Załącznik nr 1 do Regulaminu – Umowa powierzenia przetwarzania danych osobowych
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
(dalej: „Umowa powierzenia”)
zawarta pomiędzy:
Usługodawcą (dalej także: „Podmiot przetwarzający”),
a
Usługobiorcą (dalej także: „Administrator”),
zwanymi dalej łącznie „Stronami”, a każde z osobna „Stroną”.
Preambuła
Zważywszy, że:
a) pomiędzy Usługodawcą a Usługobiorcą biznesowym została zawarta Umowa o dostarczanie Usługi korzystania z Aplikacji (dalej: „Umowa główna”);
b) świadczenie Usługi korzystania z Aplikacji wymaga przetwarzania przez Usługodawcę danych osobowych w rozumieniu przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: „RODO”), co rodzi obowiązek spełnienia wymogów wskazanych w art. 28 RODO, w tym zawarcia umowy określonej w tym przepisie;
Strony postanowiły, co następuje:
§ 1.
Powierzenie przetwarzania danych osobowych
1. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych w trybie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „Ogólne rozporządzenie o ochronie danych” lub „RODO”).
2. Administrator oświadcza, że jest administratorem danych powierzanych Podmiotowi przetwarzającemu na mocy Umowy powierzenia lub podmiotem przetwarzającym upoważnionym do ich dalszego powierzenia Podmiotowi przetwarzającemu.
3. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych w zakresie określonym w § 2 Umowy powierzenia.
4. Pisane wielką literą pojęcia stosowane w Umowie powierzenia mają znaczenie nadane im w Regulaminie lub RODO, chyba że szczególne postanowienie Umowy powierzenia stanowi inaczej.
§ 2.
Przedmiot, charakter, cel i czas przetwarzania danych
1. Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie na udokumentowane polecenie Administratora oraz wyłącznie w celu świadczenia Usług (w tym utrzymania Konta, Organizacji oraz modułów pracowniczych). Za „udokumentowane polecenie” Strony uznają w szczególności zawarcie Umowy głównej (akceptację Regulaminu) oraz bieżące korzystanie z funkcjonalności Aplikacji.
2. Kategorie danych osobowych będących przedmiotem powierzenia (dalej: „powierzone dane osobowe”) obejmują w szczególności: imiona i nazwiska, służbowe i prywatne adresy e-mail, numery telefonów, adresy zamieszkania, numery PESEL, daty urodzenia, dane o wynagrodzeniu, numery rachunków bankowych, historię zatrudnienia, informacje o urlopach i absencjach, stanowiska, a także inne dane wprowadzane dobrowolnie przez Administratora do kartoteki pracowniczej oraz przestrzeni roboczej Aplikacji. Kategorie osób, których powierzone dane osobowe dotyczą, to w szczególności: kandydaci do pracy, pracownicy, współpracownicy, kontrahenci oraz klienci Administratora.
3. Z zastrzeżeniem informacji o absencjach chorobowych (niezbędnych do celów prowadzenia standardowej ewidencji kadrowej), dane osobowe powierzane przez Administratora na podstawie Umowy powierzenia nie stanowią danych szczególnej kategorii, o których mowa w art. 9 RODO (np. szczegółowa dokumentacja medyczna, dane biometryczne), ani danych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 RODO. Wprowadzanie do Aplikacji tego typu wrażliwej dokumentacji, wykraczającej poza standardowe ramy obsługi kadrowej, jest zabronione.
4. Przetwarzanie powierzonych danych osobowych będzie odbywało się wyłącznie przy wykorzystaniu systemów informatycznych (w sposób zautomatyzowany).
§ 3.
Obowiązki, prawa i oświadczenia Podmiotu przetwarzającego
1. Podmiot przetwarzający zobowiązuje się do zabezpieczenia powierzonych danych osobowych poprzez wdrożenie (jeszcze przed przystąpieniem do przetwarzania) oraz utrzymywanie, środków technicznych i organizacyjnych odpowiednich do charakteru, zakresu, kontekstu i celu przetwarzania powierzonych danych, w tym środków wymaganych przez odpowiednie przepisy powszechnie obowiązującego prawa, by przetwarzanie powierzonych danych osobowych spełniało wymogi Ogólnego rozporządzenia o ochronie danych.
2. Podmiot przetwarzający zobowiązuje się zapewnić, aby osoby upoważnione do przetwarzania danych osobowych powierzonych na podstawie Umowy powierzenia zobowiązane były do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
3. Podmiot przetwarzający zobowiązuje się, w zakresie uzasadnionym przedmiotem Umowy powierzenia, w miarę możliwości, pomagać Administratorowi w wywiązywaniu się przez niego z obowiązku odpowiedzi na żądania osób, których dane dotyczą, w zakresie wykonywania przez te osoby praw wynikających z przepisów prawa powszechnie obowiązującego, w tym w rozdziale III Ogólnego rozporządzenia o ochronie danych.
4. Podmiot przetwarzający zobowiązuje się niezwłocznie zawiadomić Administratora o:
a) każdym naruszeniu ochrony powierzonych danych osobowych, przy czym przez „naruszenie ochrony powierzonych danych” należy rozumieć każde przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do powierzonych danych osobowych. Zawiadomienia, o którym mowa w niniejszym pkt 1 należy dokonać najpóźniej w ciągu 24 godzin od wykrycia naruszenia ochrony powierzonych danych;
b) każdym żądaniu otrzymanym od osoby, której dane przetwarza, powstrzymując się jednocześnie od odpowiedzi na żądanie, do czasu otrzymania opinii Administratora. Zawiadomienia, o którym mowa w niniejszym pkt 2 należy dokonać najpóźniej w ciągu 24 godzin od otrzymania żądania;
c) każdym prawnie umocowanym żądaniu udostępnienia danych osobowych właściwemu organowi państwa, chyba że zakaz zawiadomienia wynika z przepisów prawa, a szczególności przepisów postępowania karnego, gdy zakaz ma na celu zapewnienie poufności wszczętego dochodzenia;
d) przeprowadzeniu przez Prezesa Urzędu Ochrony Danych Osobowych lub inny organ nadzorczy kontroli zgodności przetwarzania danych osobowych i jej wynikach oraz o innych czynnościach organów władzy publicznej dotyczących tych danych.
5. Podmiot przetwarzający pomaga Administratorowi w wywiązywaniu się z obowiązków wynikających z art. 32-36 RODO (dotyczących m.in. bezpieczeństwa przetwarzania, zgłaszania naruszeń organowi nadzorczemu oraz oceny skutków dla ochrony danych).
6. Zgodnie z art. 28 ust. 3 lit. h RODO, Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia ciążących na nim obowiązków oraz umożliwia mu (lub upoważnionemu audytorowi) przeprowadzanie audytów, w tym inspekcji. Z uwagi na chmurowy (SaaS) charakter Aplikacji, Strony uzgadniają, że:
a) audyty będą realizowane w pierwszej kolejności w formie zdalnej, poprzez udostępnianie przez Podmiot przetwarzający stosownej dokumentacji bezpieczeństwa lub udzielanie odpowiedzi na ankiety audytowe Administratora;
b) ewentualne bezpośrednie inspekcje systemów mogą być przeprowadzone wyłącznie po podpisaniu umowy o poufności (NDA), w terminie ustalonym przez Strony (z min. 14-dniowym wyprzedzeniem) i w sposób niezakłócający bieżącego funkcjonowania Aplikacji.
7. W razie stwierdzenia w toku audytu uchybień mających wpływ na bezpieczeństwo przetwarzania powierzonych danych osobowych, Podmiot przetwarzający zobowiązuje się do ich niezwłocznego usunięcia.
8. Po zakończeniu audytu, Strony sporządzą protokół (raport z audytu). Protokół może zostać podpisany przez upoważnionych przedstawicieli obu Stron za pomocą podpisu elektronicznego. Podmiot przetwarzający ma prawo wnieść zastrzeżenia do protokołu w ciągu 5 dni roboczych od dnia jego otrzymania. W razie obiektywnego stwierdzenia w toku audytu uchybień mających wpływ na bezpieczeństwo danych, Podmiot przetwarzający zobowiązuje się uwzględnić uzasadnione zalecenia audytora, dostosowując jednak sposób ich wdrożenia do architektury i uwarunkowań technicznych całej Aplikacji.
§ 4.
Obowiązki Administratora
1. Administrator zobowiązany jest zapewnić, aby przez cały okres obowiązywania Umowy powierzenia dysponował prawną podstawą przetwarzania powierzanych danych osobowych i aby przysługiwały mu odpowiednie uprawnienia umożliwiające ich powierzenie na rzecz Podmiotu przetwarzającego. W razie utraty ww. podstawy prawnej lub uprawnień wobec określonych powierzanych danych osobowych, Administrator zobowiązany jest niezwłocznie przedsięwziąć kroki niezbędne do zaprzestania ich powierzania, w szczególności zawiadomić o tym Podmiot przetwarzający.
2. Administrator zobowiązuje się nie wydawać Podmiotowi przetwarzającemu poleceń dotyczących przetwarzania powierzanych danych osobowych, które byłyby niezgodne z przepisami prawa powszechnie obowiązującego, postanowieniami Umowy powierzenia lub innymi zobowiązaniami umownymi.
§ 5.
Dalsze powierzenie danych osobowych
1. Administrator wyraża ogólną zgodę na dokonywanie przez Podmiot przetwarzający dalszego powierzania przetwarzania danych osobowych (dalej: „podpowierzenie”) wybranym przez siebie podwykonawcom.
2. Podmiot przetwarzający zobowiązuje się zapewnić, aby:
a) podmiot, wobec których dokonuje podpowierzenia, stosował odpowiednie środki techniczne i organizacyjne w celu zagwarantowania przetwarzania powierzonych danych osobowych zgodnie z przepisami RODO;
b) zakres obowiązków dalszego podmiotu przetwarzającego w zakresie ochrony danych odpowiadał obowiązkom Podmiotu przetwarzającego przewidzianych w Umowie powierzenia.
3. W przypadku zamiaru dodania nowego lub zmiany dotychczasowego podwykonawcy, Podmiot przetwarzający zobowiązany jest zawiadomić o tym Administratora (np. poprzez komunikat w panelu Aplikacji lub e-mail) z co najmniej 14-dniowym wyprzedzeniem przed dokonaniem podpowierzenia.
4. Administrator może w wyznaczonym terminie zgłosić uzasadniony sprzeciw wobec planowanej zmiany za pomocą poczty elektronicznej. Biorąc pod uwagę jednolity, chmurowy (SaaS) charakter Aplikacji, w przypadku braku możliwości wypracowania kompromisowego rozwiązania po zgłoszeniu sprzeciwu, Administratorowi przysługuje prawo do rozwiązania Umowy głównej ze skutkiem natychmiastowym. Brak zgłoszenia sprzeciwu we wskazanym terminie traktuje się jako akceptację nowego podwykonawcy.
5. Podpowierzenie (np. zmiana na liście podwykonawców), o którym mowa w ust. 3 powyżej, nie stanowi zmiany samej Umowy powierzenia i nie wymaga sporządzania aneksu.
6. Administrator wyraża zgodę na powierzenie danych osobowych następującym, dotychczasowym podwykonawcom:
1. OVHcloud, region WAW(Datacenter Warszawa) – w zakresie dostarczania infrastruktury serwerowej i utrzymania Aplikacji;
2. DHosting sp. z o.o.
3. Twillio
4. Mapbox
5. Cookiebot
6. Stripe
§ 6.
Poufność
Strony zobowiązują się wykorzystać materiały, dane oraz wszelkie informacje pozyskane od drugiej Strony w celu wykonania Umowy powierzenia wyłącznie do jej realizacji oraz zachować te materiały, dane oraz informacje w tajemnicy, zarówno w czasie trwania Umowy powierzenia, jak i po jej rozwiązaniu.
§ 7.
Czas obowiązywania Umowy powierzenia
Umowa powierzenia zostaje zawarta na czas obowiązywania Umowy głównej i rozwiązuje się wraz z wypowiedzeniem, rozwiązaniem lub wygaśnięciem Umowy głównej.
§ 8.
Skutki rozwiązania Umowy powierzenia
1. W przypadku rozwiązania lub wygaśnięcia Umowy powierzenia (np. na skutek usunięcia Konta lub zakończenia Subskrypcji), Podmiot przetwarzający zobowiązuje się trwale usunąć powierzone dane osobowe z aktywnych nośników Aplikacji, z uwzględnieniem czasu niezbędnego na nadpisanie technicznych kopii zapasowych (backupów) w systemie (nie dłużej jednak niż w terminie do 90 dni od dnia rozwiązania umowy).
2. Administrator ma możliwość samodzielnego pobrania (zwrotu) swoich danych przed zakończeniem korzystania z Aplikacji, korzystając z funkcji eksportu udostępnionej w panelu lub poprzez zgłoszenie odpowiedniego żądania do Podmiotu przetwarzającego, na zasadach i w terminach określonych w Regulaminie.
§ 9.
Postanowienia końcowe
1. Podmiot przetwarzający ponosi odpowiedzialność za szkody wyrządzone na skutek przetwarzania powierzonych danych wyłącznie, gdy nie dopełnił obowiązków nałożonych na niego wprost przez RODO i niniejszą Umowę powierzenia, lub gdy działał poza zgodnymi z prawem instrukcjami Administratora (Regulaminem).
2. Do zmian Umowy powierzenia stosuje się odpowiednie postanowienia Regulaminu.
3. W sprawach nieuregulowanych w Umowie powierzenia mają zastosowanie postanowienia Regulaminu, przepisy RODO oraz odpowiednie przepisy prawa polskiego.