Mezantic

Polityka prywatności

Jak Mezantic przetwarza dane kont, formularzy, respondentów, rozliczeń, wsparcia i użycia usługi.

EN

Polityka prywatności Mezantic

Wersja: 1.0 Data wejścia w życie: 2026-05-15 Administrator danych: SONATE sp. z o.o. z siedzibą w ul. Gospodarcza 26, 20-213 Lublin, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS 0001162191, NIP 9462751627, REGON 541212186 Kontakt w sprawach ochrony danych: hello@mezantic.com

Niniejsza Polityka prywatności (dalej: „Polityka") stanowi spełnienie obowiązku informacyjnego, o którym mowa w art. 13 i art. 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO"), z uwzględnieniem ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 ze zm.).

1. Zakres Polityki i role administratora

1.1. Polityka opisuje zasady przetwarzania danych osobowych w związku z korzystaniem z usługi Mezantic (dalej: „Usługa") świadczonej przez Administratora w domenie mezantic.com, w tym w związku z odwiedzaniem stron Usługi, zakładaniem i prowadzeniem konta, projektowaniem i publikowaniem formularzy, wypełnianiem formularzy publicznych, korzystaniem z funkcji opartych na sztucznej inteligencji, zakupem płatnego planu, kontaktem z obsługą oraz interakcją z dokumentami prawnymi i mechanizmami zgody.

1.2. W odniesieniu do danych użytkowników kont (klientów Usługi), danych rozliczeniowych, danych kontaktowych, danych zapisów prawnych oraz danych dotyczących bezpieczeństwa i działania samej Usługi — Administratorem danych osobowych w rozumieniu art. 4 pkt 7 RODO jest SONATE sp. z o.o.

1.3. W odniesieniu do treści formularzy tworzonych przez klientów Usługi, odpowiedzi udzielanych przez respondentów oraz załączników przesyłanych w ramach tych formularzy — administratorem danych osobowych jest klient Usługi (tj. podmiot, który utworzył dany formularz). Administrator Mezantic występuje w tym zakresie wyłącznie jako podmiot przetwarzający w rozumieniu art. 4 pkt 8 RODO i przetwarza dane na udokumentowane polecenie klienta na podstawie umowy powierzenia przetwarzania danych osobowych (DPA — Data Processing Agreement) zawieranej z każdym klientem.

1.4. Osoba wypełniająca formularz publiczny utworzony przez klienta Usługi (dalej: „Respondent") powinna w pierwszej kolejności skierować żądanie dotyczące swoich praw do administratora będącego właścicielem danego formularza. Administrator Mezantic, działając jako podmiot przetwarzający, może wesprzeć w przekazaniu żądania właściwemu administratorowi, w szczególności gdy tożsamość właściciela formularza nie jest jednoznaczna albo gdy formularz nosi znamiona nadużycia.

2. Inspektor Ochrony Danych

2.1. Administrator nie wyznaczył Inspektora Ochrony Danych (IOD), ponieważ nie zachodzą okoliczności wskazane w art. 37 ust. 1 RODO. We wszystkich sprawach dotyczących przetwarzania danych osobowych oraz korzystania z praw związanych z przetwarzaniem, osoba, której dane dotyczą, może kontaktować się z Administratorem pod adresem poczty elektronicznej: hello@mezantic.com albo pisemnie na adres siedziby wskazany w nagłówku Polityki.

3. Kategorie przetwarzanych danych osobowych

3.1. Dane konta i profilu: identyfikator konta, adres poczty elektronicznej, preferowany język interfejsu, zapisy uwierzytelnienia, profil przestrzeni roboczej oraz ustawienia konta.

3.2. Treści tworzone przez właściciela formularza: tytuły formularzy, struktura formularza, etykiety pól, ustawienia formularza, historia wersji, publiczne adresy URL, przesłane pliki źródłowe, polecenia kierowane do modelu AI, projekty wygenerowane przez model AI oraz wyeksportowane zestawienia odpowiedzi.

