Skip to content Skip to footer
Close

Polityka Prywatności

Data wejścia w życie: 27 września 2025
Ostatnia aktualizacja: 05 listopada 2025
Wersja: 1.01

1. Wprowadzenie i Zakres

1.1. Nasze Zobowiązanie do Ochrony Państwa Prywatności

Spółka AIM Investment Fund S.A. („AIM”, „my”, „nas”) z najwyższym zaangażowaniem podchodzi do kwestii ochrony prywatności i bezpieczeństwa Państwa danych osobowych. Przetwarzamy dane osobowe w ścisłej zgodności z Ogólnym Rozporządzeniem o Ochronie Danych (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679) („RODO”) oraz polską Ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych („Ustawa”), a także innymi obowiązującymi przepisami krajowymi i sektorowymi regulującymi branżę usług finansowych w Polsce.

Niniejsza polityka opiera się na fundamentalnych zasadach ochrony danych: zgodności z prawem, rzetelności i przejrzystości. Zobowiązujemy się do zachowania pełnej transparentności co do celów, w jakich gromadzimy Państwa dane osobowe, oraz sposobów ich wykorzystywania.

1.2. Informacje o Administratorze Danych

Na potrzeby RODO, AIM Investment Fund S.A. jest „Administratorem Danych” osobowych przetwarzanych zgodnie z niniejszą polityką. Oznacza to, że jesteśmy odpowiedzialni za podejmowanie decyzji o tym, jak przechowujemy i wykorzystujemy Państwa dane osobowe.

  • Pełna nazwa prawna: AIM Investment Fund S.A.
  • Adres siedziby: Jana Pawła II 27, 00-867 Warszawa, Polska
  • Sąd rejestrowy: Sąd Rejonowy dla m.st. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego
  • Numer w Krajowym Rejestrze Sądowym (KRS): 0001179767
  • Numer Identyfikacji Podatkowej (NIP): 5833315173
  • REGON: 380822590
  • Kapitał zakładowy: 7 122 500,00 PLN, wpłacony w całości
  • Adres e-mail: contact@aimifsa.com

1.3. Data Protection Officer (DPO)

Zgodnie z naszymi obowiązkami prawnymi wynikającymi z art. 37 RODO, wyznaczyliśmy Inspektora Ochrony Danych (IOD). Wyznaczenie IOD jest obowiązkowe dla organizacji takich jak nasza, których podstawowa działalność obejmuje przetwarzanie na dużą skalę szczególnych kategorii danych i/lub regularne i systematyczne monitorowanie osób, co jest nieodłącznym elementem procesów należytej staranności wobec klienta oraz przeciwdziałania praniu pieniędzy (AML) w sektorze finansowym. Nasz IOD jest odpowiedzialny za nadzorowanie naszej zgodności z przepisami o ochronie danych.

W przypadku jakichkolwiek pytań dotyczących niniejszej Polityki Prywatności lub chęci skorzystania z przysługujących Państwu praw w zakresie ochrony danych, prosimy o bezpośredni kontakt z naszym IOD:

  • Email: contact@aimifsa.com
  • Adres korespondencyjny: Jana Pawła II 27, 00-867 Warszawa, Polska (z dopiskiem „Do wiadomości Inspektora Ochrony Danych”)

1.4. Zakres niniejszej Polityki

Niniejsza Polityka Prywatności ma zastosowanie do wszystkich osób fizycznych („Osób, których dane dotyczą”), których dane osobowe przetwarzamy w ramach naszej działalności biznesowej. Obejmuje to między innymi:

  • Obecnych, potencjalnych i byłych inwestorów oraz klientów.
  • Osoby odwiedzające naszą stronę internetową: aimifsa.com.
  • Obecnych, potencjalnych i byłych pracowników, współpracowników i stażystów.
  • Przedstawicieli, dyrektorów i beneficjentów rzeczywistych naszych klientów instytucjonalnych.
  • Przedstawicieli naszych partnerów biznesowych, dostawców i zewnętrznych usługodawców.
  • Osoby, których dane osobowe są nam przekazywane w związku z naszą działalnością inwestycyjną, takie jak prezesi, członkowie kadry kierowniczej lub kluczowy personel spółek portfelowych lub potencjalnych celów inwestycyjnych.

2. Kluczowe Definicje

Aby zapewnić przejrzystość i łatwość zrozumienia niniejszej polityki, posługujemy się następującymi kluczowymi terminami zdefiniowanymi w art. 4 RODO:

  • Dane Osobowe: Wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („Osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy (taki jak adres IP) lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
  • Przetwarzanie: Jakakolwiek operacja lub zestaw operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. Jest to niezwykle szerokie pojęcie, które obejmuje zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie, dopasowywanie, łączenie, ograniczanie, usuwanie lub niszczenie danych. Kluczowe jest zrozumienie, że nawet pasywne, długoterminowe przechowywanie danych w celach archiwalnych lub w celu zapewnienia zgodności z prawem stanowi „przetwarzanie”. Jako instytucja finansowa jesteśmy prawnie zobowiązani do przechowywania określonej dokumentacji inwestorów przez wiele lat po zakończeniu relacji biznesowej. Definiując „Przetwarzanie” tak kompleksowo, niniejsza polityka wyjaśnia, że wszystkie środki ochrony przewidziane w RODO, w tym solidne zabezpieczenia i ostateczne bezpieczne usunięcie, mają zastosowanie do Państwa danych przez cały cykl ich życia w naszej organizacji, a nie tylko wtedy, gdy są aktywnie wykorzystywane.
  • Administrator Danych: Osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. W kontekście niniejszej polityki jest to AIM Investment Fund S.A.
  • Podmiot Przetwarzający: Osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Przykładami są nasz administrator z funduszu lub dostawca usług chmurowych.
  • Osoba, której dane dotyczą: Zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna, której dotyczą dane osobowe.
  • Podstawa prawna przetwarzania: Uzasadnienie prawne wymagane na mocy art. 6 RODO dla każdej czynności przetwarzania danych osobowych. Sześć potencjalnych podstaw prawnych to: Zgoda, Wykonanie umowy, Obowiązek prawny, Ochrona żywotnych interesów, Wykonanie zadania realizowanego w interesie publicznym oraz Prawnie uzasadniony interes.
  • Europejski Obszar Gospodarczy (EOG): Państwa Członkowskie Unii Europejskiej oraz Islandia, Liechtenstein i Norwegia.

3. Przetwarzane przez nas Dane Osobowe, Cele i Podstawy Prawne

Ta sekcja zawiera szczegółowy i przejrzysty przegląd danych osobowych, które zbieramy, celów ich zbierania oraz podstaw prawnych tych działań. Wybór podstawy prawnej jest kluczowym rozstrzygnięciem, które ma bezpośredni wpływ na Państwa prawa. Przykładowo, Państwa prawo do wycofania zgody ma charakter bezwzględny w przypadku przetwarzania opartego na „Zgodzie” (np. w celach marketingowych), podczas gdy prawo do usunięcia danych nie ma zastosowania, gdy przetwarzamy Państwa dane w celu wypełnienia „Obowiązku prawnego” (np. w ramach weryfikacji AML). Poprzez jasne przypisanie każdej czynności przetwarzania do jej konkretnej podstawy prawnej, niniejsza polityka zapewnia fundamenty niezbędne do zrozumienia i skutecznego egzekwowania Państwa praw.

3.1. W odniesieniu do naszych Inwestorów i Klientów (Potencjalnych, Obecnych i Byłych)

Przetwarzamy Państwa dane osobowe w celu świadczenia naszych usług inwestycyjnych oraz wypełniania naszych rygorystycznych obowiązków regulacyjnych.

  • Kategorie przetwarzanych Danych Osobowych:
    • Dane Identyfikacyjne: Pełne imię i nazwisko, tytuł, data i miejsce urodzenia, narodowość, płeć oraz kopie dokumentów tożsamości, takich jak paszport, dowód osobisty lub prawo jazdy.
    • Dane Kontaktowe: Adres zamieszkania i/lub adres prowadzenia działalności, prywatny i/lub służbowy adres e-mail oraz numery telefonów.
    • Dane Finansowe: Dane rachunku bankowego, informacje o źródle majątku i źródle środków finansowych, historia inwestycji, aktywa, wartość netto, numery identyfikacji podatkowej (np. NIP, PESEL) oraz ewidencja transakcji.
    • Dane w ramach Należytej Staranności: Informacje wymagane do weryfikacji w ramach procedur przeciwdziałania praniu pieniędzy (AML) i „Poznaj Swojego Klienta” (KYC), w tym informacje dotyczące statusu Osoby zajmującej eksponowane stanowisko polityczne (PEP) oraz, w przypadkach dozwolonych przez polskie prawo dla sektora finansowego, informacje o wyrokach skazujących i naruszeniach prawa.
    • Dane Profilowe i Komunikacyjne: Państwa cele inwestycyjne, profil tolerancji ryzyka, zapisy naszej korespondencji i komunikacji z Państwem (w tym e-maile, notatki ze spotkań i nagrania rozmów, jeśli ma to zastosowanie i jest prawnie dozwolone).
  • Cele i Podstawy Prawne Przetwarzania:
    • Cel: Ocena Państwa wniosku o dokonanie inwestycji i nawiązanie relacji biznesowej.
      • Podstawa prawna: Niezbędność do podjęcia działań na Państwa żądanie przed zawarciem umowy.
    • Cel: Wykonywanie naszych zobowiązań umownych, w tym przetwarzanie subskrypcji i odkupień, zarządzanie Państwa portfelem inwestycyjnym oraz dostarczanie Państwu wyciągów i raportów.
      • Podstawa prawna: Niezbędność do wykonania umowy, której są Państwo stroną.
    • Cel: Wypełnianie naszych szeroko zakrojonych obowiązków prawnych i regulacyjnych, w tym przeprowadzanie weryfikacji AML/KYC, zapobieganie oszustwom, raportowanie podatkowe zgodnie z regulacjami takimi jak FATCA i CRS oraz odpowiadanie na wiążące żądania organów regulacyjnych (np. Komisji Nadzoru Finansowego – KNF) lub organów ścigania.
      • Podstawa prawna: Niezbędność do wypełnienia obowiązku prawnego. Jest to podstawowa przesłanka dla znacznej części naszego przetwarzania danych inwestorów.
    • Cel: Realizacja naszych prawnie uzasadnionych interesów biznesowych, takich jak zarządzanie relacjami z klientami, prowadzenie wewnętrznych analiz w celu ulepszania naszych usług, zarządzanie ryzykiem oraz ochrona lub dochodzenie roszczeń prawnych.
      • Podstawa prawna: Niezbędność do celów wynikających z naszych prawnie uzasadnionych interesów, pod warunkiem, że interesy te nie są nadrzędne wobec Państwa interesów lub podstawowych praw i wolności.

