Umowa Powierzenia Przetwarzania Danych Osobowych

z dnia 5 maja 2021

PREAMBUŁA

Umowa Powierzenia Przetwarzania Danych Osobowych („Umowa powierzenia”) stanowi integralną część Regulaminu Świadczenia Usługi Loyalty Starter („Regulamin”) i reguluje zasady przetwarzania danych osobowych przez Usługodawcę na rzecz Usługobiorcy korzystającego z Aplikacji Loyalty Starter (zwanych dalej również „Stroną” lub „Stronami umowy”).

Terminy niezdefiniowane w Umowie powierzenia należy rozumieć według brzmienia nadanego im w Regulaminie.

Najważniejszym celem Umowy powierzenia jest zapewnienie wysokiego poziomu ochrony Danych osobowych zgodnie z istniejącym prawem oraz wprowadzenie wysokich standardów ochrony danych oraz środków osobowych, technicznych i organizacyjnych służących temu celowi.

Umowa powierzenia określa wzajemne prawa i obowiązki Stron w trakcie realizacji współpracy w odniesieniu do powierzenia przetwarzania danych.

1. Definicje

Dla celów Umowy powierzenia, w tym Preambuły, stosuje się następujące definicje:

  • Administrator danych – w Regulaminie Usługobiorca.
  • Procesor – w Regulaminie Usługodawca.
  • RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1).
  • Umowa – oznacza umowę świadczenia usługi w postaci dostępu do aplikacji Loyalty Starter, zapewnianej przez Procesora na rzecz Administratora danych, zawartą w formie pisemnej pomiędzy Stronami albo poprzez wypełnienie i zatwierdzenie przez Administratora danych Formularza rejestracyjnego i utworzenia Konta firmy w Aplikacji.
  • Ustawa – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (tj. Dz. U. z 2018 r. poz. 1000.).
  • Podmiot danych – każda osoba fizyczna, której dotyczą Dane osobowe.
  • Dane osobowe – wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (Podmiotu danych), które stanowią przedmiot Umowy powierzenia.
  • Dane wrażliwe – Dane osobowe, ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne, dotyczące zdrowia, seksualności lub orientacji seksualnej, a także dane dotyczące wyroków skazujących i naruszeń prawa.
  • Naruszenie ochrony danych osobowych – każde zdarzenie, mające miejsce u Procesora, które prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych osobowych Administratora danych.
  • Przetwarzanie danych osobowych – operacja lub zestaw operacji wykonywanych na Danych osobowych lub zestawach Danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, jaką jest zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
  • Podwykonawca – partner Procesora, który przetwarza Dane osobowe Administratora danych, będąc włączonym do procesu przetwarzania przez Procesora.
  • EOG – Europejski Obszar Gospodarczy obejmujący państwa Unii Europejskiej oraz Norwegię, Islandię i Lichtenstein.
  • Przekazywanie Danych Osobowych do Państw Trzecich – przetwarzanie Danych osobowych przez Procesora do państw nienależących do EOG, pod warunkiem spełnienia przesłanek określonych w rozdziale V RODO.
  • Prawo Ochrony Danych Osobowych – RODO oraz inne znajdujące zastosowanie akty i regulacje Unii Europejskiej lub Państwa Członkowskiego.

2. Przedmiot Umowy oraz cel i charakter przetwarzania Danych osobowych

2.1. Usługobiorca oświadcza, że jest Administratorem danych, które powierza Procesorowi do przetwarzania.

2.2. W trybie art. 28 ust. 3 RODO, Administrator danych powierza Procesorowi Dane osobowe w związku z realizacją Umowy, w celu zapewnienia dostępu do Aplikacji, korzystania z jej funkcjonalności oraz wsparcia organizacyjnego i technicznego związanego z jej używaniem przez Administratora danych.

2.3. Procesor zobowiązuje się do przetwarzania Danych osobowych następujących kategorii osób, których dane dotyczą:

  • Użytkownicy,
  • Klienci.

2.4. Zakres powierzonych Procesorowi do przetwarzania Danych osobowych Użytkowników obejmuje w szczególności: imię i nazwisko Użytkownika, służbowy adres e-mail Użytkownika, historia logowania Użytkownika, numer telefonu Użytkownika.

