Privacy Policy

Artha Consulting Sp. z o.o.

1. General provisions

This document sets out the rules for the processing of personal data by Artha Consulting Sp. z o.o. in connection with the use of the website arthaconsulting.net, contact with Artha, conducting business relationships, recruitment, marketing of services and the provision of consulting services. The document also contains information on cookies and the rules for entrusting the processing of personal data in relations with B2B clients where Artha acts as a processor.

This document has been prepared taking into account the requirements of Articles 13 and 14 of the GDPR concerning the information obligation and Article 28 of the GDPR concerning the entrusting of personal data processing.

2. Personal data controller

The controller of personal data is:

Artha Consulting Sp. z o.o.
ul. Konwaliowa 19C, 05-552 Lazy, Poland
KRS: 0000438192
NIP: 1231273477
REGON: 146363809
e-mail address: contact@arthaconsulting.net

In matters concerning the processing of personal data, the Controller may be contacted at the e-mail address: contact@arthaconsulting.net.

The Controller does not indicate a Data Protection Officer in this document. If a Data Protection Officer is appointed, their contact details should be added to this Policy.

3. Basic definitions

Term	Meaning
Controller	Artha Consulting Sp. z o.o., which determines the purposes and means of personal data processing.
GDPR	Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016.
Website	the website arthaconsulting.net and its subpages.
User	a person using the Website or contacting Artha.
Personal data	information relating to an identified or identifiable natural person.
Client	an entity with which Artha cooperates or conducts discussions regarding cooperation.
Processor	an entity processing personal data on behalf of the controller, in accordance with Article 28 of the GDPR.

4. Categories of persons whose data may be processed

Website users;
persons contacting Artha via a form, e-mail, telephone or social media;
clients, potential clients and persons representing clients and potential clients;
business partners, experts, subcontractors, consultants and persons representing such entities;
candidates for employment or cooperation;
participants in projects, workshops, training sessions, meetings and events conducted or co-conducted by Artha;
persons whose data has been provided to Artha by a client for the purpose of providing consulting services.

5. Scope of processed data

Depending on the purpose and circumstances, Artha may process the following categories of data:

first name and surname;
contact details, in particular e-mail address and telephone number;
business data, including the name of the employer or organization, position, department and role in the project;
identification and billing data, including NIP, REGON, business address and invoicing data;
content of correspondence and information provided in contact forms;
data contained in documents provided as part of project cooperation;
candidate data provided in a CV, portfolio, professional profile or during recruitment interviews;
technical data related to the use of the Website, such as IP address, cookie identifiers, browser and operating system data, date and time of visit and information on the manner of using the Website;
image, if provided as part of cooperation, an event, project or promotional materials and where there is an appropriate legal basis for processing it.

As a rule, Artha does not intend to obtain special categories of personal data referred to in Article 9 of the GDPR through the Website. If a user independently provides such data, it will be processed only to the extent resulting from the purpose for which it was provided and the relevant legal basis.

6. Purposes, legal bases and periods of data processing

Purpose	Example data	Legal basis	Retention period
Contact and handling of inquiries	first name, surname, e-mail, telephone, message content, business data	Article 6(1)(f) GDPR – legitimate interest consisting in communication and handling inquiries; where necessary, Article 6(1)(b) GDPR – steps prior to entering into a contract	for the period necessary to handle the inquiry, and thereafter for the period necessary to defend against or pursue claims
Conducting B2B business relationships	contact data, business data, position, contact history, organization data	Article 6(1)(f) GDPR – legitimate interest consisting in maintaining business relationships	for the duration of the business relationship or until an effective objection is raised
Preparation and performance of a contract	identification, contact, billing and project data	Article 6(1)(b) GDPR – performance of a contract or steps prior to entering into it; Article 6(1)(f) GDPR in the case of persons representing a contractor	for the duration of the contract and thereafter for the limitation period for claims
Provision of consulting, strategic, ESG, training and analytical services	data provided as part of the project, participant data, contact data, business data	Article 6(1)(b) or (f) GDPR; in the case of data entrusted by a client – Article 28 GDPR and a data processing agreement	for the duration of the project and thereafter for the period of project archiving or the limitation period for claims
Marketing of own services	contact data, business data, history of marketing communication	Article 6(1)(f) GDPR – legitimate interest; Article 6(1)(a) GDPR – consent, where required by law	until an objection is raised, consent is withdrawn or marketing activities end
Newsletter or sending recurring information	e-mail address, first name, organization data, communication preferences	Article 6(1)(a) GDPR – consent; alternatively Article 6(1)(f) GDPR to the extent of documenting consent and defending claims	until consent is withdrawn or subscription is cancelled
Recruitment and establishing expert cooperation	data from CVs, portfolios, professional profiles, correspondence and interviews	Article 6(1)(b) GDPR – steps prior to entering into a contract; Article 6(1)(c) GDPR – legal obligations; Article 6(1)(a) GDPR – consent to future recruitment	for the duration of recruitment, and in the case of consent to future recruitment – until consent is withdrawn, no longer than 12 months unless otherwise indicated
Website analytics	IP address, cookie identifiers, technical data, Website usage statistics	Article 6(1)(f) GDPR – legitimate interest, and with respect to cookies other than essential cookies also the user’s consent	for the period during which analytical tools operate or until consent is withdrawn
Ensuring the security of the Website and services	server logs, IP address, technical data, information on security events	Article 6(1)(f) GDPR – legitimate interest consisting in ensuring security and protection against abuse	for the period necessary to ensure security, usually no longer than 24 months, unless the data is needed for proceedings or claims
Compliance with legal, accounting and tax obligations	invoice data, contractor data, settlement data	Article 6(1)(c) GDPR – legal obligation	for the period required by law, in particular tax and accounting regulations
Establishing, pursuing or defending claims	data necessary to demonstrate a claim or defend against a claim	Article 6(1)(f) GDPR – legitimate interest	until the expiry of the limitation period for claims or the conclusion of proceedings

7. Legitimate interests of the Controller

Where the basis for processing is Article 6(1)(f) of the GDPR, Artha’s legitimate interest may consist in particular of:

communicating with persons contacting Artha;
maintaining and developing B2B business relationships;
marketing its own services in business relationships;
ensuring the security of the Website, IT systems and documentation;
organizing and delivering consulting projects;
establishing, pursuing or defending claims;
conducting internal analytics, reporting and improving business processes.

