Oświadczenie o ochronie danych osobowych - Canyon Bicycles GmbH
My, firma Canyon Bicycles GmbH (dalej "Canyon"), cieszymy się, że użytkownik odwiedza naszą witrynę internetową i wykazuje zainteresowanie naszymi rowerami. Ochrona i bezpieczeństwo danych użytkowników są dla nas bardzo ważne. W związku z tym chcielibyśmy poinformować - w treści niniejszego Oświadczenia o ochronie danych (dalej „Oświadczenie”) - jakie informacje są przetwarzane w związku z korzystaniem z naszej witryny i dlaczego. W ten sposób zawsze można zawsze orientować się, jak Canyon przetwarza dane osobowe użytkownika.
Ponieważ zmiany w prawie lub korekty wewnętrznych procesów naszej firmy mogą wymagać regularnej aktualizacji niniejszego Oświadczenia, prosimy co jakiś czas zapoznawać się z jego treścią. Oświadczenie jest dostępne, zapisane i możliwe do wydrukowania w każdej chwili. Należy korzystać z punktu nawigacji "Ochrona danych" na naszej witrynie.
Polityki ochrony prywatności związane z naszą obecnością w mediach społecznościowych (takich jak Facebook lub Instagram) znajdują się na końcu niniejszego Oświadczenia.
1. Strona odpowiedzialna i zakres stosowania
Administratorem danych - w rozumieniu ogólnego unijnego rozporządzenia o ochronie danych (dalej: RODO), przepisów krajowych państw członkowskich w dziedzinie ochrony danych oraz innych przepisów w tym zakresie - jest firma
Canyon Bicycles GmbH
Karl-Tesche-Strasse 12
56073 Koblenz
Telefon: +49 (0)261 - 9490 300 0
E-mail: privacy@canyon.com
Witryna internetowa: https://www.canyon.com
Niniejsze oświadczenie o ochronie danych dotyczy witryny internetowej firmy Canyon Bicycles GmbH, dostępnej w domenach www.canyon.com i www.career.canyon.com oraz w różnych poddomenach (dalej najczęściej: "nasza witryna ").
2. Inspektor ochrony danych
Zewnętrzny inspektor ochrony danych administratora:
Dr Karsten Kinast, LL.M.
KINAST Rechtsanwaltsgesellschaft mbH
Hohenzollernring 54
D-50672 Kolonia
Telefon: +49 (0)221 - 222 183 0
E-mail: team-cgn1@kinast.eu; mail@kinast.eu
Witryna internetowa: http://www.kinast.eu
W przypadku jakichkolwiek pytań lub wątpliwości odnośnie do ochrony danych zachęcamy również do bezpośredniego kontaktu z naszym zewnętrznym inspektorem ochrony danych.
3. Zasady przetwarzania danych
Gromadzimy i wykorzystujemy dane użytkownika wyłącznie w zakresie niezbędnym do prowadzenia naszej witryny internetowej i obsługi klientów, realizacji zamówień i świadczenia innych usług związanych z danymi osobowymi tudzież jeżeli otrzymaliśmy zgodę użytkownika na indywidualne operacje przetwarzania danych.
Poniżej wyjaśniamy najważniejsze pojęcia i terminy odnoszące się do ochrony danych:
Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (zob. art. 4 nr 1 RODO). Przykłady: imię i nazwisko, wiek, adres, numer telefonu, data urodzenia, adres e-mail, numer klienta, adres IP lub dane dotyczące działań użytkownika na naszej witrynie internetowej. Wszelkie informacje, których nie możemy (albo wymagałoby to niewspółmiernego wysiłku) powiązać bezpośrednio z użytkownikiem, uznaje się za poddane anonimizacji, przez co nie są one danymi osobowymi. Przetwarzanie danych osobowych (np. gromadzenie, pobieranie, wykorzystywanie, przechowywanie lub przekazywanie) zawsze wymaga podstawy prawnej lub zgody użytkownika.
Dane osobowe użytkowników usuwa się, jak tylko przestają być potrzebne do zaplanowanych celów i nie obowiązują prawnie wymagane okresy przechowywania określonych informacji.
Termin "przetwarzanie" danych osobowych jest bardzo szeroki i można go znaleźć w art. 4 nr 2 RODO. Z definicji przetwarzanie danych osobowych obejmuje każdą operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych, w sposób zautomatyzowany lub niezautomatyzowany, np. gromadzenie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie w drodze transmisji, rozpowszechniania lub innej, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Każdy proces przetwarzania danych osobowych użytkownika wymaga podstawy prawnej. W indywidualnych przypadkach można również brać pod uwagę podstawy prawne odpowiednich państw członkowskich UE, na przykład zapisy federalnej ustawy o ochronie danych (BDSG).
Gromadzenie i wykorzystywanie danych osobowych naszych użytkowników następuje wyłącznie po uzyskaniu odpowiedniej zgody, która z kolei stanowi podstawę prawną przetwarzania danych (zob. art. 6 ust. 1 lit. a RODO i art. 7 RODO).
Sytuacja zmienia się, gdy przetwarzanie danych osobowych jest dozwolone na innej podstawie prawnej. W szczególności przetwarzanie na podstawie umowy lub środków przedumownych (art. 6 ust. 1 lit. b RODO), przetwarzanie na podstawie wypełnienia zobowiązań prawnych lub ustawowych (art. 6 ust. 1 lit. c RODO) lub tak zwany "uzasadniony interes" przetwarzania danych (zob. art. 6 ust. 1 lit. f RODO), gdy przetwarzanie danych jest niezbędne do zapewnienia powyższego, a w indywidualnych przypadkach gdy podstawowe prawa i swobody osoby, której dotyczy przetwarzanie danych, nie mają znaczenia nadrzędnego.
Dane osobowe są przetwarzane tylko przez okres potrzebny do realizacji określonego celu. Jeżeli obowiązują ustawowe lub wymagane prawnie okresy przechowywania informacji - np. ze względu na przepisy podatkowe albo handlowe - dane przechowuje się maksymalnie przez 10 lat. Jak tylko cel przechowywania informacji przestanie mieć znaczenie (np. w przypadku rezygnacji z subskrypcji naszego biuletynu) lub upłynie prawnie wymagany okres przechowywania, dane osobowe są zazwyczaj usuwane zgodnie z przepisami ustawowymi lub ich przetwarzanie staje się ograniczone (np. do celów związanych z przepisami prawa podatkowego lub handlowego).
Przekazujemy dane osobowe użytkowników tylko wtedy, gdy jest to konieczne do świadczenia jednej z naszych usług lub realizacji celu przetwarzania, jeśli użytkownik wyraził wcześniej stosowną zgodę lub jeśli ma zastosowanie inna podstawa prawna. Informacje mogą być przekazywane na przykład dostawcom usług hostingowych lub usług IT, którzy pomagają nam utrzymywać systemy komputerowe, ewentualnie dostawcom usług pocztowych, płatniczych lub marketingowych. Firmy te zostały przez nas zobowiązane do ochrony danych osobowych użytkowników zgodnie z obowiązującym prawem w dziedzinie ochronie danych.
W tym kontekście dane osobowe mogą być również przekazywane do krajów spoza UE/EOG, w których nie mają zastosowania postanowienia RODO. Podejmujemy jednak niezbędne środki ostrożności wymagane przez RODO, aby zapewnić, że dane użytkowników są przekazywane zgodnie z przepisami o ochronie danych.
W związku z tym współpracujemy z firmami w krajach, odnośnie do których Komisja Europejska wydała decyzję stwierdzającą odpowiedni stopień ochrony. Dotyczy to w szczególności USA. Od 10 lipca 2023 r. dane przekazywane do USA objęte są tzw. decyzją UE o adekwatności (Ramy ochrony danych EU-US), na podstawie której odpowiednie firmy z USA zobowiązały się do przestrzegania wymaganych standardów ochrony danych i mają na to pozwolenie Departamentu Handlu Stanów Zjednoczonych. Firmy amerykańskie, które tego nie zrobiły, są traktowane tak samo jak inne globalne przedsiębiorstwa spoza Unii Europejskiej (o ile nie została podjęta decyzja stwierdzająca odpowiedni poziom ochrony danych). Canyon współpracuje tylko z firmami, co do których podjęto wymagane prawem środki w celu zapewnienia zgodnego z prawem przekazywania danych do danego państwa. Jeśli nie ma decyzji stwierdzającej odpowiedni stopień ochrony w państwie trzecim, zgodność z wymaganym poziomem ochrony danych zapewniana jest zwykle w drodze zawarcia standardowych klauzul umownych i wdrożenia dodatkowych środków zabezpieczających.
W takich przypadkach wyraźnie informujemy użytkowników - w odpowiednich punktach niniejszego Oświadczenia - o przekazie danych osobowych do krajów trzecich.
4. Indywidualne operacje związane z przetwarzaniem danych
Poniżej przedstawiamy listę i szczegółowy opis wszystkich operacji w zakresie przetwarzania danych osobowych, które mogą być istotne w związku z wykorzystywaniem naszej witryny.
Po pierwsze chcemy przedstawić wszelkie istotne informacje na temat operacji związanych z przetwarzaniem danych, które mogą być inicjowane w związku z ogólnym użytkowaniem naszej witryny, tj. bez względu na aktywne uruchomienie transmisji danych, np. przy rejestracji lub podczas zakupów online.
a. Rodzaj i zakres przetwarzania danych
Gdy użytkownik uzyskuje dostęp do naszej witryny i korzysta z niej, gromadzimy dane osobowe przesyłane na nasz serwer automatycznie przez przeglądarkę użytkownika. Informacje te są tymczasowo przechowywane w tzw. pliku rejestratorze.
Gdy użytkownik korzysta z naszej witryny, gromadzimy następujące dane, które są potrzebne ze względów technicznych do wyświetlania witryny oraz zapewnienia stabilności i bezpieczeństwa:
- adres IP urządzenia wnioskującego
- data i godzina dostępu
- różnica strefy czasowej w stosunku do czasu Greenwich (ang. Greenwich Mean Time, GMT)
- witryna internetowa, do której uzyskano dostęp lub o którą wnioskowano
- status dostępu (kod statusu http)
- objętość danych przekazywana każdorazowo
- witryna, z której uzyskiwany jest dostęp do naszej witryny (tzw. odsyłający adres URL)
- używana przeglądarka, używane urządzenie końcowe oraz - w stosownych przypadkach - system operacyjny i nazwa podmiotu zapewniającego dostęp
- język i wersja oprogramowania przeglądarki
Na naszej witrynie korzystamy też z niezbędnych technicznie i dobrowolnych plików cookie w związku z korzystaniem przez użytkownika z naszych stron internetowych. Więcej informacji na ten temat podano w punkcie 5 ("Używanie plików cookie") i na banerze plików cookie.