2.5. Zakres powierzonych Procesorowi do przetwarzania Danych osobowych Klientów obejmuje w szczególności: imię i nazwisko Klienta, adres e-mail Klienta, numer telefonu Klienta, płeć Klienta, adres zamieszkania Klienta, datę urodzenia Klienta, nazwę firmy Klienta, NIP firmy Klienta.

3. Obowiązki Procesora

3.1. Procesor może przetwarzać Dane osobowe wyłącznie w zakresie i celu przewidzianym w Umowie powierzenia.

3.2. Przy przetwarzaniu Danych osobowych, Procesor zobowiązuje się do przestrzegania przepisów o ochronie danych osobowych, w szczególności Ustawy oraz przepisów wykonawczych do tej Ustawy, a także RODO.

3.3. Procesor oświadcza, że dysponuje zasobami, doświadczeniem, wiedzą fachową i wykwalifikowanym personelem, które umożliwiają mu prawidłowe wykonanie Umowy powierzenia oraz wdrożenie odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi Ustawy oraz RODO.

3.4. Procesor zobowiązany jest stosować przyjętą przez siebie „Politykę bezpieczeństwa” i „Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych” i wyznaczyć Inspektora Ochrony Danych (IOD).

3.5. Procesor dokonuje bieżących przeglądów oraz aktualizacji stosowanych środków technicznych i organizacyjnych, aby zapewnić ich stan zgodności z przepisami RODO.

3.6. Procesor zobowiązuje się do zachowania w tajemnicy Danych osobowych oraz sposobów ich zabezpieczenia, w tym także po rozwiązaniu Umowy powierzenia, oraz zobowiązuje się zapewnić, aby jego pracownicy oraz inne osoby upoważnione do przetwarzania powierzonych Danych osobowych, zobowiązały się do zachowania w tajemnicy Danych osobowych oraz sposobów ich zabezpieczenia, w tym także po rozwiązaniu Umowy powierzenia.

3.7. Procesor zobowiązuje się do przetwarzania Danych osobowych w sposób stały. Procesor będzie w szczególności wykonywał następujące operacje dotyczące powierzonych Danych osobowych: zbieranie, utrwalanie, porządkowanie, przechowywanie, wykorzystywanie (do celów wskazanych powyżej), ujawnianie innym podmiotom zgodnie z przepisami prawa, postanowieniami Umowy lub na polecenie Administratora danych, usuwanie. Dane osobowe będą przez Procesora przetwarzane w formie elektronicznej w systemach informatycznych.

4. Obowiązki Administratora danych

4.1. Administrator danych jest odpowiedzialny za Dane osobowe uzupełniane w Aplikacji przez swoich Użytkowników.

4.2. Administrator danych gwarantuje, że Dane osobowe są przetwarzane w celach zgodnych z prawem, oraz że Procesor nie przetwarza więcej Danych osobowych niż jest to wymagane do spełnienia tych celów.

4.3. Administrator danych zobowiązuje się do zapewnienia, że w momencie przekazania Danych osobowych Procesorowi, istnieć będzie ważna podstawa prawna do ich przetwarzania w tym, że każda zgoda jest udzielana wyraźnie, dobrowolnie, jednoznacznie i na podstawie uzyskanych w tym zakresie informacji. Na żądanie Procesora, Administrator danych zobowiązuje się na piśmie do wskazania i / lub udokumentowania podstawy przetwarzania.

4.4. Ponadto Administrator danych gwarantuje, że Podmioty danych, których dotyczą Dane osobowe, otrzymały wystarczające informacje na temat przetwarzania swoich Danych osobowych.

4.5. Administrator danych zobowiązuje się do niepowierzania Procesorowi w żaden sposób Danych wrażliwych, swoich jak i jakichkolwiek innych osób.

5. Współpraca Administratora danych oraz Procesora

5.1. Procesor dołoży wszelkiej staranności, aby pomóc Administratorowi danych w wykonywaniu jego obowiązków na gruncie RODO, w szczególności poprzez udzielanie informacji niezbędnych do:

  • przeprowadzenia oceny skutków dla ochrony danych lub przeprowadzenia audytów, w tym inspekcji przez Administratora danych,
  • udzielenia odpowiedzi na żądania Podmiotów danych, w zakresie określonym w art. 15-22 RODO,
  • zgłoszenia Naruszenia ochrony danych osobowych organowi nadzorczemu,
  • zawiadomienia Podmiotów danych o Naruszeniu ochrony danych osobowych.

