POLITYKA PRYWATNOŚCI
Centrum Nieruchomości Spółka z o.o. — Olonis Systems
Wersja 2.0 | Data wejścia w życie: 14 kwietnia 2026 r. | Zgodna z RODO / GDPR
Niniejsza Polityka Prywatności opisuje, w jaki sposób Centrum Nieruchomości Spółka z o.o. (administrator Usługi „Olonis Systems") gromadzi, wykorzystuje, przechowuje i chroni dane osobowe osób fizycznych w związku ze świadczeniem abonamentowego systemu sprzedażowo-obsługowego. Dokument spełnia wymagania informacyjne art. 13 i 14 RODO/GDPR oraz polskich przepisów o ochronie danych.
§1. Administrator danych osobowych
1.1. Administratorem danych osobowych w rozumieniu art. 4 pkt 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO/GDPR) jest:
Nazwa firmy:
Centrum Nieruchomości Spółka z o.o.
Forma prawna:
Spółka z ograniczoną odpowiedzialnością (sp. z o.o.)
Adres siedziby:
ul. Jana Kasprowicza 2/16, 65-067 Zielona Góra, Polska
NIP / REGON / KRS:
9292060165 / 388428651
Adres e-mail:
Marka handlowa:
Olonis Systems
1.2. Usługa Olonis Systems (dalej: „Usługa" lub „System") to abonamentowy system sprzedażowo-obsługowy zbudowany na platformie GoHighLevel, umożliwiający klientom biznesowym pozyskiwanie leadów, zarządzanie relacjami z klientami (CRM), obsługę klientów, umawianie wizyt, wysyłanie wiadomości SMS i e-mail, automatyzację procesów sprzedażowych oraz zbieranie opinii Google, świadczony w modelu SaaS (Software as a Service) na zasadzie miesięcznej subskrypcji.
1.3. Administrator nie wyznaczył Inspektora Ochrony Danych Osobowych (IOD/DPO), gdyż przetwarzanie danych nie nosi znamion wymagających obligatoryjnego wyznaczenia IOD zgodnie z art. 37 RODO. W przypadku pytań dotyczących ochrony danych osobowych prosimy o kontakt e-mailowy: [email protected].
1.4. Niniejsza Polityka Prywatności wdrożona jest zgodnie z wymaganiami RODO/GDPR, ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 ze zm.) oraz przepisów wykonawczych, a w zakresie komunikacji elektronicznej — ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne.
§2. Zakres stosowania i kategorie osób, których dane dotyczą
2.1. Niniejsza Polityka Prywatności dotyczy przetwarzania danych osobowych następujących kategorii osób:
reprezentantów i pracowników Klientów biznesowych (B2B) korzystających z Usługi Olonis Systems — w zakresie danych niezbędnych do zawarcia i wykonania umowy subskrypcyjnej;
osób kontaktujących się z Administratorem za pośrednictwem formularza kontaktowego, poczty elektronicznej lub telefonu;
osób, których dane (jako kontakty, leady lub klienci) zostały wprowadzone przez Klientów do systemu CRM Olonis Systems — w tym zakresie Administrator pełni rolę podmiotu przetwarzającego (procesora) zgodnie z §10 niniejszej Polityki;
odwiedzających stronę internetową Olonis Systems — w zakresie danych technicznych i cookies.
2.2. Niniejsza Polityka nie ma zastosowania do usług i stron internetowych podmiotów trzecich, do których mogą prowadzić linki zamieszczone na stronie Olonis Systems. Administrator nie odpowiada za polityki prywatności zewnętrznych serwisów.
§3. Kategorie przetwarzanych danych osobowych
3.1. W zależności od sposobu korzystania z Usługi Administrator może przetwarzać następujące kategorie danych osobowych:
3.1.1. Dane identyfikacyjne i kontaktowe
imię i nazwisko osoby reprezentującej Klienta lub kontaktowej po stronie Klienta;
adres poczty elektronicznej (e-mail) — służbowy lub kontaktowy;
numer telefonu — stacjonarny lub komórkowy;
stanowisko lub funkcja pełniona w organizacji Klienta;
nazwa firmy Klienta.