Za hosting naszej witryny odpowiada zewnętrzny usługodawca. Zawarliśmy z nim odpowiednią umowę o przetwarzaniu zamówień (art. 28 RODO).
b. Podstawa prawna
Podstawą prawną rzeczonego przetwarzania danych jest art. 6 ust. 1 lit. f RODO. Przetwarzanie przedmiotowych informacji jest niezbędnym warunkiem obsługiwania witryny internetowej i dlatego służy ochronie uzasadnionego interesu naszego przedsiębiorstwa.
c. Okres przechowywania
Gdy tylko dane te przestają być potrzebne do wyświetlania witryny, zostają usunięte. Gromadzenie danych w celu udostępniania witryny internetowej, a także przechowywanie danych w plikach rejestratorach to czynności absolutnie niezbędne do prawidłowego działania witryny. Dalsze ich przechowywanie jest możliwe w indywidualnych przypadkach w związku z wymogiem prawnym.
a. Rodzaj i zakres przetwarzania danych
Na naszej witrynie dajemy użytkownikom możliwość zarejestrowania się. Wiąże się to z koniecznością podania określonych danych osobowych.
Korzystając z przetworzonych danych, tworzymy zindywidualizowane konta użytkowników, za pomocą których mogą oni tworzyć określone treści i usługi, np. listę życzeń, przegląd zamówień, wykaz preferowanych adresów dostawy czy ustawienia wiadomości. Robią to częściowo samodzielnie, a tym samym wykorzystują określone treści na naszej witrynie.
Przetwarzamy adres e-mail, abyśmy mogli przesłać użytkownikowi nowe dane dostępu na wypadek, gdyby o nich nie pamiętał, ewentualnie w celu przesłania informacji bezpośrednio związanych z rejestracją konta.
Dodając produkty do listy życzeń, użytkownik pozwala nam przypominać e-mailem o zapisanym asortymencie lub udzielać szczegółowych informacji na jego temat. To samo dotyczy aktywowania funkcji przypominania o niedostępnych pozycjach. Informujemy e-mailem o ich dostępności w naszym sklepie.
Zalecamy składanie zamówień na podstawie zarejestrowanego i zalogowanego profilu użytkownika. Dzięki temu możemy przypisywać zamówienia do konkretnego profilu i oferować inne usługi cyfrowe.
Oto dane osobowe przetwarzane podczas rejestracji:
- imię i nazwisko
- adres e-mail
- data urodzenia (opcjonalnie)
- kraj i język
- adres IP
- płeć
Dane przetwarzane na bazie konta użytkownika lub zamówień z nim powiązanych:
- zarejestrowane rowery ("Garaż rowerowy")
- otwarte zamówienia
- imię i nazwisko
- urodziny
- adres
- różne adresy dostawy, jeśli dotyczy
- wzrost i wewnętrzna długość nogi
- zamówienia
- zwroty
- lista życzeń
- ustawienia biuletynu
- lista życzeń
- wzrost i długość kroku
- ustawienia języka
Brytyjski usługodawca odpowiada za weryfikację adresu e-mail i numeru telefonu użytkownika, co ma zapobiegać przedostawaniu się nieprawidłowych danych do naszego systemu.
W związku z tym dane użytkownika mogą być przetwarzane w Wielkiej Brytanii, czyli poza UE lub Europejskim Obszarem Gospodarczym (EOG). Komisja Europejska uznała, że w Wielkiej Brytanii gwarantowany jest odpowiedni poziom ochrony danych, porównywalny z RODO. W związku z tym przesyłanie danych do Wielkiej Brytanii jest dozwolone na mocy art. 45 RODO. W celu legitymizacji przetwarzania danych zawarliśmy podobną umowę z usługodawcą zajmującym się realizacją zamówień. Więcej informacji na temat przetwarzania danych przez zewnętrznych usługodawców można znaleźć w punkcie 3.5. niniejszego Oświadczenia.
b. Podstawa prawna
Opisywany w niniejszym dokumencie proces przetwarzania danych osobowych jest ściśle związany z wykonywaniem umowy lub wdrażaniem rozwiązań uzgodnionych przed zawarciem umowy między użytkownikiem a firmą Canyon zgodnie z art. 6 ust. 1 lit. b RODO. O ile użytkownik wyraził zgodę, na przykład w kontekście ustawień biuletynu, art. 6 ust. 1 lit. RODO stanowi podstawę prawną przetwarzania danych. W przeciwnym razie przetwarzamy te dane tylko wtedy, gdy istnieje uzasadniony interes (art. 6 ust. 1 lit. f RODO).
c. Okres przechowywania
W przypadku anulowania lub modyfikacji rejestracji na naszej witrynie, dane przetwarzane w związku z rejestracją zostają usunięte. Dalsze ich przechowywanie jest możliwe w indywidualnych przypadkach w związku z wymogiem prawnym. Przechowujemy określone dane dotyczące zamówień, klientów i umów przez okres do 10 lat po rozwiązaniu umowy z użytkownikiem, w szczególności na podstawie ustawowych obowiązków w tej dziedzinie (zwłaszcza odnośnie do przepisów podatkowych i prawa handlowego). Dane użytkowników są przetwarzane wyłącznie zgodnie z obowiązującymi okresami przechowywania.
d. Rezygnacja z rejestracji
Każdy użytkownik ma możliwość anulowania rejestracji w dowolnym momencie. W każdej chwili może też zmienić przechowywane przez nas dane, które go dotyczą. Najwygodniej zrobić to w następujący sposób: Wprowadź zmiany samodzielnie po zalogowaniu się na konto klienta lub wyślij e-mail na adres privacy@canyon.com.
Uwaga: w przypadku, gdy przetwarzane dane są wymagane do wykonania umowy lub wywiązania się ze zobowiązań powziętych przed zawarciem umowy, przedwczesne usunięcie danych jest możliwe tylko w zakresie, w jakim nie stoi to w sprzeczności z prawami lub zobowiązaniami umownymi bądź prawnymi.
4.3.1 Zakup towarów
a. Rodzaj i zakres przetwarzania danych
Na naszej witrynie dajemy użytkownikom możliwość zakupu produktów po podaniu określonych danych osobowych. Wymagane do tego dane są najpierw wprowadzane do maski wejściowej, a później przekazywane naszej firmie i przez nią przechowywane. Pola obowiązkowe są odpowiednio oznaczone, gdyż w tych przypadkach potrzebne nam są określone informacje do realizacji zamówienia. Dane gromadzone w związku z realizacją zamówienia:
- zwrot grzecznościowy
- imię i nazwisko
- adres
- numer telefonu
- adres e-mail
- zamówienie
- sposób płatności i informacje o płatności
- sposób wysyłki
Dane użytkownika przekazywane są firmie przewozowej odpowiedzialnej za dostawę - w zakresie, w jakim jest to konieczne do jej realizacji. Celem przetworzenia płatności, przekazujemy dane dot. płatności instytucji kredytowej lub dostawcy usług płatniczych, którym zlecono obsługę płatności. Firmy te mogą wykorzystywać dane użytkownika wyłącznie do przetwarzania zamówień, a nie do innych celów. Po złożeniu zamówienia przez użytkownika wysyłamy mu e-mailem stosowne potwierdzenie.
W przypadku zakupu towarów na naszej witrynie internetowej i podania adresu e-mail, możemy korzystać z niego w przyszłości, aby wysyłać powiadomienia o podobnych towarach lub usługach, ponieważ zależy nam na utrzymaniu dobrej relacji z użytkownikiem i przesyłaniu informacji, które naszym zdaniem go zaciekawią. Użytkownik może w każdej chwili wyrazić sprzeciwić wobec wykorzystywania jego adresu e-mail w ten sposób.
W przypadku przerwania procesu zamówienia lub braku możliwości finalizacji zakupu, po jakimś czasie przypominamy e-mailem o pozycjach umieszczonych w koszyku, tak aby użytkownik mógł dokończyć proces później bez konieczności ponownego dobierania produktów w sklepie internetowym. Wykorzystujemy w tym celu pliki cookie. Więcej informacji na ten temat podano w punkcie 5 ("Używanie plików cookie") i na banerze plików cookie.
Zaraz po dokonaniu zakupu przez użytkownika jest on wprowadzany do naszej platformy obsługi klientów. Korzystamy z oprogramowania zewnętrznego dostawcy z USA, ponieważ chcemy zapewniać użytkownikom zoptymalizowaną i odpowiednio dostosowaną obsługę. Ochrona danych osobowych jest dla nas szczególnie ważna, gdy informacje są przetwarzane poza UE. Dlatego zadbaliśmy o to, aby rzeczony usługodawca posiadał certyfikat zgodny z ramami ochrony danych UE-USA (zob. punkt 3.5.) i zawarł z nami umowę o przetwarzaniu danych (art. 28 RODO).
b. Podstawa prawna
W przypadku przetwarzania danych osobowych użytkownika ze względu na konieczność wykonywania zawartej umowy podstawą prawną jest art. 6 ust. 1 lit. b RODO. Dotyczy to również operacji przetwarzania, które są niezbędne do realizacji zobowiązań powziętych przed zawarciem umowy. Jesteśmy zobowiązani do wysłania potwierdzenia zamówienia zgodnie z par. 312i (1) nr 3 BGB. W przypadku obowiązku prawnego podstawą prawną odpowiedniego przetwarzania danych jest art. 6 ust. 1 lit. c) RODO.
Podstawą prawną wysyłania powiadomień o podobnych towarach lub usługach w związku z zakupem towaru jest art. 6 ust. 1 lit. f RODO przy uwzględnieniu wymogów określonych w par. 7 ust. 3 UWG. Można w dowolnym momencie sprzeciwić się wysyłaniu powiadomień. Należy w tym celu kliknąć link rezygnacji z subskrypcji podany na końcu biuletynu. W przeciwnym razie wysyłamy powiadomienia tylko na podstawie zgody użytkownika (art. 6 ust. 1 lit. a RODO).
Dalsze przetwarzanie danych osobowych przesłanych w związku z zakupem towarów opiera się na naszym uzasadnionym interesie polegającym na optymalnej obsłudze klientów i rozwiązywaniu ich wątpliwości (art. 6 ust. 1 lit. f RODO).
c. Okres przechowywania
Po całkowitym przetworzeniu umowy i zapłaceniu pełnej ceny zakupu dane użytkownika są blokowane i nie można z nich dalej korzystać. Po upływie okresów przechowywania określonych w przepisach prawa podatkowego i handlowego usuwa się je, chyba że użytkownik wyraźnie zgodził się na dalsze wykorzystywanie dotyczących go informacji. Dalsze ich przechowywanie jest możliwe w indywidualnych przypadkach w związku z wymogiem prawnym.
