Zasady ochrony danych osobowych w ramach Programu PAYBACK
1. Kto jest administratorem Twoich danych osobowych?
Administratorem Twoich danych osobowych jest PAYBACK czyli Loyalty Partner Polska sp. z o.o. z siedzibą przy Towarowa 28 Warszawa wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego w Sądzie Rejonowym dla m.st. Warszawy, XII Wydział Gospodarczy pod nr KRS 0000290350, NIP 527-25-58-871, kapitał zakładowy 16.919.100.00 zł.
O ile zostało to wskazane w formularzu zgłoszeniowym, Twoje dane osobowe w nim podane przetwarzane są w charakterze współadministratora, przez Partnera Programu, którego Kartę PAYBACK zarejestrowałeś/aś lub który wydał Instrument Płatniczy PAYBACK, którym się posługujesz. Taki Partner Programu będzie mógł przetwarzać Twoje dane osobowe w zakresie i celu określonym w formularzu zgłoszeniowym. Zasadnicza treść uzgodnień współadministratorów odzwierciedlająca zakresy ich obowiązków jest dostępna pod adresem: www.payback.pl/uzgodnienia-wspoladministratorow.
Jeśli masz jakiekolwiek pytania związane z tym jak przetwarzamy Twoje dane, możesz skontaktować się bezpośrednio z powołanym przez nas specjalistą, który dba o bezpieczeństwo Twoich danych (Inspektor Ochrony Danych) pisząc pod adres mojedane@payback.net.
2. Jakie dane i informacje o Tobie przetwarzamy?
Jeżeli jesteś Uczestnikiem Programu:
- Dane podane w formularzu zgłoszeniowym
dane rejestracyjne: numer Karty PAYBACK pełne imię i nazwisko, datę urodzenia, adres korespondencyjny (a także podpis, jeżeli rejestrujesz się za pomocą papierowego formularza zgłoszeniowego), adres e-mail; ich podanie jest dobrowolne, ale bez nich podania nie będziesz mógł dokończyć rejestracji i w pełni korzystać z funkcjonalności Programu PAYBACK, służą one bowiem do logowania na stronie www.PAYBACK.pl i w aplikacji mobilnej (numer Karty, data urodzenia i kod pocztowy) jak również są niezbędne do informowania Cię o ważnych zmianach w Programie oraz dostawy zamówionej przez Ciebie Nagrody; dane fakultatywne: m.in. numer telefonu komórkowego, płeć i wykonywany zawód.
- Dane o transakcjach dokonywanych za pomocą karty lub numeru PAYBACK (w tym: numer karty PAYBACK, liczba przyznanych Punktów, liczba umorzonych Punktów).
- Informacje o sposobie nawigowania na naszej stronie internetowej i aplikacji mobilnej, takie jak oglądane produkty, odwiedzane sekcje oraz informacje o Twoich interakcjach z Programem (np. w jakich promocjach wziąłeś/wzięłaś udział).
Jeżeli jesteś reprezentantem naszego kontrahenta lub partnera biznesowego:
- Dane kontaktowe obejmujące: imię, nazwisko, nazwa firmy w której pracujesz, stanowisko, numer telefonu i adres e-mail.
W przypadku, gdy powyższe dane osobowe nie zostały zebrane bezpośrednio od Ciebie, informujemy, że zostały przekazane przez naszego kontrahenta lub partnera biznesowego, którego jesteś reprezentantem lub pozyskane z publicznie dostępnych rejestrów lub innych publicznie dostępnych źródeł takich jak Internet.