5.2. Procesor niezwłocznie powiadomi Administratora danych oraz Inspektora Ochrony Danych Osobowych, drogą elektroniczną na adres e-mail Właściciela konta oraz Inspektora Ochrony Danych Osobowych (jeśli został podany), nie później niż w ciągu 36 godzin od uzyskania informacji o Naruszeniu ochrony danych osobowych, o wszelkich przypadkach podejrzenia Naruszenia ochrony danych osobowych lub nieprzestrzegania Prawa ochrony danych dsobowych.

6. Dalsze powierzanie przetwarzania Danych osobowych

6.1. Administrator danych wyraża zgodę na dalsze powierzenie (tzw. podpowierzenie) przetwarzania Danych osobowych będących przedmiotem Umowy powierzenia przez Procesora Podwykonawcom.

6.2. Informacja o Podwykonawcach, którym Procesor powierza Dane osobowe znajduje się w Załączniku nr 1 Umowy powierzenia.

6.3. W przypadku planowanej zmiany Podwykonawców, z których usług przy przetwarzaniu Danych osobowych korzysta Procesor, poprzez dodanie nowego podmiotu, Procesor poinformuje o tym Administratora danych drogą elektroniczną na adres e-mail Właściciela konta co najmniej na 14 dni przed dalszym powierzeniem przetwarzania Danych osobowych. Zmiany Podwykonawców nie stanowią zmiany Umowy powierzenia. W treści tej informacji Procesor wskaże, w jakim zakresie świadczenie usług przez Podwykonawcę jest niezbędne dla utrzymania Usługi dostępu do Aplikacji, do jej części lub dodatkowej funkcjonalności.

6.4. Administrator danych ma możliwość wyrażenia sprzeciwu wobec zmiany, o której mowa powyżej, drogą elektroniczną na adres e-mail Procesora, w terminie 7 dni od dnia otrzymania o niej wiadomości od Procesora.

6.5. W przypadku, gdy świadczenie Usługi dostępu do Aplikacji, do jej części lub dodatkowej funkcjonalności jest niemożliwe bez świadczenia usług przez Podwykonawcę, co do którego osoby Administrator danych zgłosił sprzeciw, Strony uzgadniają, iż wraz ze zgłoszeniem sprzeciwu Administrator danych wypowiada Umowę ze skutkiem na koniec miesiąca, po miesiącu, w którym Administrator danych wyraził sprzeciw, zgodnie z zasadami określonymi w §5.13 Regulaminu.

6.6. Umowa Procesora z Podwykonawcą zawiera zobowiązanie do ochrony Danych osobowych przez Podwykonawcę na co najmniej tym samym poziomie co określone w Umowie powierzenia. W szczególności Podwykonawca ma obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO.

7. Uprawnienia kontrolne Administratora danych

7.1. Administrator danych lub upoważniony przez niego audytor zewnętrzny ma prawo do przeprowadzenia kontroli przestrzegania przez Procesora zasad Przetwarzania danych osobowych, o których mowa w Umowie powierzenia oraz w obowiązujących przepisach prawa, w szczególności poprzez żądanie udzielenia informacji dotyczących przetwarzania przez Procesora Danych osobowych, stosowanych środków technicznych i organizacyjnych, aby przetwarzanie toczyło się zgodnie z prawem lub dokonywania kontroli w miejscach, w których są przetwarzane powierzone Dane osobowe, po wcześniejszym uzgodnieniu terminu przez Strony na 30 dni przed planowaną kontrolą. Procesor dokona niezbędnych czynności w celu umożliwienia wykonania tego uprawnienia przez Administratora danych.

7.2. Audyt przeprowadzany przez Administratora danych, ze względu na konieczność zapewnienia sprawnego funkcjonowania działalności Procesora, może trwać do 1 dnia roboczego.

7.3. Procesor jest zobowiązany do zastosowania się do zaleceń Administratora danych dotyczących zasad przetwarzania powierzonych Danych osobowych oraz dotyczących poprawy zabezpieczenia Danych osobowych, sporządzonych w wyniku kontroli przeprowadzonych przez Administratora danych lub upoważnionego przez niego audytora.