3.3. Dane Respondentów: odpowiedzi przesłane za pośrednictwem formularzy publicznych oraz ograniczone dane techniczne (np. zdarzenia operacyjne związane z przesłaniem formularza), w zakresie niezbędnym do działania formularza, zapewnienia bezpieczeństwa i zapobiegania nadużyciom.

3.4. Dane rozliczeniowe: status nabywcy (konsument lub przedsiębiorca), adres poczty elektronicznej do rozliczeń, adres rozliczeniowy, kraj, rodzaj i numer identyfikacji podatkowej (np. NIP, VAT UE), dane subskrypcji, dane faktury, identyfikatory dostawcy płatności oraz niezmienne kopie dokumentów rozliczeniowych. Faktury są wystawiane i obsługiwane przy użyciu zewnętrznego systemu fakturowego oraz, w zakresie wymaganym przepisami, za pośrednictwem Krajowego Systemu e-Faktur (KSeF).

3.5. Dane przetwarzane w ramach funkcji AI: przesłane pliki źródłowe, wyodrębniona z nich treść, polecenia kierowane do modelu, wygenerowane projekty formularzy, status zadań, metadane użycia, dane dostawcy i modelu oraz informacje diagnostyczne niezbędne do obsługi i analizy błędów funkcji AI.

3.6. Zapisy prawne i zapisy zgód: akceptacje Regulaminu, potwierdzenia zapoznania się z Polityką, oświadczenia składane w procesie zakupu, oświadczenia dotyczące statusu nabywcy, wybory dotyczące plików cookies i innych zgód, wersje obowiązujących dokumentów, znaczniki czasu, ustawienia językowe oraz ograniczone odniesienia pseudonimowe pozwalające powiązać zapis z kontem.

3.7. Dane obsługi, bezpieczeństwa i przeciwdziałania nadużyciom: treść wiadomości kierowanych do obsługi, zgłoszenia nadużyć i wniosków o usunięcie treści, raporty błędów, metadane żądań, zapisy bezpieczeństwa (logi), dowody podejrzanej aktywności oraz diagnostyka operacyjna.

3.8. Dane dotyczące korzystania z Usługi: odwiedzone podstrony, zdarzenia związane z używaniem funkcji, ogólne informacje o urządzeniu i przeglądarce, kategorie źródeł wejścia oraz zdarzenia analityczne — w zakresie, w jakim pozwala na to udzielona zgoda i konfiguracja Usługi.

3.9. Źródła danych: Administrator pozyskuje dane bezpośrednio od użytkowników kont, Respondentów, przedstawicieli klientów, osób kontaktujących się z obsługą, osób zgłaszających nadużycia, dostawców usług płatniczych i fakturowych, dostawców usług uwierzytelniania, dostawców infrastruktury i bezpieczeństwa, a także od właścicieli formularzy, którzy zapraszają inne osoby do udziału w formularzach lub publikują formularze.

4. Klauzula informacyjna dla Respondentów

4.1. Dane Respondentów trafiają do Usługi w wyniku wypełnienia formularza opublikowanego przez klienta-administratora. Administratorem danych Respondentów jest klient-administrator danego formularza; Administrator Mezantic występuje wyłącznie jako podmiot przetwarzający w imieniu klienta (zob. pkt 1.3). Obowiązek informacyjny wobec Respondentów spoczywa na kliencie-administratorze.

4.2. W zakresie, w jakim Administrator występuje jako podmiot przetwarzający, klient-administrator danego formularza jest zobowiązany do samodzielnego wykonania obowiązku informacyjnego wobec Respondentów, w szczególności do wskazania własnej tożsamości, celów i podstaw prawnych przetwarzania oraz kategorii odbiorców danych.

5. Cele i podstawy prawne przetwarzania danych

5.1. Administrator przetwarza dane osobowe wyłącznie wtedy, gdy posiada ku temu jedną z podstaw prawnych wynikających z art. 6 ust. 1 RODO oraz, w przypadkach szczególnych, z innych właściwych przepisów.

5.2. Założenie konta, uwierzytelnienie użytkownika, obsługa przestrzeni roboczej, zapisywanie formularzy, ich publikacja, dostęp do odpowiedzi, eksport danych, korzystanie z funkcji AI oraz świadczenie zwykłej obsługi klienta — w celu wykonania umowy o świadczenie Usługi albo podjęcia działań na żądanie osoby, której dane dotyczą, przed jej zawarciem. Podstawa prawna: art. 6 ust. 1 lit. b RODO.

5.3. Rozliczenia, subskrypcje, obsługa płatności, zapisy z procesu zakupu, zwroty, obsługa faktur oraz udostępnienie płatnego planu — w celu wykonania umowy i obsługi płatnej relacji handlowej. Podstawa prawna: art. 6 ust. 1 lit. b RODO, a w zakresie wymaganym przez przepisy podatkowe i o rachunkowości — także art. 6 ust. 1 lit. c RODO.

5.4. Wystawianie faktur, rozliczenia podatkowe, prowadzenie ksiąg rachunkowych, sprawozdawczość ustawowa, obsługa KSeF oraz inne wymagane prawem rejestry — w celu wypełnienia obowiązków prawnych ciążących na Administratorze wynikających w szczególności z ustawy z dnia 11 marca 2004 r. o podatku od towarów i usług, ustawy z dnia 29 września 1994 r. o rachunkowości oraz ustawy z dnia 29 sierpnia 1997 r. — Ordynacja podatkowa. Podstawa prawna: art. 6 ust. 1 lit. c RODO.

5.5. Zapewnienie bezpieczeństwa Usługi, przeciwdziałanie oszustwom i nadużyciom, prowadzenie postępowań w sprawie phishingu lub szkodliwych formularzy, egzekwowanie Regulaminu, ochrona integralności Usługi oraz ochrona Respondentów i klientów — w celu realizacji prawnie uzasadnionego interesu Administratora polegającego na prowadzeniu bezpiecznej i wiarygodnej Usługi, a w zakresie wymaganym przepisami — w celu wypełnienia obowiązków prawnych. Podstawa prawna: art. 6 ust. 1 lit. f RODO oraz, gdy ma to zastosowanie, art. 6 ust. 1 lit. c RODO.

5.6. Tworzenie i przechowywanie zapisów zgód, publicznych wersji i dat obowiązywania dokumentów prawnych, znaczników czasu utworzenia konta, dowodów oświadczeń składanych w procesie zakupu, zapisów żądań usunięcia lub eksportu danych, jak również dokumentów niezbędnych do dochodzenia lub obrony roszczeń — w celu wykazania spełnienia obowiązków wynikających z przepisów o ochronie danych osobowych i ochronie konsumentów oraz w celu ustalenia, dochodzenia lub obrony roszczeń. Podstawa prawna: w zależności od rodzaju zapisu — art. 6 ust. 1 lit. b, art. 6 ust. 1 lit. c oraz art. 6 ust. 1 lit. f RODO.

5.7. Prowadzenie analityki produktowej, diagnostyka Usługi, pomiary zdarzeń funkcjonalnych oraz rozwijanie Usługi — w celu realizacji prawnie uzasadnionego interesu Administratora polegającego na rozumieniu sposobu korzystania z Usługi i jej doskonaleniu, o ile przetwarzanie nie wymaga zgody. Administrator może również wykorzystywać zanonimizowane, zagregowane metadane korzystania z Usługi — z wyłączeniem treści odpowiedzi Respondentów — do analityki produktowej obejmującej wielu klientów, zgodnie z motywem 26 RODO. Skrypty analityczne, marketingowe i opcjonalne skrypty funkcjonalne, które nie są niezbędne, są ładowane wyłącznie zgodnie z Polityką plików cookies i udzielonymi zgodami. Podstawa prawna: art. 6 ust. 1 lit. f RODO albo — gdy wymagana jest zgoda — art. 6 ust. 1 lit. a RODO.

5.8. Wysyłka informacji handlowych, marketing bezpośredni drogą elektroniczną, remarketing oraz inne formy śledzenia oparte na zgodzie — wyłącznie po uzyskaniu wymaganej zgody. Wiadomości transakcyjne związane z wykonaniem umowy są odrębne od wiadomości marketingowych. Podstawa prawna: art. 6 ust. 1 lit. a RODO, w związku z art. 398 ustawy z dnia 12 lipca 2024 r. — Prawo komunikacji elektronicznej (PKE).