3. W jakim celu i na jakiej podstawie przetwarzamy Twoje dane osobowe?
Będziemy przetwarzać Twoje dane osobowe w następujących celach:
Jeżeli jesteś Uczestnikiem Programu:
Cel
Podstawa przetwarzania
Prowadzenie Programu PAYBACK – w tym naliczanie zebranych przez Ciebie punktów, obsługa wymiany Punktów na Nagrody i rozpatrywanie składanych przez Ciebie reklamacji
umowa jaką są Warunki Uczestnictwa w Programie PAYBACK dostępny pod adresem www.payback.pl/regulamin
Marketing - w tym przesyłanie lub wyświetlanie Ci informacji o towarach lub usługach obecnych i przyszłych Partnerów Programu oraz samym Programie w tym indywidualnie dobranych ofert
Udzielona przez Ciebie zgoda
Profilowanie, analizy rynkowe i statystyczne - w tym działania pomagające nam zrozumieć Twoje zwyczaje oraz oczekiwania jako klienta, uczynić ofertę Partnerów i sam Program PAYBACK bardziej efektywnymi, a nasze oferty dostosować do Twoich potrzeb
Nasz prawnie uzasadniony interes
Jeżeli jesteś reprezentantem naszego kontrahenta lub partnera biznesowego:
Cel
Podstawa przetwarzania
Nawiązywanie, rozwijanie i prowadzenie współpracy z kontrahentem lub partnerem biznesowym którego jesteś reprezentantem
Nasz prawnie uzasadniony interes
Realizacja obowiązków raportowych w ramach grupy kapitałowej, której jesteśmy częścią
Nasz prawnie uzasadniony interes
Wystawianie i obsługa faktur z tytułu usług przez nas świadczonych
Obowiązek prawny
4. Na czym polega profilowanie?
W ramach tzw. profilowania będziemy dokonywać analizy i oceny informacji zgromadzonych o Tobie, próbując określić na ich podstawie jakie oferty i promocje mogą Cię najbardziej zainteresować. Wpływać to będzie bezpośrednio na to, jakie treści będą się wyświetlać w trakcie Twojej wizyty na stronie Programu PAYBACK, w aplikacji mobilnej, w newsletterach oraz innych stosowanych przez nas kanałach komunikacji.
5. Odwołanie zgody
W każdej chwili możesz odwołać udzieloną zgodę, w szczególności za pośrednictwem:
- ustawień panelu użytkownika na stronie www.payback.pl;
- Biura Obsługi PAYBACK pisząc na adres:, Al. Konstytucji 3 Maja 11, 96-200 Rawa Mazowiecka, korzystając z formularza kontaktowego pod adresem www.payback.pl/centrum-pomocy/kontakt lub dzwoniąc pod numer 801 044 440*. * Koszt połączenia telefonicznego jest zgodny z aktualnie obowiązującą taryfą operatora.
Odwołanie zgody pozostanie bez wpływu na zgodność z prawem przetwarzania, którego dokonaliśmy na podstawie zgody przed jej cofnięciem.
Odpowiedni Partner Programu, którego kartę zarejestrowałeś/aś, zostanie poinformowany przez nas o odwołaniu zgody.
W przypadku odwołania zgody będziemy kontaktować się z Tobą jedynie wtedy, gdy przekazywane będą informacje niezbędne dla realizacji Programu (np. zawiadomienie o stanie Twojego Konta).
6. Przez jaki okres będziemy przetwarzać Twoje dane?
Jeżeli jesteś Uczestnikiem Programu:
Będziemy przetwarzać Twoje dane nie dłużej niż przez okres Twojego uczestnictwa w Programie PAYBACK oraz celem ustalenia, dochodzenia lub obrony ewentualnych roszczeń związanych z Twoim uczestnictwem w Programie przez okres przedawnienia tych roszczeń.
Jeżeli jesteś reprezentantem naszego kontrahenta lub partnera biznesowego:
Będziemy przetwarzać Twoje dane nie dłużej niż (i) do zakończenia naszej współpracy z kontrahentem lub partnerem biznesowym, którego jesteś reprezentantem, (ii) lub okres przez który byłeś uprawniony do kontaktu z nami, (iii) do czasu zakończenia Twojej współpracy z takim kontrahentem lub partnerem biznesowym (cokolwiek nastąpi wcześniej).
Dodatkowo, w przypadku przetwarzania Twoich danych w celu obsługi faktur z tytułu usług przez nas świadczonych, będziemy przetwarzać je przez okres wymagany przepisami prawa.
7. Przekazywanie danych
Możemy udostępniać Twoje dane podmiotom trzecim takim jak organy administracji państwowej jeżeli zobowiążą nas do tego na podstawie przepisów prawa oraz na podstawie stosownej umowy, spółkom w ramach naszej grupy kapitałowej, naszym podwykonawcom wspierającym nas w realizacji kampanii marketingowych, serwisowaniu oprogramowania, dostarczaniu usług teleinformatycznych, a także firmom kurierskim i pocztowym.
Zapewniamy należytą ochronę danych osobowych przetwarzanych przez naszych podwykonawców i ponosimy odpowiedzialność za ich działania.
