Umowa powierzenia przetwarzania danych osobowych
Załącznik nr 1 do Regulaminu
§ 1
Postanowienia Ogólne
- Niniejsza umowa (dalej „Umowa powierzenia”) zawarta zostaje w związku ze świadczeniem usług przez Usługodawcę zgodnie z Regulaminem Landingi.
- Świadczenie usługi określa umowa zawarta pomiędzy Właścicielem Konta (dalej “Administratorem”) a Usługodawcą (dalej “Przetwarzającym”) poprzez akceptację przez Administratora Regulaminu platformy Landingi, (dalej “Umowa”).
- Do znaczenia pojęć użytych w Umowie powierzenia stosuje się znaczenie określone w Regulaminie.
- Przetwarzanie danych osobowych odbywać się będzie w zgodzie i w oparciu o Rozporządzenie Parlamentu Europejskiego Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) zwanego dalej „RODO“.
§ 2
Czas trwania Umowy powierzenia
Umowa powierzenia obowiązuje od daty zawarcia Umowy do dnia jej rozwiązania. Tryb zmian niniejszej umowy zgodny jest z trybem zmian Regulaminu.
§ 3
Przedmiot, zakres, rodzaj i cel powierzenia
- Przedmiotem niniejszej umowy jest powierzenie Przetwarzającemu przetwarzania danych osobowych w imieniu i na rzecz Administratora.
- Administrator powierza Przetwarzającemu do przetwarzania dane osobowe przez okres trwania Umowy wyłącznie na potrzeby realizacji świadczenia Umowy i Usług zgodne z Regulaminem.
- Przetwarzający zobowiązuje się do przetwarzania powierzonych danych osobowych wyłącznie w celach związanych z realizacją Umowy i wyłącznie w zakresie, jaki jest niezbędny do realizacji tych celów, tj. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie, lub innego rodzaju udostępnianie, usuwanie. Dane osobowe mogą być zapisywane na serwerach Przetwarzającego.
§ 4
Kategorie osób, których dane dotyczą i kategorie danych osobowych
- Przetwarzający przetwarzać będzie dane osobowe klientów lub potencjalnych klientów Właściciela Konta oraz dane osobowe zebrane przez klientów Administratora.
- Zakres i rodzaj danych osobowych obejmuje dane widoczne po zalogowaniu do Konta. Dane te mogą zostać wprowadzone przez Właściciela Konta lub upoważnionego przez niego Użytkownika, klientów Administratora oraz klientów klientów Administratora i widoczne są tylko w obrębie danego Konta. Dane osobowe to dane osób reprezentujących klientów lub potencjalnych klientów Administratora, oraz dane osobowe potencjalnych klientów klientów Administratora w zakresie imienia, nazwiska, adresu mailowego, numeru telefonu, nazwy klienta, numeru IP i innych, każdorazowo podanych przez ww. osoby.
§ 5
Oświadczenia
- Administrator oświadcza, że w stosunku do danych wyszczególnionych w par. 4 jest administratorem w rozumieniu art. 4 pkt 7 RODO lub podmiotem przetwarzającym w rozumieniu art. 4 pkt 8 RODO.
- Administrator oświadcza ponadto, że dodani w ramach jego Konta Użytkownicy są upoważnieni przez niego do przetwarzania danych osobowych.
- Przetwarzający oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
- Przetwarzający oświadcza, że dysponuje środkami umożliwiającymi prawidłowe przetwarzanie danych osobowych powierzonych przez Administratora danych, w zakresie i celu określonym Umową.
- Przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy powierzonych danych osobowych, nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.
- Przetwarzający oświadcza również, że osobom zatrudnionym przy przetwarzaniu powierzonych danych osobowych nadane zostały upoważnienia do przetwarzania danych osobowych, o których mowa w art. 29 RODO oraz że osoby te zostały zapoznane z przepisami o ochronie danych osobowych oraz z odpowiedzialnością za ich nieprzestrzeganie, zobowiązały się do ich przestrzegania oraz do bezterminowego zachowania w tajemnicy przetwarzanych danych osobowych i sposobów ich zabezpieczenia.
- Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych osobowych gwarantowały zabezpieczenie przed dostępem do nich osób trzecich, nieupoważnionych do zapoznania się z ich treścią.