3.2. W odniesieniu do Osób Odwiedzających naszą Stronę Internetową

Kiedy odwiedzają Państwo stronę aimifsa.com, przetwarzamy ograniczoną ilość danych osobowych.

  • Kategorie przetwarzanych Danych Osobowych:
    • Dane Techniczne: Adres protokołu internetowego (IP), typ i wersja przeglądarki, ustawienia strefy czasowej, typy i wersje wtyczek do przeglądarki, system operacyjny i platforma oraz inne dane o tym, jak korzystają Państwo z naszej strony internetowej, zbierane za pomocą plików cookie i podobnych technologii.
    • Dane Kontaktowe: Państwa imię i nazwisko, adres e-mail, nazwa firmy oraz treść Państwa wiadomości, jeśli zdecydują się Państwo przesłać zapytanie za pośrednictwem naszych formularzy kontaktowych lub zapisać się do naszych newsletterów.
  • Cele i Podstawy Prawne Przetwarzania:
    • Cel: Administrowanie, utrzymanie i zabezpieczanie naszej strony internetowej oraz systemów sieciowych.
      • Podstawa prawna: Niezbędność do celów wynikających z naszych prawnie uzasadnionych interesów, polegających na zapewnieniu prawidłowego funkcjonowania i bezpieczeństwa naszej obecności w Internecie.
    • Cel: Analiza ruchu na stronie i zachowań użytkowników w celu ulepszenia funkcjonalności i komfortu użytkowania naszej strony. Wiąże się to z wykorzystaniem analitycznych plików cookie, które nie są niezbędne do działania strony.
      • Podstawa prawna: Państwa zgoda, którą uzyskujemy za pośrednictwem naszego banera zgody na pliki cookie przed umieszczeniem jakichkolwiek nieistotnych plików cookie na Państwa urządzeniu.
    • Cel: Odpowiadanie na zapytania przesłane za pośrednictwem naszych formularzy kontaktowych.
      • Podstawa prawna: Niezbędność do celów wynikających z naszych prawnie uzasadnionych interesów, polegających na odpowiadaniu na Państwa zapytania i nawiązywaniu kontaktu z potencjalnymi klientami lub partnerami.
    • Cel: Wysyłanie Państwu komunikatów marketingowych, takich jak newslettery lub analizy rynkowe, jeśli wyrazili Państwo chęć ich otrzymywania.
      • Podstawa prawna: Państwa zgoda, która musi być dobrowolna, konkretna, świadoma i jednoznaczna (np. poprzez aktywne zaznaczenie pola wyboru).

W celu uzyskania bardziej szczegółowych informacji na temat wykorzystania przez nas plików cookie, prosimy zapoznać się z naszą odrębną Polityka Plików Cookie, która jest dostępna za pośrednictwem linku w stopce naszej strony internetowej.

3.3. W odniesieniu do naszych Pracowników i Kandydatów do Pracy

Przetwarzamy dane osobowe do celów rekrutacji i zarządzania zasobami ludzkimi.

  • Kategorie przetwarzanych Danych Osobowych:
    • Dane Identyfikacyjne i Kontaktowe: Jak wyszczególniono w Sekcji 3.1.
    • Dane Zawodowe i Aplikacyjne: Curriculum vitae (CV), list motywacyjny, historia zatrudnienia, wykształcenie, kwalifikacje, certyfikaty zawodowe i referencje.
    • Dane Finansowe i Administracyjne: Dane rachunku bankowego do celów płacowych, numery identyfikacji podatkowej, informacje o ubezpieczeniach społecznych oraz dane osób pozostających na utrzymaniu w celu administrowania świadczeniami pracowniczymi.
    • Dane Umowne i Dotyczące Wyników Pracy: Umowa o pracę, stanowisko, informacje o wynagrodzeniu, oceny okresowe, dokumentacja dyscyplinarna i ewidencja szkoleń.
    • Dane o Niekaralności: Polski Kodeks Pracy przyznaje pracodawcom w sektorze finansowym i bankowym wyraźne uprawnienie do weryfikacji informacji z Krajowego Rejestru Karnego w odniesieniu do niektórych pracowników i kandydatów na stanowiska związane z dostępem do informacji poufnych lub podejmowaniem decyzji obarczonych wysokim ryzykiem. Będziemy przetwarzać takie dane tylko wtedy, gdy jest to ściśle konieczne i prawnie dopuszczalne dla danego stanowiska.
  • Cele i Podstawy Prawne Przetwarzania:
    • Cel: Ocena Państwa kandydatury i zarządzanie procesem rekrutacyjnym.
      • Podstawa prawna: Niezbędność do celów wynikających z naszych prawnie uzasadnionych interesów, polegających na rekrutowaniu wykwalifikowanego personelu, oraz niezbędność do podjęcia działań przed zawarciem umowy o pracę.
    • Cel: Administrowanie stosunkiem pracy, w tym obsługą płac, świadczeń, zarządzaniem wynikami oraz zapewnieniem dostępu do systemów firmowych.
      • Podstawa prawna: Niezbędność do wykonania umowy o pracę.
    • Cel: Wypełnianie naszych obowiązków prawnych wynikających z polskiego prawa pracy, ubezpieczeń społecznych i prawa podatkowego.
      • Podstawa prawna: Niezbędność do wypełnienia obowiązku prawnego.

