Umowa Powierzenia Przetwarzania Danych Osobowych

Umowa Powierzenia Przetwarzania Danych Osobowych („Umowa powierzenia”) stanowi integralną część Regulaminu Świadczenia Usługi Loyalty Starter („Regulamin”) i reguluje zasady przetwarzania danych osobowych przez Usługodawcę na rzecz Usługobiorcy korzystającego z Aplikacji Loyalty Starter (zwanych dalej również „Stroną” lub „Stronami umowy”).

Terminy niezdefiniowane w Umowie powierzenia należy rozumieć według brzmienia nadanego im w Regulaminie.

Najważniejszym celem Umowy powierzenia jest zapewnienie wysokiego poziomu ochrony Danych osobowych zgodnie z istniejącym prawem oraz wprowadzenie wysokich standardów ochrony danych oraz środków osobowych, technicznych i organizacyjnych służących temu celowi.

Umowa powierzenia określa wzajemne prawa i obowiązki Stron w trakcie realizacji współpracy w odniesieniu do powierzenia przetwarzania danych.

Dla celów Umowy powierzenia, w tym Preambuły, stosuje się następujące definicje:

2.1. Usługobiorca oświadcza, że jest Administratorem danych, które powierza Procesorowi do przetwarzania.

2.2. W trybie art. 28 ust. 3 RODO, Administrator danych powierza Procesorowi Dane osobowe w związku z realizacją Umowy, w celu zapewnienia dostępu do Aplikacji, korzystania z jej funkcjonalności oraz wsparcia organizacyjnego i technicznego związanego z jej używaniem przez Administratora danych.

2.3. Procesor zobowiązuje się do przetwarzania Danych osobowych następujących kategorii osób, których dane dotyczą:

2.4. Zakres powierzonych Procesorowi do przetwarzania Danych osobowych Użytkowników obejmuje w szczególności: imię i nazwisko Użytkownika, służbowy adres e-mail Użytkownika, historia logowania Użytkownika, numer telefonu Użytkownika.

2.5. Zakres powierzonych Procesorowi do przetwarzania Danych osobowych Klientów obejmuje w szczególności: imię i nazwisko Klienta, adres e-mail Klienta, numer telefonu Klienta, płeć Klienta, adres zamieszkania Klienta, datę urodzenia Klienta, nazwę firmy Klienta, NIP firmy Klienta.

3.1. Procesor może przetwarzać Dane osobowe wyłącznie w zakresie i celu przewidzianym w Umowie powierzenia.

3.2. Przy przetwarzaniu Danych osobowych, Procesor zobowiązuje się do przestrzegania przepisów o ochronie danych osobowych, w szczególności Ustawy oraz przepisów wykonawczych do tej Ustawy, a także RODO.

3.3. Procesor oświadcza, że dysponuje zasobami, doświadczeniem, wiedzą fachową i wykwalifikowanym personelem, które umożliwiają mu prawidłowe wykonanie Umowy powierzenia oraz wdrożenie odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi Ustawy oraz RODO.

3.4. Procesor zobowiązany jest stosować przyjętą przez siebie „Politykę bezpieczeństwa” i „Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych” i wyznaczyć Inspektora Ochrony Danych (IOD).

3.5. Procesor dokonuje bieżących przeglądów oraz aktualizacji stosowanych środków technicznych i organizacyjnych, aby zapewnić ich stan zgodności z przepisami RODO.

3.6. Procesor zobowiązuje się do zachowania w tajemnicy Danych osobowych oraz sposobów ich zabezpieczenia, w tym także po rozwiązaniu Umowy powierzenia, oraz zobowiązuje się zapewnić, aby jego pracownicy oraz inne osoby upoważnione do przetwarzania powierzonych Danych osobowych, zobowiązały się do zachowania w tajemnicy Danych osobowych oraz sposobów ich zabezpieczenia, w tym także po rozwiązaniu Umowy powierzenia.

3.7. Procesor zobowiązuje się do przetwarzania Danych osobowych w sposób stały. Procesor będzie w szczególności wykonywał następujące operacje dotyczące powierzonych Danych osobowych: zbieranie, utrwalanie, porządkowanie, przechowywanie, wykorzystywanie (do celów wskazanych powyżej), ujawnianie innym podmiotom zgodnie z przepisami prawa, postanowieniami Umowy lub na polecenie Administratora danych, usuwanie. Dane osobowe będą przez Procesora przetwarzane w formie elektronicznej w systemach informatycznych.