4.3.2 Stosowanie procedury 3D-Secure 2.0 przy płatnościach kartą kredytową
a. Rodzaj i zakres przetwarzania danych
Za zakupiony towar można zapłacić kartą kredytową. Najpierw blokuje się odpowiednią kwotę. Karta jest obciążana w momencie wysłania zakupionej pozycji. Dane przetwarzane w związku z płatnością kartą kredytową to m.in. imię i nazwisko posiadacza karty, numer karty, data ważności i kod zabezpieczający. Dane z karty są przechowywane w bezpieczny sposób.
Aby zapewnić większe bezpieczeństwo przetwarzania płatności, stosujemy proces 3D Secure 2.0. Przy każdej transakcji elementy danych są wysyłane do firmy obsługującej kartę kredytową, która może wykorzystać te informacje do oceny ryzyka w czasie rzeczywistym celem identyfikacji użytkownika jako uprawnionego posiadacza karty. W tym kontekście korzystamy z usług holenderskiej firmy Adyen (Adyen N.V., Simo Carmiggelstraat 6-50, 1011 DJ), która zajmuje się przetwarzaniem płatności kartą kredytową. Firma ta została przez nas zobowiązana do zapewnienia odpowiedniego poziomu ochrony danych na podstawy umowy o realizacji zamówień. Dane użytkownika są przekazywane tylko i wyłącznie temu usługodawcy. Nie ujawniamy ich innym stronom trzecim.
Jeżeli użytkownik płaci za towar kartą kredytową, gromadzimy następujące informacje:
- informacje o karcie kredytowej;
- dane transakcyjne, np. numery identyfikacyjne wymagane do przypisania transakcji i sprzedawcy, kwotę zakupu i walutę
- automatycznie przesyłane informacje o przeglądarce, które zawierają dane o używanym urządzeniu końcowym i lokalizacji użytkownika; Obejmują one adres IP, wysokość i szerokość ekranu i język przeglądarki.
- pełny adres rozliczeniowy i adres dostawy zamówienia;
- dane konta klienta gromadzone w ramach istniejącego konta. Mowa tu m.in. o informacjach na temat czasu ważności konta klienta, liczby transakcji przeprowadzonych w określonych przedziałach czasowych oraz częstotliwości zmian haseł i adresów dostawy.
- dane dotyczące szczegółów dostawy, takie jak wybrana metoda wysyłki, dostępność towarów, przedział czasowy dostawy, adres e-mail w przypadku wysyłki towarów cyfrowych lub data pierwszej dostępności produktów, które nie zostały jeszcze opublikowane;
Gromadzimy te dane wyłącznie po to, żeby umożliwić instytucjom odpowiedzialnym za funkcjonowanie kart kredytowych prowadzenie ocen ryzyka w czasie rzeczywistym. W przypadku sklasyfikowania transakcji na niskim poziomie ryzyka użytkownik może ją autoryzować bezpośrednio, bez dalszej interakcji. Jeśli jednak wystąpi podejrzenia oszustwa, użytkownik zostanie poproszony o ponowne potwierdzenie swojej tożsamości za pomocą dodatkowego monitu bezpieczeństwa. Celem przetwarzania omawianych danych jest z jednej strony zapewnienie silnego uwierzytelniania klienta (ang. Strong Customer Authentication, SCA), a tym samym sprawniejszej i wymaganej prawem ochrony przed oszustwami, a z drugiej strony uproszczenie procesu zakupowego.
b. Podstawa prawna
Podstawą prawną przetwarzania danych w procesie płatności kartą kredytową jest art. 6 ust. 1 lit. b RODO. Przetwarzanie danych osobowych jest niezbędne do wypełnienia zobowiązania płatniczego.
Podstawą prawną przetwarzania danych w kontekście stosowania procedury 3D Secure 2.0 jest art. 6 ust. 1 lit. c i f RODO. Obowiązek prawny przetwarzania danych w tym zakresie wynika z dyrektywy UE w sprawie usług płatniczych na rynku wewnętrznym (dyrektywa (UE) 2015/2366) oraz uzupełniających norm regulacyjnych i technicznych zawartych w rozporządzeniu UE 2018/389, które wymagją silnego uwierzytelnienia klienta. Ponadto istnieją zobowiązania prawne wynikające z niemieckiej ustawy o usługach płatniczych (Zahlungsdiensteaufsichtsgesetz - ZAG) i paragrafów 675c - 676c niemieckiego kodeksu cywilnego. Jednym ze sposobów spełnienia tego obowiązku jest stosowanie procesu 3D Secure 2.0. Ponadto uwzględniamy nasz "uzasadniony interes" pod postacią interesu ekonomicznego. Chcemy, żeby było to widoczne w kontekście obniżania wskaźnika rezygnacji z zakupu i uproszczania procesu składania zamówień. Dzięki indywidualnej, opartej na danych ocenie ryzyka transakcje mogą być - w większości przypadków - zatwierdzane bezpośrednio i bez dalszej interakcji z kupującym, co zapewnia większą satysfakcję użytkownika.
c. Okres przechowywania
Po całkowitym przetworzeniu umowy i zapłaceniu pełnej ceny zakupu dane użytkownika są blokowane i nie można z nich dalej korzystać. Po upływie okresów przechowywania określonych w przepisach prawa podatkowego i handlowego usuwa się je, chyba że użytkownik wyraźnie zgodził się na dalsze wykorzystywanie dotyczących go informacji. Dalsze ich przechowywanie jest możliwe w indywidualnych przypadkach w związku z wymogiem prawnym. W przypadku, gdy użytkownik zdecyduje się przechowywać dane swojej karty kredytowej na potrzeby przyszłych zamówień, będą one bezpiecznie utrzymywane do momentu ich edycji lub usunięcia z konta Canyon.
4.3.3 Dostawcy usług finansowania
a. Rodzaj i zakres przetwarzania danych
Oferujemy możliwość realizacji zakupu towarów za pośrednictwem dostawcy usług płatniczych. W naszym przypadku jest nim firma "Consors Finanz", oficjalna i zarejestrowana filia BNP Paribas S.A. (w Niemczech: BNP Paribas S.A., Niederlassung Deutschland, Senckenberganlage 19, 60325, Frankfurt nad Menem; w Austrii: BNP PARIBAS PERSONAL FINANCE SA, Niederlassung Österreich, Vordere Zollamtsstraße 13, 3. Stock, 1030 Wiedeń)
Gromadzone są między innymi następujące dane:
- imię i nazwisko
- kraj, miejsce i data urodzenia
- narodowość
- adres
- numer telefonu
- adres e-mail
- dane dotyczące gospodarstwa domowego, np. dochód
Dane te gromadzimy wyłącznie w związku z prowadzeniem relacji umownej. Przekazujemy je dostawcy usług płatniczych, który zajmuje się przetwarzaniem płatności. Dostawca ten może wykorzystywać dane użytkownika wyłącznie do realizacji zamówień, w żadnym innym celu.
b. Podstawa prawna
Przetwarzanie omawianych danych osobowych opiera się na podstawie prawnej, którą jest art. 6 ust. 1 lit. b RODO, gdyż czynności te są niezbędne do wykonania umowy.
c. Okres przechowywania
Po całkowitym przetworzeniu umowy i zapłaceniu pełnej ceny zakupu dane użytkownika są blokowane i nie można z nich dalej korzystać. Po upływie okresów przechowywania określonych w przepisach prawa podatkowego i handlowego usuwa się je, chyba że użytkownik wyraźnie zgodził się na dalsze wykorzystywanie dotyczących go informacji. Dalsze ich przechowywanie jest możliwe w indywidualnych przypadkach w związku z wymogiem prawnym.
2.3 Płatność z góry przelewem bankowym
a. Rodzaj i zakres przetwarzania danych
Kupującym towary oferujemy możliwość dokonania płatności z wyprzedzeniem przelewem bankowym. W ramach tej metody towary są rezerwowane dla użytkownika do momentu dokonania płatności. Dane będą przekazywane stronom trzecim tylko w przypadkach wymienionych poniżej.
W ramach procesu płatności gromadzone są następujące dane:
- imię i nazwisko właściciela konta
- numer konta
- kod banku
- kwota faktury
- waluta
- przeznaczenie środków
b. Podstawa prawna
W związku z przetwarzaniem danych konta (imię i nazwisko posiadacza, numer konta, kod banku, kwota faktury, waluta, przeznaczenie środków) w celu obsługi płatności podstawą prawną jest art. 6 ust. 1 lit. b RODO.
Dotyczy to również operacji przetwarzania, które są niezbędne do realizacji zobowiązań powziętych przed zawarciem umowy. W niektórych przypadkach możemy być prawnie zobowiązani do przekazania danych dotyczących użytkownika w związku ze stosowaniem SCA na podstawie Dyrektywy UE 2015/2366 (PSD 2) lub ustawy implementującej dyrektywę w sprawie usług płatniczych (ZDUG). W zakresie, w jakim jesteśmy prawnie zobowiązani do przekazywania danych, podstawą prawną jest art. 6 ust. 1 lit. c RODO w połączeniu z odpowiednimi postanowieniami dyrektywy UE 2015/2366 (PSD 2) lub ustawy implementującej dyrektywę w sprawie usług płatniczych (ZDUG).
c. Okres przechowywania
Po całkowitym przetworzeniu umowy i zapłaceniu pełnej ceny zakupu dane użytkownika są blokowane i nie można z nich dalej korzystać. Po upływie okresów przechowywania określonych w przepisach prawa podatkowego i handlowego usuwa się je, chyba że użytkownik wyraźnie zgodził się na dalsze wykorzystywanie dotyczących go informacji. Dalsze ich przechowywanie jest możliwe w indywidualnych przypadkach w związku z wymogiem prawnym.
4.3.5 Płatność przez PayPal / raty PayPal
a. Rodzaj i zakres przetwarzania danych
Zakup można też opłacić, korzystając z serwisu PayPal. Użytkownik zostanie automatycznie przekierowany do witryny PayPal, aby wprowadzić swoje dane. Kwota będzie zablokowana do momentu wysyłki towarów. Dopiero wtedy następuje obciążenie konta użytkownika. Można też wybrać płatność ratalną na witrynie PayPal.
W przypadku wyboru tej metody płatności dane użytkownika trafiają do PayPal (PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luksemburg) w celu umożliwienia autoryzacji płatności na naszą rzecz za pośrednictwem PayPal. (Potrzebne jest do tego konto PayPal). PayPal działa jako dostawca usług płatniczych online i powiernik oraz oferuje usługi w zakresie ochrony kupujących.