8. Source of data

Personal data may be obtained directly from the person to whom the data relates, in particular through a contact form, e-mail message, telephone conversation, meeting, exchange of a business card, participation in an event or provision of documents.

Data may also be obtained from clients, business partners, associates, entities representing organizations, publicly available registers, organizations’ websites or professional social networking portals, if this is justified by the business relationship or the scope of services provided.

If Artha obtains data from an entity other than the data subject, it complies with the information obligation under Article 14 of the GDPR, unless an exception provided for in the GDPR applies.

9. Data recipients

Personal data may be disclosed to the following categories of recipients:

providers of IT services, hosting, e-mail, communication tools, project management tools, CRM, analytics and security;
subcontractors, experts, consultants and partners cooperating with Artha in the implementation of projects;
law firms, tax advisors, accountants, auditors and other professional advisors;
Artha’s clients, if this is necessary for the implementation of a project or project communication;
postal operators, courier operators and administrative service providers;
banks and payment operators, if this is necessary for settlements;
public authorities, courts and other entities authorized under applicable law.

Data is transferred only to the extent necessary to achieve a specific purpose and with appropriate safeguards in place.

10. Transfer of data outside the European Economic Area

Personal data may be transferred outside the European Economic Area if this is connected with the implementation of international projects or the use of IT tools of globally operating providers.

In such a case, Artha applies mechanisms provided for by the GDPR, in particular European Commission adequacy decisions, standard contractual clauses, additional safeguards or other bases for data transfer provided for in the GDPR.

Information on the safeguards applied may be obtained by contacting Artha at: contact@arthaconsulting.net.

11. Rights of data subjects

The data subject has the following rights:

the right to access data and receive a copy of it;
the right to rectify incorrect data;
the right to erase data, if the conditions set out in the GDPR are met;
the right to restrict processing;
the right to data portability, if the processing is based on consent or a contract and is carried out by automated means;
the right to object to the processing of data based on a legitimate interest;
the right to object to direct marketing;
the right to withdraw consent at any time, without affecting the lawfulness of processing carried out before consent was withdrawn;
the right to lodge a complaint with the President of the Personal Data Protection Office.

In order to exercise these rights, please contact Artha at: contact@arthaconsulting.net. Artha may request additional information necessary to confirm the identity of the person submitting the request.

12. Voluntary provision of data

Providing data is voluntary; however, it may be necessary in order to use the contact form, receive a response, conclude or perform a contract, participate in recruitment, receive a newsletter or deliver consulting services.

To the extent that data processing results from legal provisions, providing data may be mandatory.

13. Automated decision-making and profiling

Artha does not make decisions concerning individuals based solely on automated processing that would produce legal effects concerning them or similarly significantly affect them.

If in the future Artha uses marketing or analytical profiling tools, this information should be expressly added to this Policy together with a description of the profiling rules and the rights of data subjects.

14. Data security

Artha applies appropriate technical and organizational measures aimed at ensuring the security of personal data, including protection against unauthorized access, loss, destruction, alteration or disclosure.

The measures applied may include in particular access control, security of IT systems, restricting access to data to authorized persons, use of data processing agreements with service providers, confidentiality rules and incident response procedures.

15. Cookies and similar technologies

15.1. What cookies are

Cookies are small text files stored on a user’s device when using the Website. Similar technologies may include pixels, tags, device identifiers, local browser storage or other technologies enabling information to be stored on or read from the user’s device.

15.2. Purposes of using cookies

The Website may use cookies for the following purposes:

ensuring the proper functioning of the Website;
maintaining the security and stability of the Website;
remembering user settings;
analyzing Website traffic and usage statistics;
conducting marketing activities, if such tools are used and the user has given the required consent.

15.3. Categories of cookies

Category	Description	Consent
Essential	necessary for the proper functioning of the Website, security, handling forms and basic functions	do not require consent if they are strictly necessary to provide the service requested by the user
Analytical	enable traffic measurement and analysis of Website use	used after obtaining consent, unless the given tool operates exclusively in a manner that does not require consent under applicable laws and guidelines
Functional	remember the user’s choices, e.g. language preferences or display settings	as a rule, used after obtaining consent if they are not essential
Marketing	enable advertising activities, remarketing or measurement of campaign effectiveness	used only after obtaining the user’s consent

15.4. Consent to cookies

Cookies other than essential cookies should be used only after obtaining the user’s prior consent. Consent should be freely given, specific, informed and unambiguous. The user should be able to accept all cookies, reject cookies other than essential cookies, and manage consents by category.

Lack of consent to cookies other than essential cookies should not prevent the use of the Website, unless a specific functionality cannot operate without a given cookie.

15.5. Withdrawal of consent and cookie management

The user may at any time change cookie settings or withdraw consent through the consent management mechanism available on the Website, if such a mechanism has been implemented. The user may also manage cookies in the settings of their web browser.

Disabling certain cookies may affect the operation of the Website or the availability of selected functions.

16. Newsletter and marketing communication

If Artha provides a newsletter or other recurring marketing communication, personal data is processed for the purpose of sending information about Artha’s services, events, publications, initiatives and expert materials.

Subscription to the newsletter is voluntary. A person who has subscribed to the newsletter may unsubscribe at any time via the unsubscribe link or by contacting Artha.

If Artha directs marketing communication to business e-mail addresses as part of B2B relationships, the basis for processing may be Artha’s legitimate interest, while respecting the right to object and the rules on electronic communications.

17. Recruitment and expert cooperation

Data of candidates and potential associates is processed for the purpose of conducting a recruitment process or assessing the possibility of cooperation. The scope of data includes data provided by the candidate, in particular contact details, information on professional experience, qualifications, education and expectations regarding cooperation.

Data may be stored for the purposes of a specific recruitment process or discussions on cooperation, and on the basis of separate consent also for future recruitment or future cooperation.

18. Changes to the Policy

Artha may update this Policy in particular in the event of changes in legal provisions, the scope of services, Website functionalities, IT tools used, cookies or data processing processes.

The current version of the Policy is published on the Website.

19. Contact

In matters concerning this Policy or the processing of personal data, please contact Artha at: contact@arthaconsulting.net.

PART II. RULES FOR ENTRUSTING PERSONAL DATA PROCESSING IN B2B RELATIONS

The following provisions apply where, in connection with the provision of services, a client entrusts Artha with the processing of personal data and Artha acts as a processor within the meaning of Article 28 of the GDPR. These provisions may be used as an appendix to an agreement with a client or as part of general terms of cooperation.

20. Subject matter, duration, nature and purpose of processing

The Client entrusts Artha with the processing of personal data for the duration of the agreement or order, to the extent necessary to perform consulting, analytical, strategic, ESG, training or other services agreed by the parties.

The purpose of processing is the proper performance of the agreement, individual orders, projects, workshops, analyses, reports, training, documentation, project communication and settlements related to the services.

The nature of processing may include in particular: collecting, recording, organizing, structuring, storing, viewing, analyzing, using, disclosing to authorized persons, modifying, deleting or returning data.

21. Categories of data and persons

The scope of data entrusted to Artha should each time be specified in the agreement, order, specification or other project document. Unless the parties agree otherwise, processing may include the following categories of data:

first name and surname;
e-mail address;
telephone number;
position and business data;
name of the organization or organizational unit;
information contained in documents, materials, questionnaires, statements, analyses or reports provided by the client;
other data necessary to implement a specific project.

The categories of persons to whom the data may relate include in particular: employees, associates, members of governing bodies, representatives, clients, contractors, partners, participants in workshops, training sessions or projects, as well as other persons indicated by the client.

22. Documented instructions of the client

Artha processes personal data only on the client’s documented instructions, unless the obligation to process results from European Union law or Member State law. Client instructions include in particular the agreement, order, specification, project correspondence, working arrangements and other instructions provided in documentary form.

Artha informs the client without undue delay if, in its opinion, an instruction issued infringes the GDPR or other data protection provisions.

23. Confidentiality and authorizations

Artha ensures that persons authorized to process personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.

Access to personal data is limited to persons who need it in connection with the provision of services.

24. Security measures

Artha applies appropriate technical and organizational measures required under Article 32 of the GDPR, taking into account the state of the art, implementation costs, the nature, scope, context and purposes of processing, and the risk of infringement of the rights or freedoms of natural persons.

These measures may include in particular access control, authorization management, securing devices and systems, use of passwords or other authentication mechanisms, backups, encryption or pseudonymization where adequate, and incident response procedures.

25. Use of further processors

The Client grants Artha general authorization to use further processors for the purpose of providing services and ensuring internal operational support for Artha’s business, in particular providers of IT services, hosting, e-mail, communication tools, project management systems, experts, consultants, subcontractors and members of the Artha team.

Artha informs the client of intended changes concerning the addition or replacement of further processors in advance, not less than 7 business days before the planned commencement of processing by a new entity, enabling the client to object.

Artha ensures that further processors are subject to data protection obligations no less stringent than those arising from the agreement with the client, in particular the obligation to ensure appropriate technical and organizational measures.

26. Assistance to the client in fulfilling GDPR obligations

Taking into account the nature of processing and the information available, Artha, where possible, assists the client in fulfilling obligations arising from the GDPR, in particular with regard to:

responding to requests from data subjects;
ensuring the security of processing;
notifying personal data breaches to the competent supervisory authority;
informing data subjects of a personal data breach, where required;
data protection impact assessments and prior consultations, where required.

If the assistance requires an above-standard workload, the parties may agree on the rules for covering justified costs of such assistance.

27. Personal data breaches

Artha informs the client of a detected personal data breach without undue delay and, where possible, no later than within 36 hours of detecting the breach, unless the breach is unlikely to result in a risk to the rights or freedoms of natural persons.

The breach notification should, to the extent the information is available, include a description of the nature of the breach, possible consequences of the breach, measures taken or proposed to address the breach, and contact details of the person responsible for communication regarding the breach. Information may be provided in stages without further undue delay.

28. Audits and demonstration of compliance

Artha makes available to the client information necessary to demonstrate compliance with the obligations arising from Article 28 of the GDPR and allows an audit or inspection to be carried out by the client or an auditor authorized by the client, subject to the following rules.

the audit requires prior notice to Artha at least 14 days before the planned date;
the audit takes place during Artha’s working hours and in a manner that does not disrupt its operations;
the audit must not infringe Artha’s trade secrets, the confidentiality of other clients’ data or the security of Artha’s systems;
an external auditor should be bound by confidentiality;
Artha may refuse to provide information if doing so would violate legal provisions, rights of third parties, trade secrets or the security of other clients’ data.