7.4. Osoby upoważnione do przeprowadzenia audytu w imieniu Administratora danych zostaną zobowiązane na podstawie pisemnej umowy do zachowania poufności wszelkich informacji, dokumentów, danych, w szczególności o charakterze technicznym, handlowym i finansowym, dotyczących Procesora lub innych otrzymanych od Procesora, o których dowiedziały się lub uzyskały je w związku z przeprowadzeniem audytu.

8. Zakres terytorialny przetwarzania Danych osobowych

8.1. Procesor jest uprawniony do przetwarzania Danych osobowych na obszarze EOG.

8.2. Procesor jest uprawniony do przetwarzania Danych osobowych poprzez ich przekazanie do Państw Trzecich. Może to nastąpić jedynie pod warunkami określonymi w rozdziale V RODO, w szczególności Procesor może je przekazać do Państwa Trzeciego wobec którego Komisja Europejska wydała decyzję stwierdzającą odpowiedni stopień ochrony, o którym mowa w art. 45 RODO.

9. Odpowiedzialność

9.1. W przypadku naruszenia przez którąkolwiek ze Stron zasad przetwarzania danych osobowych jakie określono w Umowie powierzenia, Ustawie lub odpowiednich aktach wykonawczych i poniesienia w związku z tym przez drugą Stronę jakiejkolwiek szkody, Strona winna naruszenia, jest zobowiązana do pokrycia szkody poniesionej przez drugą stronę, przy czym Strony ograniczają odpowiedzialność do tzw. szkody rzeczywistej („damnum emergens”)  i wyłączają odpowiedzialność za tzw. utracone korzyści („lucrum cessans”).

10. Czas trwania przetwarzania Danych osobowych

10.1. Niniejsza Umowa powierzenia jest ważna tak długo, jak długo Procesor przetwarza Dane osobowe w imieniu Administratora, niezależnie od czasu trwania Umowy głównej.

10.2. Zgodnie z wolą Administratora danych, Procesor usunie Dane osobowe lub zanonimizuje je w nieodwracalny sposób, na wszelkich nośnikach, na których Dane osobowe były gromadzone, znajdujących się zarówno u Procesora jak i u Podwykonawców.

10.3. Usunięcie lub anonimizacja Danych osobowych nastąpi nie później niż w terminie 60 dni od dnia rozwiązania lub wygaśnięcia Umowy, chyba że Strony ustalą inny termin usunięcia lub anonimizacji Danych osobowych.

10.4. Jeżeli przepisy prawa tak stanowią, Procesor niezwłocznie poinformuje Administratora danych o konieczności przechowywania Danych osobowych przez określony czas po rozwiązaniu lub wygaśnięciu Umowy. W takim przypadku Procesor jest uprawniony do przetwarzania Danych osobowych wyłącznie w zakresie i przez okres wyznaczony treścią przepisów prawa.

11. Postanowienia końcowe

11.1. Umowa powierzenia wchodzi w życie w momencie zaakceptowania przez Administratora danych Regulaminu i zostaje zawarta do czasu cofnięcia w/w akceptacji lub rozwiązania Umowy.

11.2. Umowa powierzenia podlega prawu polskiemu. Wszelkie spory wynikające z niniejszej Umowy powierzenia będą rozstrzygane przez Sąd powszechny, właściwy dla siedziby Procesora.

11.3. Strony dołożą wszelkich starań, aby jakiekolwiek spory wynikające z Umowy lub z nią związane, były rozwiązywane polubownie. W razie niemożności polubownego rozwiązania sporu przez Strony w terminie jednego miesiąca, spór taki zostanie poddany pod ostateczne rozstrzygnięcie Sądu powszechnego właściwego dla siedziby Procesora.

11.4. Załączniki stanowią integralną część Umowy powierzenia:

  • Załącznik nr 1 – Podwykonawcy.

Załącznik nr 1 do Umowy Powierzenia Przetwarzania Danych Osobowych (Podwykonawcy)

Lp.NazwaAdresCel przetwarzania
1OVHKarola Miarki 6-10/3-4, 50-306 Wrocław, PolskaHosting
2ComVision (SMS API)Toszecka 101, 44-100 GliwiceWiadomości SMS
3Vercom S.A. (EmailLabs)Franklina Roosevelta 22, 60-829 PoznańWiadomości e-mail