1. O RHIZA
„RHIZA” to nazwa handlowa (dalej określana jako „RHIZA”, „my” lub „nas”), dla firmy Masstock Arable (UK) Limited, numer rejestracji 02387531, mającej siedzibę przy Station Road, Andoversford, Cheltenham, GL54 4LZ, i dla firmy United Agri Products Limited, numer rejestracyjny 02798041, mającej siedzibę przy Station Road, Andoversford, Cheltenham, GL54 4LZ i powiązane z nimi spółki zależne.
RHIZA jest wiodącym dostawcą usług i technologii z zakresu cyfrowej agronomii, wspierających zrównoważone i rentowne rozwiązania dla rolników w Wielkiej Brytanii.
Niniejsza Polityka prywatności określa, jakie dane osobowe są przez nas gromadzone, w jaki sposób je wykorzystujemy i inne informacje o tym, jak chronimy Państwa prywatność.
2. CEL
RHIZA ma na uwadze konieczność zachowania poufności informacji prywatnych, poufnych i zastrzeżonych. Niniejsza Polityka prywatności danych („Polityka”) określa ogólne podejście RHIZA do prywatności danych, w tym sposób, w jaki firma chroni poufność informacji prywatnych, poufnych i zastrzeżonych („Informacje Poufne Firmy” lub „Informacje Poufne Klienta”). Niniejsza Polityka ma na celu dbanie o zgodność ze wszystkimi obowiązującymi przepisami prawa, dyrektywami i przepisami oraz innymi regułami RHIZA dotyczącymi bezpieczeństwa i poufności wszystkich rodzajów informacji – papierowych, elektronicznych i ustnych. RHIZA nie sprzedaje, nie przekazuje, nie dzierżawi ani nie udostępnia danych użytkownika stronom trzecim innym niż opisane w niniejszej polityce. Dane są przez nas udostępniane tylko w sytuacjach, w których oczekuje się wsparcia przy realizacji zamówienia, świadczeniu usług i ulepszaniu produktów lub usług.
3. ZAKRES STOSOWANIA PRAWA
A. ZAKRES
Niniejsza Polityka obejmuje wszelkie poufne, prywatne i zastrzeżone informacje, które są przekazywane zarówno wewnętrznie, jak i zewnętrznie, niezależnie od nośnika wykorzystywanego do przechowywania lub przekazywania informacji. Do rodzajów danych objętych niniejszą Polityką można zaliczyć między innymi dane klienta, dane osobowe, poufne dane prawne, poufne dane klienta, niepubliczne dane finansowe i zastrzeżone dane badawcze. Łącznie te typy danych są określane jako „dane poufne”. Niniejsza Polityka dotyczy wszystkich pracowników firmy Agrii i innych osób wykonujących pracę na rzecz Spółki, która może obsługiwać i przechowywać poufne dane w imieniu marki RHIZA, jej Klientów lub Dostawców.
B. STOSOWANIE PRAWA
Niniejsza Polityka obejmuje międzynarodowe zasady ochrony danych bez zastępowania obowiązującego prawa krajowego. Uzupełnia ona krajowe przepisy dotyczące ochrony danych. Odpowiednie prawo krajowe będzie miało pierwszeństwo, jeśli jest ono sprzeczne z niniejszą Polityką lub ma bardziej rygorystyczne wymagania niż niniejsza Polityka. Treść niniejszej Polityki musi być również przestrzegana w przypadku braku odpowiedniego ustawodawstwa krajowego. Na mocy przepisów krajowych, należy przestrzegać wymogów raportowania dotyczących przetwarzania danych.
4. ZASADY
Na wysokim poziomie, zasady przetwarzania danych przestrzegane przez RHIZA są następujące1:
4.1. Uczciwość i działanie zgodnie z prawem: Podczas przetwarzania danych osobowych należy chronić indywidualne prawa podmiotów danych. Dane osobowe muszą być gromadzone i przetwarzane w sposób legalny i uczciwy.
4.2. Ograniczenie do określonego celu: Dane osobowe mogą być przetwarzane wyłącznie w celu, który został określony zanim rozpoczęto gromadzenie danych. Późniejsze zmiany celu są możliwe tylko w ograniczonym zakresie i wymagają uzasadnienia.
4.3. Przejrzystość: Podmiot danych musi zostać poinformowany o tym, w jaki sposób jego dane są przetwarzane. Ogólnie rzecz ujmując, dane osobowe muszą być gromadzone bezpośrednio od danej osoby. Po zebraniu danych, podmiot danych musi być świadom lub zostać poinformowany o tożsamości Administratora Danych; celu przetwarzania danych; oraz stronach trzecich lub kategoriach stron trzecich, do których dane mogą być przesyłane.
4.4. Redukcja danych i unikanie gromadzenia zbędnych danych: Przed przetwarzaniem danych osobowych należy ustalić, czy i w jakim stopniu przetwarzanie danych osobowych jest niezbędne do osiągnięcia celu, dla którego są one przetwarzane. W przypadku, gdy pozwala na to cel i gdy wydatek jest proporcjonalny do realizowanego celu, należy korzystać z danych anonimowych lub danych statystycznych. Dane osobowe nie mogą być gromadzone z wyprzedzeniem i przechowywane dla potencjalnych przyszłych celów, chyba że jest to wymagane lub dozwolone przez prawo krajowe.
4.5. Usunięcie: Dane osobowe, które nie są już potrzebne po wygaśnięciu okresów związanych z procesem prawnym lub biznesowym, muszą zostać usunięte. W niektórych przypadkach mogą zostać wskazane interesy, które wymagają ochrony lub, w indywidualnych przypadkach, dane o istotnym znaczeniu historycznym. Więcej informacji można znaleźć w zasadach przechowywania danych.
4.6. Ścisłość faktograficzna: Dane osobowe w pliku muszą być poprawne, kompletne i (jeśli to konieczne) aktualizowane. Należy podjąć odpowiednie kroki w celu usunięcia, poprawienia, uzupełnienia lub aktualizacji niedokładnych lub niekompletnych danych.
4.7. Poufność i bezpieczeństwo danych: Dane osobowe podlegają zobowiązaniu do zachowania poufności danych. Muszą być one traktowane na poziomie osobistym jako informacje poufne i być zabezpieczone odpowiednimi środkami organizacyjnymi i technicznymi, w celu zapobiegania nieautoryzowanemu dostępowi, nielegalnemu przetwarzaniu lub dystrybucji, a także przypadkowej stracie, modyfikacji lub zniszczeniu.
5. WIARYGODNOŚĆ PRZETWARZANIA DANYCH
Gromadzenie, przetwarzanie i wykorzystywanie danych osobowych jest dozwolone wyłącznie na podstawie następującej podstawy prawnej.
A. UDZIELONA ZGODA NA PRZETWARZANIE DANYCH
Dane mogą być przetwarzane po uzyskaniu zgody podmiotu danych. Przed wyrażeniem zgody, podmiot danych musi zostać poinformowany zgodnie z niniejszą Polityką. Deklaracja zgody musi zostać uzyskana na piśmie lub w formie elektronicznej w celu jej udokumentowania. W niektórych sytuacjach, takich jak rozmowy telefoniczne, zgoda może zostać udzielona ustnie. Udzielenie zgody musi zostać udokumentowane.
B. PRZETWARZANIE DANYCH ZGODNIE Z PRAWEM
Przetwarzanie danych osobowych jest również dozwolone, jeśli wymaga tego lub zezwala na to prawo krajowe. Rodzaj i zakres przetwarzania danych musi być konieczny do prawnie dozwolonego procesu przetwarzania danych, i musi być zgodny z odpowiednimi przepisami ustawowymi.
