Polityka prywatności
Nasze zobowiązanie do ochrony Twoich danych osobowych zgodnie z RODO i prawem irlandzkim.
Niniejsza Polityka Prywatności opisuje, w jaki sposób Knogin CyberSecurity Limited („Knogin", „my", „nas" lub „nasz") gromadzi, wykorzystuje, przechowuje i chroni Państwa dane osobowe. Zobowiązujemy się do ochrony Państwa prywatności zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych, „RODO"), irlandzką Ustawą o ochronie danych osobowych z 2018 r., polską Ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych oraz wszelkimi innymi obowiązującymi przepisami o ochronie danych osobowych. Pełnimy rolę podmiotu przetwarzającego, gdy przetwarzamy dane osobowe w imieniu naszych klientów na podstawie umów o świadczenie usług. Niniejsza Polityka Prywatności dotyczy naszej roli jako administratora danych osobowych, które gromadzimy bezpośrednio od Państwa oraz za pośrednictwem naszych systemów.
Przez „dane osobowe" rozumie się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Możemy przetwarzać następujące kategorie danych osobowych:
Imiona i nazwiska, tytuły, pseudonimy, numery telefonów, adresy pocztowe, adresy e-mail oraz przynależność zawodowa.
W zakresie istotnym dla aplikacji o zatrudnienie lub relacji z klientami: płeć, wiek, obywatelstwo, historia edukacji, historia zatrudnienia, kwalifikacje zawodowe oraz podobne informacje przekazane nam przez Państwa.
W przypadku gdy dokonują Państwo płatności za nasze usługi: numery rachunków bankowych, dane kart płatniczych, identyfikatory transakcji, dane faktur oraz informacje rozliczeniowe.
Adresy IP, identyfikatory urządzeń, typ i wersja przeglądarki, system operacyjny, znaczniki czasu dostępu, odwiedzane strony, źródła odesłań, czas trwania sesji, dane o sekwencji kliknięć, dzienniki błędów oraz dzienniki zdarzeń systemowych.
Wzorce aktywności użytkowników, zdarzenia uwierzytelniania, dzienniki kontroli dostępu, dane o incydentach bezpieczeństwa, wskaźniki zagrożeń, dane z wykrywania anomalii oraz oceny ryzyka generowane przez nasze systemy bezpieczeństwa.
W określonych okolicznościach możemy przetwarzać dane wrażliwe, w tym dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane dotyczące zdrowia lub dane dotyczące życia seksualnego lub orientacji seksualnej. Przetwarzamy takie dane wyłącznie wtedy, gdy dysponujemy odpowiednią podstawą prawną.
Gromadzimy dane osobowe w następujący sposób: Bezpośrednio od Państwa: Gdy kontaktują się Państwo z nami, zakładają konto, subskrybują usługi, przesyłają zapytania, składają aplikację o zatrudnienie lub w inny sposób komunikują się z nami. Automatycznie za pośrednictwem naszych systemów: Gdy odwiedzają Państwo nasze strony internetowe lub korzystają z naszych usług, automatycznie gromadzimy dane techniczne i dane z dzienników systemowych za pomocą plików cookie, dzienników serwera i podobnych technologii. Od naszych klientów: Gdy świadczymy usługi z zakresu cyberbezpieczeństwa, nasi klienci mogą przekazywać nam dane osobowe do przetwarzania zgodnie z naszymi umowami o świadczenie usług. Ze źródeł zewnętrznych: Możemy otrzymywać dane osobowe z publicznie dostępnych źródeł, branżowych baz danych oraz od partnerów, o ile jest to prawnie dopuszczalne.
Przetwarzamy dane osobowe wyłącznie wtedy, gdy dysponujemy podstawą prawną na mocy art. 6 RODO:
Przetwarzanie niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
Przetwarzanie niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze na mocy prawa irlandzkiego, polskiego lub prawa Unii Europejskiej.
Przetwarzanie niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Nasze prawnie uzasadnione interesy obejmują zarządzanie naszą działalnością i jej zabezpieczanie, zapobieganie oszustwom i cyberprzestępczości, doskonalenie naszych usług oraz ochronę naszych klientów przed zagrożeniami bezpieczeństwa.
W przypadku gdy przetwarzanie odbywa się na podstawie zgody, mają Państwo prawo do cofnięcia zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
Przetwarzanie niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.
W przypadku przetwarzania szczególnych kategorii danych osobowych opieramy się na jednej z przesłanek określonych w art. 9 ust. 2 RODO: wyraźna zgoda osoby, której dane dotyczą; przetwarzanie niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw administratora lub osoby, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej; przetwarzanie niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, gdy osoba ta jest fizycznie lub prawnie niezdolna do wyrażenia zgody; przetwarzanie niezbędne do ustalenia, dochodzenia lub obrony roszczeń; lub przetwarzanie niezbędne ze względów związanych z ważnym interesem publicznym.