29. End of processing

After the completion of services related to data processing, Artha, in accordance with the client’s decision, deletes or returns personal data and deletes existing copies of it, unless European Union law or Member State law requires further storage of the data.

If the client does not provide instructions within a reasonable period, Artha may delete the data after the expiry of the period necessary to close the project, settlements, archiving and securing any potential claims, unless legal provisions or the agreement provide otherwise.

30. Transfer of data outside the EEA within the entrustment

Artha does not transfer entrusted data outside the European Economic Area unless this results from the documented instruction of the client, the nature of the project, the use of IT tools or is required by law.

If data is transferred outside the EEA, Artha applies the mechanisms provided for by the GDPR, in particular standard contractual clauses or other appropriate safeguards.

31. Priority of individually agreed provisions

If the agreement with the client, order or separate data processing agreement contains provisions different from this part of the document, the provisions individually agreed with the client shall prevail.

Polityka Prywatności

POLITYKA PRYWATNOŚCI, PLIKÓW COOKIES
ORAZ ZASAD POWIERZENIA PRZETWARZANIA DANYCH

Artha Consulting Sp. z o.o.

1. Postanowienia ogólne

Niniejszy dokument określa zasady przetwarzania danych osobowych przez Artha Consulting Sp. z o.o. w związku z korzystaniem ze strony internetowej arthaconsulting.net, kontaktem z Artha, prowadzeniem relacji biznesowych, rekrutacją, marketingiem usług oraz realizacją usług doradczych. Dokument zawiera również informacje dotyczące plików cookies oraz zasady powierzenia przetwarzania danych osobowych w relacjach z klientami B2B, jeżeli Artha działa jako podmiot przetwarzający.

Dokument został przygotowany z uwzględnieniem wymogów art. 13 i 14 RODO dotyczących obowiązku informacyjnego oraz art. 28 RODO dotyczącego powierzenia przetwarzania danych osobowych.

2. Administrator danych osobowych

Administratorem danych osobowych jest:

Artha Consulting Sp. z o.o.
ul. Konwaliowa 19C, 05-552 Łazy, Polska
KRS: 0000438192
NIP: 1231273477
REGON: 146363809
adres e-mail: contact@arthaconsulting.net

W sprawach dotyczących przetwarzania danych osobowych można kontaktować się z Administratorem pod adresem e-mail: contact@arthaconsulting.net.

Administrator nie wskazuje w niniejszym dokumencie Inspektora Ochrony Danych. Jeżeli Inspektor Ochrony Danych zostanie powołany, jego dane kontaktowe powinny zostać dodane do niniejszej Polityki.

3. Podstawowe definicje

Pojęcie	Znaczenie
Administrator	Artha Consulting Sp. z o.o., która decyduje o celach i sposobach przetwarzania danych osobowych.
RODO	Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r.
Strona	strona internetowa arthaconsulting.net oraz jej podstrony.
Użytkownik	osoba korzystająca ze Strony lub kontaktująca się z Artha.
Dane osobowe	informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
Klient	podmiot, z którym Artha współpracuje lub prowadzi rozmowy dotyczące współpracy.
Podmiot przetwarzający	podmiot przetwarzający dane osobowe w imieniu administratora, zgodnie z art. 28 RODO.

4. Kategorie osób, których dane mogą być przetwarzane

użytkownicy Strony;
osoby kontaktujące się z Artha za pomocą formularza, poczty elektronicznej, telefonu lub mediów społecznościowych;
klienci, potencjalni klienci oraz osoby reprezentujące klientów i potencjalnych klientów;
partnerzy biznesowi, eksperci, podwykonawcy, konsultanci oraz osoby reprezentujące takie podmioty;
kandydaci do pracy lub współpracy;
uczestnicy projektów, warsztatów, szkoleń, spotkań i wydarzeń prowadzonych lub współprowadzonych przez Artha;
osoby, których dane zostały przekazane Artha przez klienta w celu realizacji usług doradczych.

5. Zakres przetwarzanych danych

W zależności od celu i okoliczności Artha może przetwarzać następujące kategorie danych:

imię i nazwisko;
dane kontaktowe, w szczególności adres e-mail i numer telefonu;
dane służbowe, w tym nazwa pracodawcy lub organizacji, stanowisko, dział, rola w projekcie;
dane identyfikacyjne i rozliczeniowe, w tym NIP, REGON, adres prowadzenia działalności, dane do faktury;
treść korespondencji i informacje przekazane w formularzach kontaktowych;
dane zawarte w dokumentach przekazanych w ramach współpracy projektowej;
dane kandydatów przekazane w CV, portfolio, profilu zawodowym lub podczas rozmów rekrutacyjnych;
dane techniczne związane z korzystaniem ze Strony, takie jak adres IP, identyfikatory cookies, dane przeglądarki, systemu operacyjnego, data i godzina wizyty oraz informacje o sposobie korzystania ze Strony;
wizerunek, jeżeli został przekazany w ramach współpracy, wydarzenia, materiałów projektowych lub promocyjnych i istnieje właściwa podstawa prawna jego przetwarzania.

Artha nie zamierza co do zasady pozyskiwać za pośrednictwem Strony szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO. Jeżeli użytkownik samodzielnie przekaże takie dane, będą one przetwarzane wyłącznie w zakresie wynikającym z celu ich przekazania oraz właściwej podstawy prawnej.