§ 6
Dalsze podmioty przetwarzające
- Administrator wyraża zgodę na podpowierzanie danych osobowych przez Przetwarzającego do dalszego przetwarzania podwykonawcom jedynie w celu zgodnym z Umową firmom dostarczającym rozwiązania IT jedynie w celu niezbędnym do realizacji Umowy. Przetwarzający przed podpowierzeniem danych informuje Administratora i przekaże mu dane podmiotu, któremu powierza dane. Lista podwykonawców, z których korzysta Podmiot przetwarzający stanowi Załącznik nr 1 do Umowy.
- W ramach podpowierzania występuje przekazywanie danych osobowych do państw trzecich. Lista dalszych podmiotów w państwach trzecich wraz z podstawami prawnymi umożliwiającymi przekazywanie danych, jest wyszczególniona w załączniku nr 2.
- Przetwarzający może przekazać powierzone dane do państwa trzeciego gdy obowiązek taki nakłada na Przetwarzającego prawo Unii lub prawo państwa członkowskiego, któremu podlega Przetwarzający W takim przypadku przed rozpoczęciem przetwarzania Przetwarzający informuje Administratora danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
- O planowanych zmianach dalszych podmiotów Przetwarzający powiadomi Administratora z przynajmniej 14-dniowym wyprzedzeniem.
- Podwykonawca, o którym mowa w §6 ust. 1 Umowy spełnia te same gwarancje i obowiązki jakie zostały nałożone na Przetwarzającego w niniejszej Umowie.
- Przetwarzający ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się ze spoczywających na podwykonawcy obowiązków ochrony danych.
- Zważywszy na fakt, że Platforma jest utrzymywana przy współpracy z podwykonawcami Przetwarzającego, stanowiącymi dalsze podmioty przetwarzające, oraz że Przetwarzający nie jest w stanie utrzymywać jej bez współpracy z tymi podmiotami, jeżeli Administrator wyrazi sprzeciw wobec podpowierzania danych osobowych dowolnemu dalszemu podmiotowi przetwarzającemu, to realizacja tego sprzeciwu będzie mogła być zrealizowana wyłącznie poprzez rezygnację z korzystania z Platformy przez Administratora. W tym przypadku Przetwarzający zwróci Administratorowi opłatę za niewykorzystany okres wcześniej opłaconego korzystania z Platformy.
§ 7
Obowiązki i prawa Administratora
- Zgodnie z art. 28 ust. 3 lit h RODO Administrator ma prawo audytu, w tym inspekcji czy środki zastosowane przy przetwarzaniu i zabezpieczeniu danych przez Przetwarzającego spełniają postanowienia Umowy.
- Administrator jest uprawniony do żądania od Przetwarzającego udzielania potrzebnych informacji lub złożenia pisemnych wyjaśnień dotyczących przetwarzania przez Przetwarzającego danych osobowych, co może obejmować przedstawienie sposobu działania systemów teleinformatycznych oraz przekazanie innych danych niezbędnych do sprawdzenia sposobu i zakresu ochrony danych osobowych, niezbędnych do spełnienia obowiązków określonych w art. 28 RODO.
- Audyt, w tym inspekcja przestrzegania zasad przetwarzania danych osobowych może nastąpić wyłącznie po uprzednim powiadomieniu Przetwarzającego przez Administratora o zamiarze przeprowadzenia audytu w tym inspekcji, co najmniej 2 dni przed planowanym terminem rozpoczęcia audytu, w tym inspekcji ze wskazaniem na piśmie osób wyznaczonych przez Administratora do przeprowadzenia audytu, w tym inspekcji.
- Uprawnienia audytowe, o których mowa powyżej mogą być wykonywane przez Administratora w miejscach przetwarzania danych osobowych w dni robocze, w godzinach od 9.00 do 17.00.
- Przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas audytu w tym inspekcji, w terminie wskazanym przez Administratora, nie dłuższym niż 14 dni.
§ 8
Zobowiązania Przetwarzającego
- Przetwarzający zobowiązuje się, że:
- przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora (niniejszą umowę powierzenia oraz czynności podejmowane przez Platformę) dotyczy to też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega Przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania Przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny,
- zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,
- podejmuje wszelkie środki wymagane na mocy art. 32 RODO,
- przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w art. 28 ust. 2 i 4 RODO,
- biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO – funkcjonalność w Aplikacji,
- uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO – funkcjonalności w Aplikacji,
- po zakończeniu świadczenia usług związanych z przetwarzaniem usuwa wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, które dotyczą kategorii osób, o których mowa w §4 umowy powierzenia.
- udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwia Administratorowi przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich na zasadach określonych w §7 ust. 2 Umowy powierzenia.
- Przetwarzający niezwłocznie informuje Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów Unii lub państwa członkowskiego, o ochronie danych, z uwagi na siedzibę Przetwarzającego.
- Przetwarzający zobowiązuje się, że przez czas trwania Umowy powierzenia, w ramach swojej organizacji, będzie przetwarzać powierzone mu dane osobowe zgodnie z przepisami prawa o ochronie danych osobowych (RODO oraz przepisami państwa członkowskiego z uwagi na swoją siedzibę), w tym między innymi przetwarzać je będzie poprzez zastosowanie odpowiednich środków technicznych i organizacyjnych zapewniających ochronę przetwarzania danych osobowych adekwatną do zagrożeń oraz kategorii danych objętych ochroną oraz przed ich udostępnieniem osobom nieupoważnionym.
§ 9
Odpowiedzialność Przetwarzającego i kara umowna
- Przetwarzający ponosi odpowiedzialność za przetwarzanie danych osobowych niezgodnie z Umową, a w szczególności za udostępnienie danych osobowych osobom nieupoważnionym.
- Przetwarzający odpowiada za wszelkie zawinione szkody, jakie powstaną u Administratora lub osób trzecich w wyniku niezgodnego z Umową przetwarzania przez Przetwarzającego danych osobowych.
- Całkowita odpowiedzialność Przetwarzającego jest ograniczona do wysokości Płatności wniesionych przez Administratora.
§ 10
Postanowienia końcowe
- Osobą kontaktową po stronie Przetwarzającego w zakresie realizacji Umowy powierzenia oraz przetwarzania danych zgodnie z Regulaminem, w tym realizacji Polityki Prywatności jest inspektor ochrony danych. Dane kontaktowe: dpo@landingi.com
- Powierzenie jest niezbędne do prawidłowej realizacji Umowy i nie jest traktowane jako odrębna Usługa. Administrator nie ponosi żadnych opłat z tytułu zawarcia Umowy powierzenia.
- Jeżeli jakiekolwiek postanowienia Umowy powierzenia okażą się nieważne nie uchybia to mocy pozostałym, a Strony będą dążyć do zastąpienia nieważnego postanowienia ważnym zapisem odzwierciedlającym pierwotną wolę Stron.
- W sprawach nieuregulowanych mają zastosowanie odpowiednie przepisy prawa polskiego.
- Załączniki stanowią integralną część Umowy.
Załącznik nr 1: Lista podwykonawców Załącznik nr 2: Lista podwykonawców z państw trzecich Załącznik nr 1 do Umowy – Lista podwykonawców
Nazwa podmiotu | Adres | Zakres współpracy (cel powierzenia przetwarzania danych osobowych) |
Amazon Web Services Inc., | Data Center w Dublinie oraz we Frankfurcie | Hosting danych |
Hostersi Sp. z o.o | ul. Jankowicka 7, 44-200 Rybnik | Obsługa techniczna i administracyjna w celu zapewnienia spójności i ciągłości w dostępie do danych osobowych |
The Rocket Science Group LLC | Suite 5000 Atlanta, GA 30308 USA | Wysyłka wiadomości e-mail (wyłącznie po skorzystaniu z funkcji autorespondera dotyczących rozsyłania wiadomości) |
Załącznik nr 2 do Umowy – Lista podwykonawców z państw trzecich
Nazwa podmiotu | Adres | Państwo | Stosowane zabezpieczenia |
Amazon Web Services Inc., | 410 Terry Avenue North, Seattle, WA 98109-5210, USA | USA | Standardowe klauzule umowne zatwierdzone przez Komisję Europejską |
The Rocket Science Group LLC | Suite 5000 Atlanta, GA 30308 USA | USA | Standardowe klauzule umowne zatwierdzone przez Komisję Europejską |
Umowa jest dostępna do pobrania w formacie PDF poniżej: