Polityka Prywatności

1.Informacje wstępne i role stron

Niniejsza Polityka Prywatności określa zasady przetwarzania danych osobowych w związku z korzystaniem z aplikacji webowej „Koordynator online", dostępnej pod adresem https://opus7.pl (dalej: „Aplikacja").

Aplikacja została zaprojektowana i jest udostępniana przez:

Aplikacja jest udostępniana w modelu SaaS klientom biznesowym (dalej: „Klient" lub „Administrator"), którzy wykorzystują ją do organizacji pracy i zarządzania personelem w ramach prowadzonej przez siebie działalności.

Role w rozumieniu RODO:

• Klient korzystający z Aplikacji jest administratorem danych osobowych (art. 4 pkt 7 RODO) w odniesieniu do danych osobowych użytkowników końcowych, pracowników, współpracowników oraz innych osób, których dane wprowadza do Aplikacji.
• AGAT Group sp. z o.o. działa jako podmiot przetwarzający (procesor, art. 4 pkt 8 RODO) na podstawie zawartej z Klientem umowy powierzenia przetwarzania danych osobowych.
• AGAT Group sp. z o.o. może być administratorem wyłącznie w ograniczonym zakresie własnych danych przetwarzanych w celach: kontaktu z Klientem, fakturowania, obsługi technicznej Aplikacji, zapewnienia jej bezpieczeństwa oraz wypełnienia obowiązków prawnych.

W przypadku rozbieżności między niniejszą Polityką a treścią umowy powierzenia zawartej z Klientem, pierwszeństwo mają postanowienia umowy powierzenia.

2.Zakres przetwarzanych danych

W ramach działania Aplikacji mogą być przetwarzane w szczególności następujące kategorie danych:

2.1. Dane identyfikacyjne

• imię i nazwisko,
• data urodzenia,
• obywatelstwo,
• numer PESEL,
• numer paszportu lub innego dokumentu tożsamości,
• numer telefonu,
• adres e-mail,
• adres zamieszkania lub zakwaterowania.

2.2. Dane związane z zatrudnieniem i organizacją pracy

• stanowisko i przypisany projekt,
• harmonogram pracy,
• raporty czasu pracy,
• dane koordynacyjne i organizacyjne,
• historia aktywności użytkownika w systemie.

2.3. Dokumenty i załączniki

• dokumenty legalizacyjne (np. wizy, zezwolenia na pracę, karty pobytu),
• zdjęcia identyfikacyjne,
• dokumenty pracownicze i kadrowe,
• inne dokumenty wymagane do realizacji procesów operacyjnych Klienta.

2.4. Dane techniczne

• adres IP,
• identyfikator sesji,
• informacje o przeglądarce i systemie operacyjnym,
• logi systemowe i zdarzenia bezpieczeństwa.

Konkretny zakres danych przetwarzanych w danej instancji Aplikacji ustala Klient jako administrator danych.

3.Cele i podstawy prawne przetwarzania

3.1. Dane przetwarzane na zlecenie Klienta (AGAT Group jako procesor)

Cele przetwarzania ustala Klient. Aplikacja umożliwia realizację takich celów jak:

• organizacja i koordynacja pracy personelu,
• ewidencja i raportowanie czasu pracy,
• zarządzanie projektami outsourcingowymi,
• komunikacja operacyjna z personelem,
• obsługa procesów legalizacji pobytu i pracy cudzoziemców,
• prowadzenie dokumentacji wymaganej przepisami prawa.

Podstawą prawną przetwarzania przez Klienta są w szczególności:

• art. 6 ust. 1 lit. b RODO — wykonanie umowy z osobą, której dane dotyczą,
• art. 6 ust. 1 lit. c RODO — obowiązki prawne ciążące na Kliencie (m.in. Kodeks pracy, przepisy podatkowe, ZUS, ustawa o cudzoziemcach, ustawa o promocji zatrudnienia i instytucjach rynku pracy),
• art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Klienta,
• art. 9 ust. 2 lit. b RODO — przetwarzanie niezbędne do wypełnienia obowiązków z zakresu prawa pracy, zabezpieczenia społecznego i ochrony socjalnej (jeśli dotyczy).

3.2. Dane przetwarzane przez AGAT Group jako administratora

W zakresie własnych celów AGAT Group przetwarza dane na podstawie:

• art. 6 ust. 1 lit. b RODO — realizacja umowy z Klientem (świadczenie usług SaaS),
• art. 6 ust. 1 lit. c RODO — obowiązki prawne (przepisy księgowe, podatkowe),
• art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes (zapewnienie bezpieczeństwa systemu, wykrywanie nadużyć, dochodzenie roszczeń).

4.Okres przechowywania danych

Okres przechowywania danych w Aplikacji ustala Klient jako administrator danych, zgodnie z obowiązującymi go przepisami prawa i własnymi politykami retencji.