Korzystamy z zautomatyzowanych systemów bezpieczeństwa, w tym algorytmów uczenia maszynowego i sztucznej inteligencji, w celu analizy wzorców zachowań użytkowników i zdarzeń systemowych na potrzeby wykrywania i zapobiegania zagrożeniom bezpieczeństwa. Przetwarzanie to stanowi „profilowanie" w rozumieniu art. 4 pkt 4 RODO. Dane wykorzystywane do profilowania: Nasze zautomatyzowane systemy bezpieczeństwa przetwarzają znaczniki czasu logowania, wzorce dostępu, informacje o urządzeniach, adresy IP, dane o lokalizacji geograficznej, zachowanie w ramach sesji, dzienniki aktywności oraz historyczne wzorce użytkowania. Sposób działania profilowania: Nasze systemy ustanawiają bazowe wzorce zachowań dla użytkowników i systemów, a następnie identyfikują anomalie lub odchylenia, które mogą wskazywać na naruszenie kont, kradzież danych uwierzytelniających, złośliwą aktywność lub zagrożenia bezpieczeństwa. Modele uczenia maszynowego przypisują oceny ryzyka na podstawie czynników takich jak czas dostępu, spójność lokalizacji, rozpoznawanie urządzenia, wzorce działań oraz odchylenia od ustalonych norm. Skutki profilowania: Profilowanie może skutkować alertami bezpieczeństwa, ograniczeniem dostępu, zawieszeniem konta, podwyższonymi wymaganiami uwierzytelniania lub skierowaniem do ręcznej weryfikacji. W określonych okolicznościach zautomatyzowane decyzje mogą ograniczyć lub zablokować dostęp do systemów lub usług. Podstawa prawna: Przetwarzamy te dane na podstawie naszych prawnie uzasadnionych interesów polegających na utrzymaniu bezpieczeństwa i integralności naszych systemów oraz ochronie naszych klientów przed cyberzagrożeniami. W przypadku gdy zautomatyzowane decyzje wywołują skutki prawne wobec Państwa lub w podobny sposób istotnie na Państwa wpływają, opieramy się na art. 22 ust. 2 lit. b) RODO (przetwarzanie dozwolone prawem w celach bezpieczeństwa) lub art. 22 ust. 2 lit. a) RODO (przetwarzanie niezbędne do wykonania umowy).
Na mocy art. 22 RODO mają Państwo prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec Państwa skutki prawne lub w podobny sposób istotnie na Państwa wpływa. W przypadku podejmowania przez nas takich zautomatyzowanych decyzji mają Państwo prawo do: • Uzyskania interwencji ludzkiej ze strony wykwalifikowanego członka naszego zespołu ds. bezpieczeństwa • Wyrażenia własnego stanowiska w odniesieniu do zautomatyzowanej decyzji • Zakwestionowania decyzji i żądania jej ponownego rozpatrzenia • Uzyskania wyjaśnienia ogólnej logiki zautomatyzowanego przetwarzania • Żądania informacji o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania W celu skorzystania z tych praw prosimy o kontakt pod adresem privacy@knogin.com. Odpowiemy w terminie jednego miesiąca od otrzymania Państwa żądania.
Korzystamy z usług zewnętrznych dostawców usług, którzy przetwarzają dane osobowe w naszym imieniu. Podmioty przetwarzające są zobowiązane umownie do przetwarzania danych osobowych wyłącznie na podstawie naszych udokumentowanych instrukcji oraz do wdrożenia odpowiednich technicznych i organizacyjnych środków bezpieczeństwa. Możemy korzystać z usług dodatkowych podmiotów przetwarzających w zakresie konkretnych usług. Aktualna lista naszych podwykonawców przetwarzania jest dostępna na żądanie pod adresem privacy@knogin.com.
Dane osobowe mogą być przekazywane do państw spoza Europejskiego Obszaru Gospodarczego („EOG") i przetwarzane w tych państwach, które mogą nie zapewniać takiego samego poziomu ochrony danych jak Irlandia czy Polska. W przypadku przekazywania danych osobowych poza EOG zapewniamy wdrożenie odpowiednich zabezpieczeń: Decyzje stwierdzające odpowiedni stopień ochrony: Przekazywanie do państw, w odniesieniu do których Komisja Europejska wydała decyzję stwierdzającą odpowiedni stopień ochrony (w tym przekazywanie do Stanów Zjednoczonych w ramach ram ochrony danych UE–USA w odniesieniu do organizacji posiadających certyfikację). Standardowe klauzule umowne: Przekazywanie na podstawie standardowych klauzul umownych UE przyjętych przez Komisję Europejską (decyzja wykonawcza Komisji (UE) 2021/914). Wiążące reguły korporacyjne: W stosownych przypadkach przekazywanie w ramach grup kapitałowych na podstawie zatwierdzonych wiążących reguł korporacyjnych. Dane osobowe mogą być przekazywane do Stanów Zjednoczonych za pośrednictwem usług Microsoft i Cloudflare, z zastrzeżeniem certyfikacji w ramach ram ochrony danych UE–USA i/lub standardowych klauzul umownych. W razie potrzeby przeprowadzamy oceny skutków przekazania w celu oceny poziomu ochrony w państwach odbiorców i w razie konieczności wdrażamy środki uzupełniające.
Możemy ujawnić dane osobowe organom ścigania, organom regulacyjnym lub innym organom publicznym, gdy: • Jesteśmy do tego zobowiązani na mocy prawa irlandzkiego, polskiego lub unijnego, postanowienia sądu lub nakazu • Ujawnienie jest niezbędne i proporcjonalne w celu zapobiegania, wykrywania, prowadzenia postępowań przygotowawczych lub ścigania czynów zabronionych, zgodnie z sekcją 41(b) irlandzkiej Ustawy o ochronie danych osobowych z 2018 r. • Ujawnienie jest niezbędne do ochrony żywotnych interesów jakiejkolwiek osoby • Ujawnienie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń Powiadomimy Państwa o każdym ujawnieniu, chyba że zabrania tego prawo lub powiadomienie mogłoby zaszkodzić toczącemu się postępowaniu.
Zgodnie z art. 48 RODO oraz Wytycznymi EROD 02/2024 rozpatrujemy wnioski organów ścigania spoza EOG w następujący sposób: Umowy o wzajemnej pomocy prawnej: W przypadku gdy wniosek organu państwa trzeciego opiera się na umowie międzynarodowej, takiej jak umowa o wzajemnej pomocy prawnej (Mutual Legal Assistance Treaty, „MLAT") obowiązującej między państwem wnioskującym a Irlandią lub Unią Europejską, zastosujemy się do wniosku zgodnie z tą umową. Wnioski bez umowy międzynarodowej: W przypadku gdy wniosek organu państwa trzeciego nie opiera się na obowiązującej umowie międzynarodowej, wniosek ten nie jest automatycznie uznawany ani wykonalny na mocy prawa unijnego. Ocenimy, czy dysponujemy podstawą prawną na mocy art. 6 RODO oraz odpowiednim mechanizmem przekazywania na mocy rozdziału V RODO. Wnioski eksterytorialne: Niezależnie od ewentualnych roszczeń dotyczących jurysdykcji eksterytorialnej na mocy prawa państw trzecich (w tym amerykańskiej ustawy CLOUD Act), podlegamy europejskiemu prawu ochrony danych osobowych. Nie ujawnimy danych osobowych organom państw trzecich, chyba że wniosek został złożony na podstawie obowiązującej umowy międzynarodowej lub ustaliliśmy zarówno podstawę prawną na mocy art. 6 RODO, jak i odpowiedni mechanizm przekazywania na mocy rozdziału V RODO. Powiadomienie: W przypadku otrzymania wniosku od organu państwa trzeciego, o ile nie zabrania nam tego prawo, poinformujemy osoby, których dane dotyczą, o takim wniosku.
Przechowujemy dane osobowe wyłącznie tak długo, jak jest to niezbędne do realizacji celów, dla których zostały zgromadzone, do wypełnienia obowiązków prawnych, rozstrzygania sporów i egzekwowania naszych umów. Przeprowadzamy regularne przeglądy przechowywanych danych i bezpiecznie usuwamy lub anonimizujemy dane osobowe, które nie są już potrzebne.
Wdrażamy odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych przed nieuprawnionym dostępem, zmianą, ujawnieniem lub zniszczeniem. Środki te obejmują: • Szyfrowanie danych osobowych podczas przesyłania i przechowywania • Mechanizmy kontroli dostępu i uwierzytelniania • Regularne oceny bezpieczeństwa i testy penetracyjne • Szkolenia personelu z zakresu ochrony danych osobowych i bezpieczeństwa informacji • Procedury reagowania na incydenty • Fizyczne środki bezpieczeństwa dla naszych pomieszczeń i centrów danych W przypadku korzystania z usług podmiotów przetwarzających zapewniamy, że dają one wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych.
Na mocy RODO, irlandzkiego prawa o ochronie danych osobowych oraz polskiej Ustawy o ochronie danych osobowych przysługują Państwu następujące prawa:
Mają Państwo prawo uzyskać od administratora potwierdzenie, czy przetwarzane są dane osobowe Państwa dotyczące, a jeżeli ma to miejsce, uzyskać dostęp do tych danych oraz informacje dotyczące przetwarzania.
Mają Państwo prawo żądania niezwłocznego sprostowania dotyczących Państwa nieprawidłowych danych osobowych oraz uzupełnienia niekompletnych danych osobowych.
Mają Państwo prawo żądania usunięcia swoich danych osobowych w określonych okolicznościach, w tym gdy dane osobowe nie są już niezbędne do celów, w których zostały zebrane.
Mają Państwo prawo żądania ograniczenia przetwarzania w określonych okolicznościach, w tym w trakcie weryfikacji prawidłowości danych, które Państwo zakwestionowali.
Mają Państwo prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe, które nam Państwo dostarczyli, oraz prawo przesłać te dane innemu administratorowi.
Mają Państwo prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania opartego na prawnie uzasadnionym interesie, w tym profilowania. Zaprzestaniemy przetwarzania, chyba że wykażemy istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec Państwa interesów, praw i wolności.
Mają Państwo prawo do uzyskania interwencji ludzkiej, do wyrażenia własnego stanowiska oraz do zakwestionowania zautomatyzowanych decyzji.
W przypadku gdy przetwarzanie odbywa się na podstawie zgody, mogą ją Państwo cofnąć w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
Jeżeli nie są Państwo zadowoleni ze sposobu, w jaki postępujemy z Państwa danymi osobowymi lub odpowiadamy na Państwa żądania, mają Państwo prawo wniesienia skargi do organu nadzorczego. Irlandzka Komisja Ochrony Danych (DPC) 21 Fitzwilliam Square South Dublin 2, D02 RD28 Irlandia Strona internetowa: www.dataprotection.ie Telefon: +353 1 765 0100 / +353 57 868 4800 Mogą Państwo również wnieść skargę do organu nadzorczego w państwie swojego zamieszkania lub miejsca pracy, jeżeli jest ono inne niż Irlandia. W Polsce właściwym organem jest Prezes Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa, https://uodo.gov.pl.
Nasze usługi nie są skierowane do dzieci poniżej 16. roku życia. Nie gromadzimy świadomie danych osobowych dzieci poniżej 16. roku życia. Jeżeli uważają Państwo, że zgromadziliśmy dane osobowe dziecka poniżej 16. roku życia, prosimy o niezwłoczny kontakt pod adresem privacy@knogin.com.
Możemy okresowo aktualizować niniejszą Politykę Prywatności. O istotnych zmianach poinformujemy Państwa, publikując zaktualizowaną politykę na naszej stronie internetowej z nową datą wejścia w życie. Zachęcamy do regularnego zapoznawania się z niniejszą Polityką Prywatności. W przypadku znaczących zmian wpływających na Państwa prawa poinformujemy Państwa w widoczny sposób za pośrednictwem naszej strony internetowej lub, w stosownych przypadkach, w drodze bezpośredniej komunikacji.
W razie pytań dotyczących niniejszej Polityki Prywatności lub naszych praktyk w zakresie ochrony danych osobowych prosimy o kontakt: Kontakt ds. ochrony danych Knogin CyberSecurity Limited Dublin 6, Irlandia Telefon: 1800-816933 (Irlandia) / +353-1-800-816933 (Międzynarodowy) E-mail: privacy@knogin.com Odpowiemy na Państwa żądanie w terminie jednego miesiąca. Termin ten może zostać przedłużony o kolejne dwa miesiące, jeżeli jest to niezbędne, z uwzględnieniem złożoności i liczby żądań. Poinformujemy Państwa o ewentualnym przedłużeniu terminu w ciągu jednego miesiąca od otrzymania żądania. Możemy poprosić o dodatkowe informacje w celu weryfikacji Państwa tożsamości przed udzieleniem odpowiedzi na żądanie.
Pytania dotyczące prywatności?
Nasz zespół ds. ochrony danych jest gotowy pomóc w przypadku pytań lub wątpliwości związanych z prywatnością.
Kontakt ds. ochrony danych
Knogin CyberSecurity Limited
Dublin 6, Irlandia
Irlandia: 1800-816933
Obszar międzynarodowy: +353-1-800-816933
Organ nadzorczy
Prezes Urzędu Ochrony Danych Osobowych
ul. Stawki 2, 00-193 Warszawa