C. PRZETWARZANIE DANYCH WRAŻLIWYCH
Wrażliwe dane osobowe mogą być przetwarzane tylko wtedy, gdy wymaga tego prawo lub jeśli podmiot danych wyraził na to zgodę. Dane te mogą być również przetwarzane, jeśli jest to obowiązkowe przy dochodzeniu, wykonywaniu lub obronie roszczeń prawnych dotyczących podmiotu danych. Jeśli istnieją plany dotyczące przetwarzania danych wrażliwych, należy wcześniej poinformować o tym instytucję Computer Resource Central Organisation (CRCO) lub Firmowego Inspektora Ochrony Danych (IOD).
D. PRAWNIE UZASADNIONY INTERES
W niektórych okolicznościach, RHIZA będzie opierać się na założeniu prawnie uzasadnionego interesu, w celu uzasadnienia przetwarzania przez nas danych osobowych, lecz tylko w okolicznościach, w których Właściciel Danych powinien tego oczekiwać. Poniższy punkt nie wylicza tych sytuacji w wyczerpujący sposób, dlatego w razie wątpliwości sugerujemy skonsultowanie się z przedstawicielem RHIZA.
6. DANE KLIENTA
A. REALIZACJA ZAMÓWIENIA
RHIZA będzie realizować zamówienie rolnika i przetwarzać dane osobowe z zamiarem realizacji procesu zarządzania zamówieniami. Konkretne przykłady przetwarzanych danych są następujące:
- Dane osobowe i finansowe rolnika w celu utworzenia klienta w systemie zarządzania zamówieniami
- Lokalizacja gospodarstwa i dane GPS, umożliwiające dostarczenie produktu do właściwej lokalizacji
- Dane osobowe rolnika do wystawienia faktury związanej z zamówieniem
- Dane finansowe rolnika do realizacji płatności za zamówienie
- Dostęp do informacji o dostępie na tereny rolników, jeśli są one dostępne
B. OBRAZOWANIE SATELITARNE DO ŚWIADCZENIA USŁUG CYFROWYCH I PROWADZENIA BADAŃ
RHIZA przetwarza zdjęcia satelitarne i wykorzystuje dane z obrazów do ulepszania swoich cyfrowych produktów i usług, w celu zarządzania wydajnością uzyskiwaną przez klientów i agronomów oraz optymalizacji procesu przeprowadzania agronomicznych badań terenowych. Do konkretnych przykładów zalicza się:
- Dane satelitarne oceniające fazę wzrostu i rozwój uprawy wykorzystywane w celu określenia wymagań dotyczących stosowania produktu
- Dane satelitarne oceniające fazę wzrostu rośliny wykorzystywane w celu określenia optymalnego czasu zbiorów
- Wykorzystywanie danych satelitarnych do optymalizacji procesu przeprowadzania prób badawczych, dostarczając dodatkowych danych, które wzbogacają materiał badawczy
C. PRZETWARZANIE DANYCH GPS W CELU ŚWIADCZENIA USŁUG CYFROWYCH I TECHNOLOGICZNYCH
RHIZA będzie przetwarzać dane GPS na rzecz klientów korzystających z ich cyfrowych produktów i usług w celu wspierania klientów i agronomów za pomocą dodatkowych informacji, które pomogą zarządzać ich mocami produkcyjnymi. Konkretne przykłady obejmują:
- Mapowanie granic pól za pomocą danych GPS, tak aby dane satelitarne, pogodowe, OS i dane dot. gleby mogły być stosowane przez algorytmy służące do przekazywania klientowi istotnych informacji
- Wykorzystanie danych GPS do ustalenia dokładnej lokalizacji określonej próbki gleby
- Wykorzystanie danych GPS do ustalenia dokładnej lokalizacji przeglądu pola
D. ROZWÓJ BIZNESOWY
RHIZA będzie przechowywać dane kontaktowe sieci biznesowych z zamiarem zaangażowania sieci w korzystanie z informacji o produktach i usługach RHIZA. Przykłady takich działań:
- Zespoły marketingu technicznego zarządzające listą agronomów i rolników w celu rozpowszechniania biuletynów informacji technicznych dotyczących prób badawczych i produktów agronomicznych
- Zespół marketingu technicznego zarządzający listą agronomów i rolników w swoim regionie w celu zaproszenia do iFarms, i innych podobnych for edukacyjnych i marketingowych
- Pracownicy RHIZA zarządzają własną, osobistą listą kontaktów z zamiarem nawiązania kontaktu w celu rozwoju działalności RHIZA
- Zespoły marketingowe RHIZA nawiązują bezpośredni kontakt z klientami, którzy wyrazili zgodę, informując ich o produktach i usługach, które mogą ich zainteresować
E. PROFILOWANIE KLIENTÓW
RHIZA będzie przetwarzać dane klientów i segmentów klientów profilowych z zamiarem zwiększenia znaczenia produktów i usług RHIZA w sieci agronomów. Konkretne jego przykłady są następujące:
- Analiza trendów przy zamawianiu konkretnych produktów dla określonych gospodarstw lub agronomów oraz przy określaniu możliwości produktu alternatywnego lub usługi dla rolnika
- Analiza danych zamówienia w celu określenia możliwości oferowania dodatkowych produktów lub usług agronomom lub rolnikom
F. PRÓBY BADAWCZE
W niektórych przypadkach dane rolników są wykorzystywane jako część procesu prac nad badaniami i rozwojem (R&D). Wyniki z prac R&D umożliwiają RHIZA przekazywanie rolnikom odpowiednich informacji, które dają możliwość korzystania z udoskonalonych praktyk rolniczych. Konkretne przykłady danych wykorzystywanych w próbach badawczych to:
- Zestawy danych są klasyfikowane według konkretnego adresu rolnika i lokalizacji GPS
- Raporty badawcze są kategoryzowane według konkretnego adresu gospodarstwa i lokalizacji GPS, w tym nazwy rolnika i informacji kontaktowych
G. STRONY TRZECIE
Od czasu do czasu RHIZA może udostępniać dane stronom trzecim w celu zwiększenia możliwości agronomów i zwiększenia zysków rolnika, a także w celu ulepszania naszych produktów i usług. Konkretne przykłady obejmują:
- Udostępnianie anonimowych danych dotyczących planowania gospodarstwa rolnego dostawcom systemów zarządzania gospodarstwem, których używamy, wspierając ich w testowaniu ulepszeń produktów
- Udostępnianie danych agronomicznych i danych gospodarstwa w celu umożliwienia stronie trzeciej realizacji zamówienia na produkt
- Udostępnianie anonimowych danych cookie do celów analizy internetowej
7. PRAWA PODMIOTU DANYCH
Każda podmiot danych posiada następujące prawa
5.1. Podmiot danych może zażądać informacji o tym, jakie dane osobowe jego dotyczące zostały zapisane, w jaki sposób dane zostały zebrane i w jakim celu. Jeśli wciąż obowiązują prawa do przeglądania dokumentów pracodawcy (np. akt personalnych pracownika) dotyczących stosunku pracy zgodnie z odpowiednimi przepisami prawa pracy, pozostaną one nienaruszone.2
5.2. Jeżeli Dane Osobowe są przekazywane stronom trzecim, należy podać informacje na temat tożsamości odbiorcy lub kategorii odbiorców.3
5.3. Jeśli dane osobowe są niepoprawne lub niekompletne, podmiot danych może zażądać ich poprawienia lub uzupełnienia.4
5.4. Podmiot danych może wnieść sprzeciw wobec przetwarzaniu jego danych do celów reklamowych lub badań rynkowych. Wykorzystywanie danych do takich celów musi zostać zablokowane.5
5.5. Podmiot danych może zażądać usunięcia swoich danych, jeżeli nie istnieje podstawa prawna do przetwarzania takich danych lub jeżeli podstawa prawna przestała obowiązywać. To samo dotyczy sytuacji, w której cel przetwarzania danych wygasł lub przestał obowiązywać z innych powodów. Należy mieć na względzie istniejące okresy przechowywania i konflikty interesów wymagające ochrony.6
5.6. Podmiot danych na ogół ma prawo do wyrażenia sprzeciwu wobec przetwarzania swoich danych, co należy wziąć pod uwagę, jeżeli ochrona jego interesów ma pierwszeństwo względem interesu administratora danych ze względu na szczególną sytuację osobistą. Nie dotyczy to sytuacji, gdy przetwarzanie danych jest wymagane przez przepis prawny.7
5.7. Ponadto każdy podmiot danych może dochodzić praw zgodnie z krajowymi regulacjami prawnymi w zakresie ochrony danych osobowych.8
5.8. Gdy podmiot danych składa wniosek o możliwość korzystania z praw podmiotu danych, wniosek musi zostać niezwłocznie rozpatrzony przez Firmowego Inspektora Ochrony Danych.
8. ZAŁĄCZNIK A: TERMINY I DEFINICJE
A. Informacje osobiste to informacje, które można wykorzystać do odróżnienia lub prześledzenia tożsamości osoby, czyli danych takich jak imię i nazwisko, numer ubezpieczenia społecznego lub dane biometryczne, samodzielnie lub w połączeniu z innymi danymi osobowymi lub tożsamości, które są powiązane lub łączone z określoną osobą, takie jak data i miejsce urodzenia, nazwisko panieńskie matki itp.
B. Dane są zanonimizowane jeśli tożsamość osoby nigdy nie mogła zostać przez nikogo ustalona, lub jeśli tożsamość osoby może zostać odtworzona tylko przy poświęceniu na to zbyt dużej ilością czasu, kosztów i pracy.
C. Zgoda jest dobrowolną, prawnie wiążącą umową dotyczącą przetwarzania danych.
D. Incydenty naruszenia danych są zdarzeniami, w przypadku których istnieje uzasadnione podejrzenie, że dane osobowe są nielegalnie rejestrowane, gromadzone, modyfikowane, kopiowane, przesyłane lub wykorzystywane.
E. Podmiot danych w ramach niniejszej Polityki jest osobą fizyczną, której dane mogą być przetwarzane. W niektórych krajach podmiotami danych mogą być również podmioty prawne.
F. Wrażliwe dane to dane o pochodzeniu rasowym i etnicznym, poglądach politycznych, przekonaniach religijnych lub filozoficznych, przynależności do związku zawodowego lub zdrowiu i życiu seksualnym podmiotu danych. Zgodnie z niektórymi przepisami krajowymi, za wrażliwe mogą zostać uznane inne kategorie danych lub zawartość kategorii danych może mieć inną strukturę.
G. Dane Osobowe to wszystkie informacje o pewnych lub możliwych do zdefiniowania osobach fizycznych. Osoba jest możliwa do określenia, na przykład, jeśli osobisty związek może być określony przez połączenie różnych informacji, a nawet za pomocą przypadkowej wiedzy dodatkowej.
H. Przetwarzanie danych osobowych oznacza dowolny proces, z wykorzystaniem lub bez użycia zautomatyzowanych systemów, do gromadzenia, przechowywania, organizowania, zachowywania, modyfikowania, wysyłania zapytań, używania, przekazywania, przesyłania, rozpowszechniania lub łączenia i porównywania danych. Obejmuje ono również pozbywanie się, usuwanie i blokowanie danych i nośników danych. Przetwarzanie danych osobowych jest wymagane, jeżeli dozwolony cel lub uzasadniony interes nie może zostać osiągnięty bez danych osobowych lub tylko przy wyjątkowo wysokich kosztach.
I. Administrator Danych jest osobą fizyczną lub prawną, samodzielnie lub wspólnie z innymi osobami, które określają cele i sposoby przetwarzania danych.
J. Przetwarzający Dane jest osobą fizyczną lub prawną, która przetwarza dane osobowe w imieniu administratora danych.
1 RODO, Artykuł 5
2 Zalecenie RODO nr 58, 60; Art. 13-14
3 Zalecenie RODO nr 62; Art. 17(2), 19
4 Zalecenie RODO nr 39, 59, 65, 73; Art. 5(1)(d), 16
5 Zalecenie RODO nr 50,59,69-70, 73; Art. 21
6 Zalecenie RODO 65-66, 68; Art. 17
7 RODO Art. 21
8 RODO Art. 90
