FERRERO POLSKA COMMERCIAL sp. z o.o. z siedzibą przy ul. Wiertniczej 126, 02-952 Warszawa, Polska („Spółka”), działając w charakterze administratora danych osobowych, zgodnie z art. 13 i art. 14 Ogólnego rozporządzenia o ochronie danych osobowych („RODO”) (Rozporządzenie (UE) 2016/679) dotyczące ochrony danych osobowych („Rozporządzenie”), pragnie przekazać Państwu następujące informacje:
1. Rodzaje danych osobowych
Dane osobowe podawane przez Państwa w naszym Serwisie Konsumenckim, w tym Państwa imię i nazwisko, data urodzenia, numer telefonu, adres mailowy, adres fizyczny (jeśli jest wymagany) oraz dane (jeśli są wymagane) dostarczone w celu opisania zgłaszanego nam problemu (potencjalnie mogące zawierać dane osobowe szczególnych kategorii, takie jak dane dotyczące Państwa zdrowia), będą przetwarzane przez Spółkę zgodnie z Rozporządzeniem oraz innymi, obowiązującymi, krajowymi przepisami prawa i regulacjami, w tym decyzjami (jeśli takie są) właściwego organu nadzorczego.
Jakiekolwiek dane osób trzecich mogą Państwo przekazać jedynie wtedy, gdy są Państwo do tego uprawnieni, na przykład z racji pełnienia funkcji opiekuna prawnego osoby trzeciej lub za wyraźną zgodą takiej osoby trzeciej. Ponoszą Państwo wyłączną odpowiedzialność za takie przekazanie danych, co niniejszym przyjmują Państwo do wiadomości.
2. Cele i podstawy prawne przetwarzania
Spółka będzie przetwarzać przekazane przez Państwa dane w ramach prowadzenia swojej działalności oraz głównie w celu:
1) udzielenia odpowiedzi na Państwa ogólne pytania i/lub
2) zarządzania problemami, które Państwo zgłaszają Spółce, i/lub
3) obrony samej Spółki. Ponadto dane te będą przetwarzane w celu wypełnienia obowiązków wynikających z przepisów prawa (w tym m.in. obowiązków wynikających z przepisów BHP), w celu prowadzenia postępowań sądowych (jeśli takie istnieją), prowadzenia wewnętrznej sprawozdawczości grupowej, przeprowadzania audytów wewnętrznych (bezpieczeństwa, wydajności, jakości usług), kontroli zarządzania oraz certyfikacji.
Państwa dane mogą być również przetwarzane w celu dokonywania sukcesywnych ocen tego, czy wymogi etyczne i prawne ustanowione przez Spółkę w jej Kodeksie Etyki są przestrzegane.
W przypadku kierowania przez Państwa do Spółki pytań o charakterze ogólnym, przetwarzamy Państwa dane jako niezbędne do umożliwienia nam udzielenia Państwu odpowiedzi, zgodnie z Państwa życzeniem (art. 6 ust. 1 lit. b Rozporządzenia).
W sytuacjach, gdy jest to absolutnie konieczne, aby właściwie odnieść się do wszelkich pytań lub problemów zgłaszanych do Spółki, Spółka może również przetwarzać dane osobowe szczególnych kategorii (w szczególności dane dotyczące zdrowia, takie jak szczegóły dotyczące alergii lub innych niepożądanych reakcji na produkty itp.), które zdecydują się Państwo przekazać Spółce. Te szczególne kategorie danych osobowych będą przetwarzane przez Spółkę wyłącznie na podstawie Państwa uprzedniej i wyraźnej zgody.
Przetwarzanie danych osobowych dla wszystkich pozostałych, wymienionych celów nie wymaga Państwa zgody, ponieważ Spółka jest upoważniona do przetwarzania danych w wyżej wymienionych celach na podstawie art. 6 ust. 1 lit. c) i f) Rozporządzenia.
3. Charakter metod zbierania i przetwarzania
W większości przypadków, z wyjątkiem podstawowych pytań zadawanych podczas rozmowy telefonicznej z pracownikami naszego Serwisu Konsumenckiego zbieranie danych osobowych osób, których dane dotyczą, jest wymagane. W przeciwnym razie udzielenie odpowiedzi na jakiekolwiek Państwa pytania staje się niemożliwe.