3.1.2. Dane rejestracyjne i umowne
NIP (Numer Identyfikacji Podatkowej) — do celów wystawiania faktur VAT;
REGON, numer KRS — jeżeli podany przez Klienta;
adres siedziby / adres do korespondencji firmy Klienta;
dane z akceptacji Regulaminu i Polityki Prywatności (data, godzina, adres IP).
3.1.3. Dane finansowe i rozliczeniowe
dane niezbędne do realizacji płatności subskrypcyjnej, przekazywane bezpośrednio do operatora Stripe — Administrator nie otrzymuje ani nie przechowuje pełnych danych kart płatniczych;
ostatnie 4 cyfry karty płatniczej — wyłącznie w celach identyfikacyjnych, przekazywane przez Stripe;
historia transakcji, terminy płatności i statusy rozliczeń;
dane do wystawienia faktury VAT: firma, NIP, adres.
3.1.4. Dane operacyjne CRM — dane wprowadzone przez Klienta
dane kontaktów i leadów Klienta (imiona, nazwiska, numery telefonów, adresy e-mail, dane firm) — przetwarzane przez Administratora jako procesor (szczegóły w §10);
treści wiadomości SMS i e-mail wysyłanych przez Klienta za pośrednictwem Systemu;
dane dotyczące rezerwacji i wizyt (daty, godziny, notatki);
dane z pipeline'ów sprzedażowych i etapów obsługi klientów;
dane z automatyzacji (reguły, wyzwalacze, historia działań);
dane z formularzy kontaktowych obsługiwanych przez System Klienta.
3.1.5. Dane techniczne i analityczne
adres IP urządzenia, z którego uzyskiwany jest dostęp do Usługi lub strony internetowej;
identyfikator urządzenia (device ID), typ urządzenia;
rodzaj i wersja przeglądarki internetowej oraz systemu operacyjnego;
data i godzina żądania, odwiedzane podstrony, czas trwania sesji;
logi systemowe dostępu do Panelu Klienta;
pliki cookies i podobne technologie śledzące (szczegóły w §11).
3.2. Administrator przetwarza wyłącznie zwykłe kategorie danych osobowych. Nie są przetwarzane dane szczególnych kategorii (wrażliwe) w rozumieniu art. 9 RODO, takie jak dane o stanie zdrowia, przekonaniach religijnych czy przynależności etnicznej. Klientom zaleca się, aby nie wprowadzali do Systemu danych osobowych szczególnych kategorii swoich klientów bez uprzedniego zapewnienia stosownych podstaw prawnych.
§4. Cele i podstawy prawne przetwarzania danych osobowych
4.1. Każda operacja przetwarzania danych osobowych przez Administratora oparta jest na jednej z podstaw prawnych przewidzianych w art. 6 RODO. Poniżej przedstawiony jest szczegółowy wykaz celów i odpowiadających im podstaw prawnych:
CEL PRZETWARZANIA
PODSTAWA PRAWNA (RODO)
ZAKRES DANYCH
Zawarcie i realizacja umowy o świadczenie Usługi Olonis Systems
Art. 6 ust. 1 lit. b) — niezbędność do wykonania umowy
Dane identyfikacyjne, kontaktowe, rejestracyjne
Obsługa płatności subskrypcyjnych i wystawianie faktur VAT
Art. 6 ust. 1 lit. b) i c) — wykonanie umowy + obowiązek prawny (przepisy podatkowe)
Dane finansowe, NIP, dane do faktury
Wypełnienie obowiązków podatkowych i rachunkowych (5-letnia archiwizacja dokumentów księgowych)
Art. 6 ust. 1 lit. c) — obowiązek prawny (ustawa o rachunkowości, ordynacja podatkowa)
Dane finansowe i umowne
Obsługa wniosków, zgłoszeń i reklamacji Klientów
Art. 6 ust. 1 lit. b) i f) — wykonanie umowy i prawnie uzasadniony interes
Dane identyfikacyjne, kontaktowe, treść korespondencji
Bezpieczeństwo Systemu, wykrywanie nadużyć i cyberzagrożeń
Art. 6 ust. 1 lit. f) — prawnie uzasadniony interes: bezpieczeństwo IT
Dane techniczne, logi systemowe, adresy IP
Dochodzenie i obrona roszczeń
Art. 6 ust. 1 lit. f) — prawnie uzasadniony interes: ochrona praw Administratora
Dane identyfikacyjne, umowne, finansowe
Marketing bezpośredni usług własnych Administratora dla aktywnych Klientów (B2B)
Art. 6 ust. 1 lit. f) — prawnie uzasadniony interes (marketing B2B) lub zgoda (e-mail marketing)
E-mail, imię, nazwa firmy
Analityka i ulepszanie Usługi (agregowane statystyki użytkowania)
Art. 6 ust. 1 lit. f) — prawnie uzasadniony interes: rozwój produktu
Dane techniczne i behawioralne (zanonimizowane lub pseudonimizowane)
4.2. Prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f) RODO) — szczegółowe wyjaśnienie:
Bezpieczeństwo IT i monitorowanie systemu: Administrator ma uzasadniony interes w zapewnieniu integralności, dostępności i poufności Systemu oraz danych Klientów. W tym celu przetwarzane są dane techniczne i logi systemowe.
