Realizujac obowiazek wynikajacy z powszechnie obowiazujacych przepisów w zakresie w ochrony danych osobowych, w tym w szczególnosó z Rozporzadzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w zwiazku z przetwarzaniem danych osobowych i w sprawie swobodnego przeptywu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO") i ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych informujemy o nastepujacym:

1. Administrator danych osobowych

1) Administratorem danych osobowych jest TUTLO sp. z o.o., ul. Nowogrodzka 42 lok. 501, 00-695
Warszawa, wpisana do rejestru przedsiebiorców Krajowego Rejestru Sadowego prowadzonego przez Sad Rejonowy dla m.st. Warszawy, XII Wydziat Gospodarczy Krajowego Rejestru Sadowego pod numerem KRS: 0001021377, NIP: 7011130879, REGON: 524550960, rodo@tutlo.pl, tel. 22 247 20 45.

2) Administrator wyznaczyt Inspektora Ochrony Danych Osobowych (Inspektor), z którym mozna sie skontaktowaé we wszystkich sprawach zwiazanych z przetwarzaniem danych osobowych.
Kontakt z Inspektorem jest mozliwy pod adresem e-mail: iod@tutlo.pl.

2. Cele i podstawy przetwarzania danych osobowych

Administrator przetwarza dane osobowe w nastepujacych celach:

A. Osoby korzystajace z serwisu www.tutlo.pl i www.tutlo.com

1) Zapewnienie dostepu do serwisu www.tutlo.pl i www.tutlo.com - podstawa prawna przetwarzania danych jest art. 6 ust. 1 lit. b) RODO, tj. przetwarzanie danych jest niezbedne do wykonania umowy dostepu do serwisu lub podjecia dziatan przed jej zawarciem.

2) Prowadzenie marketingu bezposredniego produktów i ustug Administratora - podstawa prawna przetwarzania danych jest art. 6 ust. 1 lit. f) RODO, tj. przetwarzanie danych jest niezbedne w celu realizacji prawnie uzasadnionego interesu Administratora, gdzie interes ten polega na sprzedazy oferowanych ustug.

3) Udzielanie odpowiedzi na zapytania, korespondencje i reklamacje kierowane do Administratora - podstawa prawna przetwarzania danych jest art. 6 ust. 1 lit. f) RODO, tj. przetwarzanie danych jest niezbedne w celu realizacji prawnie uzasadnionego interesu Administratora, gdzie interes ten polega swiadczeniu ustug wysokiej jakosc w tym poprzez obstuge klienta lub podstawa prawno przetwarzania danych jest art. 6 ust. 1 lit. c) RODO - przetwarzanie danych osobowych jest niezbedne w celu wypetnienia obowiazków prawnych ciazacych na Administratorze, gdzie obowiazek ten polega na udzielaniu odpowiedzi na reklamacje.

4) Prowadzenie czynnosci i badan majacych na celu ocene satysfakcji w zwiazku z zawarta, z Administratorem umowa oraz kontrolowania jakosci swiadczonych uslug - podstawa prawna jest art. 6 ust. 1 lit. f) RODO, tj. przetwarzanie danych osobowych jest niezbedne w celu realizacji prawnie uzasadnionego interesu Administratora, gdzie interes ten polega ocenie satysfakcji klienta i kontrolowaniu jakosci swiadczonych ustug.

5) Dochodzenie roszczen lub obrona przed roszczeniami innych podmiotów - podstawa prawna przetwarzania danych jest art. 6 ust. 1 lit. f) RODO, tj. przetwarzanie danych osobowych jest niezbedne w celu realizacji prawnie uzasadnionego interesu Administratora, poniewaz realizacja swoich praw w razie ewentualnego sporu jest prawnie uzasadnionym interesem Administratora.

B. Dostawcy i przedstawiciele dostawców:

1) Wykonanie umowy lub podjecie dziatan na zadanie osoby, której dane dotycza przed zawarciem umowy - 1) jesli strona umowy jest osoba, której dane dotycza, to podstawa prawna przetwarzania bedzie art. 6 ust. 1 lit. b) RODO, czyli przetwarzane danych osobowych nie jest niezbedne w celu wykonania umowy; 2) jesli strona umowy nie jest osoba, której dane dotycza (a np. jej pracodawca), to podstawa prawna przetwarzania bedzie art. 6 ust. 1 lit. f) RODO, poniewaz zawarcie takiej umowy jest prawnie uzasadnionym interesem Administratora, który polega na koniecznosó zawarcia umowy z podmiotem trzecim.

2) Dochodzenie roszczen lub obrona przed roszczeniami innych podmiotów - podstawa prawna przetwarzania danych jest art. 6 ust. 1 lit. f) RODO, tj. przetwarzanie danych osobowych jest niezbedne w celu realizacji prawnie uzasadnionego interesu Administratora, poniewaz realizacja swoich praw w razie ewentualnego sporu jest prawnie uzasadnionym interesem Administratora.

‍

3.. Zródło danych

1) Dane osobowe pochodza bezposrednio od osoby, której dane dotycza.

2) Dane osobowe mogly zostac udostepnione przez podmioty trzecie, ale wytacznie w przypadku, gdy istniata podstawa prawna takiego udostepnienia.

3) Administrator moze takze przetwarzac dane osobowe pochodzace z poblicznych zródet.

4. Odbiorcy danych

1) Administrator moze udostepnió dane osobowe swoim podwykonawcom (podmiotom, z ustug których korzysta przy przetwarzaniu) takim jak:

• dostawcy ustug informatycznych;
• podmioty swiadczace ustugi ksiegowe;
• podmioty swiadczace ustugi marketingowe.

2) Administrator nie przekazuje danych osobowych poza Europejski Obszar Gospodarczy za wyjatkiem udostepniania danych podwykonawcom Administratora (podmiotom, które przetwarzaja dane w jego imieniu), którzy dostarczaja Administratorowi ustugi informatyczne. Administrator korzysta wytacznie z podmiotów nalezacych do programu EU-U.S. Privacy Shield (Tarcza Prywatnosci), które zapewniaja zgodnosé swojego dziatania z RODO.

3) W przypadku kontaktowania sie lektorami wspótpracujacymi z Administratorem, Panstwa dane takie jak imie i nazwisko moga zostaé przekazane lektorom. Czesó lektorów przebywa w krajach niebedacych panstwami cztonkowskimi Unii Europejskiej. Niektóre z tych krajów sa krajami co do których Komisja Europejska nie wydata decyzji stwierdzajacej odpowiedni stopien ochrony. W takim przypadku Administrator zapewnia odpowiednie zabezpieczenia danych osobowych. Sa nimi w szczególnosci standardowe klauzule ochrony danych przyjete przez Komisje Europejska (art. 46 ust. 2 lit. c RODO), które Administrator zawiera z lektorami.

4) Administrator
moze udostepnié Panstwa dane osobowe niezaleznym podmiotom (innym
administratorom przetwarzajacym je we wlasnym imieniu) takim jak:

• organy administracji - w zakresie, w jakim wynika to z przepisów prawa;
• kontrahenci i klienci - jedynie w zakresie, w jakim bedzie to niezbedne dla wykonywania umów zawartych przez Administratora.

5) Administrator jest uprawniony do udostepnienia danych osobowych równiez innym podmiotom, jesli obowiazek taki wynika z przepisów prawa.

5. Czas przechowywania danych

Dane pozyskane w celu:

1) Zapewnienia dostepu do seriwsu www.tutlo.pl i www.tutlo.com - Administrator przechowuje dane nie dtuzej niz 2 lata;

2) promocji dziatalnosci Administratora - Administrator przechowuje dane do czasu cofniecia zgody, ale nie dtuzej niz 2 lata;
udzielania odpowiedzi na zapytania, korespondencje i reklamacje - Administrator przechowuje dane przez okres przedstawniania roszczen lub jezeli roszczenia nie wystepuja przez okres 2 lat;

3) prowadzenia badan majacych na celu ocene satysfakcji klienta - Administrator przechowuje dane nie druzej niz 2 lata;

4) dochodzenie roszczen lub obrona przed roszczeniami innych podmiotów - Administrator przechowuje dane przez okres przedawnienia roszczen;

5) wykonanie umowy - Administrator przechowuje dane przez okres trwania umowy i przez okres 5 lat po jej zakonczeniu.