Wśród wyżej wymienionych podmiotów mogą być firmy przetwarzające Twoje dane poza Europejskim Obszarem Gospodarczego. Twoje dane będą w takim przypadku chronione w oparciu o standardowe klauzule ochrony danych zatwierdzone przez Komisję Europejską Decyzją Komisji Europejskiej z dnia 4 czerwca 2021 r. nr 2021/915/UE (Dz. Urz. UE L 199/18).
W każdym przypadku podwykonawcy będą mieć dostęp wyłącznie do tych danych, które są niezbędne do wypełnienia ich zadań w ramach Programu i nie mogą wykorzystywać tych danych do żadnych innych celów.
Po każdej transakcji dokonanej u Partnera Programu z wykorzystaniem Twojej Karty PAYBACK lub numeru Karty PAYBACK do zostanie przekazany do nas numer Twojej Karty PAYBACK oraz dane odnoszące się do dokonanej transakcji (towary / usługi, cena, przyznane Punkty, miejsce i data transakcji), w celu uznania konta PAYBACK. Takie dane transakcyjne nie zostaną udostępnione innym Partnerom Programu oraz osobom trzecim nie objętym Programem. Udostępnienie nam danych związanych z transakcjami dokonywanymi z użyciem Instrumentu Płatniczego PAYBACK w związku z Twoim uczestnictwem w Programie odbędzie się zgodnie z prawem regulującym użycie takiego Instrumentu Płatniczego PAYBACK.
8. Jakie uprawnienia Ci przysługują?
Przysługują Ci następujące uprawnienia, które możesz realizować kontaktując się z nami na adres mojedane@payback.net:
- Prawo dostępu do danych – masz prawo do uzyskania informacji, czy przetwarzamy Twoje dane osobowe oraz do uzyskania dostępu tych danych, w tym otrzymania ich kopii.
- Prawo do sprostowania danych – możesz żądać od nas sprostowania swoich danych osobowych, gdy są one niedokładne lub ich uzupełnienia, gdy są niekompletne. Możesz tego dokonać w zakładce „Edytuj swoje dane” w panelu użytkownika na stronie www.payback.pl.
- Prawo do usunięcia danych - możesz zażądać od nas usunięcia swoich danych osobowych, kiedy, między innymi, nie są one już potrzebne do celów, do których zostały przez nas zebrane.
- Prawo do ograniczenia przetwarzania - możesz zażądać ograniczenia przetwarzania danych w przypadkach określonych przepisami np. kiedy kwestionujesz ich prawidłowość lub legalność ich przetwarzania.
- Prawo do przenoszenia danych – możesz otrzymać swoje dane osobowe w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego i przekazać je innemu podmiotowi, wtedy gdy przetwarzanie danych opiera się na zgodzie lub umowie i odbywa się w sposób zautomatyzowany.
- Prawo do sprzeciwu - możesz sprzeciwić się wobec przetwarzania przez nas Twoich danych osobowych w oparciu o uzasadniony interes , którymi się kierujemy, w tym wobec profilowania. W takim przypadku zaprzestaniemy przetwarzania Twoich danych w tym celu.
- Prawo do wniesienia skargi – możesz wnieść skargę na to w jaki sposób przetwarzamy Twoje dane do Prezesa Urzędu Ochrony Danych Osobowych.
Postępowanie w sprawie realizacji powyższych praw jest nieodpłatne. Możesz zostać poproszony/na o uiszczenie stosownej opłaty jedynie w przypadkach zgłoszenia żądania wydania drugiej i każdej kolejnej kopii danych (pierwsza kopia danych jest bezpłatna) oraz zgłaszania przez tę samą osobę żądań nadmiernych (np. niezwykle częstych) lub ewidentnie nieuzasadnionych.
Powyższa opłata uwzględniać będzie jedynie koszty administracyjne związane z realizacją żądania.
9. Techniczne środki ochrony
9.1. Ogólne
Używamy różnych narzędzi do wykrywania i eliminowania usterek technicznych na naszej stronie internetowej. Inne narzędzia pomagają nam wykrywać i zapobiegać możliwym atakom na naszą stronę internetową.