6. Cele, podstawy prawne i okresy przetwarzania danych

Cel	Przykładowe dane	Podstawa prawna	Okres przechowywania
Kontakt i obsługa zapytań	imię, nazwisko, e-mail, telefon, treść wiadomości, dane służbowe	art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes polegający na komunikacji i obsłudze zapytań; w razie potrzeby art. 6 ust. 1 lit. b RODO – działania przed zawarciem umowy	przez czas obsługi zapytania, a następnie przez okres niezbędny do obrony lub dochodzenia roszczeń
Prowadzenie relacji biznesowych B2B	dane kontaktowe, służbowe, stanowisko, historia kontaktu, dane organizacji	art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes polegający na utrzymywaniu relacji biznesowych	przez czas trwania relacji biznesowej lub do wniesienia skutecznego sprzeciwu
Przygotowanie i wykonanie umowy	dane identyfikacyjne, kontaktowe, rozliczeniowe, dane projektowe	art. 6 ust. 1 lit. b RODO – wykonanie umowy lub działania przed jej zawarciem; art. 6 ust. 1 lit. f RODO w przypadku osób reprezentujących kontrahenta	przez czas trwania umowy, a następnie przez okres przedawnienia roszczeń
Świadczenie usług doradczych, strategicznych, ESG, szkoleniowych i analitycznych	dane przekazane w ramach projektu, dane uczestników, dane kontaktowe, dane służbowe	art. 6 ust. 1 lit. b lub f RODO; w przypadku danych powierzonych przez klienta – art. 28 RODO i umowa powierzenia	przez czas realizacji projektu, a następnie przez okres archiwizacji projektowej lub przedawnienia roszczeń
Marketing usług własnych	dane kontaktowe, dane służbowe, historia komunikacji marketingowej	art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes; art. 6 ust. 1 lit. a RODO – zgoda, jeżeli jest wymagana przepisami	do wniesienia sprzeciwu, cofnięcia zgody lub zakończenia działań marketingowych
Newsletter lub wysyłka informacji cyklicznych	adres e-mail, imię, dane organizacji, preferencje komunikacyjne	art. 6 ust. 1 lit. a RODO – zgoda; ewentualnie art. 6 ust. 1 lit. f RODO w zakresie dokumentowania zgody i obrony roszczeń	do cofnięcia zgody lub rezygnacji z subskrypcji
Rekrutacja i nawiązanie współpracy eksperckiej	dane z CV, portfolio, profili zawodowych, korespondencji, rozmów	art. 6 ust. 1 lit. b RODO – działania przed zawarciem umowy; art. 6 ust. 1 lit. c RODO – obowiązki prawne; art. 6 ust. 1 lit. a RODO – zgoda na przyszłe rekrutacje	przez czas rekrutacji, a w przypadku zgody na przyszłe rekrutacje – do cofnięcia zgody, nie dłużej niż 12 miesięcy, chyba że wskazano inaczej
Analityka działania Strony	adres IP, identyfikatory cookies, dane techniczne, statystyki korzystania ze Strony	art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes, a w zakresie cookies innych niż niezbędne także zgoda użytkownika	przez okres działania narzędzi analitycznych lub do wycofania zgody
Zapewnienie bezpieczeństwa Strony i usług	logi serwera, adres IP, dane techniczne, informacje o zdarzeniach bezpieczeństwa	art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes polegający na zapewnieniu bezpieczeństwa i ochronie przed nadużyciami	przez okres niezbędny do zapewnienia bezpieczeństwa, zwykle nie dłużej niż 24 miesiące, chyba że dane są potrzebne do postępowania lub roszczeń
Wykonanie obowiązków prawnych, księgowych i podatkowych	dane fakturowe, dane kontrahentów, dane rozliczeniowe	art. 6 ust. 1 lit. c RODO – obowiązek prawny	przez okres wymagany przepisami prawa, w szczególności przepisami podatkowymi i rachunkowymi
Dochodzenie, ustalenie lub obrona roszczeń	dane niezbędne do wykazania roszczenia lub obrony przed roszczeniem	art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes	do upływu okresu przedawnienia roszczeń albo zakończenia postępowań

7. Prawnie uzasadnione interesy Administratora

Jeżeli podstawą przetwarzania jest art. 6 ust. 1 lit. f RODO, prawnie uzasadniony interes Artha może polegać w szczególności na:

prowadzeniu komunikacji z osobami kontaktującymi się z Artha;
utrzymywaniu i rozwijaniu relacji biznesowych B2B;
prowadzeniu marketingu własnych usług w relacjach biznesowych;
zapewnieniu bezpieczeństwa Strony, systemów informatycznych i dokumentacji;
organizacji i realizacji projektów doradczych;
dochodzeniu, ustalaniu lub obronie roszczeń;
prowadzeniu wewnętrznej analityki, raportowania i usprawniania procesów biznesowych.

8. Źródło danych

Dane osobowe mogą być pozyskiwane bezpośrednio od osoby, której dane dotyczą, w szczególności poprzez formularz kontaktowy, wiadomość e-mail, rozmowę telefoniczną, spotkanie, przekazanie wizytówki, udział w wydarzeniu lub przekazanie dokumentów.

Dane mogą być również pozyskiwane od klientów, partnerów biznesowych, współpracowników, podmiotów reprezentujących organizacje, publicznie dostępnych rejestrów, stron internetowych organizacji lub profesjonalnych portali społecznościowych, jeżeli jest to uzasadnione relacją biznesową lub zakresem realizowanych usług.

Jeżeli Artha pozyskuje dane od podmiotu innego niż osoba, której dane dotyczą, stosuje obowiązek informacyjny zgodnie z art. 14 RODO, chyba że zastosowanie ma wyjątek przewidziany w RODO.