W ramach przetwarzania płatności do dostawców usług płatniczych i instytucji powiązanych z kartami kredytowymi trafiają następujące informacje:
- imię i nazwisko
- numer telefonu
- adres e-mail
- informacje o urządzeniu użytkownika
- adres dostawy i adres do faktury
- nr zamówienia i artykułu
- kwota faktury
Poza tym PayPal zastrzega sobie prawo do gromadzenia danych osobowych od kupującego. Według PayPal może to obejmować następujące informacje:
- imię i nazwisko
- adres
- numer telefonu
- numer konta
PayPal może przekazywać dane osobowe użytkownika spółkom stowarzyszonym i usługodawcom lub podwykonawcom w stopniu niezbędnym do wypełnienia zobowiązań umownych lub gdy dane są przetwarzane w imieniu PayPal.
Dane osobowe, które przekazujemy PayPal, mogą być przesyłane dalej do agencji kredytowych. Celem tej transmisji jest sprawdzenie tożsamości i zdolności kredytowej nabywcy. PayPal wykorzystuje wynik kontroli kredytowej - biorąc pod uwagę statystyczne prawdopodobieństwo niewywiązania się z obowiązku płatności - do podjęcia decyzji o zapewnieniu odpowiedniej metody płatności. Kontrola kredytowa może zawierać wartości prawdopodobieństwa (tzw. wartości wyników). Jeśli wartości wyników są uwzględniane w wyniku kontroli kredytowej, opierają się na naukowo uznanej procedurze matematyczno-statystycznej.
Informacje o agencjach kredytowych można znaleźć tutaj: https://www.paypal.com/de/webapps/mpp/ua/privacy-full#rAnnex
W każdej chwili można wycofać zgodę na przetwarzanie danych osobowych przez PayPal. Wycofanie zgody nie wpływa jednak na zgodność z prawem przetwarzania informacji na podstawie zgody przed jej wycofaniem, pod warunkiem że dane osobowe są przetwarzane, wykorzystywane lub przekazywane w związku z realizacją płatności określonych w umowie.
Oświadczenie o ochronie danych PayPal można znaleźć na stronie https://www.paypal.com/de/webapps/mpp/ua/privacy-full.
b. Podstawa prawna
Podstawą prawną przetwarzania danych osobowych jest art. 6 ust. 1 lit. b RODO. Przetwarzanie jest niezbędne do wypełnienia zobowiązania umownego, w tym przypadku obowiązku zapłaty ceny zakupu. Dotyczy to również operacji przetwarzania, które są niezbędne do realizacji zobowiązań powziętych przed zawarciem umowy. W niektórych przypadkach możemy być prawnie zobowiązani do przekazania danych dotyczących użytkownika w związku ze stosowaniem SCA na podstawie Dyrektywy UE 2015/2366 (PSD 2) lub ustawy implementującej dyrektywę w sprawie usług płatniczych (ZDUG). W zakresie, w jakim jesteśmy prawnie zobowiązani do przekazywania danych, podstawą prawną jest art. 6 ust. 1 lit. c RODO w połączeniu z odpowiednimi postanowieniami dyrektywy UE 2015/2366 (PSD 2) lub ustawy implementującej dyrektywę w sprawie usług płatniczych (ZDUG).
c. Okres przechowywania
Po całkowitym przetworzeniu umowy i zapłaceniu pełnej ceny zakupu dane użytkownika są blokowane i nie można z nich dalej korzystać. Po upływie okresów przechowywania określonych w przepisach prawa podatkowego i handlowego usuwa się je, chyba że użytkownik wyraźnie zgodził się na dalsze wykorzystywanie dotyczących go informacji. Dalsze ich przechowywanie jest możliwe w indywidualnych przypadkach w związku z wymogiem prawnym.
4.3.6 Płatność Klarna (faktura)
a. Rodzaj i zakres przetwarzania danych
Można dokonać zakupu na koncie, korzystając z usług firmy Klarna (Klarna AB, Sveavägen 46, 111 34 Sztokholm, Szwecja). W tej metodzie płatności zamówienie opłacane jest bezpośrednio, nawet jeśli towar ma być dostarczony w przyszłości. Po potwierdzeniu zamówienia następuje bezpośrednie przekierowanie do Klarna. W związku z realizacją płatności użytkownik zawiera umowę z firmą Klarna, na podstawie której może ona gromadzić dane osobowe takie jak imię i nazwisko, adres, data urodzenia, płeć, adres e-mail, adres IP i numer telefonu od Canyon. Klarna może gromadzić też inne dane niezbędne do przetworzenia zakupu na koncie - np. liczbę rowerów Canyon i ich numery. Klarna przetwarza dane użytkownika w celu przetworzenia jego zakupu, sprawdzenia tożsamości i przeprowadzenia kontroli kredytowej. Klarna może uzyskiwać informacje od agencji kredytowych.
Wykaz agencji kredytowych podano na stronie https://cdn.klarna.com/1.0/shared/content/legal/terms/0/de_de/credit_rating_agencies.
Szczegółowe informacje na temat przetwarzania danych przez firmę Klarna można znaleźć w jej oświadczeniu o ochronie danych na stronie https://www.klarna.com/de/datenschutz/.
b. Podstawa prawna
Podstawą prawną przetwarzania danych osobowych jest art. 6 ust. 1 lit. b RODO. Przetwarzanie jest niezbędne do wypełnienia umownego zobowiązania płatniczego.
c. Okres przechowywania
Po całkowitym przetworzeniu umowy i zapłaceniu pełnej ceny zakupu dane użytkownika są blokowane i nie można z nich dalej korzystać. Po upływie okresów przechowywania określonych w przepisach prawa podatkowego i handlowego usuwa się je, chyba że użytkownik wyraźnie zgodził się na dalsze wykorzystywanie dotyczących go informacji. Dalsze ich przechowywanie jest możliwe w indywidualnych przypadkach w związku z wymogiem prawnym.
4.3.7 Płatność Klarna (przelew natychmiastowy)
a. Rodzaj i zakres przetwarzania danych
Zakup można też opłacić przelewem natychmiastowym za pośrednictwem firmy Sofort GmbH (Theresienhöhe 12, 80339 Monachium, Niemcy) która jest filią Klarna od 2014 r. (dalej "Klarna"). W przypadku korzystania z tej metody płatności do firmy Klarna trafiają dane osobowe takie jak imię i nazwisko, adres e-mail, numer telefonu, adres zamieszkania i adres IP użytkownika, ewentualnie inne informacje. Ponadto przesyłane są dane dotyczące płatności, takie jak kod lub nazwa banku, numer konta oraz informacje o dostępie do bankowości internetowej. Płatność natychmiastowa wiąże się z podaniem firmie Klarna PIN-u i TAN-u użytkownika. Dostawca płatności loguje się na internetowe konto bankowe użytkownika, automatycznie sprawdza dostępne saldo i realizuje przelew. Następnie następuje natychmiastowe potwierdzenie transakcji. Po zalogowaniu Klarna automatycznie sprawdza obroty na koncie użytkownika, kredyt odnawialny na rachunku bieżącym oraz stan innych rachunków (w zasadnych przypadkach).
Więcej szczegółów na temat natychmiastowego przelewu bankowego podano na stronie https://www.klarna.com/sofort/.
b. Podstawa prawna
Podstawą prawną przekazywania danych firmie Klarna jest zgoda użytkownika na podstawie art. 6 ust. 1 lit. a RODO oraz art. 6 ust. 1 lit. b RODO, które odnoszą się do obowiązków płatniczych użytkownika. Zgodę można w każdej chwili wycofać.
c. Okres przechowywania
Po całkowitym przetworzeniu umowy i zapłaceniu pełnej ceny zakupu dane użytkownika są blokowane i nie można z nich dalej korzystać. Po upływie okresów przechowywania określonych w przepisach prawa podatkowego i handlowego usuwa się je, chyba że użytkownik wyraźnie zgodził się na dalsze wykorzystywanie dotyczących go informacji. Dalsze ich przechowywanie jest możliwe w indywidualnych przypadkach w związku z wymogiem prawnym.
3.8 Płatność gotówką przy dostawie
a. Rodzaj i zakres przetwarzania danych
Za zamówienie można zapłacić "gotówką przy dostawie". W tej metodzie płatności my dostarczamy zamówienie, a użytkownik płaci gotówką w momencie odbioru towaru. Warunkiem wstępnym jest tu wysłanie zamówienia z adresem dostawy w Niemczech. Jego wartość nie może przekraczać 3500 EUR. Przesyłamy dane - imię i nazwisko użytkownika, jego adres i informacje o płatności (np. cenę za dany artykuł) - naszemu dostawcy, aby mógł dostarczyć zamówiony Towar i przyjąć gotówkę.
b. Podstawa prawna
Podstawą prawną przetwarzania danych osobowych użytkownika jest art. 6 ust. 1 lit. b RODO. Przetwarzanie informacji jest warunkiem realizacji zamówienia oraz powiązanego z nim zobowiązania do płatności i dostawy.
c. Okres przechowywania
Po całkowitym przetworzeniu umowy i zapłaceniu pełnej ceny zakupu dane użytkownika są blokowane i nie można z nich dalej korzystać. Po upływie okresów przechowywania określonych w przepisach prawa podatkowego i handlowego usuwa się je, chyba że użytkownik wyraźnie zgodził się na dalsze wykorzystywanie dotyczących go informacji. Dalsze ich przechowywanie jest możliwe w indywidualnych przypadkach w związku z wymogiem prawnym.
4.3.9 Leasing JobRad
a. Rodzaj i zakres przetwarzania danych
Współpracujemy ze znaną firmą JobRad (JobRad GmbH, Heinrich-von-Stephan-Str. 13, 79100 Freiburg, Niemcy) zajmującą się leasingiem rowerów. Użytkownicy będący pracownikami niemieckich firm lub prowadzący własną działalność gospodarczą w Niemczech mogą brać rowery w leasing, jeżeli współpracują (samodzielnie albo za pośrednictwem pracodawcy) z JobRad. Wystarczy wskazać "JobRad" jako metodę płatności w toku składania zamówienia. Użytkownik otrzymuje potwierdzenie zamówienia i ma zarezerwowany Canyon na trzy tygodnie. Następnie dostaje link od pracodawcy, przy pomocy którego może się zalogować na portalu JobRad. Za przetwarzanie danych na tym portalu odpowiada JobRad. Więcej informacji na stronie: https://www.jobrad.org/datenschutz.html.
W ramach leasingu JobRad przesyłamy do JobRad dane niezbędne do zawarcia umowy. Są to na przykład: imię i nazwisko użytkownika, jego adres, e-mail i numer wybranego roweru. W procesie leasingu JobRad może udostępniać dane użytkownika stronom trzecim, np. pracodawcy. Więcej informacji na ten temat można znaleźć w oświadczeniu o ochronie danych JobRad.
b. Podstawa prawna
Podstawą prawną przetwarzania danych osobowych jest art. 6 ust. 1 lit. b RODO. Przetwarzanie informacji jest tu niezbędne do przeprowadzenia procesu leasingu Fahrrand.
c. Okres przechowywania
Po całkowitym przetworzeniu umowy i zapłaceniu pełnej ceny zakupu dane użytkownika są blokowane i nie można z nich dalej korzystać. Po upływie okresów przechowywania określonych w przepisach prawa podatkowego i handlowego usuwa się je, chyba że użytkownik wyraźnie zgodził się na dalsze wykorzystywanie dotyczących go informacji. Dalsze ich przechowywanie jest możliwe w indywidualnych przypadkach w związku z wymogiem prawnym.
3.10 Leasing roweru
a. Rodzaj i zakres przetwarzania danych
Można wypożyczyć rower w firmie BLS Bikeleasing-Service GmbH & Co. KG (Ernst-Reuter-Straße 2, 37170 Uslar, Niemcy). Aby to zrobić, trzeba wybrać Bikeleasing-Service na etapie płatności i wykonać odpowiednie kroki. W przypadku pracowników do korzystania z usług Bikeleasing musi być uprawniony pracodawca. W przypadku osób prowadzących własną działalność do korzystania z usług Bikeleasing musi być uprawniona dana osoba. Bikeleasing odpowiada za przetwarzanie danych użytkownika w związku z rejestracją.
W ramach usługi leasingu rowerów przekazujemy partnerowi leasingowemu niezbędne dane takie jak imię i nazwisko użytkownika, jego adres, e-mail i numer wybranego roweru. W związku z leasingiem firma Bikeleasing może przekazywać dane użytkownika stronom trzecim - np. dostawcom lub pracodawcy. Więcej informacji na temat przetwarzania i przesyłania danych można znaleźć na stronie https://bikeleasing.de/datenschutz.
b. Podstawa prawna
Podstawą prawną przetwarzania danych osobowych jest art. 6 ust. 1 lit. b RODO. Przetwarzanie informacji jest tu niezbędne do przygotowania lub przeprowadzenia procesu leasingu Fahrrand.
c. Okres przechowywania
Po całkowitym przetworzeniu umowy i zapłaceniu pełnej ceny zakupu dane użytkownika są blokowane i nie można z nich dalej korzystać. Po upływie okresów przechowywania określonych w przepisach prawa podatkowego i handlowego usuwa się je, chyba że użytkownik wyraźnie zgodził się na dalsze wykorzystywanie dotyczących go informacji. Dalsze ich przechowywanie jest możliwe w indywidualnych przypadkach w związku z wymogiem prawnym.
a. Rodzaj i zakres przetwarzania danych
Proponujemy na naszej witrynie subskrypcję darmowego biuletynu informacyjnego. Do jego regularnego przesyłania potrzebny nam jest jedynie adres e-mail użytkownika. Po podaniu adresu e-mail przez użytkownika wysyłamy wiadomość z linkiem potwierdzającym celem sprawdzenia, czy faktycznie mamy do czynienia z posiadaczem podanego konta e-mail (tzw. procedura "podwójnego potwierdzenia").
Jeżeli użytkownik kliknie link w e-mailu, zostanie przekierowany na jedną z naszych witryn, co stanowić będzie potwierdzenie, że pomyślnie zapisał się do naszego biuletynu. Użytkownik ma możliwość podania dodatkowych informacji, dzięki którym będziemy mogli spersonalizować wysyłany biuletyn. Oto ich wykaz:
- płeć
- imię i nazwisko
- data urodzenia
- preferowana kategoria rowerów
- preferowana kategoria komunikatów
W ustawieniach konta można dostosować przekazywane zainteresowania. Może mieć to wpływ na treści przekazywane użytkownikowi.
Jeżeli chodzi o wysyłanie biuletynów, to stosujemy tzw. procedurę podwójnego potwierdzenia - tzn. wysyłamy biuletyn, pod warunkiem że użytkownik najpierw potwierdzi rejestrację przy pomocy linku zawartego w specjalnym e-mailu. Chcemy mieć pewność, że tylko właściciel podanego konta e-mail dostaje biuletyny. Potwierdzenie musi zostać dokonane niezwłocznie po otrzymaniu e-maila. W przeciwnym razie subskrypcja biuletynu zostanie automatycznie usunięta z naszej bazy danych. Zgodę na otrzymywanie biuletynu można w każdej chwili wycofać, co oznaczać będzie rezygnację z subskrypcji. Do odwołania subskrypcji może służyć link podany w każdym e-mailu z biuletynem. Można też wysłać e-mail na adres privacy@canyon.de.
W związku z wysyłaniem biuletynu przekazujemy dane użytkowników usługodawcy z USA, którego oprogramowanie pozwala nam zarządzać relacjami z klientami. Zawarliśmy z nim odpowiednią umowę o przetwarzaniu zamówień.
W przypadku przekazywania danych do USA od 10 lipca 2023 r. obowiązuje decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony z zastrzeżeniem, że usługodawca jest w stanie przedstawić certyfikacją zgodną z Ramami ochrony danych UE/USA (ang. Data Privacy Framework, DPF). Rzeczona certyfikacja potwierdza, że firma zapewnia odpowiedni poziom ochrony danych osobowych, porównywalny z tym obowiązującym w Unii Europejskiej. Certyfikacja jest dostępna tutaj.
b. Podstawa prawna
Przetwarzanie adresu e-mail, tytułu, daty urodzenia oraz preferowanych kategorii rowerów i komunikatów w biuletynie opiera się na deklaracji zgody udzielonej w ramach procedury podwójnego zatwierdzenia zgodnie z art. 6 ust. 1 lit. RODO. W sytuacji, gdy biuletyn jest wysyłany na podstawie poprzednich zakupów towarów, może to bazować na naszym uzasadnionym interesie (art. 6 ust. 1 lit. f RODO w związku z par. 7 ust. 3 UWG).
c. Okres przechowywania
Adres e-mail użytkownika jest przechowywany tak długo, jak długo trwa subskrypcja biuletynu. Po rezygnacji z subskrypcji adres e-mail zostaje usunięty. W wyjątkowych przypadkach może być wymagane dłuższe przechowywanie informacji, jeśli tak stanowi prawo albo przechowujemy adres e-mail ze względu na istniejący profil użytkownika, którego usunięcia jeszcze nie zażądano.
4.5.1 Formularze
a. Rodzaj i zakres przetwarzania danych
Na naszej witrynie internetowej są formularze, przy pomocy których można się z nami kontaktować. Jeżeli chodzi o wysyłanie zapytań w formularzu kontaktowym lub w formule wstępnego czatu, odwołujemy się do niniejszego oświadczenia. Dane użytkownika przetwarzane w związku z korzystaniem z formularzy kontaktowych:
- zwrot grzecznościowy
- imię i nazwisko
- adres e-mail
- numer telefonu
- kraj zamieszkania
- numer klienta (w przypadku zwrotów, napraw lub wniosków CRP)
- numer zamówienia (w przypadku zwrotów, napraw lub wniosków CRP)
- nazwa modelu roweru (w przypadku zwrotów, napraw lub wniosków CRP)
- adres (w przypadku napraw lub wniosków CRP)
- zdjęcia i szczegóły opisujące problem (w przypadku napraw lub wniosków CRP)
- Inne dane osobowe przekazane przez użytkownika w trakcie kontaktu z nami
Celem podania adresu e-mail i kraju zamieszkania jest danie nam możliwości przypisania wniosku i udzielenia odpowiedzi. Podanie innych danych wymienionych powyżej wiąże się z przygotowaniem procesu rozpatrzenia wniosku i zaproponowaniem odpowiednich usług. Dane osobowe podana na formularzach kontaktowych nie są przekazywane stronom trzecim.
Ponieważ chcemy zapewniać użytkownikom obsługę zoptymalizowaną i dostosowaną do indywidualnych potrzeb, odpowiadając na zapytania, korzystamy z oprogramowania zewnętrznego dostawcy ze Stanów Zjednoczonych. Ochrona danych osobowych jest dla nas szczególnie ważna, gdy informacje są przetwarzane poza UE. Dlatego zadbaliśmy o to, aby rzeczony usługodawca posiadał certyfikat zgodny z ramami ochrony danych UE-USA (zob. punkt 3.5.) i zawarł z nami umowę o przetwarzaniu danych (art. 28 RODO).
b. Podstawa prawna
Opisane wyżej przetwarzanie danych w celu nawiązania kontaktu odbywa się zgodnie z art. 6 ust. 1 lit. b, lit. f RODO w celu wdrożenia środków umownych lub przedumownych, ewentualnie na podstawie naszego uzasadnionego interesu.
c. Okres przechowywania
Po rozpatrzeniu wniosku użytkownika i jednoznacznym wyjaśnieniu sprawy dane osobowe podane na formularzu kontaktowym zostają usunięte. Dalsze ich przechowywanie jest możliwe w indywidualnych przypadkach w związku z wymogiem prawnym.
4.5.2 Kontakt z wykorzystaniem modułu czatu
a. Rodzaj i zakres przetwarzania danych
Można kontaktować się z naszymi ekspertami lub Społecznością Canyon, korzystając z modułu czatu. Korzystamy z usług firmy "guuru" (GUURU Solutions GmbH, Rothusstraße 21, 6331 Hünenberg, Szwajcaria). Osoby decydujące się na korzystanie z tej opcji kontaktu akceptują warunki użytkowania i oświadczenie o ochronie danych guuru. Bez tej zgody nie możemy zaoferować użytkownikom możliwości korzystania z czatu.
Kontakt przez czat oznacza przekazanie danych osobowych takich jak imię i nazwisko oraz adres e-mail. Przetwarzamy udostępnione informacje i dane jedynie podczas rozmowy na czacie.
Dostęp do danych osobowych, które nam przekazano, otrzymuje również "guuru". Więcej informacji na ten temat podano w oświadczeniu "guuru" o ochronie danych: https://www.guuru.com/de/privacy-policy/.
Ponieważ chcemy zapewniać użytkownikom obsługę zoptymalizowaną i dostosowaną do indywidualnych potrzeb, odpowiadając na zapytania, korzystamy z oprogramowania zewnętrznego dostawcy ze Stanów Zjednoczonych. Ochrona danych osobowych użytkownika jest dla nas szczególnie ważna, gdy informacje są przetwarzane poza UE. Dlatego zadbaliśmy o to, aby rzeczony usługodawca posiadał certyfikat zgodny z ramami ochrony danych UE-USA (zob. punkt 3.5.) i zawarł z nami umowę o przetwarzaniu danych (art. 28 RODO).
b. Podstawa prawna
Przetwarzanie danych osobowych użytkownika bazuje na naszym uzasadnionym interesie zgodnie z art. 6 ust. 1 lit. f) RODO. W przypadku, gdy nawiązany przez użytkownika kontakt ma na celu zawarcie umowy zakupu, podstawą prawną jest art. 6 ust. 1 lit. b RODO.
Mając na względzie ochronę danych osobowych, prosimy użytkowników, żeby nie przekazywali nam specjalnych kategorii danych osobowych w rozumieniu art. 9 ust. 1 RODO (na przykład informacji o stanie zdrowia).
c. Okres przechowywania
Dane i treści przekazane do Działu Obsługi Klienta są przechowywane w związku z dalszymi pytaniami i następnym kontaktem. Jak tylko cel przechowywania informacji przestaje mieć zastosowanie, co następuje zwykle po 12 miesiącach, dane są usuwane zgodnie z przepisami w dziedzinie ochronie danych, chyba że uniemożliwiają to ustawowo określone terminy przechowywania informacji.
4.5.3 Kontakt e-mailowy
a. Rodzaj i zakres przetwarzania danych
Można kontaktować się z nami bez formularza kontaktowego, wysyłając e-mail z prośbą na nasz adres. Jeśli ktoś korzysta z tej opcji, gromadzone są następujące dane osobowe oprócz treści podanych w e-mailu:
- adres e-mail
- imię i nazwisko
Celem podania adresu e-mail jest przypisanie wniosku i udzielenie odpowiedzi. Dane osobowe podane w e-mailach nie są przekazywane stronom trzecim.
Ponieważ chcemy zapewniać użytkownikom obsługę zoptymalizowaną i dostosowaną do indywidualnych potrzeb, odpowiadając na zapytania, korzystamy z oprogramowania zewnętrznego dostawcy ze Stanów Zjednoczonych. Ochrona danych osobowych użytkownika jest dla nas szczególnie ważna, gdy informacje są przetwarzane poza UE. Dlatego zadbaliśmy o to, aby rzeczony usługodawca posiadał certyfikat zgodny z ramami ochrony danych UE-USA (zob. punkt 3.5.) i zawarł z nami umowę o przetwarzaniu danych (art. 28 RODO).
b. Podstawa prawna
Przetwarzanie danych w celu udzielenia odpowiedzi na wniosek użytkownika opiera się na art. 6 ust. 1 lit. b i f RODO. Podobnie jak w przypadku formularza kontaktowego zapewnienie interfejsu do komunikacji z użytkownikiem leży w naszym uzasadnionym interesie, który zasadniczo zbiega się z interesem użytkownika odnośnie do szybkiego i łatwego kontaktu z nami.
c. Okres przechowywania
Po rozpatrzeniu wniosku użytkownika i jednoznacznym wyjaśnieniu sprawy dane osobowe podane w e-mailu zostają usunięte. Dalsze przechowywanie może mieć miejsce w indywidualnych przypadkach, jeśli i w zakresie, w jakim istnieje uzasadniony interes (art. 6 ust. 1 lit. f RODO).
4.5.4 Kontakt telefoniczny
a. Rodzaj i zakres przetwarzania danych
Celem wyjaśnienia wątpliwości można również kontaktować się z nami telefonicznie pod numerem 0261 9490 30000. Oprócz numeru telefonu przetwarzamy wtedy dane osobowe przekazane podczas rozmowy.
Ponieważ chcemy zapewniać użytkownikom obsługę zoptymalizowaną i dostosowaną do indywidualnych potrzeb, odpowiadając na zapytania, korzystamy z oprogramowania zewnętrznego dostawcy ze Stanów Zjednoczonych. Ochrona danych osobowych użytkownika jest dla nas szczególnie ważna, gdy informacje są przetwarzane poza UE. Dlatego zadbaliśmy o to, aby rzeczony usługodawca posiadał certyfikat zgodny z ramami ochrony danych UE-USA (zob. punkt 3.5.) i zawarł z nami umowę o przetwarzaniu danych (art. 28 RODO).
b. Podstawa prawna
Podstawą prawną przetwarzania danych przekazanych w ramach kontaktu z nami jest art. 6 ust. 1 lit. f RODO. Jeśli użytkownik kontaktuje się z nami, niezbędny uzasadniony interes w przetwarzaniu danych leży w przetwarzaniu żądania użytkownika.
W przypadku, gdy nawiązany przez użytkownika kontakt ma na celu zawarcie umowy, podstawą prawną jest art. 6 ust. 1 lit. b RODO.
Mając na względzie ochronę danych osobowych, prosimy użytkowników, żeby nie przekazywali nam specjalnych kategorii danych osobowych w rozumieniu art. 9 ust. 1 RODO (na przykład informacji o stanie zdrowia).
c. Okres przechowywania
Dane zostają usunięte, jak tylko przestaje być wymagane osiągnięcie celu, dla którego zostały pozyskane. Rozmowa z użytkownikiem dobiega końca, gdy można wywnioskować na podstawie okoliczności, że dana kwestia została jednoznacznie wyjaśniona. Dalsze przechowywanie może mieć miejsce w indywidualnych przypadkach, jeśli jest to wymagane przez prawo lub jeśli istnieje uzasadniony interes zgodnie z art. 6 ust. 1 lit. f RODO.
a. Rodzaj i zakres przetwarzania danych
Na naszej witrynie internetowej oferujemy możliwość odpowiadania na umieszczone oferty pracy, a tym samym podjęcie zatrudnienia w firmie Canyon. Dane osobowe przetwarzane w związku z aplikacją o pracę w Canyon:
- poziom kariery
- imię i nazwisko
- adres e-mail
- numer telefonu
- adres
- dostępność czasowa
- dokumenty aplikacyjne (list motywacyjny, CV, referencje, certyfikaty itp.)
- linki do profili online na XING i LinkedIn, jeśli dotyczy
- możliwa data podjęcia zatrudnienia
- oczekiwania dotyczące wynagrodzenia
- oraz - w stosownych przypadkach - indywidualne komentarze związane z procesem rekrutacyjnym
Dane wprowadzone online są gromadzone i przetwarzane wyłącznie w celu obsadzenia wakatów w Canyon Bicycles GmbH. Tylko działy i stanowiska odpowiedzialne za proces aplikacji mają dostęp do danych użytkownika. Informacje te nie są wykorzystywane do innych celów ani przekazywane stronom trzecim.
b. Podstawa prawna
Podstawą prawną przetwarzania danych osobowych użytkownika w przedmiotowym zakresie jest art. 6 ust. 1 lit. b RODO. W zakresie, w jakim użytkownik wyraźnie pozwala nam na przechowywanie dokumentów aplikacyjnych po zakończeniu procedury rekrutacyjnej w menu kontekstowym (zob. c.) - na przykład aby móc ubiegać się o wolne stanowiska w przyszłości - proces odbywa się na podstawie art. 6 ust. 1 lit. a RODO.
c. Okres przechowywania
Dane związane z procesem aplikacji są automatycznie usuwane po 6 miesiącach od jego zakończenia. Nie ma to zastosowania, jeżeli usunięcie danych nie jest możliwe ze względu na obowiązujące przepisy albo dalsze ich przechowywanie jest konieczne w związku z dochodzeniem roszczeń prawnych lub przedstawieniem dowodów. Dłuższe przechowywanie informacji w innych przypadkach jest możliwe tylko na podstawie zgody użytkownika. Może być to przydatne, gdy na przykład w danej chwili nie mamy wakatu do zaoferowania, ale profil użytkownika może odpowiadać przyszłym ofertom zatrudnienia. W szczególności podejście to jest stosowane w przypadku aplikacji wysłanych spontanicznie (tzn. nie w odpowiedzi na konkretną ofertę), pod warunkiem że użytkownik wyraźnie zgodził się na przechowywanie i wykorzystywanie jego danych. Przedmiotową zgodę można w każdej chwili wycofać, najlepiej wysyłając wiadomość na formularzu kontaktowym w sekcji Kariera lub pocztą elektroniczną na adres karriere@canyon.com.
Z technicznego i organizacyjnego punktu widzenia podejmujemy różne środki ostrożności z myślą o ochronie danych użytkowników. Przekazywane aplikacje online są szyfrowane. Dane użytkowników są przechowywane w bazie danych oddzielonej od pozostałych systemów. Dostęp do niej mają jedynie stosownie umocowani pracownicy Działu Kadrowego.
a. Rodzaj i zakres przetwarzania danych
Na naszej witrynie można śledzić zamówienie. Potrzebujemy wtedy od użytkownika informacji takich jak:
- adres e-mail
- numer zamówienia
Dane nie są przekazywane stronom trzecim w związku z monitorowaniem przesyłek.
b. Podstawa prawna
Przetwarzanie danych w celu śledzenia zamówienia odbywa się zgodnie z art. 6 ust. 1 lit. f RODO i naszym uzasadnionym interesem polegającym na umożliwieniu śledzenia statusu dostawy. Tym samym chodzi o zagwarantowanie przyjaznego dla klienta przetwarzania zamówień.
c. Okres przechowywania
Po całkowitym przetworzeniu umowy i zapłaceniu pełnej ceny zakupu dane użytkownika są blokowane i nie można z nich dalej korzystać. Po upływie okresów przechowywania określonych w przepisach prawa podatkowego i handlowego usuwa się je, chyba że użytkownik wyraźnie zgodził się na dalsze wykorzystywanie dotyczących go informacji. Dalsze ich przechowywanie jest możliwe w indywidualnych przypadkach w związku z wymogiem prawnym.
a. Rodzaj i zakres przetwarzania danych
Użytkownik - po otrzymaniu zakupionych towarów - może dostać od nas e-mail z prośbą o informacje zwrotne. W ramach takiej ankiety przetwarzamy imię i nazwisko użytkownika oraz jego adres e-mail, a także niektóre dane dotyczące zamówienia, np. numer pozycji. Opinie wyrażone w ankiecie pomagają nam ulepszać procesy i procedury wewnętrzne związane z realizacją zamówień. Przetwarzamy w tym kontekście następujące dane osobowe:
- imię i nazwisko
- adres e-mail
- zamówienie i zawarte w nim informacje
- dane dostawy
b. Podstawa prawna
Podstawą prawną przetwarzania danych użytkownika w związku z ankietą jest nasz uzasadniony interes - art. 6 ust. 1 lit. f RODO - przy uwzględnieniu przepisów prawa konkurencji (por. § 7 UWG).
c. Okres przechowywania
Przetwarzamy te dane tylko tak długo, jak jest to konieczne do celów wskazanych powyżej. Dane te są następnie usuwane, o ile nie obowiązują sprzeczne ustawowe okresy przechowywania.
a. Rodzaj i zakres przetwarzania danych
Na naszej witrynie internetowej używamy plików cookie. Są to małe pliki, które wysyłamy do przeglądarki urządzenia końcowego użytkownika i przechowujemy je na nim, gdy użytkownik odwiedza naszą witrynę. Na niniejszej witrynie internetowej wykorzystywane są pliki cookie w celu poprawy komfortu użytkowania, przekazywania spersonalizowanych treści i zapewniania określonych funkcji. Pliki cookie nie powodują żadnych uszkodzeń urządzenia końcowego użytkownika. Nie są w stanie uruchamiać programów ani infekować urządzeń wirusami. W niniejszym powiadomieniu informujemy o różnych rodzajach plików cookie, które wykorzystujemy, i o tym, jak można zarządzać ich ustawieniami. Szczegółowe informacje na temat poszczególnych plików cookie podano na stosownym banerze.