Dane będą przetwarzane przez Spółkę, a także przez osoby, którym Spółka powierzyła przetwarzanie, głównie za pomocą systemów elektronicznych lub manualnych oraz zgodnie z zasadami uczciwości, integralności i przejrzystości, które są wymagane przez Rozporządzenie i wszelkie inne obowiązujące przepisy prawa dotyczące ochrony danych, przy jednoczesnym zachowaniu prywatności osób zainteresowanych poprzez wdrożenie środków technicznych i organizacyjnych zapewniających odpowiedni poziom bezpieczeństwa (w tym m.in. poprzez uniemożliwienie dostępu osobom nieupoważnionym − chyba że taki dostęp jest wymagany przez obowiązujące przepisy prawa − lub poprzez zapewnienie przywrócenia dostępu do danych po wystąpieniu istotnych lub technicznych wypadków)
4. Przechowywanie i retencja danych
Dane będą przechowywane zgodnie z Rozporządzeniem i innymi obowiązującymi przepisami o ochronie danych osobowych przez okres niezbędny do spełnienia wyżej wymienionych celów, tj. przez okres:
- 12 miesięcy w przypadku zapytań niezwiązanych z jakością naszych produktów (np. pytań o dostępność danego produktu w określonym kraju) lub zapytań związanych z reakcjami na publikacje lub wiadomości na temat naszej Spółki/Marek;
- 24 miesięcy w przypadku zapytań związanych z jakością naszego produktu (np. skarg dotyczących świeżości danego produktu zakupionego w określonym supermarkecie);
- 24 miesięcy w przypadku niezadowolenia z jednej z naszych usług;
- 7 lat w przypadku zgłoszenia incydentu (np. alergii lub innych działań niepożądanych po spożyciu danego produktu).
5. Ujawnianie, rozpowszechnianie i przekazywanie danych
Bez uszczerbku dla obowiązku ujawnienia w celu wypełnienia wszelkich zobowiązań prawnych lub umownych, dane mogą być ujawnione doradcom podatkowym lub prawnym, współpracownikom Spółki, organom rządowym lub innym podmiotom publicznym, jeżeli jest to wymagane w ramach przetargów, a także osobom upoważnionym z mocy prawa do otrzymania takich danych, krajowym lub zagranicznym organom sądowym, lub innym organom publicznym w celu wypełnienia zobowiązań prawnych, lub w celu wykonania zobowiązań wynikających z umowy, w tym w celu prowadzenia obrony przed sądami. Dane kontaktowe mogą być również ujawniane dostawcom Spółki okazjonalnie i z pojedynczych powodów, w tym m.in. jeżeli współpraca z którymkolwiek z tych podmiotów będzie konieczna do świadczenia usług.
Ponadto, dane mogą być również przetwarzane przez pracowników, którym powierzono zarządzanie umowami i usługami w ramach Spółki. W celu wykonania niektórych usług wiążących się z koniecznością przetwarzania danych osobowych, Spółka może również korzystać z usług osób trzecich. Dane mogą być również ujawniane innym spółkom z „Grupy Ferrero” − to znaczy Spółce i każdej innej spółce znajdującej się w dowolnym momencie, bezpośrednio lub pośrednio, w posiadaniu i/lub pod kontrolą lub we współposiadaniu i/lub pod współkontrolą Spółki − jeżeli jest to konieczne dla koordynacji i kontroli Grupy. Spółki te są zobowiązane wykonywać czynności w charakterze podmiotów przetwarzających dane, zgodnie z konkretnymi i odpowiednimi instrukcjami Spółki dotyczącymi metod przetwarzania i środków bezpieczeństwa określonych w odpowiednich umowach. Zarówno personel wspomniany powyżej, jak i zewnętrzne podmioty przetwarzające podjęły zobowiązanie do zachowania poufności lub podlegają odpowiedniemu zobowiązaniu prawnemu do zachowania poufności.
Pełną i aktualną listę spółek występujących w charakterze podmiotów przetwarzających dane można uzyskać na żądanie od naszego Inspektora Ochrony Danych Osobowych, pisząc na adres iod.polska@ferrero.com.
Dane osobowe nie będą rozpowszechniane. Co do zasady, dane nie będą przekazywane poza terytorium Unii Europejskiej. Jednakże w przypadku konieczności przekazania danych do krajów spoza Europejskiego Obszaru Gospodarczego, w tym do krajów, które nie zapewniają odpowiedniej ochrony danych, Spółka zobowiązuje się do zapewnienia poziomu ochrony i zachowania danych, również poprzez zawieranie specjalnych umów, odpowiedniego do obowiązujących przepisów prawa, w tym poprzez zawieranie standardowych klauzul umownych.
Kopie zobowiązań podjętych przez podmioty trzecie na mocy takich klauzul, jak również lista krajów spoza Europejskiego Obszaru Gospodarczego, do których zostały przekazane dane osobowe (jeśli dotyczy), można uzyskać na żądanie od naszego Inspektora Ochrony Danych Osobowych, pisząc na adres privacy@ferrero.com
6. Prawa osób, których dane dotyczą
Osobom, których dane dotyczą, przysługują prawa przewidziane w Rozporządzeniu (art. 15-21) w odniesieniu do przetwarzania, o którym jest w nim mowa, w tym prawo do:
- uzyskania potwierdzenia faktu istnienia danych osobowych ich dotyczących i uzyskania do nich dostępu (prawo dostępu);
- aktualizacji, modyfikacji i/lub sprostowania swoich danych osobowych (prawo do sprostowania);
- usunięcia lub ograniczenia przetwarzania danych osobowych, których przetwarzanie jest niezgodne z prawem, w tym również takich danych, które nie są już konieczne do realizacji celów, dla których zostały zebrane, lub które są przetwarzane w inny sposób (prawo do bycia zapomnianym i prawo do ograniczenia przetwarzania);
- zgłoszenia sprzeciwu wobec przetwarzania (prawo do sprzeciwu);
- cofnięcia uprzednio udzielonej zgody, jeśli taka została udzielona, bez uszczerbku dla zgodności z prawem przetwarzania opartego na tej zgodzie przed jej wycofaniem;
- złożenia skargi do lokalnego, unijnego organu ochrony danych (Prezes Urzędu Ochrony Danych Osobowych − PUODO, którego dane kontaktowe są dostępne na stronie https://www.uodo.gov.pl/en), w przypadku przekonania, że Spółka postępowała z ich informacjami w sposób niezgodny z prawem;
- otrzymania kopii w formie elektronicznej swoich danych, które zostały przekazane Spółce w ramach umowy i zlecenia ich przekazania innemu administratorowi danych (prawo do przenoszenia danych).
Spółka wyznaczyła Inspektora Ochrony Danych. Aby skorzystać z powyższych praw oraz otrzymać dodatkowe informacje dotyczące sposobu przetwarzania Państwa danych przez Ferrero, należy wysłać wiadomość e-mail do naszego Inspektora Ochrony Danych na następujący adres: iod.polska@ferrero.com.
7. Zmiany
Niniejsza Informacja weszła w życie w dniu 15 września 2023 r.
Spółka zastrzega sobie prawo do zmiany części lub całości niniejszej Informacji, lub do aktualizacji jej treści, np. w wyniku nowelizacji obowiązującego prawa. Spółka poinformuje Państwa o takich zmianach niezwłocznie po ich wprowadzeniu i z chwilą ich ogłoszenia zmiany takie staną się dla Państwa wiążące.
ENGLISH VERSION
DATA PROTECTION NOTICE (V3.0)
FERRERO POLSKA COMMERCIAL sp. z o.o with registered seat at ul. Wiertnicza 126, 02-952 Warszawa, Poland ("Company"), in its position as the data controller, pursuant to art. 13 and art. 14 of the General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679) concerning the protection of personal data ("Regulation"), wishes to provide you with the following information:
1. Types of personal data
The data provided by you at our Consumer Contact Center, including your name and surname, birth date, telephone number, e-mail address, physical address (if required), and data (if required) provided to describe the issue you are reporting to us (potentially including special categories of personal data, such as data related to your health), shall be processed by the Company in accordance with the Regulation and with other applicable domestic laws and regulations, including decisions (if any) of the relevant supervisory authority.
Any data of third parties may be provided only if you are entitled to do so, such as due to your position of legal guardian regarding the third party, or because you have the express consent of the third party. You will be the sole responsible for such a provision and you acknowledge this.
2. Purposes and legal grounds of the processing
The Company will process the data provided by you while carrying out its business and for the main purposes of 1) providing an answer to your general questions and/or 2) managing the issues that you are reporting to the Company and/or 3) defending the Company itself.
Moreover, the data shall be processed in order to comply with the obligations established by the law (including, without limitation, obligations arising from the regulations of health and safety), for handling litigations (if existing), for the purposes of internal group reporting, for internal audit purposes (safety, productivity, quality of the services), for management control purposes, for certification purposes.
Your data may also be processed for recurring valuations concerning whether the ethical and legal requirements established by the Company in its Code of Ethics have been complied with.
When you ask generic questions to the Company, we will process your data as strictly necessary to allow us to provide you an answer, as per your request (Art. 6(1)(b) of the Regulation).
Where this is strictly necessary to appropriately address any questions or issues you report to the Company, the Company may also process special categories of personal data (in particular, data related to health, such as details on allergic or other adverse reactions to products, etc.) which you decide to provide to the Company. These special categories of personal data will only be processed by the Company based on your prior and explicit consent.
The processing of data for all the other listed purposes does not require your consent since the Company is authorized to avail itself of the reliefs available under letter c) and f) of article 6.1, of the Regulation.
3. Nature of collection and processing methods
In most cases, with the exception of basic questions put during a telephone call to our Consumer Contact Center operators, the collection of personal data concerning Data Subjects is a requirement: failing this, it becomes impossible to provide a response to any inquiry on your part.
The data shall be processed by the Company, and by those entrusted by the Company with processing, mainly by means of electronic or manual systems and according to the principles of fairness, integrity and transparency that are required by the Regulation and any other applicable laws on data protection, while preserving the privacy of the concerned persons through the implementation of technical and organizational measures ensuring an adequate security level (including, without limitation, by preventing access from unauthorized persons - unless such access is required by the applicable laws - or by ensuring restoration of access to data after material or technical accidents).
4. Data storage and retention
The data shall be stored in compliance with the Regulation and other applicable regulations on the protection of personal data for the time that is necessary to comply with the above-mentioned purposes, this being a period of:
- 12 months in case of inquiries not related with the quality of our products (e.g. availability of a certain product in a certain country) or in relation to reactions linked to publications or news about our Company/Brands;
- 24 months in case of inquiries related with the quality of our product (e.g. complaints about the freshness of a certain product purchased in certain supermarket);
- 24 months in case of dissatisfaction regarding one of our services
- 7 years in case of incident reporting (e.g. allergy or any other adverse reaction after the consumption of a certain product).
5. Disclosure, dissemination and transfer of data
Without prejudice to the duty of disclosure in order to fulfil any legal or contractual obligations, the data may be disclosed to tax or legal consultants, to collaborators of the Company, to government or other public entities if required in the framework of tenders, as well as to those persons that are authorized by the laws to receive such data, to national or foreign judicial or other public authorities for the fulfilment of legal obligations, or for the performance of the obligations arising from an agreement, including for the purposes of defending before the Courts. Contact details may also be disclosed on occasional and for single reasons to suppliers of the Company, including - without limitation - if it becomes necessary to collaborate with any of these persons for the performance of services.
Furthermore, data may also be processed by the personnel entrusted with the contract and service management within the Company. In order to perform certain services implying the need of personal data processing, the Company may also avail of third parties. Data may also be disclosed to other companies belonging to the “Ferrero Group” - meaning the Company and any other company directly or indirectly owned and/or controlled at any time by or under common ownership and/or control with the Company - if necessary for the coordination and control of the Group.
These companies shall operate as data processors in compliance with specific and adequate instructions by the Company concerning the processing methods and safety measures as specified in specific agreements. Both the personnel mentioned above and the third party processors have undertaken an obligation of confidentiality or are subject to an appropriate legal obligation of confidentiality.
The full and updated list of the companies acting as data processors is available on request from our privacy department by writing to iod.polska@ferrero.com
Personal data shall not be disseminated. As a general rule, the data shall not be transferred outside the territory of the European Union. However, should the need arise to transfer the data to countries outside the European Economic Area, including countries not offering adequate data protection, the Company undertakes to ensure a level of protection and preservation, also by means of entering into specific agreements, that is adequate to the applicable laws, including by means of entering into standard contractual clauses.
A copy of the commitments undertaken by third parties by means of any such clause, as well as the list of the countries outside the European Economic Area where personal data has been transferred (if applicable) are available on request from our Privacy Department by writing to iod.polska@ferrero.com
6. Data Subjects’ rights
Data Subjects shall have the rights contemplated in the Regulation (articles from 15-21) in respect of the processing of data contemplated thereto, including the right to:
- Obtain confirmation of the existence of personal data concerning him/her and to gain access to them (right of access);
- Obtain the updating, modification and/or rectification of their personal data (right of rectification);
- Obtain erasure, or to set limits to processing, of personal data whose processing is unlawful, including that which is no longer necessary in relation to the purposes for which it was collected or otherwise processed (right to be forgotten and right to the restriction of processing);
- Object to processing (right to object);Withdraw previously given consent, if any, without prejudice to the lawfulness of processing based on that consent;
- Lodge a complaint with their local EU Data Protection Authority (Prezes Urzędu Ochrony Danych Osobowych - PUODO which contact details are available at https://www.uodo.gov.pl/en), if they believe that the Company has handled their information in an unlawful manner;
- Receive a copy in electronic form of their data which has been provided to the Company in the framework of an agreement and to have such data transmitted to another controller (right to data portability).
The Company has appointed a Data Protection Officer. To exercise the rights above, and to request any further information regarding how Ferrero processes your data, please send an e-mail to our Privacy Department at the following address: iod.polska@ferrero.com.
7. Amendments This Notice entered into force on September 15th, 2023.
The Company reserves the right to partly or fully amend this Notice, or simply to update its content, e.g., as a result of changes in applicable law. The Company will inform you of such changes as soon as they are introduced, and they will be binding once they are communicated to you.