9. Odbiorcy danych

Dane osobowe mogą być ujawniane następującym kategoriom odbiorców:

dostawcom usług IT, hostingu, poczty elektronicznej, narzędzi komunikacyjnych, narzędzi do zarządzania projektami, CRM, analityki i bezpieczeństwa;
podwykonawcom, ekspertom, konsultantom i partnerom współpracującym z Artha przy realizacji projektów;
kancelariom prawnym, doradcom podatkowym, księgowym, audytorom i innym profesjonalnym doradcom;
klientom Artha, jeżeli jest to niezbędne do realizacji projektu lub komunikacji projektowej;
operatorom pocztowym, kurierskim i dostawcom usług administracyjnych;
bankom i operatorom płatności, jeżeli jest to konieczne do rozliczeń;
organom publicznym, sądom i innym podmiotom uprawnionym na podstawie przepisów prawa.

Dane są przekazywane wyłącznie w zakresie niezbędnym do realizacji określonego celu oraz przy zastosowaniu odpowiednich zabezpieczeń.

10. Przekazywanie danych poza Europejski Obszar Gospodarczy

Dane osobowe mogą być przekazywane poza Europejski Obszar Gospodarczy, jeżeli jest to związane z realizacją projektów międzynarodowych lub korzystaniem z narzędzi informatycznych dostawców działających globalnie.

W takim przypadku Artha stosuje mechanizmy przewidziane przez RODO, w szczególności decyzje Komisji Europejskiej stwierdzające odpowiedni stopień ochrony, standardowe klauzule umowne, dodatkowe środki zabezpieczające lub inne podstawy przekazania danych przewidziane w RODO.

Informacje o stosowanych zabezpieczeniach można uzyskać, kontaktując się z Artha pod adresem: contact@arthaconsulting.net.

11. Prawa osób, których dane dotyczą

Osobie, której dane dotyczą, przysługują następujące prawa:

prawo dostępu do danych oraz otrzymania ich kopii;
prawo sprostowania nieprawidłowych danych;
prawo usunięcia danych, jeżeli zachodzą przesłanki określone w RODO;
prawo ograniczenia przetwarzania;
prawo przenoszenia danych, jeżeli przetwarzanie odbywa się na podstawie zgody lub umowy i w sposób zautomatyzowany;
prawo wniesienia sprzeciwu wobec przetwarzania danych na podstawie prawnie uzasadnionego interesu;
prawo wniesienia sprzeciwu wobec marketingu bezpośredniego;
prawo cofnięcia zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem zgody;
prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

W celu realizacji praw należy skontaktować się z Artha pod adresem: contact@arthaconsulting.net. Artha może poprosić o dodatkowe informacje niezbędne do potwierdzenia tożsamości osoby składającej żądanie.

12. Dobrowolność podania danych

Podanie danych jest dobrowolne, jednak może być niezbędne do skorzystania z formularza kontaktowego, otrzymania odpowiedzi, zawarcia lub wykonania umowy, udziału w rekrutacji, otrzymywania newslettera albo realizacji usług doradczych.

W zakresie, w jakim przetwarzanie danych wynika z przepisów prawa, podanie danych może być obowiązkowe.

13. Zautomatyzowane podejmowanie decyzji i profilowanie

Artha nie podejmuje wobec osób decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, które wywoływałyby wobec nich skutki prawne lub w podobny sposób istotnie na nie wpływały.

Jeżeli w przyszłości Artha będzie wykorzystywać narzędzia profilowania marketingowego lub analitycznego, informacja ta powinna zostać wyraźnie dodana do niniejszej Polityki, wraz z opisem zasad profilowania i praw osób, których dane dotyczą.

14. Bezpieczeństwo danych

Artha stosuje odpowiednie środki techniczne i organizacyjne mające na celu zapewnienie bezpieczeństwa danych osobowych, w tym ochronę przed nieuprawnionym dostępem, utratą, zniszczeniem, zmianą lub ujawnieniem.

Stosowane środki mogą obejmować w szczególności kontrolę dostępu, zabezpieczenia systemów informatycznych, ograniczenie dostępu do danych do osób upoważnionych, stosowanie umów powierzenia z dostawcami usług, zasady poufności oraz procedury reagowania na incydenty.

15. Pliki cookies i podobne technologie

15.1. Czym są pliki cookies

Pliki cookies to niewielkie pliki tekstowe zapisywane na urządzeniu użytkownika podczas korzystania ze Strony. Podobne technologie mogą obejmować piksele, tagi, identyfikatory urządzeń, lokalną pamięć przeglądarki lub inne technologie umożliwiające zapis lub odczyt informacji na urządzeniu użytkownika.

15.2. Cele stosowania cookies

Strona może wykorzystywać cookies w następujących celach:

zapewnienie prawidłowego działania Strony;
utrzymanie bezpieczeństwa i stabilności Strony;
zapamiętywanie ustawień użytkownika;
analiza ruchu i statystyk korzystania ze Strony;
prowadzenie działań marketingowych, jeżeli takie narzędzia są stosowane i użytkownik wyraził wymaganą zgodę.

15.3. Kategorie cookies

Kategoria	Opis	Zgoda
Niezbędne	konieczne do prawidłowego działania Strony, bezpieczeństwa, obsługi formularzy i podstawowych funkcji	nie wymagają zgody, jeżeli są ściśle niezbędne do świadczenia usługi żądanej przez użytkownika
Analityczne	umożliwiają mierzenie ruchu i analizę korzystania ze Strony	stosowane po uzyskaniu zgody, chyba że dane narzędzie działa wyłącznie w sposób niewymagający zgody zgodnie z właściwymi przepisami i wytycznymi
Funkcjonalne	zapamiętują wybory użytkownika, np. preferencje językowe lub ustawienia widoku	co do zasady stosowane po uzyskaniu zgody, jeżeli nie są niezbędne
Marketingowe	umożliwiają prowadzenie działań reklamowych, remarketingowych lub mierzenie skuteczności kampanii	stosowane wyłącznie po uzyskaniu zgody użytkownika

15.4. Zgoda na cookies

Cookies inne niż niezbędne powinny być stosowane dopiero po uzyskaniu uprzedniej zgody użytkownika. Zgoda powinna być dobrowolna, konkretna, świadoma i jednoznaczna. Użytkownik powinien mieć możliwość zaakceptowania wszystkich cookies, odrzucenia cookies innych niż niezbędne oraz zarządzania zgodami według kategorii.