Dochodzenie i obrona roszczeń: Administrator ma uzasadniony interes w możliwości dochodzenia roszczeń wynikających z Umowy lub w obronie przed ewentualnymi roszczeniami Klientów. Dane przechowywane są przez czas wymagany do upływu terminów przedawnienia.
Marketing B2B: Administrator ma uzasadniony interes w informowaniu aktywnych Klientów biznesowych o nowych funkcjach, planach subskrypcyjnych i promocjach. Interes ten nie narusza podstawowych praw i wolności Klientów, którzy mogą wnieść sprzeciw w dowolnym momencie.
4.3. Administrator nie stosuje zautomatyzowanego podejmowania decyzji ani profilowania, które wywoływałoby skutki prawne lub w podobny sposób istotnie wpływało na osoby fizyczne (art. 22 RODO). Dane analityczne przetwarzane są wyłącznie w celu zbiorczej oceny sposobu korzystania z Usługi.
§5. Podmioty przetwarzające i odbiorcy danych osobowych
5.1. Dane osobowe mogą być przekazywane wyłącznie zaufanym odbiorcom, gdy jest to niezbędne do świadczenia Usługi lub wymagane przez przepisy prawa. Administrator zawiera z podmiotami przetwarzającymi umowy powierzenia przetwarzania danych (DPA) zgodne z art. 28 RODO.
5.1.1. HighLevel, Inc. (GoHighLevel) — kluczowy podwykonawca techniczny
GoHighLevel (HighLevel, Inc., Dallas, Teksas, USA) jest platformą technologiczną, na której zbudowana jest Usługa Olonis Systems. Jako podmiot przetwarzający, GoHighLevel przetwarza dane Klientów wyłącznie zgodnie z instrukcjami Administratora i w zakresie niezbędnym do dostarczenia funkcjonalności Systemu (CRM, automatyzacje, SMS, e-mail, formularze, rezerwacje, pipeline).
GoHighLevel posiada certyfikację EU-US Data Privacy Framework (decyzja Komisji Europejskiej z 10 lipca 2023 r.) i stosuje standardowe klauzule umowne (SCC) dla transferów danych do USA na podstawie art. 46 ust. 2 lit. c) RODO.
GoHighLevel posiada certyfikację SOC 2 Type II, co potwierdza wysokie standardy bezpieczeństwa danych.
Dane przetwarzane przez GoHighLevel obejmują: dane konta, dane CRM Klienta, logi aktywności, treści wiadomości SMS/e-mail, dane formularzy i rezerwacji.
Polityka prywatności GoHighLevel dostępna jest na: https://www.gohighlevel.com/privacy-policy
5.1.2. Stripe Payments Europe, Ltd. — operator płatności
Stripe Payments Europe, Ltd. (siedziba: One Grand Canal Street Lower, Dublin 2, Irlandia) jest operatorem płatności odpowiedzialnym za przetwarzanie transakcji subskrypcyjnych. Stripe działa jako odrębny administrator danych w zakresie danych kart płatniczych, podlega europejskiemu prawu i jest certyfikowany na poziomie PCI DSS Level 1.
Stripe nie przekazuje Administratorowi pełnych numerów kart płatniczych — Administrator otrzymuje wyłącznie token identyfikacyjny i ostatnie 4 cyfry karty w celach rozliczeniowych.
Polityka prywatności Stripe dostępna jest na: https://stripe.com/pl/privacy
5.1.3. Inne kategorie odbiorców
Biuro rachunkowe / kancelaria prawna — wyłącznie w zakresie obsługi dokumentacji finansowej i prawnej Administratora; działają na podstawie umowy powierzenia.
Dostawcy infrastruktury IT i chmury obliczeniowej — wyłącznie jako podwykonawcy techniczni GoHighLevel.
Organy państwowe i sądy (np. UODO, prokuratura, sądy powszechne) — wyłącznie gdy obowiązek udostępnienia danych wynika wprost z przepisów prawa lub orzeczenia sądu; Administrator każdorazowo weryfikuje podstawę prawną żądania.
5.2. Dane osobowe Klientów nie są sprzedawane, wynajmowane ani udostępniane podmiotom trzecim w celach marketingowych bez uprzedniej wyraźnej zgody Klienta.
§6. Przekazywanie danych osobowych poza Europejski Obszar Gospodarczy (EOG)
6.1. W związku z korzystaniem z usług GoHighLevel (spółka z siedzibą w USA) dane osobowe mogą być przekazywane do Stanów Zjednoczonych Ameryki. Administrator zapewnia, że transfer odbywa się z zachowaniem odpowiedniego poziomu ochrony wymaganego przez art. 44–49 RODO, w oparciu o co najmniej jeden z poniższych mechanizmów:
Decyzja Komisji Europejskiej o adekwatności ochrony danych w ramach EU-US Data Privacy Framework (DPF) z dnia 10 lipca 2023 r. (2023/1795) — HighLevel, Inc. jest certyfikowanym uczestnikiem tego programu. Status certyfikacji można zweryfikować na: https://www.dataprivacyframework.gov
Standardowe Klauzule Umowne (SCC) przyjęte przez Komisję Europejską na mocy decyzji wykonawczej (UE) 2021/914 z dnia 4 czerwca 2021 r. — jako uzupełniające zabezpieczenie dla transferów.
6.2. Na żądanie Klienta lub osoby, której dane dotyczą, Administrator udostępni kopię zastosowanych zabezpieczeń transferu danych osobowych do państw trzecich (art. 46 ust. 1 RODO).
6.3. Stripe, jako podmiot z siedzibą w Irlandii (UE), przetwarza dane wyłącznie na terenie Europejskiego Obszaru Gospodarczego i nie wymaga stosowania mechanizmów transferu z art. 44–49 RODO.
§7. Okresy przechowywania danych osobowych
7.1. Dane osobowe przechowywane są przez okres niezbędny do realizacji celów, dla których zostały zebrane, z uwzględnieniem terminów wymaganych przez przepisy prawa, do upływu terminów przedawnienia roszczeń oraz przez czas niezbędny dla bezpieczeństwa IT. Po upływie okresu przechowywania dane są trwale usuwane lub anonimizowane.
KATEGORIA DANYCH
OKRES PRZECHOWYWANIA
PODSTAWA PRAWNA OKRESU
Dane umowne (imię, nazwisko, e-mail, tel., firma)
Przez czas trwania umowy + 3 lata (termin przedawnienia roszczeń z umów o świadczenie usług — art. 118 KC)
Art. 6(1)(b) i (f) RODO; art. 118 KC
Dokumenty księgowe i faktury VAT
5 lat od końca roku obrotowego, w którym zdarzenie gospodarcze miało miejsce
Art. 6(1)(c) RODO; art. 74 ustawy o rachunkowości
Dane do dochodz. roszczeń (korespondencja, umowy)
Do 6 lat od daty zdarzenia (dla roszczeń B2B, art. 118 KC + 1 rok bezpieczeństwa)
Art. 6(1)(f) RODO; art. 118 KC
Dane CRM Klienta wprowadzone przez Klienta do Systemu
Czas trwania subskrypcji + 30 dni (na eksport). Po 30 dniach — trwałe usunięcie.
Umowa powierzenia (art. 28 RODO)
Dane techniczne / logi systemowe
Do 12 miesięcy, chyba że dłuższy czas jest niezbędny do celów bezpieczeństwa lub postępowania prawnego
Art. 6(1)(f) RODO
Dane marketingowe (e-mail marketing B2B)
Do momentu wniesienia sprzeciwu lub zakończenia stosunku handlowego + 3 lata
Art. 6(1)(f) RODO; art. 21 RODO
§8. Prawa osób, których dane dotyczą
8.1. Na podstawie przepisów RODO każdej osobie fizycznej, której dane przetwarza Administrator, przysługuje szereg praw. Poniżej szczegółowe omówienie każdego z nich:
8.1.1. Prawo dostępu do danych (art. 15 RODO)
Osoba, której dane dotyczą, ma prawo do uzyskania od Administratora potwierdzenia, czy przetwarza on jej dane osobowe, a jeżeli tak — do uzyskania dostępu do tych danych oraz następujących informacji: celów przetwarzania, kategorii danych, odbiorców lub kategorii odbiorców, planowanego okresu przechowywania, informacji o przysługujących prawach, oraz — jeżeli dane nie zostały zebrane od osoby — wszelkich dostępnych informacji o ich źródle. Na żądanie Administrator dostarcza bezpłatną kopię danych osobowych podlegających przetwarzaniu. Za kolejne kopie może pobrać opłatę w rozsądnej wysokości (koszty administracyjne).
8.1.2. Prawo do sprostowania danych (art. 16 RODO)
Osoba, której dane dotyczą, ma prawo żądania niezwłocznego sprostowania nieprawidłowych lub uzupełnienia niekompletnych danych osobowych jej dotyczących. Klienci mogą aktualizować dane firmowe bezpośrednio w Panelu Klienta lub poprzez kontakt z Administratorem.
8.1.3. Prawo do usunięcia danych (art. 17 RODO — „prawo do bycia zapomnianym")
Osoba, której dane dotyczą, ma prawo żądania usunięcia danych osobowych, gdy zachodzi jedna z następujących okoliczności: dane nie są już niezbędne do celów, w których je zebrano; osoba cofnęła zgodę, na której opierało się przetwarzanie i nie ma innej podstawy prawnej; osoba wniosła skuteczny sprzeciw; dane przetwarzane były niezgodnie z prawem; usunięcie wynika z obowiązku prawnego.
Prawo do usunięcia nie ma zastosowania w zakresie, w jakim przetwarzanie jest niezbędne do: wywiązania się z prawnego obowiązku wymagającego przetwarzania (np. przechowywanie faktur), dochodzenia lub obrony roszczeń lub innych podstaw prawnych wymienionych w art. 17 ust. 3 RODO.
8.1.4. Prawo do ograniczenia przetwarzania (art. 18 RODO)
Osoba, której dane dotyczą, ma prawo żądania ograniczenia przetwarzania, gdy: kwestionuje prawidłowość danych (na okres umożliwiający weryfikację); przetwarzanie jest niezgodne z prawem, lecz osoba sprzeciwia się usunięciu; Administrator nie potrzebuje już danych, ale osoba potrzebuje ich do ustalenia, dochodzenia lub obrony roszczeń; osoba wniosła sprzeciw i oczekuje na weryfikację nadrzędnych interesów.
8.1.5. Prawo do przenoszenia danych (art. 20 RODO)
Gdy przetwarzanie odbywa się na podstawie zgody lub umowy i jest realizowane w sposób zautomatyzowany, osoba, której dane dotyczą, ma prawo do otrzymania danych osobowych jej dotyczących, dostarczonych Administratorowi, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (np. CSV, JSON), oraz ma prawo przesłania tych danych innemu administratorowi bez przeszkód ze strony Administratora. System Olonis Systems umożliwia eksport danych CRM bezpośrednio z Panelu Klienta.
8.1.6. Prawo do sprzeciwu (art. 21 RODO)
Jeżeli dane przetwarzane są na podstawie prawnie uzasadnionego interesu Administratora (art. 6 ust. 1 lit. f), osoba, której dane dotyczą, może wnieść w dowolnym momencie sprzeciw z przyczyn związanych z jej szczególną sytuacją. Administrator zaprzestaje przetwarzania, chyba że wykaże istnienie ważnych prawnie uzasadnionych podstaw nadrzędnych wobec interesów, praw i wolności osoby, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
W zakresie marketingu bezpośredniego sprzeciw jest bezwarunkowy — Administrator niezwłocznie zaprzestaje przetwarzania danych w tym celu, bez konieczności podania przyczyny.
8.1.7. Prawo do cofnięcia zgody
W przypadkach, gdy przetwarzanie danych oparte jest na zgodzie osoby, przysługuje jej prawo do cofnięcia tej zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem. Cofnięcie zgody może nastąpić poprzez kontakt e-mailowy lub kliknięcie linku rezygnacji z subskrypcji w wiadomości e-mail.
8.2. Procedura realizacji praw
Wnioski dotyczące realizacji praw należy kierować na adres e-mail: [email protected]. Wniosek powinien zawierać: imię i nazwisko lub dane identyfikacyjne (np. adres e-mail powiązany z kontem), określenie prawa, z którego wnioskodawca chce skorzystać, oraz — w razie potrzeby — dodatkowe informacje umożliwiające identyfikację.
Administrator udziela odpowiedzi na wniosek bez zbędnej zwłoki — w terminie do 30 dni od daty jego otrzymania. Termin ten może zostać przedłużony o kolejne 60 dni w przypadku skomplikowanego charakteru wniosku lub dużej liczby wniosków. O każdym przedłużeniu Administrator informuje wnioskodawcę z podaniem przyczyny.
Administrator może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości wnioskodawcy, jeżeli istnieją uzasadnione wątpliwości co do jego tożsamości. Realizacja praw jest co do zasady bezpłatna, z zastrzeżeniem wyjątków przewidzianych w art. 12 ust. 5 RODO (wnioski oczywiście nieuzasadnione lub nadmierne).
Przysługuje również prawo do wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, telefon: +48 22 531 03 00, www.uodo.gov.pl — jeżeli osoba uzna, że przetwarzanie jej danych osobowych narusza przepisy RODO.
§9. Bezpieczeństwo danych osobowych
9.1. Administrator stosuje odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych przed nieuprawnionym dostępem, ujawnieniem, modyfikacją, utratą lub zniszczeniem, zgodnie z art. 25 i 32 RODO (privacy by design i privacy by default).
9.1. Środki techniczne
Szyfrowanie transmisji danych protokołem TLS 1.2/1.3 (HTTPS) dla wszystkich połączeń z Systemem i stroną internetową.
Szyfrowanie danych w spoczynku (data at rest encryption) na poziomie infrastruktury GoHighLevel.
Uwierzytelnianie wieloskładnikowe (MFA/2FA) dla dostępu do Panelu Klienta.
Kontrola dostępu oparta na rolach (Role-Based Access Control — RBAC) — każdy użytkownik ma dostęp wyłącznie do zasobów niezbędnych do jego funkcji.
Regularne tworzenie szyfrowanych kopii zapasowych danych (backup).
Monitorowanie bezpieczeństwa infrastruktury i systemy wykrywania włamań (IDS/IPS) — realizowane przez GoHighLevel (certyfikat SOC 2 Type II).
Mechanizmy Rate Limiting i ochrona przed atakami DDoS.
9.2. Środki organizacyjne
Ograniczenie dostępu do danych osobowych wyłącznie do upoważnionych pracowników i współpracowników Administratora, którzy podpisali zobowiązanie do zachowania poufności.
Polityka czystego biurka i czystego ekranu (clear desk / clear screen policy).
Regularne przeglądy i testy bezpieczeństwa stosowanych zabezpieczeń.
Procedury reagowania na incydenty naruszenia bezpieczeństwa danych — obejmujące identyfikację, opanowanie, ocenę ryzyka, powiadomienia i dokumentację incydentu.
9.3. Naruszenie ochrony danych — procedura
W przypadku naruszenia ochrony danych osobowych (data breach), Administrator podejmuje następujące działania:
Niezwłoczna ocena charakteru naruszenia i ryzyka dla praw i wolności osób, których dane dotyczą.
W ciągu 72 godzin od stwierdzenia naruszenia — zgłoszenie do Prezesa UODO (jeżeli naruszenie może powodować ryzyko naruszenia praw i wolności osób fizycznych), zgodnie z art. 33 RODO.
Bez zbędnej zwłoki — poinformowanie osób, których dane dotyczą, jeżeli naruszenie może powodować wysokie ryzyko naruszenia ich praw i wolności (art. 34 RODO).
Dokumentacja naruszenia w rejestrze naruszeń zgodnie z art. 33 ust. 5 RODO.
Podjęcie działań naprawczych i zapobiegawczych.
§10. Rola procesora — dane Klientów wprowadzone do systemu CRM
10.1. Klient korzystający z Usługi Olonis Systems wprowadza do systemu CRM dane osobowe swoich własnych klientów, kontaktów i leadów (imiona, nazwiska, numery telefonów, adresy e-mail i inne dane identyfikacyjne lub kontaktowe). W odniesieniu do tych danych:
Klient jest administratorem danych osobowych w rozumieniu art. 4 pkt 7 RODO — to on decyduje o celach i sposobach przetwarzania danych swoich klientów.
Centrum Nieruchomości Sp. z o.o. (Olonis Systems) jest podmiotem przetwarzającym (procesorem) w rozumieniu art. 4 pkt 8 RODO — przetwarza dane wyłącznie na udokumentowane polecenie Klienta i w zakresie niezbędnym do świadczenia Usługi.
GoHighLevel pełni rolę podprocesora w łańcuchu przetwarzania danych.
10.2. Umowa Powierzenia Przetwarzania Danych (DPA) zgodna z art. 28 RODO jest integralną częścią stosunku umownego między Klientem a Administratorem. DPA reguluje m.in.:
przedmiot, czas trwania, charakter i cel przetwarzania powierzonych danych;
rodzaj danych osobowych i kategorie osób, których dane dotyczą;
obowiązki i prawa administratora (Klienta) oraz procesora (Administratora);
warunki korzystania z usług podprocesora (GoHighLevel);
zobowiązanie do usunięcia lub zwrotu danych po zakończeniu świadczenia usług.
10.3. Klient, jako administrator danych swoich klientów końcowych, jest zobowiązany do:
posiadania ważnej podstawy prawnej przetwarzania danych osobowych swoich klientów (zgoda, umowa, obowiązek prawny lub inny cel wymieniony w art. 6 RODO);
wykonania obowiązku informacyjnego wobec osób, których dane wprowadza do Systemu (art. 13 lub 14 RODO);
zapewnienia, że zakres danych wprowadzanych do Systemu jest adekwatny i ograniczony do niezbędnego minimum (zasada minimalizacji danych);
reagowania na żądania osób, których dane dotyczą (realizacja praw z art. 15–22 RODO) — Administrator jako procesor wspiera Klienta w tym zakresie na jego żądanie.
10.4. Administrator przetwarza powierzone dane wyłącznie w celu świadczenia Usługi Olonis Systems i nie wykorzystuje ich do własnych celów marketingowych ani analitycznych (z wyjątkiem anonimizacji na potrzeby statystyk dotyczących użytkowania Systemu).
§11. Pliki cookies i podobne technologie
11.1. Strona internetowa Olonis Systems oraz Panel Klienta korzystają z plików cookies (ciasteczek) i podobnych technologii śledzących (m.in. web beacons, local storage). Pliki cookies to małe pliki tekstowe zapisywane na urządzeniu użytkownika. Nie zawierają one danych osobowych w postaci imienia czy hasła, jednak mogą umożliwiać identyfikację urządzenia.
11.2. Rodzaje stosowanych cookies
Cookies niezbędne: pliki ściśle niezbędne do działania strony i Systemu (np. token sesji logowania, ustawienia bezpieczeństwa) — brak ich akceptacji uniemożliwia korzystanie z Usługi; nie wymagają zgody użytkownika;
Cookies funkcjonalne: pliki zapamiętujące preferencje użytkownika (język interfejsu, ustawienia wyświetlania) — zwiększają komfort korzystania; wymagają zgody;
Cookies analityczne: pliki umożliwiające analizę sposobu korzystania ze strony i Systemu w celu ich optymalizacji (np. Google Analytics 4 w trybie anonimizacji IP, Hotjar) — wymagają zgody;
Cookies marketingowe: pliki stosowane do wyświetlania spersonalizowanych reklam i kampanii retargetingowych (np. Meta Pixel, Google Ads) — wymagają wyraźnej zgody użytkownika;
Cookies społecznościowe: pliki umożliwiające korzystanie z funkcji udostępniania treści w mediach społecznościowych — wymagają zgody.
11.3. Zarządzanie zgodą na cookies: Przy pierwszej wizycie na stronie Olonis Systems wyświetlany jest baner cookie (cookie consent banner) umożliwiający wyrażenie lub odmowę zgody na poszczególne kategorie cookies (z wyjątkiem niezbędnych). Zgoda może być wycofana lub zmieniona w dowolnym momencie poprzez ustawienia plików cookies dostępne na stronie lub poprzez zmianę ustawień przeglądarki internetowej.
11.4. Zarządzanie cookies przez przeglądarkę: Użytkownik może usunąć cookies lub wyłączyć ich obsługę w ustawieniach przeglądarki. Wyłączenie cookies niezbędnych może jednak uniemożliwić prawidłowe korzystanie z Systemu. Instrukcje dotyczące zarządzania cookies w najpopularniejszych przeglądarkach dostępne są na stronach producentów (Google Chrome, Mozilla Firefox, Apple Safari, Microsoft Edge).
§12. Marketing i komunikacja handlowa
12.1. Na podstawie prawnie uzasadnionego interesu Administratora (art. 6 ust. 1 lit. f) RODO) Administrator może kierować do aktywnych Klientów biznesowych komunikację marketingową dotyczącą własnych usług, nowych funkcjonalności Systemu, aktualizacji i ofert specjalnych. Dotyczy to wyłącznie Klientów, z którymi Administrator pozostaje w aktywnym stosunku umownym lub którzy wyrazili zainteresowanie Usługą.
12.2. Każda wiadomość e-mail o charakterze marketingowym zawiera mechanizm rezygnacji (link "unsubscribe"), kliknięcie którego jest równoznaczne z wniesieniem sprzeciwu wobec przetwarzania danych w celach marketingu bezpośredniego. Administrator niezwłocznie (nie później niż w ciągu 3 dni roboczych) honoruje taki sprzeciw.
12.3. Administrator nie stosuje profilowania Klientów na potrzeby marketingu bez ich uprzedniej wyraźnej zgody.
§13. Zmiany Polityki Prywatności
13.1. Administrator zastrzega sobie prawo do zmiany niniejszej Polityki Prywatności z ważnych przyczyn, w szczególności: w przypadku zmiany obowiązujących przepisów prawa (w tym nowych wytycznych lub decyzji UODO/EROD), zmiany technologicznej wymagającej aktualizacji polityki, rozszerzenia lub zmiany zakresu przetwarzania danych lub zmiany wykazu podmiotów przetwarzających.
13.2. O każdej istotnej zmianie Polityki Prywatności Administrator poinformuje Klientów na co najmniej 14 dni przed jej wejściem w życie, za pośrednictwem wiadomości e-mail na adres wskazany podczas rejestracji lub stosownego komunikatu w Panelu Klienta.
13.3. Aktualna, obowiązująca wersja Polityki Prywatności jest zawsze dostępna na stronie internetowej Olonis Systems oraz w Panelu Klienta. Datę ostatniej aktualizacji podano w nagłówku dokumentu.
§14. Kontakt w sprawach ochrony danych
14.1. We wszystkich sprawach dotyczących przetwarzania danych osobowych oraz realizacji praw wynikających z RODO prosimy o kontakt:
Administrator:
Centrum Nieruchomości Spółka z o.o.
Marka / Produkt:
Olonis Systems
E-mail do spraw danych:
Adres korespondencyjny:
ul. Jana Kasprowicza 2/16, 65-067 Zielona Góra, Polska
14.2. Skarga do organu nadzorczego: jeżeli uznasz, że przetwarzanie Twoich danych osobowych narusza przepisy RODO, masz prawo wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, tel.: +48 22 531 03 00, e-mail: [email protected], www.uodo.gov.pl.
Niniejsza Polityka Prywatności obowiązuje od dnia 14 kwietnia 2026 r. i zastępuje wszelkie wcześniejsze wersje. Centrum Nieruchomości Spółka z o.o. | Olonis Systems | Zielona Góra 2026