(1) Wymagane pliki cookie:
Są to pliki niezbędne do zapewnienia prawidłowego działania witryny internetowej. Umożliwiają na przykład poruszanie się po witrynie, wypełnianie formularzy i dostęp do koszyka. Nie da się bez nich świadczyć niektórych usług.
(2) Pliki cookie związane z wydajnością i marketingiem:
Są to pliki gromadzące informacje o tym, jak jest wykorzystywana nasza witryna internetowa. Pomagają nam mierzyć i poprawiać jej wydajność, uzyskiwać dane statystyczne i prowadzić czynności analityczne. Informacje te wykorzystujemy do optymalizacji wygody użytkowania witryny i dostosowywania prezentowanych na niej treści. Dzięki temu nasza witryna jest bardziej przyjazna w użytkowaniu i poprawia się jej wydajność.
Ustawienia plików cookie można zmienić w każdej chwili. Wystarczy kliknąć opcję ustawień plików cookie na naszej witrynie. To użytkownik kontroluje swoje preferencje w zakresie plików cookie.
b. Podstawa prawna
Podstawą prawną wykorzystywania technicznie niezbędnych plików cookie w związku z przechowywaniem i odczytem informacji na urządzeniu końcowym jest § 25 ust. 2 nr 2 TDDDG. Przedstawione niżej formy przetwarzania danych osobowych użytkownika bazują na naszym uzasadnionym interesie zgodnie z art. 6 ust. 1 lit. f) RODO.
Podstawą prawną korzystania z plików cookie dotyczących wydajności lub marketingu w odniesieniu do ich przechowywania na urządzeniu końcowym użytkownika jest par. 25 (1) RODO. Przetwarzanie danych osobowych pozyskanych na tej podstawie odbywa się wyłącznie za zgodą użytkownika w myśl zapisów art. 6 ust. 1 lit. a) RODO.
W odniesieniu do przekazywania danych do firm z siedzibą poza UE/EOG zgoda użytkownika na korzystanie z odpowiednich plików cookie obejmuje również przekazywanie danych osobowych do krajów trzecich (art. 49 ust. 1 lit. a) RODO).
c. Okres przechowywania
Gdy tylko dane przekazane za pomocą plików cookie przestają służyć realizacji celów opisanych powyżej, informacje te są usuwane. Dalsze ich przechowywanie jest możliwe w indywidualnych przypadkach w związku z wymogiem prawnym.
Szczegółowe informacje na temat okresów przechowywania podano na banerze plików cookie.
d. Konfiguracja ustawień przeglądarki
Większość przeglądarek domyślnie akceptuje pliki cookie. Niektóre przeglądarki można jednak tak skonfigurować, aby akceptowały tylko niektóre pliki cookie albo w ogóle ich nie akceptowały. Chcielibyśmy jednak podkreślić, że użytkownik może nie być w stanie korzystać ze wszystkich funkcji naszej witryny, jeśli pliki cookie zostaną zdezaktywowane w ustawieniach przeglądarki. Korzystając z ustawień przeglądarki, można też usunąć wcześniej zapisane pliki cookie. Poza tym można tak ustawić przeglądarkę, żeby wysyłała powiadomienia przed zapisaniem jakichkolwiek plików cookie. Ponieważ przeglądarki mogą różnić się w zależności od oferowanych funkcji, prosimy o używanie odpowiedniego menu do konfiguracji. Jeżeli użytkownik jest zainteresowany kompleksowym wglądem do wszystkich stron trzecich uzyskujących dostęp do jego przeglądarki internetowej, zalecamy instalację specjalnych wtyczek.
6. Hiperłącza
Na naszej witrynie znajdują się tzw. hiperłącza do witryn innych dostawców. W przypadku aktywowania któregoś z nich następuje przekierowanie na witrynę wybranego dostawcy. Można to rozpoznać np. po zmianie adresu URL. Nie odpowiadamy za ochronę poufności danych użytkownika na tych witrynach, gdyż nie mamy żadnego wpływu na to, czy dana firma przestrzega przepisów w dziedzinie ochrony informacji. W takich sytuacjach użytkownik powinien zaznajomić się z oświadczeniem o ochronie danych i innymi informacjami przekazywanymi przez konkretnego operatora witryny internetowej.
Informacje o wspólnej odpowiedzialności naszej firmy i operatorów innych witryn internetowych za przetwarzanie danych podajemy w punkcie 10.
7. Prawa osób, których dane dotyczą
RODO zapewnia osobom, których dane dotyczą, następujące prawa:
- Zgodnie z art. 15 RODO użytkownik może wnioskować o uzyskanie informacji o danych osobowych, które przetwarzamy na jego temat. W szczególności można wnioskować o informacje na temat celów przetwarzania danych, kategorii danych osobowych, kategorii odbiorców, którym dane zostały lub zostaną ujawnione, planowanego okresu przechowywania, prawa do sprostowania, usunięcia, ograniczenia przetwarzania danych oraz do wniesienia sprzeciwu wobec ich przetwarzania tudzież prawa do wniesienia skargi, jak również informacje dotyczące pochodzenia danych, jeżeli to nie my je zgromadziliśmy, transferu danych do państw trzecich lub organizacji międzynarodowych oraz funkcjonowania zautomatyzowanego procesu podejmowania decyzji, w tym profilowania, a także - w stosownych przypadkach - informacje o szczegółach tego procesu.
- Zgodnie z art. 16 RODO można w trybie natychmiastowym zażądać korekty nieprawidłowych danych, które przechowujemy, lub ich uzupełnienia.
- Zgodnie z art. 17 RODO użytkownik może zażądać usunięcia danych osobowych, które przechowujemy na jego temat, chyba że ich przetwarzanie jest niezbędne do korzystania z praw związanych z wolnością wypowiedzi i posiadania informacji, wywiązania się z obowiązku prawnego, ze względu na interes publiczny, ewentualnie w związku z dochodzeniem lub obroną roszczeń prawnych.
- Zgodnie z art. 18 RODO użytkownik może zażądać ograniczenia przetwarzania swoich danych osobowych, jeśli zakwestionowana zostanie przez niego ich poprawność, przetwarzanie informacji jest niezgodne z prawem, nie potrzebujemy już przedmiotowych danych, ale użytkownik odmawia ich usunięcia, ponieważ potrzebuje ich w związku z dochodzeniem lub obroną roszczeń prawnych. Użytkownik ma też określone prawa - na mocy art. 18 RODO - jeżeli sprzeciwił się przetwarzaniu danych zgodnie z art. 21 RODO.
- Zgodnie z art. 20 RODO użytkownik może zażądać otrzymania danych osobowych, które nam udostępnił - w ustrukturyzowanym, powszechnie używanym i nadającym się do odczytu maszynowego formacie. Poza tym może zażądać ich przekazania innemu administratorowi.
- Zgodnie z art. 7 (3) RODO można w każdej chwili wycofać wcześniej udzieloną zgodę. W związku z tym nie będziemy w przyszłości przetwarzać danych na jej podstawie.
- Zgodnie z art. 77 RODO można złożyć skargę na ręce organu nadzorczego. Co do zasady można kontaktować się z organem nadzorczym w swoim miejscu zamieszkania, w miejscu właściwym ze względu na lokalizację zakładu pracy albo w siedzibie naszej firmy.
9. Środki bezpieczeństwa i ochrony danych
Z myślą o zapobieganiu manipulacjom, utracie lub niewłaściwemu wykorzystaniu przechowywanych przez nas danych, podejmujemy techniczne i organizacyjne środki bezpieczeństwa, które są regularnie sprawdzane i dostosowywane do postępu technologicznego. Mówimy tu na przykład o uznanych metodach szyfrowania (SSL lub TLS). Chcielibyśmy jednak podkreślić, że ze względu na strukturę internetu możliwe jest, że zasady ochrony danych i wyżej wymienione środki bezpieczeństwa nie będą przestrzegane przez inne osoby lub instytucje, na działania których nie mamy żadnego wpływu. W szczególności nie można wykluczyć, że dane ujawnione w formie niezaszyfrowanej - np. pocztą elektroniczną - mogą zostać odczytane przez strony trzecie. Nie mamy na to żadnego wpływu technicznego. Obowiązkiem użytkownika jest ochrona dostarczonych przez niego danych przed niewłaściwym wykorzystaniem - w drodze szyfrowania lub w inny sposób albo nieprzekazywania danych wrażliwych/osobowych.
10. Oświadczenie o ochronie danych w związku z obecnością w mediach społecznościowych
Jeżeli chodzi o media społecznościowe, my, Canyon Bicycles GmbH (dalej "my" lub "Canyon") ponosimy częściową odpowiedzialność. Częściową odpowiedzialność ponoszą też operatorzy konkretnych platform mediów społecznościowych. Jednak w przypadku indywidualnych operacji przetwarzania informacji, np. na "Facebook Insights", odpowiedzialność spoczywa zarówno na nas, jak i dostawcy platformy (zob. art. 26 RODO). W dalszej części informujemy o danych przetwarzanych w tym zakresie i o uprawnieniach użytkowników.
Z firmą Canyon można się kontaktować w następujący sposób:
Canyon Bicycles GmbH
Karl-Tesche-Strasse 12
56073 Koblenz
Telefon: +49 (0)261 - 9490 300 0
E-mail: privacy@canyon.com
Witryna internetowa: https://www.canyon.com
Niniejsze oświadczenie dotyczy obecności firmy Canyon Bicycles GmbH w mediach społecznościowych (zob. 10.3.).
Naszym zewnętrznym inspektorem ochrony danych jest:
Dr Karsten Kinast, LL.M.
KINAST Rechtsanwaltsgesellschaft mbH
Hohenzollernring 54
D-50672 Kolonia
Telefon: +49 (0)221 - 222 183 0
E-mail: team-cgn1@kinast.eu; mail@kinast.eu
witryna internetowa: http://www.kinast.eu
W przypadku jakichkolwiek pytań lub wątpliwości odnośnie do ochrony danych zachęcamy również do bezpośredniego kontaktu z naszym zewnętrznym inspektorem ochrony danych.
Dane kontaktowe inspektorów ochrony danych na witrynach internetowych dostawców mediów społecznościowych wymienionych poniżej można znaleźć w stosownych politykach ochrony prywatności.