Aplikacja udostępnia Klientowi funkcjonalności pozwalające na zarządzanie danymi, w tym ich usuwanie lub modyfikację, w zakresie umożliwionym przez interfejs systemu.

AGAT Group jako podmiot przetwarzający nie ingeruje samodzielnie w okres przechowywania danych Klienta, z wyjątkiem przypadków, w których wynika to z:

• powszechnie obowiązujących przepisów prawa,
• wymagań bezpieczeństwa systemu,
• konieczności zabezpieczenia roszczeń,
• postanowień umowy powierzenia zawartej z Klientem.

Po zakończeniu świadczenia usług na rzecz Klienta dane są — zgodnie z decyzją Klienta — usuwane lub zwracane Klientowi, zgodnie z art. 28 ust. 3 lit. g RODO.

Dane przetwarzane przez AGAT Group jako administratora (np. dane kontaktowe Klienta, dane do fakturowania, logi techniczne) są przechowywane przez okres niezbędny do realizacji celów, dla których zostały zebrane, a po jego upływie — przez czas wymagany przepisami prawa (np. 5 lat dla dokumentacji księgowej) lub do upływu okresu przedawnienia roszczeń.

Logi systemowe są standardowo przechowywane przez okres do 12 miesięcy, o ile Klient nie ustali innego okresu.

5.Odbiorcy danych i podmioty współpracujące (subprocesorzy)

W celu świadczenia usług AGAT Group korzysta z następujących kategorii podwykonawców (subprocesorów), którzy przetwarzają dane na podstawie zawartych umów powierzenia oraz przy zastosowaniu odpowiednich zabezpieczeń:

• Vercel Inc. (USA) — hosting Aplikacji, infrastruktura serwerowa i CDN. Transfer poza EOG na podstawie standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską oraz wewnętrznych zabezpieczeń dostawcy.
• Supabase Inc. (USA) — baza danych, autoryzacja użytkowników i przechowywanie plików. Transfer poza EOG na podstawie SCC.
• OpenAI Ireland Ltd. / OpenAI, L.L.C. (Irlandia / USA) — usługi przetwarzania języka naturalnego oraz analizy dokumentów wykorzystywane w wybranych funkcjach Aplikacji.
• Anthropic, PBC (USA) — usługi modeli językowych (Claude API) wykorzystywane do analizy treści i dokumentów. Transfer poza EOG na podstawie SCC.
• lh.pl (H88 S.A.) — usługi rejestracji domeny i powiązane usługi pomocnicze.

Dane mogą być ponadto udostępniane:

• klientom projektów outsourcingowych — w zakresie wynikającym z konfiguracji Aplikacji ustalonej przez Klienta,
• kancelariom prawnym i biurom rachunkowym współpracującym z Klientem lub Dostawcą,
• podmiotom świadczącym usługi bezpieczeństwa IT,
• operatorom poczty elektronicznej,
• organom państwowym uprawnionym na podstawie przepisów prawa.

AGAT Group nie sprzedaje danych osobowych użytkowników.

Aktualna lista podwykonawców (subprocesorów) jest udostępniana Klientom na żądanie. AGAT Group informuje Klientów o planowanych zmianach w zakresie subprocesorów zgodnie z postanowieniami umowy powierzenia.

6.Transfer danych poza Europejski Obszar Gospodarczy

W związku z korzystaniem z usług dostawców wskazanych w sekcji 5, dane mogą być przekazywane poza Europejski Obszar Gospodarczy, w szczególności do Stanów Zjednoczonych Ameryki.

Transfer odbywa się wyłącznie przy zapewnieniu odpowiedniego stopnia ochrony, w szczególności na podstawie:

• decyzji Komisji Europejskiej stwierdzających odpowiedni stopień ochrony danych (jeśli mają zastosowanie),
• standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską,
• dodatkowych środków zabezpieczających wdrożonych przez dostawców (szyfrowanie, kontrola dostępu, polityki ochrony danych).

Osoba, której dane dotyczą, może uzyskać kopię zastosowanych zabezpieczeń, kontaktując się pod adresem kontakt@agat-group.com.pl.

7.Prawa osób, których dane dotyczą

Każdej osobie, której dane są przetwarzane w Aplikacji, przysługują następujące prawa:

• prawo dostępu do danych (art. 15 RODO),
• prawo do sprostowania danych (art. 16 RODO),
• prawo do usunięcia danych (art. 17 RODO),
• prawo do ograniczenia przetwarzania (art. 18 RODO),
• prawo do przenoszenia danych (art. 20 RODO),
• prawo do wniesienia sprzeciwu wobec przetwarzania (art. 21 RODO),
• prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).

Realizacja praw wobec danych przetwarzanych w Aplikacji odbywa się wobec Klienta (administratora). W przypadku zgłoszenia żądania do AGAT Group, AGAT Group niezwłocznie przekaże je właściwemu Klientowi zgodnie z postanowieniami umowy powierzenia oraz art. 28 ust. 3 lit. e RODO.