5.9. Treść formularzy tworzonych przez klienta, odpowiedzi Respondentów, przesłane pliki oraz powiązane dane odpowiedzi są przetwarzane przez Administratora Mezantic jako podmiot przetwarzający, w imieniu klienta, na podstawie umowy powierzenia przetwarzania. Cel i podstawę prawną tego przetwarzania określa klient jako administrator danych. Podstawy prawne wskazane w niniejszej Polityce odnoszą się do czynności przetwarzania, w których Administrator Mezantic występuje samodzielnie jako administrator danych (zob. pkt 1.2).

5.10. W odniesieniu do użytkowników kont (Klientów) podanie danych konta, danych uwierzytelniających, danych niezbędnych do świadczenia Usługi, danych rozliczeniowych oraz danych zakupowych jest dobrowolne, ale niezbędne do założenia konta, korzystania z Usługi lub zakupu płatnego planu — odmowa ich podania uniemożliwia świadczenie Usługi w odpowiednim zakresie. Zgody na pliki cookies analityczne i marketingowe, zarządzane w panelu zgód Mezantic, są w pełni dobrowolne; ich brak lub wycofanie nie wpływa na podstawową funkcjonalność Usługi.

Zakres pól wymaganych w formularzu publicznym oraz podstawę prawną przetwarzania odpowiedzi określa klient-administrator danego formularza.

5.11. Administrator nie podejmuje wobec użytkowników kont ani Respondentów decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywoływałyby wobec nich skutki prawne lub w podobny sposób istotnie na nich wpływały w rozumieniu art. 22 RODO. Funkcje AI generują wyłącznie edytowalne projekty, które wymagają zweryfikowania przez człowieka — klienta Usługi — przed ich wykorzystaniem.

6. Funkcje oparte na sztucznej inteligencji

6.1. Funkcje AI służą do generowania edytowalnych projektów formularzy na podstawie przesłanych plików źródłowych lub poleceń tekstowych. Wynik działania modelu AI każdorazowo wymaga sprawdzenia i zatwierdzenia przez klienta przed jego opublikowaniem lub innym wykorzystaniem.

6.2. Dane wejściowe i wyjściowe funkcji AI mogą być przetwarzane przez dostawcę modelu AI wskazanego w publicznej liście Dostawców usług, o której mowa w pkt 8. Administrator korzysta z usług dostawców AI wyłącznie w celu świadczenia funkcji, kontroli bezpieczeństwa i kosztów oraz diagnostyki zadań.

6.3. Administrator nie wykorzystuje treści klienta ani odpowiedzi Respondentów do trenowania modeli AI.

6.4. Zabronione jest przesyłanie do funkcji AI danych osobowych szczególnej kategorii (art. 9 RODO), danych dotyczących wyroków skazujących (art. 10 RODO), tajemnic prawnie chronionych, tajemnicy przedsiębiorstwa ani danych objętych szczególnym reżimem regulacyjnym, chyba że osoba korzystająca z funkcji posiada do tego ważną podstawę prawną, wdrożone odpowiednie zabezpieczenia oraz dokonała oceny ryzyka.

7. Pliki cookies i podobne technologie

7.1. Niezbędne pliki cookies oraz inne mechanizmy lokalnego przechowywania danych w przeglądarce wykorzystywane są w celu uwierzytelnienia, zapewnienia bezpieczeństwa, obsługi sesji zakupowej, zapisania preferencji językowych oraz świadczenia podstawowych funkcji Usługi.

7.2. Pliki cookies oraz inne mechanizmy lokalnego przechowywania danych wykorzystywane do celów analitycznych, marketingowych lub innych funkcji opcjonalnych są zarządzane zgodnie z Polityką plików cookies i wyborami osoby, której dane dotyczą. Skrypty zewnętrznych dostawców, identyfikatory oraz transmisje sieciowe niemające charakteru niezbędnego nie są ładowane przed uzyskaniem wymaganej zgody.