W tym celu wykorzystujemy również, między innymi, automatycznie gromadzone dane, tj. adres strony, do której użytkownik uzyskał dostęp w naszej witrynie (tzw. URL), adres strony internetowej, którą użytkownik odwiedził bezpośrednio wcześniej (tzw. „odsyłający adres URL”), data i godzina połączenia, wiadomość o tym, czy połączenie zakończyło się powodzeniem (tzw. status dostępu/kod statusu HTTP), ilość danych przesłanych w każdym przypadku, określone cechy urządzenia użytkownika, takie jak używany system operacyjny oraz typ, język, wersja i rozmiar okna używanej przeglądarki, adres IP urządzenia w Internecie, różnica strefy czasowej GMT, w formie spseudonimizowanej.
Spróbujemy jednak zidentyfikować użytkownika, jeśli jego urządzenie zostało zidentyfikowane jako źródło awarii technicznej lub ataku na nasze strony internetowe.
9.2. Zapobieganie nadużyciom i oszustwom
W celu zapobiegania nadużyciom i oszustwom przetwarzamy informacje przesyłane przez przeglądarkę użytkownika podczas odwiedzania naszej witryny internetowej. Przetwarzane dane można znaleźć w punkcie 9.1.
Używamy dostarczonych informacji do kategoryzowania dostępu do naszej strony internetowej i odróżniania legalnego dostępu od ataków i prób ataków.
9.3 reCaptcha
Tak zwane „captcha” to kolejna funkcja bezpieczeństwa naszej strony internetowej, która służy do określenia, czy dana osoba lub komputer wprowadza określone dane wejściowe. „Captcha” to skrót od „Completely Automated Public Turing test to tell Computers and Humans Apart”. W języku polskim oznacza to: „Całkowicie zautomatyzowany publiczny test Turinga pozwalający odróżnić komputery od ludzi”.
W tym celu korzystamy z usługi „reCAPTCHA” firmy Google.
Dostawcą dla użytkowników z Europejskiego Obszaru Gospodarczego i Szwajcarii jest Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlandia.
Podczas odwiedzania naszej strony internetowej przekazujemy informacje o dostępie użytkownika do usługi reCAPTCHA. Pozwala to zweryfikować, czy użytkownik jest człowiekiem, czy komputerem, w szczególności przy użyciu następujących informacji:
Adres IP urządzenia użytkownika;
Odsyłacz (adres strony internetowej PAYBACK, na której używana jest captcha);
Informacje o używanej przeglądarce (np. typ i wersja przeglądarki, rozdzielczość ekranu, język, zainstalowane wtyczki, godzina i data);
Jeśli jesteś zalogowany i zalogowany do Google, Twoje konto Google;
Twoje zachowanie podczas przeglądania stron internetowych;
Twoje zachowanie podczas wprowadzania danych (np. ruchy myszy na powierzchniach reCAPTCHA);
W razie potrzeby, odpowiedzi na małe zadania, które wymagają identyfikacji obrazów.
Należy pamiętać, że zebrane informacje mogą być również przekazywane do krajów trzecich spoza Unii Europejskiej lub Europejskiego Obszaru Gospodarczego, w których nie ma równoważnego poziomu ochrony danych, w szczególności do USA, ponieważ Google posiada tam lokalizacje serwerów. Może to wiązać się z dodatkowym ryzykiem, na przykład egzekwowanie praw użytkownika do tych danych może być utrudnione. Aby zaradzić tym zagrożeniom, uzgodniono standardowe klauzule ochrony danych Komisji UE dla takich transferów danych. Przewidują one również wdrożenie odpowiednich zabezpieczeń dla poszczególnych przypadków, które mogą obejmować szyfrowanie w zależności od wrażliwości danych. W związku z tym, jeśli dane są przekazywane do lokalizacji serwerów w takich krajach trzecich, w tym w USA, odbywa się to na podstawie art. 46 ust. 2 lit. c) RODO.
Więcej informacji można znaleźć w Polityce prywatności Google i Warunkach świadczenia usług Google.
9.4. Podstawa prawna
Podstawą prawną przetwarzania danych opisanego w niniejszym paragrafie jest Art. 6 par. 1 lit. f) RODO (wyważenie interesów w oparciu o interes PAYBACK w zapobieganiu nieprawidłowemu działaniu strony internetowej z powodu ataków i/lub usterek technicznych, a także ochrona danych naszych klientów i ochrona przed kradzieżą tożsamości).
Zmiany Polityki Prywatności
Niniejsza polityka jest na bieżąco weryfikowana i w razie potrzeby aktualizowana.