Polityka prywatności

Zasady bezpieczeństwa informacji:

Administrator danych Administratorem danych osobowych jest DIUNA Group sp. z o.o.  z siedzibą w Warszawie, adres: ul. Słowicza 33, 02-170 Warszawa, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy dla m.st. Warszawy w Warszawie, XIV Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000951792, NIP: 7010424337 Adres do kontaktu w sprawach związanych z ochroną danych osobowych: rodo@diuna.biz lub listownie na adres Administratora. Cele i podstawa przetwarzania Dane osobowe przetwarzane są w związku z zamiarem nawiązania współpracy lub nabycia usług lub produktów w następującym celu:

1. Prowadzenia wszelkiej korespondencji dotyczącej usług i produktów, w tym realizacji zamówień (podstawa prawna: art. 6 ust 1 lit. f RODO);
2. wewnętrznych celów księgowo-administracyjnych, w tym raportowania i analiz, w ramach prawnie uzasadnionego interesu (podstawa prawna: art. 6 ust. 1 lit. f RODO);
3. dowodowym i archiwizacyjnym na wypadek konieczności ustalenia faktów i stanu prawnego, zastrzeżeń, reklamacji, sporów i postępowań sądowych w ramach prawnie uzasadnionego interesu (podstawa prawna: art. 6 ust. 1 lit. f RODO);

Dane przetwarzane są w postaci elektronicznej. Odbiorcy danych Odbiorcami danych są osoby i podmioty, którym zlecamy wykonywanie czynności przetwarzania, w szczególności tłumacze, korektorzy i inni dostawcy usług. Szczegółowa lista podmiotów przetwarzających znajduje się poniżej. Okres przechowywania danych. Dane przetwarzane na podstawie umowy przetwarzamy zgodnie z zapisami umowy oraz przez okres przedawnienia roszczeń. Dane przetwarzanie na podstawie zgody przetwarzamy do czasu odwołania zgody. Dane przetwarzane na podstawie naszego prawnie uzasadnionego interesu administratora danych możemy przetwarzać przez czas trwania naszego interesu lub do czasu wniesienia sprzeciwu na takie przetwarzanie. Postępowanie z materiałami klienta Dostęp do materiałów klienta posiadają dedykowani kierownicy projektów oraz zaangażowani do tłumaczenia tłumacze, którzy są zobowiązani do przestrzegania zasad określonych w umowach o poufności. Każdy projekt podlega standardowym procedurom bezpieczeństwa.

Kategorie danych

Grupa	Źródło	Podstawa przetwarzania	Rodzaje danych	Przechowywanie	Format	Dostęp	Transfer
Klienci
Przedsiębiorstwa, instytucje (osoby kontaktowe)	E-mail od klienta	wykonanie umowy art. 6 ust. 1 lit. b) oraz interes prawny art. 6 ust. 1 lit. f) – w celu informowania klienta lub złożenia zapytania dotyczącego realizowanego projektu, płatności, zadowolenia z usługi	Imię i nazwisko, e-mail, numer telefonu, Skype ID	Mail – Microsoft356, BMS – SpaceTMS	baza danych	pracownicy	SpaceTMS, Microsoft356
Klienci indywidualni	E-mail od klienta, rozmowa telefoniczna, osobista wizyta w biurze	wykonanie umowy art. 6 ust. 1 lit. b) oraz interes prawny art. 6 ust. 1 lit. f) – w celu informowania klienta lub złożenia zapytania dotyczącego realizowanego projektu, płatności, satysfakcji	Imię i nazwisko, adres, numer telefonu, e-mail, Skype ID, nazwa firmy, NIP, Regon	Poczta – Microsoft356, BMS – SpaceTMS, Fakturowanie – Saldeo, System finansowy, lokalny serwer plików	baza danych i dokumenty elektroniczne (faktury)	pracownicy	SpaceTMS, Microsoft356, Saldeo
Potencjalni klienci	formularz kontaktowy na stronie www.diuna.biz	zgoda	Imię i nazwisko, e-mail, numer telefonu	WordPress, Microsoft356 mail, CRM-Bitrix24	baza danych	pracownicy	Microsoft356
Dostawcy
Dostawcy	proces rekrutacji – aplikacja	wykonanie umowy art.  6 ust. 1 lit. b)	Imię i nazwisko, adres, nazwa i adres firmy, numery telefonów, adres e-mail, NIP, REGON, dane rachunku bankowego, inne dane dotyczące płatności	Microsoft356 mail, SpaceTMS (konto należące do dostawcy), Autenti, Saldeo, lokalny serwer plików	baza danych, dokumenty (umowy)	pracownicy	Microsoft356, SpaceTMS, Autenti, Saldeo
Pracownicy
Pracownicy	podanie o pracę	wykonanie umowy art. 6 ust. 1 lit. b) i obowiązek ustawowy art. 6 ust. 1 lit. c)	Imię i nazwisko, adres zamieszkania, adres do korespondencji, imiona rodziców, data urodzenia, urząd skarbowy, NIP, Pesel, konto bankowe	Poczta Microsoft356, system płacowy – Asseco, Bitrix24 (tylko imię i nazwisko oraz dane kontaktowe)	dokumenty, umowy	Dyrektor generalny, kierownik biura, kierownik działu kadr	poczta, serwer plików
Praktykanci i stażyści	podanie o praktyki	wykonanie umowy art. 6 ust. 1 lit. b) i obowiązek ustawowy art. 6 ust. 1 lit. c)	Imię i nazwisko, adres zamieszkania, adres do korespondencji, imiona rodziców, data urodzenia, urząd skarbowy, NIP, Pesel, konto bankowe	Microsoft356 mail, Bitrix24 (tylko imię i nazwisko oraz dane kontaktowe)	dokumenty	Kierownik Biura, Kierownik Sprzedaży	poczta
Treść przetłumaczona
dane osobowe w tłumaczonych treściach	udostępnianie przez klientów za pomocą poczty elektronicznej lub w inny sposób (np. ftp)	umowa o przetwarzaniu danych	zgodnie z dostarczoną treścią	Poczta Microsoft356, SpaceTMS, pamięci tłumaczeniowe	baza danych, plik	pracownicy, współdzielony z dostawcami zatrudnionymi do wykonania określonych zadań	Microsoft356 mail, SpaceTMS

Przetwarzanie danych

Typ	Dostawca	Tylko EOG	Kopia zapasowa	Dostęp	Zakres danych
Poczta	Microsoft356 – chmura	Tak	Dostawca 30 dni	Indywidualny, uwierzytelnianie dwuskładnikowe	Dane klienta (w tym osobowe), treści klienta, dane sprzedawcy (w tym osobowe)
Poczta 2	Home.pl – chmura	Tak	Dostawca – 3 dni	Indywidualny, uwierzytelnianie dwuskładnikowe	Dane klienta (w tym osobowe), treści klienta, dane sprzedawcy (w tym osobowe)
Serwer plików	Lokalnie na miejscu	Tak	DIUNA	Zgodnie z uprawnieniami użytkownika	Treści klientów w TM, dane dostawców (umowy i faktury)
PC	Lokalnie na miejscu / z użytkownikiem	Tak	NIE	Indywidualny/ hasło	Brak stałego przechowywania, tylko na czas przetwarzania, rodzaj danych zależy od roli w DIUNA
System zarządzania projektami	SpaceTMS.com – chmura	Tak	Dostawca, cotygodniowe kopie zapasowe	Indywidualny/ hasło	Dane klientów (w tym dane osobowe), treści klientów, sprzedawców (na kontach należących do sprzedawców)
System zarządzania tłumaczeniami ™	Trados – lokalny serwer plików Memsource – chmura	Tak	DIUNA, Dostawca	Zgodnie z uprawnieniami użytkownika	Treści klienta
Tłumaczenie maszynowe TM	Tilde – chmura	Tak		Poprzez system zarządzania tłumaczeniami	Treści klienta
Fakturowanie	Saldeo – chmura, zewnętrzna księgowość	Tak	Dostawca	Upoważnieni użytkownicy	Dane osobowe sprzedawców
CRM, komunikacja wewnętrzna	Bitrix24 – chmura	Tak	Dostawca	Upoważnieni użytkownicy	Pracownicy, stażyści, praktykanci – nazwiska, maile, numery telefonów
Programy do edycji plików	Microsoft356 – Onedrive	Tak	Dostawca	Użytkownicy indywidualni	Treści klienta (tylko na wyraźne życzenie klienta)
Podpisywanie i przechowywanie umów	Autenti sp. z o.o.	Tak	Dostawca	Upoważnieniu użytkownicy zgodnie z uprawnieniami	Dane kontrahenta (tłumacza, dostawcy, klienta)
Marketing; automatyzacja sprzedaży	Get Response S.A.	Nie	Dostawca	Upoważnieniu użytkownicy zgodnie z uprawnieniami	Klienci; klienci potencjalni

Cel przetwarzania

Grupa	Cel przetwarzania
Klienci
Firmy, instytucje, osoby prywatne	Wysłanie oferty realizacja umowy wykonanie usługi obsługa płatności zapytanie o zadowolenie klienta poprawa jakości obsługi klienta poprawa jakości świadczonych usług zaoferowanie dodatkowych lub nowych usług i produktów aktualizacja bazy danych
Potencjalni klienci	Wysłanie oferty poprawa jakości obsługi klienta zaoferowanie dodatkowych lub nowych usług i produktów
Dostawcy
Dostawcy	zaofertowanie pracy ustalenie stawki poinformowanie o procedurach i wymaganiach przetwarzanie płatności
Pracownicy
Pracownicy	Wykonanie umowy o pracę wykonanie obowiązków pracodawcy wynikających z przepisów
Praktykanci i stażyści	Wykonanie umowy zlecanie prac i przekazywanie informacji zwrotnej
Tłumaczone treści
Dane osobowe w tłumaczonych treściach	wykonanie usługi zapewnienie wysokiej jakości zapewnienie spójności terminologii

Oprogramowanie antywirusowe

Nasze zasoby informatyczne są zabezpieczone oprogramowaniem antywirusowym o następujących funkcjach: a) zabezpieczenie zasobów informatycznych przed złośliwym oprogramowaniem za pomocą modułu rezydencyjnego, który skanuje cały system komputerowy; b) bieżąca aktualizacja bazy sygnatur wirusów; c) automatyczna reakcja w przypadku wykrycia nowego i nieznanego złośliwego oprogramowania, np. blokowanie wszelkiej komunikacji z zainfekowanym komputerem. Oprogramowanie, z którego obecnie korzystamy to ESET i Windows Defender.

Postępowanie z informacjami poufnymi

Stacje robocze typu desktop są zabezpieczone hasłem, które jest zmieniane co kilka miesięcy. Hasła składają się z 9 lub więcej znaków, w tym co najmniej jednego znaku specjalnego, i nie mogą być prostymi słowami/frazami. Odblokowane stacje robocze nigdy nie są pozostawione bez nadzoru. Codzienna praca wykonywana jest na koncie bez uprawnień administratora. Dostęp do dysku sieciowego zabezpieczony jest hasłem i jest chroniony przez VPN z dodatkowym hasłem i certyfikatami. Stacje robocze typu desktop są chronione firewallem i oprogramowaniem antywirusowym.

• • Polityka czystego biurka

• • Każdy pracownik jest odpowiedzialny za zachowanie poufności danych, do których ma dostęp.

• • Firma prowadzi regularne szkolenia z zakresu bezpieczeństwa informacji dla personelu.

• • Każdy pracownik jest zobowiązany do ochrony swoich danych dostępowych do systemów informatycznych.

• • Niezabezpieczone informacje poufne nie mogą być wynoszone poza teren firmy. Stanowczo zabrania się wynoszenia poza teren firmy informacji poufnych na nośnikach cyfrowych (pendrive’ach, płytach CD itp.).

• • Każdy nowy pracownik i usługodawca jest zobowiązany do wyrażenia zgody na umowę o zachowaniu poufności.

  Ochrona pomieszczeń

• • Bezpieczny zamek elektroniczny z możliwością użycia tylko przez osoby upoważnione

• • Zakratowane okna

• • Ogrodzenie z bramą zamykaną na kłódkę

  Procedura na wypadek incydentów

1. 1. Zbieranie dowodów – identyfikacja i rejestracja informacji o incydencie bezpieczeństwo

1. 1. Badanie i analiza wyżej wymienionych informacji

1. 1. Dokumentacja powyższych działań

Protokół naruszenia

• • Każdy pracownik, który zauważy lub podejrzewa naruszenie bezpieczeństwa danych osobowych, jest zobowiązany do niezwłocznego zgłoszenia tego faktu swojemu bezpośredniemu przełożonemu. Następnie przełożony powiadamia o tym fakcie administratora danych.

• • W przypadku potwierdzenia naruszenia ochrony danych osobowych nie można podejmować żadnych działań, które mogą utrudnić analizę okoliczności i udokumentowanie naruszenia. Nie wolno również bez uzasadnienia pozostawiać miejsca zdarzenia bez nadzoru do czasu przybycia inspektora ochrony danych lub innej osoby upoważnionej przez administratora danych.

• • Administrator danych analizuje sytuację i decyduje o dalszych krokach, biorąc pod uwagę zagrożenia dla prawidłowego i dalszego funkcjonowania firmy.

• • Administrator danych otrzymuje szczegółowe zgłoszenie dotyczące naruszenia danych osobowych od osoby zgłaszającej incydent oraz od każdej innej osoby, która może wiedzieć coś z nim związanego.

• • Administrator danych kontaktuje się w razie potrzeby z zewnętrznymi specjalistami.

• • Zgodnie z RODO każde naruszenie danych osobowych musi być zgłoszone do organu ochrony danych w ciągu 72 godzin od naruszenia.

• • Gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko dla praw podmiotów danych, administrator bez zbędnej zwłoki informuje podmiot danych o naruszeniu bezpieczeństwa danych osobowych.

Prawa podmiotu danych

Zgodnie z RODO (Rozporządzeniem Ogólnym o Ochronie Danych Osobowych), podmioty, których dane osobowe są przetwarzane, mają szereg praw. Oto kilka kluczowych praw podmiotów związanych z ochroną danych osobowych:

1. Prawo do informacji: Podmiot ma prawo otrzymać jasne, zrozumiałe i wyczerpujące informacje na temat przetwarzania jego danych osobowych, takie jak cel przetwarzania, kategorie danych, okres przechowywania, oraz informacje o administratorze danych.
2. Prawo dostępu: Podmiot ma prawo uzyskać potwierdzenie, czy dane osobowe są przetwarzane, oraz dostęp do tych danych oraz informacji z nimi związanych.
3. Prawo do poprawiania danych: Podmiot ma prawo żądać poprawienia lub uzupełnienia swoich nieprawidłowych lub niekompletnych danych osobowych.
4. Prawo do usunięcia danych (tzw. „prawo do bycia zapomnianym”): Podmiot może zażądać usunięcia swoich danych osobowych, jeśli istnieje uzasadniony powód, np. gdy dane nie są już potrzebne do celów, dla których zostały zebrane.
5. Prawo do ograniczenia przetwarzania: Podmiot ma prawo żądać ograniczenia przetwarzania swoich danych osobowych w określonych sytuacjach, na przykład w przypadku weryfikacji dokładności danych lub sprzeciwu wobec przetwarzania.
6. Prawo do przenoszenia danych: W niektórych przypadkach podmiot ma prawo otrzymać swoje dane osobowe w ustrukturyzowanym formacie, który jest powszechnie używany i nadaje się do odczytu maszynowego, oraz przekazać te dane innemu administratorowi danych.
7. Prawo sprzeciwu: Podmiot ma prawo sprzeciwić się przetwarzaniu swoich danych osobowych ze względu na swoją szczególną sytuację, chyba że administrator danych wykaże istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, które przeważają nad interesami, prawami i wolnościami podmiotu.

Adres do kontaktu w sprawach związanych z ochroną danych osobowych: rodo@diuna.biz lub listownie na adres Administratora. Ostatnia aktualizacja lipiec 2024 r.