7.3. Zgoda na pliki cookies oraz zgoda na marketing prowadzony drogą elektroniczną stanowią odrębne oświadczenia i są zarządzane niezależnie. Szczegółowe informacje znajdują się w Polityce plików cookies dostępnej pod adresem mezantic.com/pl/legal/cookies.

8. Odbiorcy danych. Dostawcy usług i transfery poza EOG

8.1. Administrator korzysta z usług zewnętrznych dostawców w zakresie hostingu, bazy danych i przechowywania plików, obsługi płatności, fakturowania, komunikacji e-mail, monitoringu, analityki, zarządzania zgodami oraz funkcji AI. Aktualna lista Dostawców usług, wraz z podmiotem prawnym, adresem, celem przetwarzania, regionem przetwarzania oraz mechanizmem transferu poza EOG, a także z podziałem na Podprocesorów mogących przetwarzać dane Respondentów, dostawców wspierających wyłącznie operacje Mezantic oraz dostawców ładowanych po uzyskaniu zgody, jest udostępniona pod adresem mezantic.com/pl/legal/service-providers.

8.2. Odbiorcami danych mogą być również: (a) organy publiczne i sądowe — w zakresie, w jakim wynika to z obowiązujących przepisów prawa; (b) doradcy zewnętrzni (kancelarie prawne, biura rachunkowe, audytorzy) — w niezbędnym zakresie i na podstawie odrębnych umów zachowania poufności; (c) podmioty uczestniczące w transakcji M&A — wyłącznie w razie restrukturyzacji lub przejęcia, z poszanowaniem zasady minimalizacji.

8.3. W przypadku przekazywania danych osobowych poza Europejski Obszar Gospodarczy (EOG) Administrator zapewnia odpowiedni poziom ochrony danych poprzez zastosowanie co najmniej jednego z następujących mechanizmów:

  • decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony (art. 45 RODO), w tym decyzja wykonawcza (UE) 2023/1795 z dnia 10 lipca 2023 r. dotycząca odpowiedniego stopnia ochrony danych osobowych zapewnianego przez EU–US Data Privacy Framework (Ramy ochrony danych UE–USA, „DPF") — w odniesieniu do dostawców z USA uczestniczących w tym programie,
  • standardowe klauzule umowne (Standard Contractual Clauses, SCC) przyjęte decyzją wykonawczą Komisji (UE) 2021/914 z dnia 4 czerwca 2021 r. (art. 46 ust. 2 lit. c RODO),
  • inny zgodny z prawem mechanizm transferu przewidziany w rozdziale V RODO, wraz z dodatkowymi środkami zabezpieczającymi, gdy są wymagane.

8.4. Na żądanie skierowane na adres hello@mezantic.com Administrator udostępnia osobie, której dane dotyczą, informacje o zastosowanych zabezpieczeniach transferu, w tym kopię zastosowanych standardowych klauzul umownych — z zachowaniem tajemnicy handlowej i innych prawnie chronionych interesów stron.

9. Okres przechowywania danych

9.1. Dane konta, dane profilowe, dane przestrzeni roboczej, formularze, ich wersje oraz odpowiedzi — przez okres aktywności konta, przestrzeni roboczej lub formularza, chyba że zostaną wcześniej usunięte przez klienta albo w ramach procesu usuwania danych.

9.2. Pliki źródłowe przesłane do funkcji AI — przez 30 dni od zakończenia lub niepowodzenia zadania, chyba że zostaną usunięte wcześniej. Usunięcie plików z warstwy przechowywania plików wymaga osobnej operacji u dostawcy i może być realizowane zgodnie z jego terminami.

9.3. Metadane zadań AI — przez okres aktywności konta i są usuwane lub anonimizowane wraz z usunięciem konta, z wyjątkiem ograniczonych zapisów niezbędnych do przeciwdziałania nadużyciom, kontroli kosztów lub wykonania obowiązków prawnych.

9.4. Publiczne wersje i daty obowiązywania dokumentów prawnych, znaczniki czasu utworzenia konta oraz zapisy z procesu zakupu — do upływu terminów przedawnienia roszczeń wynikających z umowy, nie krócej niż przez 6 lat liczonych od końca roku kalendarzowego, w którym ustał stosunek prawny (art. 118 Kodeksu cywilnego, z uwzględnieniem skrócenia do 3 lat dla roszczeń związanych z prowadzeniem działalności gospodarczej oraz roszczeń o świadczenia okresowe), z zastrzeżeniem ostatecznej weryfikacji prawnej.

9.5. Zapisy zgód — przez okres opierania się na zgodzie, a następnie przez 6 lat liczonych od końca roku kalendarzowego, w którym ustał stosunek prawny lub w którym zgoda została cofnięta, w celu wykazania spełnienia obowiązku rozliczalności wynikającego z art. 5 ust. 2 oraz art. 7 ust. 1 RODO.

9.6. Zapisy żądań usunięcia lub eksportu danych — przez 6 lat liczonych od końca roku kalendarzowego, w którym żądanie zostało zamknięte, przy czym po usunięciu danych zachowywane są wyłącznie podsumowania niezawierające treści wprowadzonej przez użytkownika w polach produktu.

9.7. Faktury, dowody płatności i pozostała dokumentacja podatkowo-księgowa — przez okres wymagany przepisami prawa, w szczególności przez 5 lat liczonych od początku roku następującego po roku obrotowym, którego dane dotyczą (art. 74 ustawy o rachunkowości), oraz do upływu terminu przedawnienia zobowiązania podatkowego (art. 70 § 1 oraz art. 86 § 1 Ordynacji podatkowej), chyba że odrębne przepisy wymagają dłuższego okresu.

9.8. Zapisy obsługi, zgłoszeń nadużyć i wniosków o usunięcie treści — przez 2 lata, chyba że konieczność dłuższego przechowywania wynika z obowiązku zabezpieczenia dowodów na potrzeby postępowania albo z potrzeb bezpieczeństwa.

9.9. Zapisy supresji marketingowej (rezygnacji z otrzymywania komunikacji marketingowej) — bezterminowo lub przez okres niezbędny do honorowania rezygnacji.

9.10. Usunięte wiersze bazy danych mogą pozostawać możliwe do odtworzenia wyłącznie w skonfigurowanym oknie kopii zapasowych i odtwarzania awaryjnego. Pliki przechowywane w warstwie obiektowej wymagają odrębnego procesu usuwania i nie podlegają założeniom dotyczącym kopii zapasowych bazy danych.

10. Usunięcie konta i eksport danych

10.1. Usunięcie konta powoduje usunięcie aktywnych treści konta oraz danych Usługi powiązanych z kontem z aktywnego środowiska produkcyjnego, z zastrzeżeniem rozliczeń, obowiązków prawnych, wymogów księgowych, bezpieczeństwa, przeciwdziałania nadużyciom, kopii zapasowych oraz zachowywanych zapisów, o których mowa w pkt 9.

10.2. Po usunięciu konta Administrator może zachować ograniczone, w miarę możliwości pseudonimizowane zapisy obejmujące akceptacje prawne, oświadczenia z procesu zakupu, zgody, żądania usunięcia/eksportu, faktury, dane płatności i księgowe, zapisy obsługi oraz zapisy nadużyć — wyłącznie w zakresie i przez okres wskazany w pkt 9.

10.3. Zachowywane podsumowania usunięcia nie obejmują niezredagowanych tytułów formularzy, identyfikatorów adresów (slug), reprezentacji JSON struktury formularzy, treści odpowiedzi, nazw przesyłanych plików, poleceń kierowanych do modelu AI, zawartości plików PDF, adresów poczty elektronicznej, imion i nazwisk, nazw przedsiębiorców, numerów identyfikacji podatkowej, danych kupującego, pełnych adresów IP, danych nagłówka user-agent, ładunków zwracanych przez dostawców ani innych treści wprowadzanych przez użytkownika w polach tekstowych produktu, chyba że ich zachowanie jest wymagane przepisami prawa lub niezbędne do dochodzenia, ustalenia albo obrony roszczeń.