4.1. Administrator danych jest odpowiedzialny za Dane osobowe uzupełniane w Aplikacji przez swoich Użytkowników.

4.2. Administrator danych gwarantuje, że Dane osobowe są przetwarzane w celach zgodnych z prawem, oraz że Procesor nie przetwarza więcej Danych osobowych niż jest to wymagane do spełnienia tych celów.

4.3. Administrator danych zobowiązuje się do zapewnienia, że w momencie przekazania Danych osobowych Procesorowi, istnieć będzie ważna podstawa prawna do ich przetwarzania w tym, że każda zgoda jest udzielana wyraźnie, dobrowolnie, jednoznacznie i na podstawie uzyskanych w tym zakresie informacji. Na żądanie Procesora, Administrator danych zobowiązuje się na piśmie do wskazania i / lub udokumentowania podstawy przetwarzania.

4.4. Ponadto Administrator danych gwarantuje, że Podmioty danych, których dotyczą Dane osobowe, otrzymały wystarczające informacje na temat przetwarzania swoich Danych osobowych.

4.5. Administrator danych zobowiązuje się do niepowierzania Procesorowi w żaden sposób Danych wrażliwych, swoich jak i jakichkolwiek innych osób.

5.1. Procesor dołoży wszelkiej staranności, aby pomóc Administratorowi danych w wykonywaniu jego obowiązków na gruncie RODO, w szczególności poprzez udzielanie informacji niezbędnych do:

5.2. Procesor niezwłocznie powiadomi Administratora danych oraz Inspektora Ochrony Danych Osobowych, drogą elektroniczną na adres e-mail Właściciela konta oraz Inspektora Ochrony Danych Osobowych (jeśli został podany), nie później niż w ciągu 36 godzin od uzyskania informacji o Naruszeniu ochrony danych osobowych, o wszelkich przypadkach podejrzenia Naruszenia ochrony danych osobowych lub nieprzestrzegania Prawa ochrony danych dsobowych.

6.1. Administrator danych wyraża zgodę na dalsze powierzenie (tzw. podpowierzenie) przetwarzania Danych osobowych będących przedmiotem Umowy powierzenia przez Procesora Podwykonawcom.

6.2. Informacja o Podwykonawcach, którym Procesor powierza Dane osobowe znajduje się w Załączniku nr 1 Umowy powierzenia.

6.3. W przypadku planowanej zmiany Podwykonawców, z których usług przy przetwarzaniu Danych osobowych korzysta Procesor, poprzez dodanie nowego podmiotu, Procesor poinformuje o tym Administratora danych drogą elektroniczną na adres e-mail Właściciela konta co najmniej na 14 dni przed dalszym powierzeniem przetwarzania Danych osobowych. Zmiany Podwykonawców nie stanowią zmiany Umowy powierzenia. W treści tej informacji Procesor wskaże, w jakim zakresie świadczenie usług przez Podwykonawcę jest niezbędne dla utrzymania Usługi dostępu do Aplikacji, do jej części lub dodatkowej funkcjonalności.

6.4. Administrator danych ma możliwość wyrażenia sprzeciwu wobec zmiany, o której mowa powyżej, drogą elektroniczną na adres e-mail Procesora, w terminie 7 dni od dnia otrzymania o niej wiadomości od Procesora.

6.5. W przypadku, gdy świadczenie Usługi dostępu do Aplikacji, do jej części lub dodatkowej funkcjonalności jest niemożliwe bez świadczenia usług przez Podwykonawcę, co do którego osoby Administrator danych zgłosił sprzeciw, Strony uzgadniają, iż wraz ze zgłoszeniem sprzeciwu Administrator danych wypowiada Umowę ze skutkiem na koniec miesiąca, po miesiącu, w którym Administrator danych wyraził sprzeciw, zgodnie z zasadami określonymi w §5.13 Regulaminu.

6.6. Umowa Procesora z Podwykonawcą zawiera zobowiązanie do ochrony Danych osobowych przez Podwykonawcę na co najmniej tym samym poziomie co określone w Umowie powierzenia. W szczególności Podwykonawca ma obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO.

7.1. Administrator danych lub upoważniony przez niego audytor zewnętrzny ma prawo do przeprowadzenia kontroli przestrzegania przez Procesora zasad Przetwarzania danych osobowych, o których mowa w Umowie powierzenia oraz w obowiązujących przepisach prawa, w szczególności poprzez żądanie udzielenia informacji dotyczących przetwarzania przez Procesora Danych osobowych, stosowanych środków technicznych i organizacyjnych, aby przetwarzanie toczyło się zgodnie z prawem lub dokonywania kontroli w miejscach, w których są przetwarzane powierzone Dane osobowe, po wcześniejszym uzgodnieniu terminu przez Strony na 30 dni przed planowaną kontrolą. Procesor dokona niezbędnych czynności w celu umożliwienia wykonania tego uprawnienia przez Administratora danych.