Brak zgody na cookies inne niż niezbędne nie powinien uniemożliwiać korzystania ze Strony, chyba że określona funkcjonalność nie może działać bez danego pliku cookie.

15.5. Wycofanie zgody i zarządzanie cookies

Użytkownik może w każdej chwili zmienić ustawienia cookies lub wycofać zgodę za pomocą mechanizmu zarządzania zgodami dostępnego na Stronie, jeżeli taki mechanizm został wdrożony. Użytkownik może również zarządzać cookies w ustawieniach swojej przeglądarki internetowej.

Wyłączenie niektórych cookies może wpłynąć na działanie Strony lub dostępność wybranych funkcji.

16. Newsletter i komunikacja marketingowa

Jeżeli Artha udostępnia newsletter lub inną cykliczną komunikację marketingową, dane osobowe są przetwarzane w celu przesyłania informacji o usługach, wydarzeniach, publikacjach, inicjatywach i materiałach eksperckich Artha.

Subskrypcja newslettera jest dobrowolna. Osoba, która zapisała się na newsletter, może w każdej chwili zrezygnować z jego otrzymywania poprzez link rezygnacji lub kontakt z Artha.

Jeżeli Artha kieruje komunikację marketingową na adresy służbowe w ramach relacji B2B, podstawą przetwarzania może być prawnie uzasadniony interes Artha, z poszanowaniem prawa do sprzeciwu oraz przepisów dotyczących komunikacji elektronicznej.

17. Rekrutacja i współpraca ekspercka

Dane kandydatów oraz potencjalnych współpracowników są przetwarzane w celu przeprowadzenia procesu rekrutacji lub oceny możliwości współpracy. Zakres danych obejmuje dane przekazane przez kandydata, w szczególności dane kontaktowe, informacje o doświadczeniu zawodowym, kwalifikacjach, wykształceniu oraz oczekiwaniach dotyczących współpracy.

Dane mogą być przechowywane na potrzeby konkretnej rekrutacji lub rozmów o współpracy, a na podstawie odrębnej zgody również na potrzeby przyszłych rekrutacji lub przyszłej współpracy.

18. Zmiany Polityki

Artha może aktualizować niniejszą Politykę w szczególności w przypadku zmian przepisów prawa, zakresu usług, funkcjonalności Strony, stosowanych narzędzi IT, cookies lub procesów przetwarzania danych.

Aktualna wersja Polityki jest publikowana na Stronie.

19. Kontakt

W sprawach dotyczących niniejszej Polityki lub przetwarzania danych osobowych należy kontaktować się z Artha pod adresem: contact@arthaconsulting.net.

CZĘŚĆ II. ZASADY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH W RELACJACH B2B

Poniższe postanowienia mają zastosowanie, jeżeli w związku z realizacją usług klient powierza Artha przetwarzanie danych osobowych, a Artha działa jako podmiot przetwarzający w rozumieniu art. 28 RODO. Postanowienia te mogą zostać wykorzystane jako załącznik do umowy z klientem lub jako część ogólnych warunków współpracy.

20. Przedmiot, czas trwania, charakter i cel przetwarzania

Klient powierza Artha przetwarzanie danych osobowych na czas trwania umowy lub zamówienia, w zakresie niezbędnym do wykonania usług doradczych, analitycznych, strategicznych, ESG, szkoleniowych lub innych usług uzgodnionych przez strony.

Celem przetwarzania jest prawidłowa realizacja umowy, poszczególnych zamówień, projektów, warsztatów, analiz, raportów, szkoleń, dokumentacji, komunikacji projektowej oraz rozliczeń związanych z usługami.

Charakter przetwarzania może obejmować w szczególności: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, przeglądanie, analizowanie, wykorzystywanie, ujawnianie upoważnionym osobom, modyfikowanie, usuwanie lub zwracanie danych.

21. Kategorie danych i osób

Zakres danych powierzonych Artha powinien zostać każdorazowo określony w umowie, zamówieniu, specyfikacji lub innym dokumencie projektowym. Jeżeli strony nie określą inaczej, przetwarzanie może obejmować następujące kategorie danych:

imię i nazwisko;
adres e-mail;
numer telefonu;
stanowisko i dane służbowe;
nazwa organizacji lub jednostki organizacyjnej;
informacje zawarte w dokumentach, materiałach, ankietach, zestawieniach, analizach lub raportach przekazanych przez klienta;
inne dane niezbędne do realizacji konkretnego projektu.

Kategorie osób, których dane mogą dotyczyć, obejmują w szczególności: pracowników, współpracowników, członków organów, przedstawicieli, klientów, kontrahentów, partnerów, uczestników warsztatów, szkoleń lub projektów, a także inne osoby wskazane przez klienta.

22. Udokumentowane polecenia klienta

Artha przetwarza dane osobowe wyłącznie na udokumentowane polecenie klienta, chyba że obowiązek przetwarzania wynika z prawa Unii Europejskiej lub prawa państwa członkowskiego. Poleceniami klienta są w szczególności umowa, zamówienie, specyfikacja, korespondencja projektowa, uzgodnienia robocze oraz inne instrukcje przekazane w formie dokumentowej.