10.4. Żądania eksportu danych mogą być realizowane za pomocą dostępnych funkcji Usługi albo za pośrednictwem obsługi. Administrator nie zapewnia, że każde żądanie eksportu lub realizacji praw będzie obsługiwane wyłącznie poprzez samoobsługowy mechanizm w Usłudze.

11. Prawa osoby, której dane dotyczą

11.1. W zakresie i na zasadach określonych w RODO, osobie, której dane dotyczą, przysługują następujące prawa:

11.2. Prawo dostępu do danych — obejmujące prawo do uzyskania potwierdzenia, czy Administrator przetwarza dane osoby, której dane dotyczą, uzyskania kopii tych danych oraz informacji o przetwarzaniu, w zakresie wskazanym w art. 15 RODO.

11.3. Prawo do sprostowania danych nieprawidłowych oraz uzupełnienia danych niekompletnych — art. 16 RODO.

11.4. Prawo do usunięcia danych („prawo do bycia zapomnianym") — w przypadkach wskazanych w art. 17 RODO, z zastrzeżeniem wyłączeń wynikających m.in. z konieczności przechowywania danych z uwagi na obowiązki prawne, obronę roszczeń lub potrzeby bezpieczeństwa.

11.5. Prawo do żądania ograniczenia przetwarzania — w przypadkach wskazanych w art. 18 RODO, w szczególności w razie kwestionowania prawidłowości danych, wniesienia sprzeciwu lub potrzeby zabezpieczenia danych na potrzeby roszczeń.

11.6. Prawo do wniesienia sprzeciwu — wobec przetwarzania opartego na prawnie uzasadnionym interesie (art. 6 ust. 1 lit. f RODO), na zasadach wskazanych w art. 21 RODO. Wobec przetwarzania na potrzeby marketingu bezpośredniego sprzeciw można wnieść w każdym czasie i jest on dla Administratora wiążący.

11.7. Prawo do cofnięcia zgody — w przypadku przetwarzania opartego na zgodzie (art. 6 ust. 1 lit. a RODO). Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem ani na przetwarzanie prowadzone na innej podstawie prawnej.

11.8. Prawo do przenoszenia danych — w zakresie przewidzianym w art. 20 RODO, dotyczące danych dostarczonych przez osobę, której dane dotyczą, przetwarzanych w sposób zautomatyzowany na podstawie zgody lub umowy.

11.9. Prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, która wywołuje wobec osoby skutki prawne lub w podobny sposób istotnie na nią wpływa — na zasadach wskazanych w art. 22 RODO.

11.10. Prawo wniesienia skargi do organu nadzorczego. Osoba, której dane dotyczą, ma prawo wniesienia skargi do właściwego organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli uzna, że przetwarzanie jej danych osobowych narusza przepisy RODO. Organem właściwym dla Administratora jako polskiej spółki jest:

Prezes Urzędu Ochrony Danych Osobowych ul. Stawki 2 00-193 Warszawa Telefon: +48 22 531 03 00 Strona internetowa: https://uodo.gov.pl Adres poczty elektronicznej: kancelaria@uodo.gov.pl

Wnoszenie skarg drogą elektroniczną odbywa się za pośrednictwem Elektronicznej Skrzynki Podawczej Prezesa Urzędu Ochrony Danych Osobowych. Skargi przesłane wyłącznie na adres poczty elektronicznej kancelaria@uodo.gov.pl mogą zostać pozostawione bez rozpoznania. Osoby mające zwykły pobyt w Wielkiej Brytanii mogą wnieść skargę do Information Commissioner's Office (ICO), Wycliffe House, Water Lane, Wilmslow, Cheshire SK9 5AF — https://ico.org.uk.

11.11. Sposób korzystania z praw. Użytkownicy kont mogą kierować żądania na adres poczty elektronicznej hello@mezantic.com albo pisemnie na adres siedziby Administratora. Respondenci powinni w pierwszej kolejności kontaktować się z administratorem danego formularza, ponieważ to on określa cele i sposoby przetwarzania odpowiedzi; obsługa Administratora może wesprzeć w przekierowaniu żądania, gdy tożsamość właściciela formularza nie jest jednoznaczna albo gdy formularz nosi znamiona nadużycia.

11.12. Termin realizacji żądania. Administrator udziela odpowiedzi na żądanie bez zbędnej zwłoki, nie później niż w terminie miesiąca od jego otrzymania. W razie potrzeby termin może zostać przedłużony o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań — o przedłużeniu i jego przyczynach Administrator informuje osobę, której dane dotyczą, w terminie miesiąca od otrzymania żądania (art. 12 ust. 3 RODO).

11.13. Weryfikacja tożsamości. Administrator może zwrócić się o dodatkowe informacje pozwalające zweryfikować tożsamość osoby składającej żądanie. Realizacja praw jest co do zasady bezpłatna; w przypadku żądań ewidentnie nieuzasadnionych lub nadmiernych Administrator zastrzega prawo do odmowy lub pobrania rozsądnej opłaty. Jeżeli żądanie dotyczy danych, w odniesieniu do których Administrator występuje jako podmiot przetwarzający w imieniu klienta, Administrator może przekazać żądanie temu klientowi albo obsłużyć je zgodnie z jego udokumentowanymi instrukcjami.

12. Bezpieczeństwo danych

12.1. Administrator stosuje środki techniczne i organizacyjne służące zapewnieniu bezpieczeństwa przetwarzania, odpowiednie do ryzyka naruszenia praw lub wolności osób fizycznych (art. 32 RODO), w tym: szyfrowanie połączeń TLS, szyfrowanie danych w spoczynku w warstwie infrastruktury, mechanizm Row-Level Security w bazie danych ograniczający dostęp do danych klienta, separację środowisk produkcyjnego i przedprodukcyjnego, regularne kopie zapasowe i procedury odtworzeniowe, monitoring zdarzeń bezpieczeństwa i błędów aplikacji, ograniczenie dostępu do danych osobowych do upoważnionych osób na zasadzie wiedzy koniecznej.

12.2. W razie naruszenia ochrony danych osobowych prowadzącego do wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, Administrator podejmuje działania zgodne z art. 33–34 RODO, w tym powiadamia Prezesa UODO oraz, gdy jest to wymagane, osoby, których dane dotyczą.

12.3. Żadna usługa świadczona drogą elektroniczną nie zapewnia bezwzględnego poziomu bezpieczeństwa. Klienci ponoszą odpowiedzialność za zgodne z prawem projektowanie formularzy, odpowiednie informowanie Respondentów, kontrolę dostępu do konta oraz bezpieczne posługiwanie się danymi wyeksportowanymi z Usługi.

13. Zmiany Polityki

13.1. Administrator może aktualizować Politykę w razie zmian w zakresie Usługi, zmian po stronie dostawców, zmian prawa lub praktyk przetwarzania danych. O istotnych zmianach Administrator informuje w Usłudze lub drogą elektroniczną, gdy jest to właściwe. Administrator prowadzi rejestr wersji Polityki — historyczne wersje są udostępniane na żądanie.

14. Wersje językowe i prawo właściwe

14.1. Niniejszy dokument jest polskojęzyczną Polityką prywatności Mezantic, sporządzoną jako samodzielny instrument informacyjny dla osób posługujących się językiem polskim. Równoległa anglojęzyczna Polityka prywatności (Privacy Policy Mezantic) jest utrzymywana w merytorycznej spójności z niniejszym dokumentem i aktualizowana jednocześnie. Żadna z wersji nie jest tłumaczeniem drugiej opatrzonym klauzulą „wersji przeważającej" — każda stanowi pierwszorzędny dokument informacyjny dla swojej grupy docelowej w rozumieniu art. 12 RODO (przejrzysta informacja).

14.2. Prawem właściwym dla niniejszej Polityki jest prawo polskie, bez uszczerbku dla bezwzględnie obowiązujących praw osób fizycznych wynikających z RODO oraz przepisów państwa zwykłego pobytu osoby, której dane dotyczą.

14.3. Aktualna treść Polityki dostępna jest pod adresem: mezantic.com/pl/legal/privacy. Wersja angielska Polityki dostępna jest pod adresem: mezantic.com/en/legal/privacy.