Można nas znaleźć na tych mediach platformach mediów społecznościowych:
- Facebook: https://www.facebook.com/Canyon.DE
- Instagram:
- https://www.instagram.com/Canyon
- https://www.instagram.com/cllctv_mtb/
- https://www.instagram.com/cllctv_grvl/
- YouTube: https://www.youtube.com/@CanyonBicycles
- Strava: https://www.strava.com/clubs/3812
- TikTok: https://www.tiktok.com/@canyon_bicycles
- X: https://x.com/canyon_bikes
Pragniemy wyraźnie zaznaczyć, że nie mamy żadnego wpływu na podstawowe funkcje platform mediów społecznościowych. Działanie platform i to, jak przetwarzane są na nich dane użytkowników, leży przede wszystkim w gestii konkretnych operatorów. Więcej informacji można znaleźć w odpowiednich politykach ochrony prywatności. W przypadku dalszych pytań na ten temat należy kontaktować się z właściwymi operatorami.
Niemniej przedstawiamy niżej informacje o procedurach związanych z przetwarzaniem danych na platformach mediów społecznościowych, z którymi współpracujemy:
a. Nawiązanie kontaktu i wysyłanie wiadomości
Wskazane wyżej kanały mediów społecznościowych oferują możliwość kontaktu z nami w formie bezpośrednio przekazanej wiadomości. W takich przypadkach przetwarzamy przekazywane nam dane - najczęściej nazwę użytkownika, godzinę wysłania wiadomości i statusu "przeczytana/"nieprzeczytana. Pragniemy wyraźnie zaznaczyć, że przedmiotowe dane są też przekazywane odpowiedniemu operatorowi platformy mediów społecznościowych w chwili nawiązania kontaktu. Zatem jeżeli użytkownik ma jakiekolwiek obawy związane z poufnością wysyłanych wiadomości, prosimy o kontakt w inny sposób.
Przetwarzanie przekazanych nam w ten sposób danych osobowych opiera się na art. 6 ust. 1 lit. b i f RODO.
Przechowujemy wiadomości wysyłane do nas w ten sposób tak długo, jak jest to potrzebne do realizacji wyznaczonego celu, a następnie usuwamy je - oczywiście o ile nie obowiązują wymagane prawem inne okresy przechowywania informacji. Należy pamiętać, że zwłaszcza wiadomości kierowane do nas publicznie podlegają odpowiednim okresom przechowywania definiowanym przez operatora mediów społecznościowych i nie zawsze mamy na to wpływ.
b. Reagowanie na nasze posty
W zależności od platformy dostawcy mediów społecznościowych oferują szeroki wybór możliwości, jeśli chodzi o reagowanie na publikowane przez nas treści. Mowa tu w szczególności o przesyłaniu "polubień", komentarzy i innych reakcji. Trzeba pamiętać, że nasza obecność w mediach społecznościowych jest widoczna dla każdego, a reakcji na publikowane przez nas treści nie da się ukryć przed innymi użytkownikami tych platform.
Analiza form reagowania na nasze posty w mediach społecznościowych bazuje na uzasadnionym interesie zgodnie z art. 6 ust. 1 lit. f RODO.
Tego typu informacje są zazwyczaj przechowywane bez ograniczeń czasowych. W przypadku, gdy użytkownik nie może samodzielnie usunąć określonego komunikatu, powinien skontaktować się z odpowiednim operatorem platformy. Można też zwrócić się do nas o pomoc przy usunięciu konkretnego postu. W przeciwnym razie odpowiedzialność ponosi operator platformy.
c. Przekazywanie danych do krajów spoza UE/EOG
Zdecydowana większość dostawców mediów społecznościowych ma siedzibę poza UE/EOG, tj. w krajach, w których postanowienia RODO nie znajdują bezpośredniego zastosowania. Podejmujemy jednak środki ostrożności wymagane przez RODO, aby zapewnić, że dane użytkowników są przekazywane zgodnie z przepisami o ochronie danych.
W związku z tym współpracujemy z firmami w krajach, odnośnie do których Komisja Europejska wydała decyzję stwierdzającą odpowiedni stopień ochrony. Dotyczy to w szczególności USA. Od 10 lipca 2023 r. dane przekazywane do USA objęte są tzw. decyzją UE o adekwatności ("Ramy ochrony danych EU-US"), na podstawie której odpowiednie firmy z USA zobowiązały się do przestrzegania wymaganych standardów ochrony danych i mają na to pozwolenie Departamentu Handlu Stanów Zjednoczonych. Firmy amerykańskie, które tego nie zrobiły, są traktowane tak samo jak inne globalne przedsiębiorstwa spoza Unii Europejskiej (o ile nie została podjęta decyzja stwierdzająca odpowiedni poziom ochrony danych). Canyon współpracuje tylko z firmami, co do których podjęto wymagane prawem środki w celu zapewnienia zgodnego z prawem przekazywania danych do danego państwa. Jeśli nie ma decyzji stwierdzającej odpowiedni stopień ochrony w państwie trzecim, zgodność z wymaganym poziomem ochrony danych zapewniana jest zwykle w drodze zawarcia standardowych klauzul umownych i wdrożenia dodatkowych środków ochrony danych.
W niektórych przypadkach dane osobowe dotyczące śledzenia i analizy przekazywane nam za pośrednictwem kanałów mediów społecznościowych przez odpowiednich operatorów platform trafiają do naszego zewnętrznego dostawcy oprogramowania z USA. To właśnie z oprogramowania tej firmy korzystamy do zarządzania relacjami z klientami w celu optymalizacji oferty i obecności w internecie. Zawarliśmy z nim odpowiednią umowę o przetwarzaniu zamówień.
Jeśli użytkownik wyraził stosowną zgodę, przetwarzanie danych opiera się na art. 6 ust. 1 lit. RODO (czasem dotyczy to także przekazywania danych do krajów spoza UE, również na podstawie art. 49 ust. 1 lit. RODO). Ponadto, w zależności od konkretnego przypadku, przetwarzanie danych może opierać się na naszym uzasadnionym interesie polegającym na optymalizacji obecności w internecie.
Przechowujemy te informacje wyłącznie w zakresie naszego obszaru odpowiedzialności tak długo, jak jest to konieczne do realizacji konkretnego celu. Następnie dane te są usuwane, o ile nie obowiązują inne, wymagane na mocy prawa, okresy przechowywania.
d. Wspólna odpowiedzialność: śledzenie i analiza
W odniesieniu do czynności związanych ze śledzeniem i analizą, prowadzonych przez operatorów platform, co do zasady działamy razem z nimi w charakterze tzw. "współadministratorów" (zob. art. 26 RODO).
Platformy gromadzą dane osobowe i przetwarzają je w celu optymalizacji świadczonych usług i umieszczania reklam, natomiast my otrzymujemy zwykle zanonimizowane statystyki dotyczące odwiedzających oraz ich interakcji z naszymi stronami. Aby lepiej zrozumieć, jak użytkownicy wchodzą w interakcje z naszą obecnością w mediach społecznościowych, opracowujemy również analizy demograficzne i geograficzne - na podstawie pozyskanych i udostępnionych informacji. Możemy je wykorzystać do umieszczania ukierunkowanych reklam w oparciu o zainteresowania użytkowników, nie znając tożsamości odwiedzającego. Na przykład jeżeli ktoś korzysta z Facebooka na wielu urządzeniach, możemy gromadzić i analizować informacje z różnych źródeł (pod warunkiem, że odwiedzający jest zarejestrowany i zalogowany na swoim profilu). Nie mamy żadnego wpływu na sposób śledzenia i otrzymujemy jedynie anonimowe statystyki. Opcje zapobiegania tym mechanizmom można znaleźć w ustawieniach platformy konkretnego operatora i informacjach o ochronie danych.
Podstawą prawną jest tu art. 6 ust. 1 lit. f RODO, nasz uzasadniony interes polegający na optymalizacji obecności w mediach społecznościowych i obsługa klienta z wykorzystaniem funkcji śledzenia.
Za okres przechowywania przetwarzanych w ten sposób danych odpowiada operator platformy.
Jeżeli użytkownik chciałby skorzystać z któregoś z praw osoby, której dane dotyczą - odnośnie do przetwarzania danych, na które mamy wpływ - zachęcamy do kontaktu z nami lub naszym inspektorem ochrony danych w dowolnym momencie. Wystarczy wysyłać nieformalną wiadomość, korzystając z podanych wyżej informacji kontaktowych. Analizujemy tego typu prośby (np. wnioski o informacje lub wyrażenie sprzeciwu) lub, w razie potrzeby, przekazujemy je odpowiedzialnej platformie mediów społecznościowych, jeśli prośba dotyczy przetwarzania danych przez operatora platformy.
Prawa użytkownika dotyczące przetwarzania danych osobowych:
- prawo do uzyskania informacji o przetwarzaniu danych i kopii przetwarzanych danych (tzw. prawo dostępu, art. 15 RODO);
- prawo do żądania sprostowania nieprawidłowych danych lub uzupełnienia niekompletnych danych (tzw. prawo do sprostowania, art. 16 RODO);
- prawo do żądania usunięcia danych osobowych i, jeśli dane osobowe zostały upublicznione, do informowania innych administratorów o żądaniu usunięcia (tzw. prawo do usunięcia, art. 17 RODO);
- prawo do żądania ograniczenia przetwarzania danych (tzw. prawo do ograniczenia przetwarzania, art. 18 RODO);
- prawo do otrzymania danych osobowych osoby, której dane dotyczą, w ustrukturyzowanym, powszechnie używanym i nadającym się do odczytu maszynowego formacie oraz do zażądania przekazania tych danych innemu administratorowi. W przypadku kanałów mediów społecznościowych można zasadniczo dochodzić tego prawa wyłącznie przeciwko konkretnemu operatorowi platformy mediów społecznościowych, ponieważ tylko on ma dostęp do danych profilowych (tzw. prawo do przenoszenia danych, art. 20 RODO).
- prawo do wniesienia sprzeciwu wobec przetwarzania danych w celu zapobieżenia ich przetwarzaniu (prawo do wniesienia sprzeciwu, art. 21 RODO); jeśli dane użytkownika są przetwarzane na podstawie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO), użytkownik ma prawo sprzeciwić się takiemu przetwarzaniu. Jeśli ze względu na konkretną sytuację użytkownika istnieją powody, które przewyższają nasz uzasadniony interes w dalszym przetwarzaniu, przestaniemy przetwarzać dane użytkownika. Można nas o tym poinformować w dowolnym momencie, najlepiej korzystając z dostępnym form kontaktu
- prawo do wycofania zgody w dowolnym momencie, aby zapobiec przetwarzaniu danych na podstawie zgody użytkownika. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania na jej podstawie zgody przed wycofaniem (prawo do wycofania, art. 7 RODO);
- prawo do wniesienia skargi do organu nadzorczego, jeśli użytkownik uważa, że przetwarzanie danych narusza RODO (prawo do wniesienia skargi do organu nadzorczego, art. 77 RODO)