6. Prawa osób, których dane dotycza

1) Przystuguja Panstwu nastepujace prawa dotyczace przetwarzania danych osobowych: a) prawo dostepu do danych osobowych oraz prawo otrzymania ich kopii; b) prawo do sprostowania danych osobowych; c) prawo do usuniecia danych osobowych; d) prawo do zadania ograniczenia przetwarzania danych osobowych; e) prawo do przeniesienia danych osobowych; f) prawo sprzeciwu wobec przetwarzania danych osobowych; g) prawo do wniesienia skargi do organu nadzorczego.

2) W przypadku, gdy przetwarzanie danych odbywa sie na podstawie zgody, maja Panstwo równiez prawo do cofniecia zgody na przetwarzanie danych osobowych w dowolnym momencie. Cofniecie zgody nie wptywa na zgodnosó z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnieciem.

3) W celu wykonania powyzszych praw moga Panstwo skontaktowac sie z Administratorem.

7. Zautomatyzowane podejmowanie decyzji

1) Administrator nie podejmuje zautomatyzowanych decyzji w opraciu o dane.

8. Informacja o dobrowolnosci lub koniecznosci podania danych

Podanie danych osobowych jest niezbedne do realizacji umowy taczacej Panstwa z Administratorem i wykonywania przez Administratora obowiazków wynikajacych z przepisów

In fulfillment of the obligation arising from generally applicable legal provisions regarding the protection of personal data, including in particular Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC ("GDPR") and the Act of 10 May 2018 on the Protection of Personal Data, we hereby inform you of the following: 

1. Personal Data Controller 

1. The Personal Data Controller is TUTLO sp. z o.o., ul. Nowogrodzka 42 lok. 501, 00-695 Warsaw, entered into the Register of Entrepreneurs of the National Court Register kept by the District Court for the Capital City of Warsaw, XII Commercial Division of the National Court Register, under KRS number: 0001021377, NIP (Tax 

ID): 7011130879, REGON (Statistical ID): 524550960, email: rodo@tutlo.pl, tel. 22 247 20 45. 

2. The Controller has appointed a Data Protection Officer (DPO), who can be contacted regarding all matters related to the processing of personal data. Contact with the DPO is possible via the email address: iod@tutlo.pl. 

2. Purposes and Legal Bases for Personal Data Processing The Controller processes personal data for the following purposes: 

A. Persons using the www.tutlo.pl and www.tutlo.com services 

1. Provision of access to the www.tutlo.pl and www.tutlo.com services – the legal basis for processing constitutes Art. 6(1)(b) of the GDPR, i.e., processing is necessary for the performance of a contract for access to the service or to take steps prior to entering into a contract. 

2. Conducting direct marketing of the Controller's products and services – the legal basis for processing constitutes Art. 6(1)(f) of the GDPR, i.e., processing is necessary for the purposes of the legitimate interests pursued by the Controller, consisting of the sale of offered services. 

3. Responding to inquiries, correspondence, and complaints directed to the Controller – the legal basis for processing constitutes Art. 6(1)(f) of the GDPR, i.e., processing is necessary for the purposes of the legitimate interests pursued by the Controller, consisting of providing high-quality services, including customer service; or the legal basis constitutes Art. 6(1)(c) of the GDPR – processing is necessary for compliance with a legal obligation to which the Controller is subject, consisting of responding to complaints. 

4. Conducting activities and surveys aimed at assessing satisfaction regarding the contract concluded with the Controller and controlling the quality of services provided – the legal basis constitutes Art. 6(1)(f) of the GDPR, i.e., processing is necessary for the purposes of the legitimate interests pursued by the

Controller, consisting of assessing customer satisfaction and controlling the quality of services provided. 

5. Asserting claims or defense against claims by other entities – the legal basis for processing constitutes Art. 6(1)(f) of the GDPR, i.e., processing is necessary for the purposes of the legitimate interests pursued by the Controller, as the exercise of rights in the event of a potential dispute is a legitimate interest of the Controller. 

B. Suppliers and representatives of suppliers: 

1. Performance of a contract or taking steps at the request of the data subject prior to entering into a contract – 1) if the party to the contract is the data subject, the legal basis for processing constitutes Art. 6(1)(b) of the GDPR (processing is necessary for the performance of a contract); 2) if the party to the contract is not the data subject (but e.g., their employer), the legal basis for processing constitutes Art. 6(1)(f) of the GDPR, as the conclusion of such a contract constitutes a legitimate interest of the Controller, consisting of the necessity to conclude a contract with a third party. 

2. Asserting claims or defense against claims by other entities – the legal basis for processing constitutes Art. 6(1)(f) of the GDPR, i.e., processing is necessary for the purposes of the legitimate interests pursued by the Controller, as the exercise of rights in the event of a potential dispute is a legitimate interest of the Controller. 

3. Source of Data 

1. Personal data originates directly from the data subject. 

2. Personal data may have been disclosed by third parties, but exclusively in cases where a legal basis for such disclosure existed. 

3. The Controller may also process personal data originating from public sources. 4. Data Recipients 

1. The Controller may disclose personal data to its subcontractors (entities whose services it utilizes during processing), such as: 

○ IT service providers; 

○ entities providing accounting services; 

○ entities providing marketing services. 

2. The Controller does not transfer personal data outside the European Economic Area, with the exception of disclosing data to the Controller's subcontractors (entities processing data on its behalf) who provide IT services to the Controller. The Controller utilizes solely entities belonging to the EU-U.S. Privacy Shield program, which ensure compliance of their operations with the GDPR. 

3. In the event of contact with lecturers cooperating with the Controller, your data, such as first and last name, may be transferred to the lecturers. Some lecturers reside in countries that are not Member States of the European Union. Some of these countries are countries for which the European Commission has not issued a decision regarding an adequate level of protection. In such cases, the Controller ensures appropriate safeguards for personal data. These are, in particular, standard

data protection clauses adopted by the European Commission (Art. 46(2)(c) of the GDPR), which the Controller concludes with the lecturers. 

4. The Controller may disclose your personal data to independent entities (other controllers processing it on their own behalf), such as: 

○ administrative authorities – to the extent required by law; 

○ contractors and clients – solely to the extent necessary for the performance of contracts concluded by the Controller. 

5. The Controller is entitled to disclose personal data to other entities as well, if such an obligation arises from legal provisions. 

5. Data Storage Period 

Data obtained for the purpose of: 

1. Ensuring access to the www.tutlo.pl and www.tutlo.com services – the Controller stores data for no longer than 2 years; 

2. Promotion of the Controller's activities – the Controller stores data until consent is withdrawn, but no longer than 2 years; 

3. Responding to inquiries, correspondence, and complaints – the Controller stores data for the limitation period of claims or, if no claims occur, for a period of 2 years; 

4. Conducting surveys aimed at assessing customer satisfaction – the Controller stores data for no longer than 2 years; 

5. Asserting claims or defense against claims by other entities – the Controller stores data for the limitation period of claims; 

6. Performance of a contract – the Controller stores data for the duration of the contract and for a period of 5 years following its termination. 

6. Rights of Data Subjects 

1. You have the following rights regarding the processing of personal data: a) the right of access to personal data and the right to receive a copy thereof; b) the right to rectification of personal data; c) the right to erasure of personal data; d) the right to request restriction of processing of personal data; e) the right to personal data portability; f) the right to object to the processing of personal data; g) the right to lodge a complaint with a supervisory authority. 

2. In the event that processing is based on consent, you also have the right to withdraw consent to the processing of personal data at any time. Withdrawal of consent does not affect the lawfulness of processing based on consent before its withdrawal. 3. In order to exercise the above rights, you may contact the Controller. 

7. Automated Decision-Making 

1. The Controller does not make automated decisions based on the data. 8. Information on Voluntary or Mandatory Data Provision

Providing personal data is necessary for the performance of the contract connecting you with the Controller and for the Controller's fulfillment of obligations arising from legal regulations.

‍