Definicje stosowane w dokumencie:

• Administrator danych - therivexilun sp. z o.o. z siedzibą w Bielsku-Białej, odpowiedzialny za określanie celów i sposobów przetwarzania danych osobowych
• Użytkownik - każda osoba fizyczna korzystająca z serwisu therivexilun.org lub jego usług
• Dane osobowe - informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej
• Przetwarzanie - operacje wykonywane na danych osobowych, takie jak zbieranie, zapisywanie, przechowywanie, uporządkowanie, wykorzystywanie czy usuwanie
• Pliki cookies - małe pliki tekstowe przechowywane w urządzeniu użytkownika podczas korzystania z serwisu

Dane rejestracyjne i kontaktowe:

• Imię i nazwisko - wykorzystywane do personalizacji komunikacji i identyfikacji użytkownika
• Adres e-mail - służący do komunikacji, powiadomień i weryfikacji tożsamości
• Numer telefonu - używany w przypadku konieczności pilnego kontaktu lub weryfikacji
• Adres zamieszkania - wymagany do świadczenia niektórych usług i wypełniania obowiązków prawnych
• Data urodzenia - niezbędna do weryfikacji wieku i dostosowania oferty

Dane techniczne i analityczne:

• Adres IP urządzenia - wykorzystywany do analizy ruchu, zapewnienia bezpieczeństwa i geolokalizacji
• Informacje o przeglądarce i systemie operacyjnym - służące optymalizacji działania serwisu
• Dane o aktywności w serwisie - analizowane w celu poprawy funkcjonalności i dostosowania treści
• Pliki dzienników serwera - przechowywane w celach bezpieczeństwa i diagnostycznych

Realizacja umów i świadczenie usług (art. 6 ust. 1 lit. b RODO):

• Utworzenie i obsługa konta użytkownika w systemie
• Świadczenie usług edukacyjnych i konsultacyjnych z zakresu finansów
• Obsługa procesów rejestracji na kursy i programy szkoleniowe
• Komunikacja związana z realizacją zamówionych usług
• Wystawienie dokumentów potwierdzających ukończenie programów edukacyjnych

Prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO):

• Analiza statystyczna ruchu na stronie w celu optymalizacji jej funkcjonowania
• Zapewnienie bezpieczeństwa serwisu i ochrona przed nieautoryzowanym dostępem
• Dochodzenie roszczeń prawnych i obrona przed roszczeniami
• Archiwizacja dokumentacji dla celów dowodowych
• Prowadzenie działań marketingowych w stosunku do obecnych klientów

Szczegółowe okresy przechowywania:

• Dane rejestracyjne aktywnych użytkowników - przez okres korzystania z usług plus 3 lata od ostatniej aktywności
• Dokumentacja kursów i certyfikatów - przez 10 lat od daty ukończenia programu zgodnie z wymogami prawnymi
• Dane finansowe i księgowe - przez 5 lat zgodnie z przepisami ustawy o rachunkowości
• Pliki dzienników bezpieczeństwa - przez 12 miesięcy od daty utworzenia
• Dane marketingowe na podstawie zgody - do czasu wycofania zgody przez użytkownika
• Korespondencja i komunikacja - przez 3 lata od ostatniego kontaktu

Katalog uprawnień użytkowników:

• Prawo dostępu do danych - możliwość uzyskania informacji o przetwarzanych danych oraz otrzymania ich kopii
• Prawo do sprostowania - żądanie poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych
• Prawo do usunięcia - możliwość żądania usunięcia danych w określonych przypadkach
• Prawo do ograniczenia przetwarzania - możliwość zablokowania niektórych operacji na danych
• Prawo do przenoszenia danych - otrzymanie danych w formacie umożliwiającym ich przekazanie innemu administratorowi
• Prawo sprzeciwu - możliwość wyrażenia sprzeciwu wobec przetwarzania danych w określonych celach
• Prawo do wycofania zgody - w przypadku przetwarzania na podstawie zgody

Procedura realizacji uprawnień:

Środki bezpieczeństwa techniczne:

• Szyfrowanie danych przesyłanych i przechowywanych z wykorzystaniem algorytmów AES-256
• Zabezpieczenie serwerów poprzez firewalle, systemy wykrywania intruzów i monitoring 24/7
• Regularne kopie zapasowe danych przechowywane w oddzielnych, zabezpieczonych lokalizacjach
• Kontrola dostępu oparta na zasadzie najmniejszych uprawnień
• Dwuskładnikowa autoryzacja dla administratorów systemu
• Automatyczne aktualizacje systemów i oprogramowania zabezpieczającego

Środki bezpieczeństwa organizacyjne:

• Szkolenia pracowników w zakresie ochrony danych osobowych i cyberbezpieczeństwa
• Procedury reagowania na incydenty bezpieczeństwa i naruszenia ochrony danych
• Regularne audyty bezpieczeństwa przeprowadzane przez niezależne firmy
• Umowy o zachowaniu poufności dla wszystkich osób mających dostęp do danych
• Polityki bezpieczeństwa informatycznego i procedury ich egzekwowania

Przypadki i zabezpieczenia międzynarodowego przekazywania:

• Korzystanie z usług chmurowych dostawców posiadających certyfikaty Privacy Shield lub Standard Contractual Clauses
• Przekazywanie danych wyłącznie do krajów uznanych przez Komisję Europejską za zapewniające adekwatny poziom ochrony
• Stosowanie dodatkowych zabezpieczeń technicznych przy przekazywaniu danych do krajów trzecich
• Monitoring i audyt podmiotów otrzymujących dane w zakresie przestrzegania standardów ochrony

Rodzaje wykorzystywanych plików cookies:

• Cookies niezbędne - umożliwiające podstawowe funkcjonowanie serwisu, nie wymagają zgody
• Cookies funkcjonalne - zapamiętujące preferencje użytkownika i personalizujące doświadczenia
• Cookies analityczne - służące analizie ruchu i optymalizacji serwisu
• Cookies marketingowe - wykorzystywane do wyświetlania spersonalizowanych reklam

Etapy postępowania z naruszeniem:

• Wykrywanie i zgłoszenie - natychmiastowe wykrycie i dokumentacja potencjalnego naruszenia
• Ocena ryzyka - analiza zakresu naruszenia i potencjalnych skutków dla osób, których dane dotyczą
• Działania naprawcze - podjęcie kroków mających na celu ograniczenie skutków naruszenia
• Zgłoszenie do PUODO - powiadomienie organu nadzorczego w terminie 72 godzin, jeśli naruszenie stwarza ryzyko
• Informowanie osób, których dane dotyczą - powiadomienie użytkowników w przypadku wysokiego ryzyka
• Dokumentacja i analiza - sporządzenie pełnej dokumentacji incydentu i wprowadzenie usprawnień