7.2. Audyt przeprowadzany przez Administratora danych, ze względu na konieczność zapewnienia sprawnego funkcjonowania działalności Procesora, może trwać do 1 dnia roboczego.

7.3. Procesor jest zobowiązany do zastosowania się do zaleceń Administratora danych dotyczących zasad przetwarzania powierzonych Danych osobowych oraz dotyczących poprawy zabezpieczenia Danych osobowych, sporządzonych w wyniku kontroli przeprowadzonych przez Administratora danych lub upoważnionego przez niego audytora.

7.4. Osoby upoważnione do przeprowadzenia audytu w imieniu Administratora danych zostaną zobowiązane na podstawie pisemnej umowy do zachowania poufności wszelkich informacji, dokumentów, danych, w szczególności o charakterze technicznym, handlowym i finansowym, dotyczących Procesora lub innych otrzymanych od Procesora, o których dowiedziały się lub uzyskały je w związku z przeprowadzeniem audytu.

8.1. Procesor jest uprawniony do przetwarzania Danych osobowych na obszarze EOG.

8.2. Procesor jest uprawniony do przetwarzania Danych osobowych poprzez ich przekazanie do Państw Trzecich. Może to nastąpić jedynie pod warunkami określonymi w rozdziale V RODO, w szczególności Procesor może je przekazać do Państwa Trzeciego wobec którego Komisja Europejska wydała decyzję stwierdzającą odpowiedni stopień ochrony, o którym mowa w art. 45 RODO.

9.1. W przypadku naruszenia przez którąkolwiek ze Stron zasad przetwarzania danych osobowych jakie określono w Umowie powierzenia, Ustawie lub odpowiednich aktach wykonawczych i poniesienia w związku z tym przez drugą Stronę jakiejkolwiek szkody, Strona winna naruszenia, jest zobowiązana do pokrycia szkody poniesionej przez drugą stronę, przy czym Strony ograniczają odpowiedzialność do tzw. szkody rzeczywistej („damnum emergens”)  i wyłączają odpowiedzialność za tzw. utracone korzyści („lucrum cessans”).

10.1. Niniejsza Umowa powierzenia jest ważna tak długo, jak długo Procesor przetwarza Dane osobowe w imieniu Administratora, niezależnie od czasu trwania Umowy głównej.

10.2. Zgodnie z wolą Administratora danych, Procesor usunie Dane osobowe lub zanonimizuje je w nieodwracalny sposób, na wszelkich nośnikach, na których Dane osobowe były gromadzone, znajdujących się zarówno u Procesora jak i u Podwykonawców.

10.3. Usunięcie lub anonimizacja Danych osobowych nastąpi nie później niż w terminie 60 dni od dnia rozwiązania lub wygaśnięcia Umowy, chyba że Strony ustalą inny termin usunięcia lub anonimizacji Danych osobowych.

10.4. Jeżeli przepisy prawa tak stanowią, Procesor niezwłocznie poinformuje Administratora danych o konieczności przechowywania Danych osobowych przez określony czas po rozwiązaniu lub wygaśnięciu Umowy. W takim przypadku Procesor jest uprawniony do przetwarzania Danych osobowych wyłącznie w zakresie i przez okres wyznaczony treścią przepisów prawa.

11.1. Umowa powierzenia wchodzi w życie w momencie zaakceptowania przez Administratora danych Regulaminu i zostaje zawarta do czasu cofnięcia w/w akceptacji lub rozwiązania Umowy.

11.2. Umowa powierzenia podlega prawu polskiemu. Wszelkie spory wynikające z niniejszej Umowy powierzenia będą rozstrzygane przez Sąd powszechny, właściwy dla siedziby Procesora.

11.3. Strony dołożą wszelkich starań, aby jakiekolwiek spory wynikające z Umowy lub z nią związane, były rozwiązywane polubownie. W razie niemożności polubownego rozwiązania sporu przez Strony w terminie jednego miesiąca, spór taki zostanie poddany pod ostateczne rozstrzygnięcie Sądu powszechnego właściwego dla siedziby Procesora.

11.4. Załączniki stanowią integralną część Umowy powierzenia: