KLAUZULA INFORMACYJNA
dla Zleceniobiorcy / Pracownika / Kandydata
(art. 13 RODO — obowiązek informacyjny administratora danych)
Dokument przeznaczony do wręczenia osobie onboardowanej w ramach aplikacji Onboardly.
1. KTO PRZETWARZA TWOJE DANE — ADMINISTRATOR DANYCH (GRUPA SoCap)
Administratorem Twoich danych osobowych jest konkretna spółka grupy SoCap wskazana w treści Twojej umowy zlecenia lub umowy o pracę:
| Spółka | NIP | Siedziba | Typowa umowa |
|---|---|---|---|
| Socap Bonus Sp. z o.o. (Hetmańska) | 5252791618 | ul. Hetmańska 25, 15-727 Białystok | — |
| Socap Bonus Białystok Sp. z o.o. (SBB) | 9662182022 | Białystok | UoP — pracownicy APT |
| SoCap Polska Sp. z o.o. | 8982325132 | Wrocław | — |
| Workflex 1 Sp. z o.o. | 8982325161 | Wrocław | UZ — większość nowych umów; token SOCAP/TRDX |
| Workflex 2 Sp. z o.o. | 8982325178 | Wrocław | UZ |
(dalej łącznie: „grupa SoCap" lub „Administrator")
Onboardly jest aplikacją udostępnianą przez Socap Bonus Sp. z o.o. (Hetmańska, NIP 5252791618) — ale administratorem Twoich danych osobowych pozostaje spółka, która Cię zatrudnia (czyli spółka wskazana w umowie zlecenia / o pracę), nie dostawca aplikacji.
Kontakt wspólny dla grupy (do spraw RODO): e-mail: dpo@socapbonus.pl adres: ul. Hetmańska 25, 15-727 Białystok (z dopiskiem „IOD")
2. INSPEKTOR OCHRONY DANYCH
Administratorzy z grupy SoCap powołali wspólnego Inspektora Ochrony Danych (IOD) na podstawie art. 37 RODO, z którym możesz skontaktować się we wszystkich sprawach dotyczących przetwarzania Twoich danych osobowych — niezależnie od tego, która spółka grupy SoCap jest Twoim administratorem:
- Imię i nazwisko: [IOD: imię nazwisko]
- E-mail: dpo@socapbonus.pl
- Telefon: [+48 XXX XXX XXX]
- Adres: ul. Hetmańska 25, 15-727 Białystok (z dopiskiem „IOD")
3. CELE PRZETWARZANIA, PODSTAWY PRAWNE I OKRESY PRZECHOWYWANIA
| # | Cel przetwarzania | Podstawa prawna | Okres przechowywania |
|---|---|---|---|
| 1 | Zawarcie i wykonanie umowy zlecenia / umowy o pracę (onboarding, podpisanie umowy, wymiana korespondencji, rozliczenia) | art. 6 ust. 1 lit. b RODO — niezbędność wykonania umowy | UZ: czas trwania umowy + 6 lat (art. 118 KC); UoP: stosunek pracy + zob. pkt 4 |
| 2 | Realizacja obowiązków płatnika składek ZUS (zgłoszenia ZUA / ZZA, deklaracje DRA / RCA, korekty) | art. 6 ust. 1 lit. c RODO w zw. z ustawą z 13.10.1998 r. o systemie ubezpieczeń społecznych | 5 lat od przekazania dokumentów do ZUS (art. 125a ust. 4 ustawy z 17.12.1998 r. o emeryturach i rentach z FUS) |
| 3 | Realizacja obowiązków płatnika podatku dochodowego (PIT) (zaliczki PIT, PIT-11, PIT-2) | art. 6 ust. 1 lit. c RODO w zw. z ustawą o PIT i Ordynacją podatkową | 5 lat licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku (art. 86 § 1 OP) |
| 4 | Archiwizacja dokumentacji pracowniczej (UoP) | art. 6 ust. 1 lit. c RODO w zw. z art. 94 pkt 9b i 9c KP oraz rozp. MRPiPS o dokumentacji pracowniczej | 10 lat od końca roku kalendarzowego, w którym ustał stosunek pracy (dla umów zawartych po 01.01.2019 — wszystkie UoP w grupie SoCap, zob. pkt 4 niżej) |
| 5 | Obsługa świadczeń dla osób z niepełnosprawnością (gdy podasz informację o niepełnosprawności) | art. 6 ust. 1 lit. c RODO oraz art. 9 ust. 2 lit. b RODO w zw. z ustawą z 27.08.1997 o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych | 5 lat po zakończeniu stosunku |
| 6 | Weryfikacja tożsamości na potrzeby zawarcia umowy (OCR dokumentu; biometria selfie-matching wyłącznie po aktywacji funkcji i Twojej zgodzie — zob. pkt 5.2) | art. 6 ust. 1 lit. b RODO (zawarcie umowy); w razie biometrii — wyłącznie art. 9 ust. 2 lit. a RODO (Twoja zgoda) | OCR: niezwłocznie po weryfikacji; biometria: niezwłocznie po weryfikacji (gdy aktywna) |
| 7 | Ustalenie, dochodzenie i obrona roszczeń (cywilnych, podatkowych, ubezpieczeniowych) | art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora | Do upływu okresu przedawnienia roszczeń + 1 rok |
| 8 | Wewnątrzgrupowe procesy administracyjne w ramach grupy SoCap (np. konsolidacja, raportowanie) | art. 6 ust. 1 lit. f RODO (motyw 48 RODO — grupa kapitałowa) | Do ustania potrzeby + obowiązki ustawowe |
Reżim retencji dokumentacji pracowniczej (UoP) w grupie SoCap — wyłącznie 10 lat:
Wszystkie umowy o pracę prowadzone przez spółki grupy SoCap zostały zawarte po 01.01.2019 (najstarsza spółka — Socap Bonus Sp. z o.o. — wpis do KRS 31.05.2019). W konsekwencji wszystkie UoP podlegają 10-letniemu okresowi retencji wynikającemu z art. 94 pkt 9b KP w zw. z art. 125a ust. 4 ustawy o emeryturach i rentach z FUS. Reżim 50-letni (sprzed 01.01.2019) nie znajduje zastosowania do żadnej z umów w grupie SoCap.
4. JAKIE DANE PRZETWARZAMY
W zakresie niezbędnym do powyższych celów przetwarzamy:
- Dane identyfikacyjne: imię, nazwisko, PESEL, data i miejsce urodzenia, NIP, seria/numer dokumentu tożsamości (lub paszport dla cudzoziemców), obywatelstwo
- Dane adresowe: adres zamieszkania (dla celów podatkowych), adres korespondencyjny
- Dane kontaktowe: numer telefonu, adres e-mail
- Dane bankowe: numer rachunku bankowego (IBAN)
- Dane podatkowe i ubezpieczeniowe: urząd skarbowy, oddział NFZ, status ZUS, oświadczenia o kosztach uzyskania przychodu, certyfikat rezydencji podatkowej (dla nierezydentów)
- Treść oświadczeń, pełnomocnictw i zgód podpisanych w ramach onboardingu
- Dane szczególnej kategorii (art. 9 RODO) — wyłącznie jeżeli podasz takie informacje:
- niepełnosprawność (stopień, data orzeczenia, okres ważności) — dobrowolne (pkt 5.1),
- dane biometryczne (gdy wyrazisz zgodę na weryfikację biometryczną — funkcja obecnie wyłączona, pkt 5.2)
- Dane techniczne: adres IP, identyfikator urządzenia, znaczniki czasu podpisów elektronicznych
5. DANE SZCZEGÓLNEJ KATEGORII (art. 9 RODO) — DOBROWOLNOŚĆ
5.1. Niepełnosprawność
Podanie informacji o niepełnosprawności jest dobrowolne. Jeśli podasz tę informację — będziemy mogli zastosować ulgi i obniżki składek przewidziane prawem (m.in. niższe składki ZUS, dofinansowania z PFRON).
- Podstawa: art. 9 ust. 2 lit. b RODO w zw. z ustawą z 27.08.1997 o rehabilitacji.
- Brak informacji = traktowanie na zasadach ogólnych.
5.2. Biometria (KYC) — opcjonalnie, na zgodę; obecnie wyłączona
STATUS NA DZIEŃ WYDANIA: funkcja biometrii w Onboardly jest wyłączona (feature flag KYC_BIOMETRIC=false). Sumsub działa w trybie wyłącznie OCR dokumentu — odczytanie danych z Twojego dokumentu tożsamości, bez porównywania Twojej fotografii z fotografią z dokumentu. Funkcja biometrii zostanie aktywowana wyłącznie po przeprowadzeniu obowiązkowej oceny skutków dla ochrony danych (DPIA) i aktualizacji Polityki Prywatności — wówczas zostaniesz odrębnie poinformowany/-a.Po aktywacji funkcji:
- Podstawa: wyłącznie art. 9 ust. 2 lit. a RODO — Twoja wyraźna zgoda.
- Możesz odmówić zgody — wówczas weryfikacja tożsamości odbędzie się tradycyjnie (osobiste okazanie dokumentu lub OCR bez selfie-matching).
- Zgodę możesz wycofać w każdej chwili — pisemnie lub e-mailem na adres dpo@socapbonus.pl. Wycofanie zgody, jeżeli była ona jedyną podstawą przetwarzania, skutkuje natychmiastowym usunięciem (lub trwałą anonimizacją) Twoich danych biometrycznych. Wycofanie nie wpływa na zgodność z prawem przetwarzania dokonanego przed wycofaniem.
Wyjaśnienie: żadna ze spółek grupy SoCap nie jest na dzień wydania niniejszej klauzuli instytucją obowiązaną w rozumieniu ustawy z 1.03.2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (ustawa AML) ani dostawcą usług w zakresie kryptoaktywów (CASP) w rozumieniu rozporządzenia (UE) 2023/1114 (MiCA). W konsekwencji nie znajduje zastosowania art. 9 ust. 2 lit. g RODO (AML) — jedyną podstawą przetwarzania Twoich danych biometrycznych pozostaje Twoja zgoda.
Klauzula otwarta: w przypadku gdyby któraś ze spółek grupy SoCap stała się w przyszłości instytucją obowiązaną lub uzyskała status CASP — Polityka Prywatności oraz niniejsza klauzula zostaną zaktualizowane, a Ty zostaniesz odrębnie poinformowany/-a.
6. ODBIORCY DANYCH
Twoje dane mogą być przekazywane:
- Biuro rachunkowe SoCap (obecnie: Lemon Finans lub aktualny dostawca usług kadrowo-płacowych)
- Dostawcy infrastruktury IT Aplikacji Onboardly:
- Vercel Inc. (hosting, USA — DPF),
- Neon Inc. (baza danych),
- Autenti Sp. z o.o. (podpisy elektroniczne — SES / AES / QES),
- Sumsub (Sum and Substance Ltd) — KYC, w tym OCR dokumentu; biometria selfie-matching wyłącznie po aktywacji funkcji i Twojej zgodzie (pkt 5.2)
- Anthropic, PBC (USA) — asysta AI dla operatorów helpdesku grupy SoCap, w trybie opisanym w pkt 9.2; dane nie są wykorzystywane do trenowania modeli (zero data retention)
- Bank prowadzący rachunek spółki zatrudniającej (np. Santander Bank Polska, Millennium Bank)
- Organy publiczne: ZUS, urząd skarbowy, KAS, PIP, sądy, prokuratura — w zakresie wynikającym z przepisów prawa
- Wewnątrz grupy SoCap (motyw 48 RODO) — w zakresie procesów administracyjnych i konsolidacji
- Doradcy spółki zatrudniającej: prawni, podatkowi, audytorzy — w zakresie i celu wynikającym z umów świadczenia usług
Uwaga: GIIF (Generalny Inspektor Informacji Finansowej) nie jest na dzień wydania klauzuli odbiorcą Twoich danych z Onboardly, ponieważ żadna spółka grupy SoCap nie jest instytucją obowiązaną w rozumieniu ustawy AML (zob. pkt 5.2).
Pełny rejestr odbiorców i podprocesorów dostępny jest na żądanie — kontakt: dpo@socapbonus.pl.
7. TRANSFER POZA EOG
Większość przetwarzania odbywa się na terenie Polski i UE.
Transfer Twoich danych poza Europejski Obszar Gospodarczy (EOG) może wystąpić w odniesieniu do infrastruktury technicznej Aplikacji oraz wsparcia helpdesku — w szczególności do USA (Vercel, Sentry, Stripe Inc., Anthropic). Każdy taki transfer odbywa się na podstawie:
- EU-U.S. Data Privacy Framework (DPF) — decyzja wykonawcza Komisji (UE) 2023/1795 z 10.07.2023 — gdy odbiorca jest certyfikowany w DPF (status do weryfikacji pod adresem https://www.dataprivacyframework.gov/list), oraz
- Standardowych Klauzul Umownych (SCC) — decyzja wykonawcza Komisji (UE) 2021/914 z 4.06.2021, wraz z dodatkowymi zabezpieczeniami wynikającymi z Transfer Impact Assessment (TIA).
W szczególności w odniesieniu do Anthropic, PBC — niezależnie od ewentualnej certyfikacji DPF — Administrator zawarł SCC 2021/914 (moduł 2: administrator–procesor) z dodatkowymi środkami technicznymi (pseudonimizacja danych identyfikacyjnych w treści zapytań, zakaz wykorzystywania danych do trenowania modeli, ograniczenie zakresu danych do minimum niezbędnego).
Kopię SCC możesz uzyskać kierując wniosek na adres dpo@socapbonus.pl z dopiskiem „Wniosek — kopia SCC".
8. TWOJE PRAWA
Na podstawie RODO masz prawo:
| Prawo | Co to znaczy | Ograniczenia |
|---|---|---|
| Dostęp (art. 15 RODO) | Otrzymać potwierdzenie i kopię danych | Z poszanowaniem praw innych osób |
| Sprostowanie (art. 16 RODO) | Poprawić nieprawidłowe dane | — |
| Usunięcie / „prawo do bycia zapomnianym" (art. 17 RODO) | Żądać usunięcia danych | Art. 17 ust. 3 lit. b RODO: usunięcie wyłączone, gdy dane są niezbędne do realizacji obowiązków ustawowych (ZUS, PIT, dokumentacja pracownicza) — wówczas przetrzymamy dane do upływu wymaganego okresu (pkt 3). Wyjątek: gdy podstawą przetwarzania była wyłącznie Twoja zgoda (np. dane biometryczne) — wycofanie zgody = natychmiastowe usunięcie |
| Ograniczenie przetwarzania (art. 18 RODO) | Żądać ograniczenia w przypadkach z art. 18 | — |
| Przenoszenie danych (art. 20 RODO) | Otrzymać dane w formacie ustrukturyzowanym | Art. 20 ust. 4 RODO: wyłącznie dane przetwarzane na zgodę lub umowę w sposób zautomatyzowany; nie obejmuje danych z obowiązków ustawowych |
| Sprzeciw (art. 21 RODO) | Wnieść sprzeciw wobec przetwarzania na podstawie prawnie uzasadnionego interesu | Sprzeciw może być nieuwzględniony, jeśli istnieją ważne podstawy nadrzędne |
| Cofnięcie zgody (art. 7 ust. 3 RODO) | W każdej chwili cofnąć zgodę — gdy podstawą jest zgoda | Cofnięcie nie wpływa na przetwarzanie sprzed cofnięcia. Gdy zgoda była jedyną podstawą — cofnięcie skutkuje natychmiastowym usunięciem danych |
| Żądanie obsługi bez AI (pkt 9.2) | Żądać obsługi Twoich zapytań przez operatora-człowieka bez wykorzystania narzędzi AI | Rozpatrywane w terminie 14 dni roboczych |
Jak złożyć wniosek
- e-mail: dpo@socapbonus.pl
- pisemnie: SoCap Bonus Sp. z o.o., ul. Hetmańska 25, 15-727 Białystok, z dopiskiem „IOD"
Termin rozpatrzenia
1 miesiąc od otrzymania wniosku, z możliwością przedłużenia o 2 miesiące w razie skomplikowanego charakteru sprawy (art. 12 ust. 3 RODO).
Weryfikacja tożsamości
Zgodnie z art. 12 ust. 6 RODO możemy zażądać dodatkowych informacji niezbędnych do potwierdzenia Twojej tożsamości — w celu ochrony przed dostępem osób nieuprawnionych.
Bezpłatność
Realizacja praw jest bezpłatna. Wnioski ewidentnie nieuzasadnione lub nadmierne mogą być obciążone rozsądną opłatą lub odrzucone (art. 12 ust. 5 RODO).
9. PROFILOWANIE I DECYZJE ZAUTOMATYZOWANE (art. 22 RODO); WYKORZYSTANIE AI
9.1. Zautomatyzowana weryfikacja tożsamości (KYC) — OCR i biometria
Jeśli proces onboardingu obejmuje zautomatyzowaną weryfikację Twojej tożsamości:
- Aktualnie (MVP): tryb wyłącznie OCR dokumentu — automatyczne odczytanie danych z Twojego dokumentu tożsamości; weryfikacja zgodności z danymi z formularza wykonywana przez pracownika spółki zatrudniającej (człowieka).
- Po aktywacji funkcji biometrycznej (pkt 5.2): porównanie zdjęcia Twojej twarzy ze zdjęciem z dokumentu, w zakresie, w jakim wyrazisz wyraźną zgodę.
Logika: porównanie danych z dokumentu z danymi z formularza; ocena techniczna jakości obrazu i autentyczności dokumentu. Funkcja nie obejmuje aktualnie automatycznego scoringu AML ani sprawdzania na listach sankcyjnych — żadna spółka grupy SoCap nie jest instytucją obowiązaną.
Znaczenie: pozytywny wynik umożliwia zawarcie umowy; negatywny — weryfikacja manualna przez pracownika.
Twoje prawa (art. 22 ust. 3 RODO):
- prawo do interwencji człowieka — żądania weryfikacji przez pracownika spółki zatrudniającej,
- prawo do wyrażenia własnego stanowiska — przedstawienia argumentów,
- prawo do zakwestionowania decyzji.
Wniosek o interwencję człowieka: dpo@socapbonus.pl z dopiskiem „art. 22 RODO". Termin: 14 dni roboczych.
9.2. Wykorzystanie sztucznej inteligencji (AI) w obsłudze helpdesku
Grupa SoCap wykorzystuje narzędzia sztucznej inteligencji dostarczane przez Anthropic, PBC (model Claude) wyłącznie jako asystę dla operatorów helpdesku — m.in. do generowania wstępnych szkiców odpowiedzi na Twoje zapytania, klasyfikacji zapytań i wskazywania operatorowi odpowiednich procedur.
Logika: Twoje zapytanie (z pseudonimizacją danych identyfikacyjnych w zakresie, w jakim nie są one niezbędne do udzielenia odpowiedzi) jest przekazywane do modelu Anthropic, który generuje propozycję odpowiedzi. Propozycja AI jest zawsze weryfikowana i akceptowana przez operatora-człowieka przed wysłaniem do Ciebie. AI nie podejmuje samodzielnych decyzji o charakterze prawnym, kadrowym ani finansowym wobec Ciebie.
Znaczenie i konsekwencje: opisane wykorzystanie AI nie stanowi „decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu" w rozumieniu art. 22 ust. 1 RODO, ponieważ ostateczną decyzję podejmuje człowiek. Niezależnie od powyższego — przysługują Ci pełne prawa z art. 22 ust. 3 RODO oraz prawo do żądania obsługi przez operatora-człowieka bez wykorzystania AI — wystarczy zgłosić to na adres dpo@socapbonus.pl z dopiskiem „art. 22 RODO — bez AI" (rozpatrzenie: 14 dni roboczych).
Zabezpieczenia umowne i techniczne:
- SCC 2021/914 moduł 2 (administrator–procesor) zawarte bezpośrednio z Anthropic,
- zakaz wykorzystywania Twoich zapytań do trenowania modeli AI (zero data retention Anthropic API),
- pseudonimizacja danych identyfikacyjnych w treści zapytań w zakresie, w jakim nie są one niezbędne do udzielenia odpowiedzi.
9.3. Inne formy profilowania
Spółki grupy SoCap nie stosują profilowania marketingowego, scoringu kredytowego ani scoringu na potrzeby zatrudnienia wobec Ciebie.
