Deklaracja zgodności z RODO

Timbervillae szanuje i zobowiązuje się do ochrony prywatności Twoich danych osobowych. Niniejszy dokument wyjaśnia, w jaki sposób przetwarzamy Twoje dane osobowe zgodnie z ogólnym rozporządzeniem o ochronie danych, jakie prawa Ci przysługują oraz jakie środki podejmujemy w celu zapewnienia zgodności. Prosimy o dokładne zapoznanie się z niniejszą deklaracją.

1. Zakres stosowania

Niniejsza Deklaracja zgodności z RODO ma zastosowanie do następujących działań przetwarzania danych osobowych.

Zakres terytorialny：Niniejsza deklaracja ma zastosowanie do przetwarzania danych osobowych użytkowników znajdujących się na terytorium Polski lub Europejskiego Obszaru Gospodarczego, niezależnie od tego, czy jesteś zarejestrowanym użytkownikiem, gościem czy potencjalnym klientem.

Zakres czynności：Deklaracja ma zastosowanie, gdy dostarczamy Ci towary lub usługi (np. podczas odwiedzania naszego sklepu internetowego, składania zamówienia, zakładania konta lub kontaktowania się z nami) lub gdy monitorujemy Twoje zachowanie online (np. analizujemy wizyty na stronie za pomocą plików Cookie). Powyższe czynności przetwarzania danych podlegają niniejszej deklaracji, nawet jeśli są wykonywane poza terytorium Unii Europejskiej.

Forma danych：Niniejsza deklaracja ma zastosowanie do danych osobowych przechowywanych w formie elektronicznej oraz w formie ustrukturyzowanych dokumentów papierowych (np. wydrukowanych zapisów zamówień).

Wyłączenia：Przetwarzanie danych osobowych w ramach czysto osobistych lub domowych czynności (np. gdy udostępniasz nasze produkty członkom rodziny, a nie w celach handlowych lub zawodowych) nie podlega zakresowi RODO. Należy jednak pamiętać, że w momencie dokonania transakcji lub interakcji z nami niniejsza deklaracja ma zastosowanie.

2. Podstawowe zasady

Podczas przetwarzania Twoich danych osobowych zawsze kierujemy się podstawowymi zasadami ustanowionymi w artykule 5 RODO.

Zgodność z prawem, rzetelność i przejrzystość：Przetwarzamy Twoje dane wyłącznie na podstawie prawnego uzasadnienia (takiego jak wykonanie umowy, obowiązek prawny, prawnie uzasadniony interes lub Twoja wyraźna zgoda) i informujemy Cię o tych czynnościach w sposób jasny, zrozumiały i łatwo dostępny.

Ograniczenie celu：Twoje dane są gromadzone wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach (takich jak realizacja zamówienia, dostawa towaru, świadczenie obsługi klienta). Nie przetwarzamy danych w sposób niezgodny z tymi celami.

Minimalizacja danych：Gromadzimy wyłącznie dane niezbędne do osiągnięcia powyższych celów. Na przykład do dostawy potrzebujemy tylko Twojego imienia i nazwiska, adresu i numeru telefonu – nie żądamy nieistotnych ani wrażliwych informacji.

Prawidłowość danych：Podejmujemy uzasadnione działania, aby zapewnić, że przechowywane dane osobowe są prawidłowe, kompletne i aktualne. Masz również prawo do żądania sprostowania nieprawidłowych informacji w dowolnym momencie.

Ograniczenie przechowywania：Twoje dane są przechowywane wyłącznie przez okres niezbędny do realizacji celów, dla których zostały zebrane. Po upływie tego okresu dane są bezpiecznie usuwane lub anonimizowane. Na przykład przepisy podatkowe wymagają przechowywania zapisów zamówień przez pięć lat, po czym są one usuwane.

Integralność i poufność：Stosujemy środki techniczne (takie jak szyfrowanie, kontrola dostępu) i organizacyjne (takie jak szkolenia pracowników, hierarchia uprawnień), aby chronić Twoje dane przed nieupoważnionym lub nielegalnym dostępem, modyfikacją, ujawnieniem lub zniszczeniem.

Rozliczalność：Nie tylko zobowiązujemy się do przestrzegania powyższych zasad, ale także jesteśmy w stanie udowodnić przed organem nadzorczym, w jaki sposób wdrażamy te zasady poprzez odpowiednie zapisy i dokumentację.

3. Prawa użytkownika

Zgodnie z artykułami 12–23 RODO przysługują Ci następujące prawa jako osobie, której dane dotyczą. Zobowiązujemy się do zapewnienia łatwego sposobu realizacji tych praw.

Prawo dostępu do informacji：Masz prawo wiedzieć, czy przetwarzamy Twoje dane, w jakim celu, jakie kategorie danych, komu są udostępniane, jak długo są przechowywane oraz jakie prawa Ci przysługują. Informacje te znajdują się w niniejszej deklaracji oraz naszej Polityce prywatności. W razie potrzeby dodatkowych wyjaśnień skontaktuj się z nami.

Prawo dostępu do danych：Masz prawo uzyskać od nas jedną kopię swoich danych osobowych bezpłatnie. Wyślij wiadomość na adres service@timbervillae.com z tytułem „Żądanie dostępu”.

Prawo do sprostowania：Jeżeli Twoje dane osobowe są nieprawidłowe lub niekompletne, masz prawo żądać natychmiastowego sprostowania lub uzupełnienia. Możesz to zrobić samodzielnie po zalogowaniu się na swoje konto lub skontaktować się z nami.

Prawo do usunięcia danych (prawo do bycia zapomnianym)：Masz prawo żądać usunięcia swoich danych osobowych w następujących okolicznościach: dane nie są już niezbędne do celów, w których zostały zebrane; wycofujesz zgodę i nie ma innej podstawy prawnej; skutecznie wnosisz sprzeciw; przetwarzanie jest niezgodne z prawem; lub obowiązek prawny wymaga usunięcia. Skontaktuj się z nami, a my odpowiemy w ciągu trzydziestu dni, chyba że przepisy prawa wymagają dalszego przechowywania.

Prawo do ograniczenia przetwarzania：W przypadku kwestionowania prawidłowości danych, nielegalności przetwarzania lub wniesienia sprzeciwu, masz prawo żądać czasowego ograniczenia przetwarzania (wyłącznie przechowywanie, bez wykorzystywania). Skontaktuj się z nami i określ zakres ograniczenia.

Prawo do wniesienia sprzeciwu：Gdy przetwarzamy Twoje dane w oparciu o prawnie uzasadniony interes (np. marketing bezpośredni), masz prawo wnieść sprzeciw w dowolnym momencie. Zaprzestaniemy przetwarzania, chyba że wykażemy istnienie ważnych prawnie uzasadnionych podstaw. Możesz poinformować nas o swoim sprzeciwie za pośrednictwem poczty elektronicznej lub telefonu.

Prawo do przenoszenia danych：Masz prawo otrzymać dostarczone przez siebie dane osobowe w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (takim jak CSV lub JSON) oraz przesłać je innemu administratorowi. Skontaktuj się z nami i wskaż preferowany format oraz docelowego odbiorcę.

Prawo do cofnięcia zgody：Jeżeli przetwarzanie opiera się na Twojej wyraźnej zgodzie (np. otrzymywanie wiadomości marketingowych, nieobowiązkowe pliki Cookie), masz prawo cofnąć tę zgodę w dowolnym momencie. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem. Możesz to zrobić poprzez kliknięcie linku rezygnacji w wiadomości e-mail, zmianę ustawień plików Cookie w przeglądarce lub bezpośredni kontakt z nami.

Informacja dotycząca użytkowników niepełnoletnich：Użytkownicy poniżej piętnastego roku życia przed skorzystaniem z naszych usług lub udzieleniem zgody na przetwarzanie swoich danych osobowych muszą uzyskać zgodę rodzica lub prawnego opiekuna, który zapozna się z niniejszą deklaracją i udzieli zgody w ich imieniu.

4. Obowiązki podmiotów przetwarzających

Możemy współpracować z podmiotami trzecimi w zakresie realizacji zamówień, dostaw, obsługi klienta, hostingu stron oraz analizy danych. Podmioty te są prawnie uznawane za „podmioty przetwarzające”. Zgodnie z artykułem 28 RODO nakładamy na każdego podmiot przetwarzający następujące rygorystyczne obowiązki.

Polecenia pisemne：Podmiot przetwarzający może wykonywać czynności wyłącznie na podstawie naszych pisemnych poleceń i nie może wykorzystywać Twoich danych do żadnych nieautoryzowanych celów.

Środki bezpieczeństwa：Podmiot przetwarzający musi wdrożyć odpowiednie środki techniczne i organizacyjne, w tym między innymi szyfrowanie, zapory sieciowe, dzienniki dostępu oraz zobowiązania pracowników do zachowania poufności.

Wsparcie w odpowiedzi na żądania：Gdy wykonujesz swoje prawa dostępu, sprostowania, usunięcia itp., podmiot przetwarzający ma obowiązek współpracować z nami w celu udzielenia szybkiej odpowiedzi.

Zgłaszanie naruszeń：W przypadku wykrycia naruszenia ochrony danych osobowych podmiot przetwarzający musi niezwłocznie nas powiadomić – nie później niż w ciągu dwudziestu czterech godzin – abyśmy mogli zgłosić naruszenie organowi nadzorczemu w ustawowym terminie siedemdziesięciu dwóch godzin.

Rejestr czynności：Podmiot przetwarzający musi prowadzić pełny rejestr swoich czynności przetwarzania danych i udostępniać go do audytu nam lub organom nadzorczym.

Inspektor ochrony danych：Jeżeli podstawowa działalność podmiotu przetwarzającego obejmuje przetwarzanie wrażliwych danych na dużą skalę lub monitorowanie na dużą skalę, musi on wyznaczyć inspektora ochrony danych i zgłosić to odpowiedniemu organowi nadzorczemu.

Ograniczenie podwykonawstwa：Podmiot przetwarzający nie może angażować dalszych podwykonawców bez naszej uprzedniej pisemnej zgody. Każdy autoryzowany podwykonawca podlega tym samym obowiązkom.

Współpracujemy wyłącznie z podmiotami przetwarzającymi, które zapewniają wystarczające gwarancje zgodności z RODO.

5. Transfer danych

W niektórych przypadkach Twoje dane osobowe mogą być przekazywane do państw lub terytoriów poza Europejskim Obszarem Gospodarczym. Na przykład serwer naszej poczty elektronicznej może znajdować się w Stanach Zjednoczonych. Zgodnie z artykułami 44–49 RODO zapewniamy, że taki transfer spełnia co najmniej jeden z poniższych standardów ochrony.

Decyzja Komisji Europejskiej o odpowiednim stopniu ochrony：Jeśli państwo lub terytorium odbiorcy zostało uznane przez Komisję Europejską za zapewniające odpowiedni stopień ochrony (np. Japonia, Wielka Brytania), transfer może odbywać się bez dodatkowych zezwoleń.

Standardowe klauzule umowne：Dla państw trzecich nieuznanych za zapewniające odpowiedni stopień ochrony podpisujemy z odbiorcą danych standardowe klauzule umowne zatwierdzone przez Komisję Europejską, które nakładają na odbiorcę obowiązki równoważne RODO.

Wiążące reguły korporacyjne：W stosownych przypadkach stosujemy zatwierdzone wiążące reguły korporacyjne.

Dodatkowe środki ochronne：Nawet przy zastosowaniu standardowych klauzul umownych, w razie potrzeby nakładamy dodatkowe środki ochronne: szyfrowanie typu end-to-end przed transferem, uniemożliwiające odbiorcy identyfikację osoby, której dane dotyczą, bez klucza; ścisłe ograniczenie dostępu do danych w organizacji odbiorcy oraz prowadzenie pełnych dzienników dostępu; oraz regularne audyty zgodności podmiotu przetwarzającego.

Ważne：Nie przekazujemy Twoich danych osobowych do państw o rażąco niskim poziomie ochrony. Jeśli chcesz poznać konkretne kraje docelowe i mechanizmy ochrony, na których polegamy – skontaktuj się z nami za pośrednictwem danych podanych na końcu niniejszego dokumentu.

6. Nadzór i sankcje

W Polsce organem odpowiedzialnym za nadzór nad wdrażaniem RODO jest Urząd Ochrony Danych Osobowych. Organ ten posiada następujące uprawnienia.

Uprawnienia kontrolne：Organ nadzorczy może przeprowadzać kontrole czynności przetwarzania danych w dowolnym momencie, w tym audyty na miejscu, żądanie dokumentacji, przesłuchiwanie pracowników itp.

Uprawnienia naprawcze i ograniczające：W przypadku stwierdzenia naruszenia RODO organ nadzorczy może wydać ostrzeżenie, naganę, nakazać sprostowanie, ograniczenie lub zaprzestanie przetwarzania danych.

Zawieszenie transferu danych：W określonych okolicznościach organ nadzorczy może zawiesić lub zakazać transferu danych do państw trzecich.

Sankcje administracyjne：Organ nadzorczy może nakładać administracyjne kary pieniężne. W zależności od charakteru i wagi naruszenia, kary dzielą się na dwa poziomy. Za naruszenia mniej poważne – do 10 000 000 euro lub 2% całkowitego rocznego światowego obrotu, przy czym stosuje się kwotę wyższą. Za naruszenia poważne (np. naruszenie podstawowych praw użytkowników, przetwarzanie wrażliwych danych bez zgody) – do 20 000 000 euro lub 4% całkowitego rocznego światowego obrotu, przy czym stosuje się kwotę wyższą.

Przykład：Jeżeli bez Twojej zgody sprzedalibyśmy Twoje dane osobowe stronie trzeciej lub nie zgłosilibyśmy naruszenia ochrony danych w ciągu siedemdziesięciu dwóch godzin, możemy podlegać karze do 4% naszego całkowitego rocznego światowego obrotu. Traktujemy to z najwyższą powagą i wdrożyliśmy wewnętrzne mechanizmy kontroli zgodności, aby uniknąć naruszeń.

7. Zgodność

Zobowiązujemy się do przetwarzania Twoich danych osobowych w sposób odpowiedzialny i rozliczalny, co przejawia się w następujących aspektach.

Kontrola użytkownika：Projektujemy wszystkie interfejsy zbierania danych zgodnie z zasadą „prywatność jako domyślne ustawienie”. Zawsze masz kontrolę nad swoimi danymi osobowymi – wiesz, co zbieramy, dlaczego, jak długo przechowujemy i jak je usunąć.

Przejrzyste i odpowiedzialne przetwarzanie：Za pośrednictwem niniejszej deklaracji, Polityki prywatności i Polityki plików Cookie ujawniamy każdą czynność przetwarzania danych. Prowadzimy rejestr czynności przetwarzania danych i regularnie przeprowadzamy oceny skutków dla ochrony danych, aby aktywnie identyfikować i zmniejszać ryzyko prywatności.

Środki techniczne i organizacyjne：W zakresie środków technicznych stosujemy szyfrowanie transmisji TLS, szyfrowanie danych w spoczynku, uwierzytelnianie dwuskładnikowe, systemy wykrywania włamań oraz regularne testy penetracyjne. W zakresie środków organizacyjnych prowadzimy szkolenia pracowników z zakresu ochrony danych, wdrażamy hierarchię uprawnień dostępu do danych zgodnie z zasadą minimalnych uprawnień, tworzymy plany reagowania na naruszenia ochrony danych oraz zawieramy umowy wiążące z podmiotami przetwarzającymi.

Inspektor ochrony danych：Wyznaczyliśmy wewnętrznego inspektora ochrony danych, który nadzoruje naszą zgodność z RODO. Możesz skontaktować się z inspektorem za pośrednictwem naszego adresu e-mail service@timbervillae.com, podając w temacie wiadomości „Do wiadomości inspektora ochrony danych”.

Jeśli masz jakiekolwiek wątpliwości lub skargi dotyczące naszych czynności przetwarzania danych, zachęcamy do najpierw kontaktu z nami. Masz również prawo bezpośredniego wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

8. Przedstawiciel zgodnie z artykułem 27 RODO

Zgodnie z artykułem 27 RODO, jeżeli administrator lub podmiot przetwarzający nie ma siedziby na terytorium Unii Europejskiej, ale dostarcza towary lub usługi osobom znajdującym się w Unii lub monitoruje ich zachowanie – musi wyznaczyć przedstawiciela w Unii Europejskiej.

Wyznaczyliśmy już przedstawiciela w Unii Europejskiej, który zajmuje się następującymi sprawami związanymi z ochroną danych osobowych: przyjmowaniem zapytań od Ciebie lub organów nadzorczych dotyczących przetwarzania danych; pomocą w realizacji Twoich praw dostępu, sprostowania, usunięcia i cofnięcia zgody; działaniem jako kanał komunikacji między nami a europejskimi organami nadzorczymi; oraz współpracą z organami nadzorczymi w przypadku naruszenia ochrony danych.

Dane kontaktowe przedstawiciela w UE：Jeśli znajdujesz się na terytorium Unii Europejskiej, możesz skontaktować się z naszym przedstawicielem za pośrednictwem poniższych danych, ale możesz również kontaktować się bezpośrednio z nami. Państwem członkowskim, w którym ma siedzibę nasz przedstawiciel, jest Polska. Adres e-mail: service@timbervillae.com, z dopiskiem w temacie „Do przedstawiciela RODO”. Adres korespondencyjny – skontaktuj się z nami w celu uzyskania aktualnego adresu przedstawiciela.

Możesz skontaktować się z naszym przedstawicielem za pośrednictwem adresu korespondencyjnego, adresu e-mail lub numeru telefonu podanego na końcu niniejszego dokumentu. Po otrzymaniu żądania odpowiemy za pośrednictwem przedstawiciela lub bezpośrednio w ustawowym terminie.

9. Kontakt z nami

Jeśli masz jakiekolwiek pytania dotyczące niniejszej Deklaracji zgodności z RODO, chcesz skorzystać z któregokolwiek ze swoich praw lub potrzebujesz skontaktować się z naszym inspektorem ochrony danych lub przedstawicielem w UE – skontaktuj się z nami.

• Adres korespondencyjny: 6202 Barrowfield Ct, Fort Washington, MD, 20744
• Numer telefonu: +1(224) 848-0207
• Adres e-mail: service@timbervillae.com
• Godziny dostępności: poniedziałek – piątek, 9:00–18:00 (czasu CET)

Zobowiązujemy się do odpowiedzi na Twoje żądanie w terminie trzydziestu dni. Skomplikowane przypadki mogą wymagać przedłużenia do sześćdziesięciu dni – poinformujemy Cię z wyprzedzeniem o przyczynie przedłużenia. Dziękujemy za zaufanie, jakim darzysz Timbervillae.