3.4. W odniesieniu do naszych Partnerów Biznesowych i Dostawców Usług

Przetwarzamy dane osobowe osób, które pracują dla naszych dostawców i innych partnerów biznesowych.

  • Kategorie przetwarzanych Danych Osobowych:
    • Dane Kontaktowe i Zawodowe: Imię i nazwisko, stanowisko, pracodawca, służbowy adres e-mail i służbowy numer telefonu poszczególnych przedstawicieli.
    • Dane Finansowe: Dane rachunku bankowego do przetwarzania płatności za świadczone usługi.
  • Cele i Podstawy Prawne Przetwarzania:
    • Cel: Zamawianie usług i dokonywanie płatności, zarządzanie umowami oraz utrzymywanie naszych relacji biznesowych.
      • Podstawa prawna: Niezbędność do wykonania umowy z Państwa pracodawcą oraz niezbędność do celów wynikających z naszych prawnie uzasadnionych interesów, polegających na zarządzaniu relacjami z dostawcami usług.

Podsumowanie Czynności Przetwarzania

Zasada przejrzystości RODO wymaga, aby informacje były prezentowane w zwięzłej i przystępnej formie. Poniższa tabela zawiera skrótowe podsumowanie naszych głównych czynności przetwarzania danych. 

Cel Przetwarzania Kategorie Osób, których dane dotyczą Kategorie przetwarzanych Danych Osobowych Podstawa prawna (Art. 6 RODO)
Wdrożenie Klienta i Należyta Staranność Potencjalni i Obecni Inwestorzy Dane Identyfikacyjne, Kontaktowe, Finansowe, KYC/AML Obowiązek prawny; Wykonanie umowy
Zarządzanie Inwestycjami i Portfelem Obecni Inwestorzy Dane Identyfikacyjne, Kontaktowe, Finansowe, Transakcyjne Wykonanie umowy; Prawnie uzasadniony interes
Funkcjonowanie Strony i Analityka Osoby Odwiedzające Stronę Dane Techniczne (Adres IP, ID Cookie), Dane Kontaktowe Prawnie uzasadniony interes; Zgoda
Marketing i Komunikacja Potencjalni Klienci, Klienci, Osoby Odwiedzające Stronę Imię i nazwisko, Adres e-mail, Stanowisko Zgoda
Administracja Pracownicza i Kadrowa Pracownicy, Kandydaci do Pracy Dane Identyfikacyjne, Kontaktowe, Zawodowe, Finansowe, Umowne Wykonanie umowy; Obowiązek prawny
Zarządzanie Dostawcami Partnerzy Biznesowi, Dostawcy Usług Dane Kontaktowe, Dane Finansowe Wykonanie umowy; Prawnie uzasadniony interes

4. Jak udostępniamy Państwa Dane Osobowe

Nie sprzedajemy Państwa danych osobowych. Udostępniamy Państwa dane osobowe stronom trzecim tylko wtedy, gdy jest to konieczne do celów określonych w Sekcji 3 i gdy mamy ku temu podstawę prawną. Konieczne jest rozróżnienie dwóch kategorii stron trzecich: Podmiotów Przetwarzających oraz Zewnętrznych Administratorów. Rozróżnienie to ma kluczowe znaczenie w świetle RODO, ponieważ określa zakres naszej odpowiedzialności.

4.1. Udostępnianie Podmiotom Przetwarzającym

Angażujemy zewnętrznych dostawców usług do wykonywania określonych funkcji w naszym imieniu. Podmioty te działają jako „Podmioty Przetwarzające” i mogą przetwarzać Państwa dane osobowe wyłącznie zgodnie z naszymi wyraźnymi, udokumentowanymi instrukcjami. Dokładnie weryfikujemy wszystkie podmioty przetwarzające, aby upewnić się, że dają one wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych w celu ochrony Państwa danych. Z każdym podmiotem przetwarzającym mamy zawarte prawnie wiążące umowy powierzenia przetwarzania danych, zgodnie z wymogami art. 28 RODO. Umowy te zobowiązują je do ochrony Państwa danych według tych samych wysokich standardów, które my stosujemy.

Kategorie naszych Podmiotów Przetwarzających obejmują:

  • Depozytariuszy, którzy są odpowiedzialni za bezpieczne przechowywanie aktywów funduszu.
  • Dostawców usług IT i chmurowych, którzy zapewniają przechowywanie danych,  i inną niezbędną infrastrukturę technologiczną.
  • Dostawców usług płacowych i kadrowych, którzy pomagają w zarządzaniu danymi naszych pracowników.

4.2. Udostępnianie Zewnętrznym Administratorom

W pewnych okolicznościach możemy udostępniać Państwa dane osobowe stronom trzecim, które działają jako niezależni „Administratorzy Danych”. Oznacza to, że samodzielnie określają cele i sposoby przetwarzania oraz są niezależnie odpowiedzialne za zapewnienie zgodności z przepisami o ochronie danych.

Kategorie Zewnętrznych Administratorów, którym możemy udostępniać dane, obejmują:

  • Doradców Prawnych i Zawodowych: Naszych prawników, audytorów i doradców podatkowych, którzy wymagają Państwa danych do świadczenia nam profesjonalnych usług.
  • Organy Regulacyjne i Rządowe: Jesteśmy prawnie zobowiązani do udostępniania informacji organom regulacyjnym, takim jak Komisja Nadzoru Finansowego (KNF), organom podatkowym (w Polsce i za granicą, w ramach reżimów takich jak FATCA/CRS), organom ścigania oraz polskiemu organowi ochrony danych (Prezes Urzędu Ochrony Danych Osobowych – UODO), gdy jest to wymagane przez prawo lub nakaz sądowy.
  • Instytucje Finansowe: Banki, brokerów i innych pośredników finansowych zaangażowanych w przetwarzanie Państwa transakcji lub przechowywanie aktywów w Państwa imieniu.

5. Międzynarodowe Transfery Danych Osobowych

5.1. Nasze Podejście do Międzynarodowych Transferów

Jako globalny fundusz inwestycyjny, nasza działalność może wymagać przekazywania Państwa danych osobowych do krajów poza Europejskim Obszarem Gospodarczym (EOG). Przekażemy Państwa dane osobowe poza EOG tylko wtedy, gdy będziemy przekonani, że poziom ochrony przyznany im przez RODO nie zostanie naruszony. Jest to podstawowy wymóg Rozdziału V RODO i traktujemy ten obowiązek bardzo poważnie.

5.2. Zabezpieczenia dla Międzynarodowych Transferów

Aby zapewnić stałą ochronę Państwa danych, będziemy przeprowadzać takie transfery wyłącznie przy użyciu jednego z następujących prawnie uznanych zabezpieczeń:

  • Decyzje Stwierdzające Odpowiedni Stopień Ochrony: Możemy przekazywać Państwa dane osobowe do krajów, terytoriów lub organizacji międzynarodowych, które Komisja Europejska formalnie uznała za zapewniające „odpowiedni” poziom ochrony danych. Gdy transfer odbywa się do takiego kraju, jest traktowany tak, jakby był transferem w obrębie EOG i nie jest wymagane żadne dalsze szczególne zabezpieczenie.
  • Standardowe Klauzule Umowne (SKU): W przypadku transferów do krajów, które nie posiadają decyzji stwierdzającej odpowiedni stopień ochrony (takich jak Stany Zjednoczone), naszym podstawowym zabezpieczeniem jest stosowanie Standardowych Klauzul Umownych. Są to wzorcowe klauzule ochrony danych, które zostały zatwierdzone przez Komisję Europejską i są prawnie wiążące zarówno dla eksportera danych (nas), jak i importera danych.
  • Środki Uzupełniające i Oceny Skutków Transferu (OST): Nasze ramy zgodności nie są statyczne; ewoluują wraz z orzecznictwem. Po wyroku Trybunału Sprawiedliwości Unii Europejskiej w sprawie „Schrems II”, rozumiemy, że same SKU mogą nie zawsze być wystarczające. Dlatego przed przekazaniem danych przy użyciu SKU, przeprowadzamy indywidualną Ocenę Skutków Transferu (OST), aby ocenić przepisy i praktyki kraju docelowego, w szczególności dotyczące dostępu do danych przez organy publiczne. Tam, gdzie OST zidentyfikuje ryzyko dla Państwa danych, wdrożymy odpowiednie środki uzupełniające (takie jak wzmocnione szyfrowanie techniczne lub dodatkowe zobowiązania umowne), aby zapewnić, że Państwa dane otrzymają poziom ochrony, który jest zasadniczo równoważny z tym w obrębie EOG. Dowodzi to naszego zaangażowania w utrzymanie aktualnej i solidnej postawy w zakresie zgodności w odpowiedzi na znaczące zmiany prawne.
  • Wiążące Reguły Korporacyjne (WRK): Jeśli AIM stanie się częścią grupy kapitałowej, która przyjęła Wiążące Reguły Korporacyjne zatwierdzone przez właściwy organ ochrony danych, możemy polegać na tych regułach przy wewnątrzgrupowych transferach danych osobowych poza EOG.
  • Wyjątki (Derogacje): W wyjątkowych i ograniczonych okolicznościach możemy polegać na konkretnym wyjątku na mocy art. 49 RODO, na przykład, gdy wyrazili Państwo wyraźną zgodę na konkretny proponowany transfer po poinformowaniu o ryzyku, lub gdy transfer jest niezbędny do wykonania naszej umowy z Państwem. Nie będziemy polegać na wyjątkach w przypadku regularnych, systematycznych transferów danych.

6. Bezpieczeństwo Danych

6.1. Nasze Zobowiązanie do Bezpieczeństwa

Mamy prawny obowiązek wynikający z art. 32 RODO wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić poziom bezpieczeństwa odpowiedni do ryzyka związanego z przetwarzaniem przez nas Państwa danych osobowych. Traktujemy ten obowiązek niezwykle poważnie. Nasze podejście do bezpieczeństwa opiera się na analizie ryzyka, co oznacza, że wdrażane przez nas środki są proporcjonalne do wrażliwości danych i potencjalnej szkody, jaka mogłaby wyniknąć z naruszenia ich ochrony.

6.2. Środki Techniczne

Wdrożyliśmy szereg technicznych środków bezpieczeństwa w celu ochrony Państwa danych osobowych przed nieuprawnionym dostępem, wykorzystaniem, zmianą lub zniszczeniem. Obejmują one:

  • Szyfrowanie: Używamy technologii szyfrowania do ochrony Państwa danych zarówno podczas przesyłania (np. protokół SSL/TLS dla wszystkich danych przesyłanych do i z naszej strony internetowej), jak i w spoczynku (np. szyfrowanie baz danych, serwerów i kopii zapasowych).
  • Kontrola Dostępu: Egzekwujemy zasadę minimalnych uprawnień („least privilege”), zapewniając, że nasi pracownicy i współpracownicy mają dostęp tylko do tych danych osobowych, które są im absolutnie niezbędne do wykonywania ich obowiązków zawodowych. Dostęp jest zarządzany poprzez unikalne identyfikatory użytkowników, silne polityki haseł i uwierzytelnianie wieloskładnikowe dla systemów o kluczowym znaczeniu. Prawa dostępu są regularnie weryfikowane i aktualizowane.
  • Bezpieczeństwo Sieci: Nasza sieć korporacyjna jest chroniona przez zapory sieciowe klasy korporacyjnej, systemy wykrywania i zapobiegania włamaniom oraz regularnie aktualizowane oprogramowanie antywirusowe i antymalware.
  • Pseudonimizacja: Tam, gdzie jest to wykonalne i właściwe, możemy stosować techniki pseudonimizacji do przetwarzania danych osobowych w taki sposób, aby nie można ich było już przypisać konkretnej osobie bez użycia dodatkowych informacji, które są przechowywane oddzielnie i bezpiecznie.

6.3. Środki Organizacyjne

Sama technologia nie wystarczy do zabezpieczenia danych. Wdrożyliśmy ramy środków organizacyjnych, aby wspierać kulturę bezpieczeństwa i ochrony danych. Obejmują one:

  • Polityki i Procedury: Utrzymujemy kompleksowy zestaw wewnętrznych polityk i procedur obejmujących ochronę danych, bezpieczeństwo informacji i postępowanie z danymi. Obejmuje to solidny plan reagowania na incydenty naruszenia ochrony danych, aby zapewnić, że możemy wykrywać, badać i reagować na wszelkie incydenty bezpieczeństwa w sposób terminowy i zgodny z przepisami.
  • Szkolenia Pracowników: Wszyscy nasi pracownicy i odpowiedni współpracownicy są zobowiązani do odbywania regularnych i obowiązkowych szkoleń z zakresu ochrony danych i świadomości cyberbezpieczeństwa. Gwarantuje to, że rozumieją oni swoje obowiązki i są przygotowani do identyfikowania i reagowania na potencjalne zagrożenia.
  • Poufność: Wszyscy pracownicy i współpracownicy są związani ścisłymi umownymi obowiązkami zachowania poufności w odniesieniu do danych osobowych, do których mogą mieć dostęp.
  • Bezpieczeństwo Fizyczne: Wdrażamy fizyczne środki bezpieczeństwa w celu ochrony naszych pomieszczeń i sprzętu, na którym przechowywane są dane osobowe. Obejmuje to kontrolowany dostęp do naszych biur i serwerowni oraz bezpieczne przechowywanie dokumentów w formie papierowej.
  • Prywatność w Fazie Projektowania (Privacy by Design) i Domyślna Ochrona Danych (Privacy by Default): Jesteśmy zobowiązani do integrowania zasad ochrony danych w projektowanie wszelkich nowych systemów, usług lub procesów biznesowych od samego ich początku. Oznacza to, że rozważamy implikacje projektu dla ochrony danych na wstępnym etapie, a nie jako działanie następcze.

7. Retencja (Przechowywanie) Danych

7.1. Nasza Zasada Retencji

Zgodnie z zasadą „ograniczenia przechowywania” RODO, nie będziemy przechowywać Państwa danych osobowych w formie umożliwiającej identyfikację przez okres dłuższy, niż jest to konieczne do realizacji celów, dla których zostały pierwotnie zebrane. Obejmuje to przechowywanie danych przez okres niezbędny do spełnienia wszelkich obowiązujących wymogów prawnych, regulacyjnych, podatkowych, księgowych lub sprawozdawczych.

7.2. Okresy Retencji

Konkretny okres, przez który przechowujemy Państwa dane osobowe, zależy od celu, w jakim są one przetwarzane. Ustalamy odpowiednie okresy retencji, biorąc pod uwagę ilość, charakter i wrażliwość danych, cele przetwarzania oraz, co najważniejsze, nasze obowiązki prawne i regulacyjne. Najdłuższe i najbardziej rygorystyczne okresy retencji, które stosujemy, są często podyktowane nie naszymi potrzebami biznesowymi, ale przepisami zewnętrznymi. Ta rzeczywistość ma bezpośredni wpływ na Państwa „prawo do usunięcia danych”, ponieważ jesteśmy prawnie zobowiązani do nieusuwania niektórych danych, nawet jeśli Państwo o to poproszą.

  • Dane Klientów i Inwestorów: Dane osobowe związane z naszymi inwestorami, w tym dokumentacja KYC/AML i ewidencja transakcji, będą przechowywane przez czas trwania relacji inwestycyjnej. Po jej zakończeniu, jesteśmy zobowiązani przez polskie przepisy dotyczące przeciwdziałania praniu pieniędzy do przechowywania tych danych przez okres 5 lat. Okres ten może zostać przedłużony przez organy regulacyjne w szczególnych okolicznościach.
  • Dane Pracowników: Dane dotyczące naszych pracowników są przechowywane przez czas trwania ich zatrudnienia oraz przez kolejny okres wymagany do zachowania zgodności z polskimi przepisami prawa pracy, podatkowego i ubezpieczeń społecznych.
  • Dane Kandydatów do Pracy, którzy nie zostali zatrudnieni: Dane od kandydatów, którzy nie zostali zatrudnieni, są zazwyczaj przechowywane przez 6 miesięcy po zakończeniu procesu rekrutacyjnego, aby umożliwić nam obronę przed ewentualnymi roszczeniami prawnymi. Będziemy przechowywać te dane dłużej tylko wtedy, gdy uzyskamy Państwa wyraźną zgodę na rozważenie Państwa kandydatury w przyszłych rekrutacjach.
  • Dane ze Strony Internetowej i Marketingowe: Dane zebrane w celach marketingowych są przechowywane do czasu wycofania przez Państwa zgody (np. poprzez wypisanie się z naszego newslettera). Dane techniczne z naszej strony internetowej są przechowywane przez okres niezbędny do celów bezpieczeństwa i analizy.

Po upływie obowiązującego okresu retencji, bezpiecznie i nieodwracalnie zniszczymy lub zanonimizujemy Państwa dane osobowe zgodnie z naszymi wewnętrznymi politykami.

8. Państwa Prawa w Zakresie Ochrony Danych

Zgodnie z RODO, przysługuje Państwu szereg ważnych praw dotyczących Państwa danych osobowych. Zobowiązujemy się do ich poszanowania.

8.1. Skorzystanie Państwa Praw

Mogą Państwo skorzystać z dowolnego ze swoich praw, kontaktując się z naszym Inspektorem Ochrony Danych (IOD) za pomocą danych kontaktowych podanych w Sekcji 1.3 niniejszej polityki.

Aby chronić Państwa dane osobowe przed nieuprawnionym dostępem, możemy poprosić Państwa o podanie określonych informacji w celu zweryfikowania Państwa tożsamości, zanim będziemy mogli zrealizować Państwa żądanie. Jest to kluczowy środek bezpieczeństwa.

Odpowiemy na wszystkie uzasadnione żądania w ciągu jednego miesiąca od ich otrzymania. Czasami może nam to zająć dłużej niż miesiąc, jeśli Państwa żądanie jest szczególnie skomplikowane lub złożyli Państwo wiele żądań. W takim przypadku powiadomimy Państwa w ciągu pierwszego miesiąca i będziemy Państwa informować na bieżąco.

Korzystanie z Państwa praw jest bezpłatne. Możemy jednak pobrać rozsądną opłatę, jeśli Państwa żądanie jest w sposób oczywisty nieuzasadnione, powtarzalne lub nadmierne. Alternatywnie, w takich okolicznościach możemy odmówić spełnienia Państwa żądania.

Jasne szczegóły proceduralne określone tutaj — miesięczny termin, weryfikacja tożsamości i możliwość przedłużenia — służą nie tylko Państwa informacji. Stanowią one również wewnętrzną umowę o poziomie usług dla naszej funkcji compliance, zapewniając, że dysponujemy ramami operacyjnymi do obsługi Państwa żądań w sposób terminowy i zgodny z prawem.

8.2. Wyjaśnienie Państwa Praw

Przysługują Państwu następujące prawa w odniesieniu do Państwa danych osobowych:

  • Prawo do informacji: Mają Państwo prawo do otrzymania jasnych, przejrzystych i łatwo zrozumiałych informacji o tym, jak wykorzystujemy Państwa dane osobowe i jakie mają Państwo prawa. Dlatego właśnie dostarczamy Państwu informacje zawarte w niniejszej Polityce Prywatności.
  • Prawo dostępu do danych: Mają Państwo prawo do uzyskania potwierdzenia, czy przetwarzamy Państwa dane osobowe, a jeśli tak, do otrzymania kopii Państwa danych osobowych wraz z określonymi informacjami na temat tego przetwarzania.
  • Prawo do sprostowania danych: Mają Państwo prawo do żądania sprostowania Państwa danych osobowych, jeśli są one niedokładne lub niekompletne. Zachęcamy do informowania nas o wszelkich zmianach w Państwa danych osobowych w trakcie trwania naszej relacji.
  • Prawo do usunięcia danych („prawo do bycia zapomnianym”): Umożliwia ono Państwu żądanie usunięcia Państwa danych osobowych, gdy nie ma uzasadnionego powodu, abyśmy je nadal przetwarzali. Prawo to nie ma charakteru bezwzględnego i podlega określonym wyjątkom. Na przykład, nie możemy usunąć Państwa danych, gdy musimy je zachować w celu wypełnienia obowiązku prawnego (jak wyjaśniono w Sekcji 7) lub w celu ustalenia, dochodzenia lub obrony roszczeń.
  • Prawo do ograniczenia przetwarzania: Mają Państwo prawo do „zablokowania” lub wstrzymania dalszego wykorzystywania Państwa danych osobowych w określonych okolicznościach. Gdy przetwarzanie jest ograniczone, nadal możemy przechowywać Państwa dane osobowe, ale nie możemy ich dalej wykorzystywać.
  • Prawo do przenoszenia danych: Mają Państwo prawo do otrzymania i ponownego wykorzystania Państwa danych osobowych dla własnych celów u różnych usługodawców. Prawo to dotyczy wyłącznie danych osobowych, które nam Państwo dostarczyli, gdy przetwarzanie odbywa się na podstawie Państwa zgody lub w celu wykonania umowy, oraz gdy przetwarzanie odbywa się w sposób zautomatyzowany.
  • Prawo do sprzeciwu: Mają Państwo prawo do wniesienia sprzeciwu wobec przetwarzania przez nas Państwa danych osobowych, gdy opiera się ono na naszych prawnie uzasadnionych interesach. Musimy wówczas zaprzestać przetwarzania, chyba że wykażemy istnienie ważnych, prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec Państwa interesów, praw i wolności. Mają Państwo bezwzględne prawo do wniesienia w dowolnym momencie sprzeciwu wobec przetwarzania Państwa danych osobowych w celach marketingu bezpośredniego.
  • Prawa związane ze zautomatyzowanym podejmowaniem decyzji i profilowaniem: Mają Państwo prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec Państwa skutki prawne lub w podobny sposób istotnie na Państwa wpływa. Prosimy zapoznać się z Sekcją 10, aby poznać nasze stanowisko w tej sprawie.

9. Państwa Prawo do Złożenia Skargi

9.1. Nasz Organ Nadzorczy

Chociaż mamy nadzieję, że uda nam się bezpośrednio rozwiązać wszelkie Państwa wątpliwości, mają Państwo prawo do złożenia skargi do organu nadzorczego ds. ochrony danych, jeśli uważają Państwo, że przetwarzanie przez nas Państwa danych osobowych narusza obowiązujące przepisy o ochronie danych.

Ponieważ AIM Investment Fund S.A. ma siedzibę w Polsce, naszym wiodącym organem nadzorczym jest polski organ ochrony danych.

Dane kontaktowe naszego wiodącego organu nadzorczego to:

  • Nazwa: Prezes Urzędu Ochrony Danych Osobowych (UODO)
  • Adres: Stawki 2, 00-193 Warszawa, Polska
  • Strona internetowa: https://uodo.gov.pl/
  • E-mail: kancelaria@uodo.gov.pl
  • Infolinia: +48 606 950 000

10. Zautomatyzowane Podejmowanie Decyzji i Profilowanie

AIM Investment Fund S.A. nie stosuje zautomatyzowanego podejmowania decyzji, w tym profilowania, które wywołuje wobec Państwa skutki prawne lub w podobny sposób istotnie na Państwa wpływa. Wszystkie istotne decyzje związane z naszymi inwestorami, pracownikami i działalnością biznesową podejmowane są z udziałem człowieka.

11. Updates to This Privacy Policy

Możemy okresowo aktualizować niniejszą Politykę Prywatności, aby odzwierciedlić zmiany w naszych praktykach przetwarzania danych lub z innych powodów operacyjnych, prawnych lub regulacyjnych. Najnowsza wersja tej polityki będzie zawsze dostępna na naszej stronie internetowej. Powiadomimy Państwa o wszelkich istotnych zmianach, jeśli będziemy do tego zobowiązani przez prawo.

Prosimy sprawdzić „Datę wejścia w życie” i numer „Wersji” na górze tej polityki, aby zobaczyć, kiedy była ona ostatnio zmieniana.