii, Członek jest zawsze odpowiedzialny za realizację określnych w art. 13 RODO obowiązków informacyjnych.
TrustedShops może wykorzystać dane dostarczone przez Użytkownika w ramach publikacji wystawionej opinii, o ile istnieje ku temu podstawa prawna. Publikacja (skróconego) imienia i nazwiska osoby wystawiającej opinię wynika z warunków użytkowania platformy opinii TrustedShops zgodnie z art. 6 ust. 1 zdanie 1 lit. b RODO.
Gromadzenie adresów e-mail i wysyłanie zaproszeń do wystawienia opinii
Wysyłanie zaproszeń do wystawienia opinii do kupujących zarejestrowanych w celu korzystania z ochrony kupującego Trusted Shops
Kategorie danych: adres e-mail, numer transakcji, data zamówienia, zakupiony produkt, ewentualnie imię, nazwisko.
Za wysyłanie zaproszeń do złożenia opinii do zarejestrowanych klientów objętych ochroną kupujących Trusted Shops odpowiedzialny jest Trusted Shops razem z Członkiem. Integrując Trustbadge Członek zobowiązany jest poinformować kupujących, że informacje dot. zamówienia (adres e-mail, numer zamówienia, czas zamówienia) zostaną po złożeniu zamówienia przekazane do Trusted Shops w celu wysłania zaproszenia do wystawienia opinii. Tylko w ten sposób można przypisać daną opinie kupującego do odpowiedniego zamówienia. Podstawą prawną przekazania danych do Trusted Shops jest realizacja umowy zawartej pomiędzy Trusted Shops a kupującym, który dokonał rejestracji (art. 6 ust. 1 lit. b RODO). Wysłanie zaproszenia do wystawienia opinii również odbywa się na podstawie umowy istniejącej pomiędzy Trusted Shops, a zarejestrowanym kupującym (§ 6 ust. 1 lit. b RODO). Trusted Shops jest odpowiedzialny za wysyłanie zaproszeń do wystawienia opinii, przy czym Członek może współdecydować o czasie wysłania zaproszeń.
Wysyłanie zaproszeń do wystawienia opinii do kupujących niezarejestrowanych w celu korzystania z ochrony kupującego TrustedShops
Kategorie danych: adres e-mail, numer transakcji, data zamówienia, zakupiony produkt, ewentualnie imię, nazwisko, a także inne dane opcjonalnie podane przez Użytkownika.
Wysłanie zaproszenia do wystawienia opinii za pomocą narzędzia Review Collector, Event API lub funkcji AutoCollection następuje do kupujących, którzy nie są zarejestrowani do korzystania z usługi ochrony kupującego Trusted Shops. Członek i Trusted Shops ponoszą wspólną odpowiedzialność za przetwarzanie danych. Podstawą prawną dla gromadzenia adresów e-mail i wysyłania zaproszeń do złożenia opinii jest art. 6 ust. 1 lit. a RODO. Gromadzenie danych w celu wysyłania zaproszeń do wystawienia opinii należy do obowiązków Członka, który jest przy tym wyłącznie odpowiedzialny za uzyskanie niezbędnej zgody od osoby, której dane dotyczą oraz za wszystkie pozostałe związane z tym obowiązki. W szczególności jest on zobowiązany poinformować osoby, których dane dotyczą o przekazywaniu wymaganych informacji dot. zamówienia do Trusted Shops. Jeżeli nie uzyskano zgody na przekazanie danych, Członek musi zapewnić odpowiednią podstawę prawną i udokumentować ją. Trusted Shops jest odpowiedzialne za wysłanie zaproszenia do wystawienia opinii, przy czym Członek może współdecydować o czasie wysłania zaproszenia.
Wysyłanie zaproszeń do wystawienia opinii przy użyciu Trustcard
Kategorie danych: adres e-mail, numer transakcji, data zamówienia, ewentualnie zakupiony produkt, ewentualnie imię, nazwisko.
Jeśli Członek zintegrował narzędzie Trustbadge, ale nie oferuje ochrony kupującego, po dokonanym przez kupującego zamówieniu na stronie Członka istnieje możliwość zaproponowania mu wyrażenia zgody na otrzymywanie zaproszeń do wystawienia opinii. Jeśli kupujący wyrazi na to zgodę, Trusted Shops i Członek są wspólnie odpowiedzialni za dane przetwarzane w celu wysłanie zaproszeń. Trusted Shops jest odpowiedzialne za wysłanie zaproszeń do wystawienia opinii i pozyskanie zgody kupującego, przy czym Członek może współdecydować o czasie wysłania zaproszenia. Kupujący, którzy są zarejestrowani do korzystania z usług Trusted Shops w tym ochrony kupującego otrzymują zaproszenie do wystawienia opinii, nawet jeśli dany Członek nie oferuje ochrony kupującego. Użytkownik jest zobowiązany spełnić obowiązki wynikające z 3.1 litera a. W odniesieniu do rozpoznawania zarejestrowanych klientów usług TrustedShops dla kupujących obowiązuje odpowiednio pkt. 2.1 niniejszej umowy.
Wysyłanie zaproszeń do wystawienia opinii przez Członka przy użyciu API Trusted Shops
Kategorie danych: adres e-mail, numer transakcji, data zamówienia, ewentualnie zakupiony produkt, ewentualnie imię, nazwisko.
Korzystając z API Członek może wysłać zaproszenia do wystawienia opinii wykorzystując w tym celu specjalny link, który jest tworzony przez Trusted Shops na podstawie danych zamówienia przesłanych przez Członka. Członek jest zobowiązany zapewnić podstawę prawną i spełnić wymagane obowiązki informacyjne w zakresie przekazania danych do Trusted Shops. Przetwarzanie danych przez Trusted Shops odbywa się na podstawie art. 6 ust. 1 lit. f RODO.
Korzystanie z Menedżera Wizerunku
Kategorie danych: zgodnie z lit. a) - d) niniejszego ustępu
Jeżeli Członek korzysta z Menedżera Wizerunku Trusted Shops w celu wysyłania zaproszeń do wystawienia opinii zawierających linki odsyłające do platform opinii podmiotów trzecich, wówczas jest on względem osób, których dane dotyczą odpowiedzialny za spełnienie wymaganych obowiązków informacyjnych. W pozostałym zakresie zastosowanie znajdują regulacje niniejszego porozumienia (zaproszenia do wystawienia opinii wysyłane są zgodnie z postanowieniami lit. a-d niniejszego punktu).
Wystawianie opinii
Kategorie danych: dane dostępowe (tzw. pliki dziennika serwera, np. adres IP, czas dostępu itp.), adres e-mail, ewentualnie imię i nazwisko, ewentualnie lokalizacja,wystawiona opinia i ocena (tekst i gwiazdki oceny), numer transakcji, ewentualnie zakupiony produkt.
Trusted Shops jest odpowiedzialne za działanie platformy/systemu opinii (w szczególności centrum kontroli), za pośrednictwem której osoba, której dane dotyczą zamieszcza swoją opinię. Za zbieranie opinii i ich publikację odpowiadają wspólnie Członek i Trusted Shops. Trusted Shops jest odpowiedzialny za podstawę prawną i realizację obowiązków informacyjnych. Dotyczy to również innych czynności przetwarzania danych wykonywanych w ramach platformy, np. analityki internetowej. Co do zasady wyłącznie Trusted Shops ponosi odpowiedzialność za dane przetwarzane w ramach analityki internetowej. Jednak, jeżeli dane te zostaną udostępnione Członkowi, wówczas ponosi on wspólną odpowiedzialność z Trusted Shops. Trusted Shops odpowiada wówczas za realizację obowiązków wynikających z art. 26 ust. 2 RODO.
W przypadku komentowania przez Członka opinii wystawionych przez kupujących lub nawiązania w inny sposób kontaktu między Członkiem a osobą, która sformułowała opinię, w szczególności za pośrednictwem systemów Trusted Shops, Członek jest odpowiedzialny za zapewnienie istnienia odpowiedniej podstawy prawnej przetwarzania danych. Trusted Shops ma prawo do usunięcia treści opinii, jeśli osoba, której dane dotyczą, zażąda ich usunięcia i/lub jeśli Członek nie jest w stanie udowodnić podstawy prawnej przetwarzania danych.
Blokowanie adresów e-mail
Kategorie danych: dane dostępowe
Jeżeli osoba, której dane dotyczą nie chce otrzymywać zaproszeń do wystawienia opinii, ma ona możliwość cofnięcia swojej zgody składając stosowne oświadczenie wobec Członka. Cofnięcie zgody dotyczy wyłącznie zaproszeń do wystawienia opinii, które są związane z danym Członkiem. Osoba, której dane dotyczą ma również możliwość generalnego zrezygnowania z subskrypcji wszystkich zaproszeń do wystawienia opinii – niezależnie od tego jakiego Członka one dotyczą. Można to uczynić klikając w link rezygnacji zamieszczony w stopce każdej wiadomości z zaproszeniem do wystawienia opinii lub kontaktując się w tym celu drogą mailową z Trusted Shops. W takiej sytuacji Trusted Shops umieszcza dany adres e-mail na liście blokowania, aby zapobiec wysyłaniu niechcianych zaproszeń do wystawienia opinii w przyszłości. Trusted Shops ponosi wyłączną odpowiedzialność za listę blokowania, ma ona jednak wpływ na czynności przetwarzania, które podlegają wspólnej odpowiedzialności.
Centrum kontroli (Control Center)
Kategorie danych: Dane dostępowe (tzw. pliki dziennika serwera, np. adres IP, czas dostępu itp.),adres e-mail, ewentualnie imię i nazwisko i lokalizacja,wystawiona opinia i ocena (tekst i gwiazdki oceny), numer transakcji, ewentualnie zakupiony produkt.
Za pośrednictwem centrum kontroli, Trusted Shops udostępnia Członkowi różne informacje, które stanowią dane osobowe lub są związane z przetwarzaniem danych osobowych. Obejmuje to w szczególności dane analityczne opisane w punkcie 3.2 niniejszego porozumienia dotyczące wysyłania i otrzymywania zaproszeń do składania opinii, zarządzania opiniami poprzez komentowanie lub zgłaszanie do weryfikacji, a także opcje konfiguracji dostępne w momencie wysyłania i publikacji zaproszeń do wystawienia opinii.
Jeżeli Członek chciałby powiązać systemy Trusted Shops z własnymi systemami lub systemami zarządzanymi przez siebie (w szczególności CRM lub system ticketowy), wówczas to Członek odpowiada za wszystkie związane z tym obowiązki wynikające z RODO. W przypadku korzystania z usług zewnętrznego dostawcy Członek musi w szczególności zadbać o zawarcie wszystkich niezbędnych umów (np. umowa powierzenia przetwarzania danych) oraz zapewnić odpowiednie i skuteczne środki ochrony prawnej – konieczne dla bezpiecznego przekazania danych osobowych do państwa trzeciego.
TrustedShops opcjonalnie udostępnia Użytkownikowi wspierany przez AI system do komentowania otrzymanych opinii. System analizuje komentarz oceniający i proponuje Użytkownikowikomentarz zwrotny, który następnie Użytkownik może zaakceptować do publikacji. Podstawą prawną analizy komentarza wystawionego przez oceniającego jest art. 6 ust. 1 pkt 1 lit. f RODO. Użytkownik jest zobowiązany do przeprowadzenia testu równowagii spełnienie obowiązków informacyjnych względem osób, których dane dotyczązgodnie z art. RODO. TrustedShops jest natomiast odpowiedzialny za techniczne wdrożenie i związane z tym obowiązki wynikające z RODO.