Artha niezwłocznie informuje klienta, jeżeli jej zdaniem wydane polecenie narusza RODO lub inne przepisy o ochronie danych.

23. Poufność i upoważnienia

Artha zapewnia, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.

Dostęp do danych osobowych jest ograniczany do osób, które potrzebują go w związku z realizacją usług.

24. Środki bezpieczeństwa

Artha stosuje odpowiednie środki techniczne i organizacyjne wymagane na podstawie art. 32 RODO, uwzględniając stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych.

Środki te mogą obejmować w szczególności kontrolę dostępu, zarządzanie uprawnieniami, zabezpieczenie urządzeń i systemów, stosowanie haseł lub innych mechanizmów uwierzytelniania, kopie zapasowe, szyfrowanie lub pseudonimizację tam, gdzie jest to adekwatne, oraz procedury reagowania na incydenty.

25. Korzystanie z dalszych podmiotów przetwarzających

Klient udziela Artha ogólnej zgody na korzystanie z dalszych podmiotów przetwarzających w celu realizacji usług oraz zapewnienia wewnętrznej obsługi działalności Artha, w szczególności z dostawców usług IT, hostingu, poczty elektronicznej, narzędzi komunikacyjnych, systemów do zarządzania projektami, ekspertów, konsultantów, podwykonawców i członków zespołu Artha.

Artha informuje klienta o zamierzonych zmianach dotyczących dodania lub zastąpienia dalszych podmiotów przetwarzających z odpowiednim wyprzedzeniem, nie krótszym niż 7 dni roboczych przed planowanym rozpoczęciem przetwarzania przez nowy podmiot, umożliwiając klientowi wyrażenie sprzeciwu.

Artha zapewnia, aby na dalsze podmioty przetwarzające zostały nałożone obowiązki ochrony danych nie mniej rygorystyczne niż wynikające z umowy z klientem, w szczególności obowiązek zapewnienia odpowiednich środków technicznych i organizacyjnych.

26. Pomoc klientowi w realizacji obowiązków RODO

Uwzględniając charakter przetwarzania oraz dostępne informacje, Artha w miarę możliwości pomaga klientowi w realizacji obowiązków wynikających z RODO, w szczególności w zakresie:

odpowiadania na żądania osób, których dane dotyczą;
zapewnienia bezpieczeństwa przetwarzania;
zgłaszania naruszeń ochrony danych osobowych właściwemu organowi nadzorczemu;
zawiadamiania osób, których dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli jest to wymagane;
oceny skutków dla ochrony danych oraz uprzednich konsultacji, jeżeli są wymagane.

Jeżeli pomoc wymaga ponadstandardowego nakładu pracy, strony mogą uzgodnić zasady pokrycia uzasadnionych kosztów takiej pomocy.

27. Naruszenia ochrony danych osobowych

Artha informuje klienta o stwierdzonym naruszeniu ochrony danych osobowych bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 36 godzin od stwierdzenia naruszenia, chyba że jest mało prawdopodobne, aby naruszenie powodowało ryzyko naruszenia praw lub wolności osób fizycznych.

Zgłoszenie naruszenia powinno, w miarę dostępności informacji, zawierać opis charakteru naruszenia, możliwe konsekwencje naruszenia, zastosowane lub proponowane środki zaradcze oraz dane kontaktowe osoby odpowiedzialnej za komunikację w sprawie naruszenia. Informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki.

28. Audyty i wykazanie zgodności

Artha udostępnia klientowi informacje niezbędne do wykazania spełnienia obowiązków wynikających z art. 28 RODO oraz umożliwia przeprowadzenie audytu lub inspekcji przez klienta albo audytora upoważnionego przez klienta, z zastrzeżeniem poniższych zasad.

audyt wymaga wcześniejszego zawiadomienia Artha co najmniej 14 dni przed planowanym terminem;
audyt odbywa się w godzinach pracy Artha i w sposób niezakłócający jej działalności;
audyt nie może naruszać tajemnicy przedsiębiorstwa Artha, poufności danych innych klientów ani bezpieczeństwa systemów Artha;
audytor zewnętrzny powinien być zobowiązany do zachowania poufności;
Artha może odmówić udostępnienia informacji, jeżeli naruszałoby to przepisy prawa, prawa osób trzecich, tajemnicę przedsiębiorstwa lub bezpieczeństwo danych innych klientów.

29. Zakończenie przetwarzania

Po zakończeniu świadczenia usług związanych z przetwarzaniem danych Artha, zgodnie z decyzją klienta, usuwa lub zwraca dane osobowe oraz usuwa ich istniejące kopie, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazuje dalsze przechowywanie danych.

Jeżeli klient nie przekaże instrukcji w rozsądnym terminie, Artha może usunąć dane po upływie okresu niezbędnego do zakończenia projektu, rozliczeń, archiwizacji i zabezpieczenia ewentualnych roszczeń, o ile nie sprzeciwiają się temu przepisy prawa lub umowa.

30. Przekazywanie danych poza EOG w ramach powierzenia

Artha nie przekazuje danych powierzonych poza Europejski Obszar Gospodarczy, chyba że wynika to z udokumentowanego polecenia klienta, charakteru projektu, korzystania z narzędzi IT lub jest wymagane prawem.

Jeżeli dochodzi do przekazania danych poza EOG, Artha stosuje mechanizmy przewidziane przez RODO, w szczególności standardowe klauzule umowne lub inne właściwe zabezpieczenia.

31. Pierwszeństwo postanowień indywidualnych

Jeżeli umowa z klientem, zamówienie lub odrębna umowa powierzenia przetwarzania danych zawiera postanowienia odmienne od niniejszej części dokumentu, pierwszeństwo mają postanowienia uzgodnione indywidualnie z klientem.