W zakresie danych, których administratorem jest AGAT Group, prawa można realizować pod adresem: kontakt@agat-group.com.pl.

8.Dobrowolność podania danych

Podanie danych osobowych jest dobrowolne, jednak w określonych przypadkach może być niezbędne do:

• zawarcia i wykonania umowy z Klientem (np. umowy o pracę, umowy cywilnoprawnej),
• wypełnienia obowiązków prawnych ciążących na Kliencie (np. legalizacja pobytu i pracy cudzoziemców, obowiązki ZUS i podatkowe),
• korzystania z Aplikacji.

Brak podania danych może uniemożliwić realizację powyższych celów, w tym zatrudnienie, legalizację pobytu lub korzystanie z Aplikacji.

9.Profilowanie i decyzje zautomatyzowane

Dane osobowe nie są wykorzystywane do zautomatyzowanego podejmowania decyzji wywołujących skutki prawne lub w podobny sposób istotnie wpływających na osobę, której dane dotyczą, w rozumieniu art. 22 RODO.

W Aplikacji nie prowadzi się profilowania osób, którego skutkiem byłoby automatyczne podejmowanie decyzji bez udziału człowieka.

Niektóre funkcje Aplikacji (np. analiza dokumentów, OCR, wsparcie procesów weryfikacji) korzystają z usług modeli językowych dostawców zewnętrznych. Wyniki tych analiz mają charakter pomocniczy i są weryfikowane przez upoważnionych użytkowników.

10.Bezpieczeństwo danych

AGAT Group stosuje środki techniczne i organizacyjne odpowiednie do zidentyfikowanego ryzyka, zgodne z art. 32 RODO, w szczególności:

• szyfrowanie połączeń SSL/TLS,
• szyfrowanie danych w spoczynku (po stronie dostawcy infrastruktury),
• autoryzacja użytkowników i system uprawnień dostępu,
• rejestrowanie operacji wykonywanych w systemie,
• regularne kopie bezpieczeństwa,
• ochrona przed nieautoryzowanym dostępem,
• monitoring bezpieczeństwa systemu,
• regularne aktualizacje zabezpieczeń,
• kontrola dostępu osób upoważnionych.

Dostęp do danych mają wyłącznie osoby upoważnione, zobowiązane do zachowania poufności.

11.Logi systemowe i monitoring aktywności

W celu zapewnienia bezpieczeństwa oraz prawidłowego działania Aplikacji rejestrowane są:

• aktywność użytkowników,
• historia logowań,
• adresy IP,
• operacje wykonywane w systemie,
• błędy techniczne i zdarzenia bezpieczeństwa.

Logi są wykorzystywane wyłącznie do zapewnienia bezpieczeństwa, wykrywania nadużyć, analizy błędów oraz zabezpieczenia interesów Klienta i Dostawcy.

12.Pliki cookies

Aplikacja wykorzystuje pliki cookies wyłącznie w zakresie niezbędnym do:

• utrzymania sesji użytkownika,
• zapewnienia bezpieczeństwa,
• zapamiętania ustawień użytkownika,
• prawidłowego działania Aplikacji.

Aplikacja nie wykorzystuje plików cookies w celach marketingowych ani reklamowych.

Użytkownik może zarządzać plikami cookies poprzez ustawienia swojej przeglądarki. Ograniczenie plików cookies niezbędnych do działania Aplikacji może uniemożliwić korzystanie z części jej funkcji.

13.Inspektor Ochrony Danych

AGAT Group sp. z o.o. nie wyznaczyła Inspektora Ochrony Danych (IOD), ponieważ nie zachodzą przesłanki wskazane w art. 37 ust. 1 RODO.

We wszystkich sprawach dotyczących ochrony danych osobowych prosimy o kontakt pod adresem: kontakt@agat-group.com.pl.

14.Zmiany Polityki Prywatności

AGAT Group zastrzega sobie prawo do aktualizacji niniejszej Polityki Prywatności w przypadku zmian przepisów prawa, zmian w funkcjonalnościach Aplikacji lub zmian organizacyjnych po stronie Dostawcy.

O istotnych zmianach Polityki Klienci oraz użytkownicy będą informowani z odpowiednim wyprzedzeniem — poprzez powiadomienie w Aplikacji, na stronie opus7.pl lub drogą elektroniczną.

Aktualna wersja dokumentu publikowana jest w Aplikacji i obowiązuje od dnia jej opublikowania.

15.Kontakt

W sprawach związanych z ochroną danych osobowych można kontaktować się z Dostawcą Aplikacji:

W sprawach dotyczących danych przetwarzanych w Aplikacji prosimy o kontakt z Klientem (administratorem danych), w którego instancji Aplikacji przetwarzane są dane osoby zgłaszającej żądanie.