10. SKARGA DO ORGANU NADZORCZEGO (one-stop-shop, art. 56 RODO)
Masz prawo wnieść skargę do organu nadzorczego, jeżeli uważasz, że przetwarzanie Twoich danych narusza RODO. Z uwagi na fakt, że wszystkie spółki grupy SoCap mają siedzibę w Polsce — organem nadzorczym wiodącym (lead supervisory authority) w rozumieniu art. 56 RODO jest:
Prezes Urzędu Ochrony Danych Osobowych ul. Stawki 2, 00-193 Warszawa e-mail: kancelaria@uodo.gov.pl https://uodo.gov.pl
11. CZY PODANIE DANYCH JEST OBOWIĄZKOWE
Podanie:
- danych objętych umową zlecenia / o pracę, zgłoszeniami ZUS, dokumentacją PIT — wymóg ustawowy i umowny; brak ich podania uniemożliwia zawarcie i wykonanie umowy;
- informacji o niepełnosprawności — dobrowolne, ale wpływa na obowiązki składkowe i ulgi;
- zgody na biometrię — dobrowolne (funkcja obecnie wyłączona; po aktywacji — z alternatywą weryfikacji tradycyjnej, pkt 5.2).
12. INFORMACJE DODATKOWE
- Polityka Prywatności Aplikacji Onboardly: https://onboardly.work/prywatnosc (do czasu migracji domeny: https://onboardly-inky.vercel.app/prywatnosc)
- Regulamin Aplikacji Onboardly: https://onboardly.work/regulamin
W razie pytań — skontaktuj się z IOD: dpo@socapbonus.pl.
POTWIERDZENIE ZAPOZNANIA SIĘ Z KLAUZULĄ INFORMACYJNĄ
Oświadczam, że zapoznałem(-am) się z powyższą klauzulą informacyjną i:
- przyjąłem(-am) do wiadomości informacje o przetwarzaniu moich danych osobowych przez spółkę grupy SoCap wskazaną w mojej umowie zlecenia / o pracę,
- rozumiem przysługujące mi prawa wynikające z RODO (art. 15–22) oraz tryb ich realizacji,
- znam dane kontaktowe Inspektora Ochrony Danych (dpo@socapbonus.pl).
Spółka zatrudniająca (Administrator): ………………………………………………………………… (np. Workflex 1 Sp. z o.o., NIP 8982325161)
Imię i nazwisko: ……………………………………………………………………
Data: ……………………………
Podpis (elektroniczny w aplikacji Onboardly — typ podpisu dobierany automatycznie zgodnie z § 11 Regulaminu): ……………………………………
Załączniki (opcjonalnie — w razie aktywacji funkcji biometrii i wyboru przez Zleceniobiorcę)
Zgoda na przetwarzanie danych biometrycznych (art. 9 ust. 2 lit. a RODO)
Niniejszy załącznik wykorzystywany jest wyłącznie po aktywacji funkcji biometrycznej w Onboardly — zob. pkt 5.2. Na dzień wydania klauzuli funkcja jest wyłączona.
Wyrażam wyraźną zgodę na przetwarzanie moich danych biometrycznych (zdjęcie twarzy, porównanie ze zdjęciem z dokumentu tożsamości) przez spółkę grupy SoCap wskazaną wyżej jako Administrator, w celu zautomatyzowanej weryfikacji mojej tożsamości w procesie onboardingu.
Rozumiem, że:
- mogę odmówić tej zgody — wówczas weryfikacja odbędzie się tradycyjnie (osobiste okazanie dokumentu lub OCR bez selfie-matching),
- mogę wycofać tę zgodę w każdej chwili (dpo@socapbonus.pl) — wycofanie skutkuje natychmiastowym usunięciem moich danych biometrycznych; nie wpływa na przetwarzanie sprzed wycofania,
- moje dane biometryczne nie będą wykorzystywane w celach AML — żadna ze spółek grupy SoCap nie jest instytucją obowiązaną.
[ ] TAK, wyrażam zgodę [ ] NIE wyrażam zgody
Podpis: ……………………………………
Niniejsza klauzula informacyjna realizuje obowiązek informacyjny administratora wynikający z art. 13 RODO. Aktualna wersja (3.0) stanowi załącznik do procesu onboardingowego w aplikacji Onboardly i jest udostępniana w momencie zbierania danych.