REGULAMIN POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Spis treści
Postanowienia ogólne.................................................................................................................... 1
Powierzenie przetwarzania danych osobowych............................................................................... 1
Przedmiot, charakter, cel i czas przetwarzania danych..................................................................... 1
Obowiązki, prawa i oświadczenia Podmiotu przetwarzającego.......................................................... 2
Obowiązki Administratora.............................................................................................................. 3
Dalsze powierzenie danych osobowych........................................................................................... 3
Czas obowiązywania Regulaminu powierzenia................................................................................. 4
Skutki zakończenia obowiązywania Umowy..................................................................................... 4
Zmiana Regulaminu powierzenia.................................................................................................... 4
Postanowienia końcowe................................................................................................................ 4
§ 1.
1. Niniejszy regulamin powierzenia przetwarzania danych osobowych (dalej: „Regulamin powierzenia”) określa zasady i warunki powierzenia przez Usługobiorcę (dalej: „Administrator”) przetwarzania danych osobowych przechowywanych przez Usługodawcę (dalej: „Podmiot przetwarzający”).
2. W zakresie nieregulowanym w Regulaminie powierzenia, zastosowanie znajdują postanowienia Regulaminu aplikacji NotiWise (dalej: „Regulamin aplikacji”).
3. Wszelkie terminy pisane wielką literą, które nie zostały zdefiniowane inaczej w Regulaminie powierzenia mają znaczenie nadane im w Regulaminie aplikacji.
4. Regulamin powierzenia jest integralną część Umowy zawartej z Administratorem i stanowi podstawę przetwarzania danych osobowych przez Podmiot przetwarzających w związku z wykonywaniem Umowy, a także spełnia wymagania określone w art. 28 ust. 3 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: „RODO”).
§ 2.
1. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych w trybie art. 28 RODO, w zakresie określonym w § 3 Regulaminu powierzenia.
2. Administrator oświadcza, że:
1) względem danych powierzanych Podmiotowi Przetwarzającemu na mocy Regulaminu powierzenia jest administratorem albo podmiotem przetwarzającym powierzającym Podmiotowi Przetwarzającemu dane osobowe na udokumentowane polecenie administratora tych danych osobowych;
2) powierzone Podmiotowi przetwarzającemu do przetwarzania dane osobowe przetwarza zgodnie z RODO i innymi przepisami prawa powszechnie obowiązującego.
3. W przypadku, gdy Administrator jest podmiotem przetwarzającym dane osobowe powierzane Podmiotowi przetwarzającemu na mocy Regulaminu powierzenia, Podmiot przetwarzający pełni wobec tych danych rolę dalszego podmiotu przetwarzającego.
4. Podmiot przetwarzający zobowiązuje się do przetwarzania danych osobowych w zakresie i na warunkach określonych w Regulaminie powierzenia, RODO oraz innych przepisach prawa powszechnie obowiązującego.
§ 3.
1. Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie na udokumentowane polecenie Administratora oraz wyłącznie w celu wykonywania Umowy określonej w Regulaminie aplikacji. Za „udokumentowane polecenie” uznaje się w szczególności zawarcie przez Administratora Umowy.
2. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych dotyczących Użytkowników końcowych oraz klientów Administratora.
3. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych następujących kategorii (dalej: „powierzone dane osobowe”):
1) w przypadku Użytkowników końcowych:
a) imię i nazwisko;
b) numer telefonu;
c) adres poczty elektronicznej;
d) adres;
2) w przypadku klientów Administratora:
a) imię i nazwisko;
b) adres poczty elektronicznej;
c) numer telefonu;
d) NIP;
4. Dane osobowe powierzone przez Administratora na podstawie Regulaminu powierzenia nie stanowią danych osobowych szczególnej kategorii, o których mowa w art. 9 ust. 1 RODO.
5. Przetwarzanie powierzonych danych osobowych będzie odbywało się przy wykorzystaniu systemów informatycznych (w sposób zautomatyzowany).
§ 4.
1. Podmiot przetwarzający zobowiązuje się do zabezpieczenia powierzonych danych osobowych poprzez wdrożenie oraz utrzymywanie, środków technicznych i organizacyjnych odpowiednich do charakteru, zakresu, kontekstu i celu przetwarzania powierzonych danych, w tym środków wymaganych przez odpowiednie przepisy powszechnie obowiązującego prawa, aby przetwarzanie powierzonych danych osobowych spełniało wymogi RODO.
2. Podmiot przetwarzający zobowiązuje się zapewnić, aby osoby upoważnione do przetwarzania danych osobowych powierzonych na podstawie Regulaminu powierzenia zobowiązane były do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
3. Podmiot przetwarzający zobowiązuje się, w zakresie uzasadnionym przedmiotem Umowy, w miarę możliwości, pomagać Administratorowi w wywiązywaniu się przez niego z obowiązku odpowiedzi na żądania osób, których dane dotyczą, w zakresie wykonywania przez te osoby praw wynikających z przepisów prawa powszechnie obowiązującego, w tym w rozdziale III RODO.
4. Podmiot przetwarzający zobowiązuje się niezwłocznie zawiadomić Administratora o:
1) każdym naruszeniu ochrony powierzonych danych osobowych, przy czym przez „naruszenie ochrony powierzonych danych” należy rozumieć każde przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do powierzonych danych osobowych. Zawiadomienia, o którym mowa w niniejszym pkt 1 należy dokonać najpóźniej w ciągu 24 (dwudziestu czterech) godzin od wykrycia naruszenia ochrony powierzonych danych;
2) każdym żądaniu otrzymanym od osoby, której dane przetwarza, powstrzymując się jednocześnie od odpowiedzi na żądanie, do czasu otrzymania opinii Administratora. Zawiadomienia, o którym mowa w niniejszym pkt 2 należy dokonać najpóźniej w ciągu 24 (dwudziestu czterech) godzin od otrzymania żądania;
3) każdym prawnie umocowanym żądaniu udostępnienia danych osobowych właściwemu organowi państwa, chyba że zakaz zawiadomienia wynika z przepisów prawa, a szczególności przepisów postępowania karnego, gdy zakaz ma na celu zapewnienie poufności wszczętego dochodzenia;
4) przeprowadzeniu przez Prezesa Urzędu Ochrony Danych Osobowych lub inny organ nadzorczy kontroli zgodności przetwarzania danych osobowych i jej wynikach oraz o innych czynnościach organów władzy publicznej dotyczących tych danych.
5. Podmiot przetwarzający zobowiązuje się, w zakresie uzasadnionym przedmiotem Umowy i dostępnymi mu informacjami, pomagać Administratorowi w wywiązywaniu się przez niego z obowiązków wynikających z przepisów prawa powszechnie obowiązującego, w tym z art. 32-36 Ogólnego rozporządzenia o ochronie danych i dotyczących bezpieczeństwa przetwarzania danych osobowych, zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu i osobie, której dane te dotyczą, oceny skutków dla ochrony danych i związanych z tą oceną konsultacji z organem nadzorczym.
6. Podmiot przetwarzający zobowiązuje się:
1) udostępniać Administratorowi w terminie 14 (czternastu) dni od dnia otrzymania żądania, wszelkie informacje i dokumenty niezbędne do wykazania spełnienia przez Administratora ciążących na nim obowiązków określonych w przepisach prawa powszechnie obowiązującego;
2) umożliwić Administratorowi lub upoważnionemu przez niego audytorowi przeprowadzanie audytów, w tym inspekcji, i przyczyniać się do nich, na zasadach każdorazowo określonych przez strony oraz z zastrzeżeniem postanowień niniejszego paragrafu.
7. Audyt, o którym mowa w ust. 6 pkt 2 powyżej może zostać przeprowadzony:
1) nie częściej niż raz w roku;
2) nie wcześniej niż po upływie jednego miesiąca od dnia otrzymania przez Podmiot przetwarzający zapowiedzi przeprowadzenia audytu;
3) po zawarciu pomiędzy Podmiot przetwarzający a Administratorem lub upoważnionym przez niego audytorem umowy o zachowaniu poufności;
4) na koszt Administratora, przy czym koszt ten obejmuje również wynagrodzenie Podmiotu przetwarzającego z tytułu uczestnictwa jego oraz jego pracowników w audycie.
8. Po zakończeniu audytu, Strony sporządzą protokół w 2 (dwóch) egzemplarzach, które podpiszą upoważnieni przedstawiciele obu Stron. Podmiot przetwarzający może wnieść zastrzeżenia do protokołu w ciągu 7 (siedmiu) dni od dnia jego podpisania przez przedstawicieli Stron.
9. W razie stwierdzenia w toku audytu uchybień mających wpływ na bezpieczeństwo przetwarzania powierzonych danych osobowych Podmiot przetwarzający zobowiązuje się:
1) dostosować do zaleceń sformułowanych przez Administratora lub upoważnionego przez niego audytora;
2) pokryć koszty przeprowadzenia audytu.
1. Administrator zobowiązany jest zapewnić, aby przez cały okres obowiązywania Umowy dysponował prawną podstawą przetwarzania powierzanych danych osobowych i aby przysługiwały mu odpowiednie uprawnienia umożliwiające ich powierzenie na rzecz Podmiotu przetwarzającego. W razie utraty ww. podstawy prawnej lub uprawnień wobec określonych powierzanych danych osobowych, Administrator zobowiązany jest niezwłocznie przedsięwziąć kroki niezbędne do zaprzestania ich powierzania, w szczególności zawiadomić o tym Podmiot przetwarzający.
2. Administrator zobowiązuje się nie wydawać Podmiotowi przetwarzającemu poleceń dotyczących przetwarzania powierzanych danych osobowych, które byłyby niezgodne z przepisami prawa powszechnie obowiązującego, postanowieniami Regulaminu powierzenia lub innymi zobowiązaniami umownymi.
§ 6.
1. Administrator wyraża ogólną zgodę na dokonywanie przez Podmiot przetwarzający dalszego powierzania przetwarzania danych osobowych (dalej: „podpowierzenie”) wybranym przez siebie podwykonawcom.
2. Wykaz podwykonawców, którym Podmiot przetwarzający podpowierzył przetwarzanie danych osobowych, jest dostępny dla Administratora do wglądu w siedzibie Podmiotu przetwarzającego.
3. Podmiot przetwarzający zobowiązuje się zapewnić, aby:
1) podmiot, wobec których dokonuje podpowierzenia, stosował odpowiednie środki techniczne i organizacyjne w celu zagwarantowania przetwarzania powierzonych danych osobowych zgodnie z przepisami RODO;
2) zakres obowiązków dalszego podmiotu przetwarzającego w zakresie ochrony danych odpowiadał obowiązkom Podmiotu przetwarzającego przewidzianych w Umowie powierzenia.
4. W przypadku zamiaru podpowierzenia przetwarzania danych osobowych nowemu podwykonawcy, Podmiot przetwarzający zobowiązany jest zawiadomić o tym Administratora nie później niż na 7 (siedem) dni przed dokonaniem podpowierzenia za pomocą poczty elektronicznej. Administrator może sprzeciwić się dokonaniu podpowierzenia, o którym mowa w zdaniu poprzedzającym, poprzez zgłoszenie sprzeciwu za pomocą poczty elektronicznej, w terminie 7 (siedmiu) dni od dnia otrzymania zawiadomienia o podpowierzeniu.
5. Po bezskutecznym upływie terminu na zgłoszenie sprzeciwu, o którym mowa w ust. 4 powyżej, Podmiot przetwarzający może dokonać podpowierzenia przetwarzanych danych osobowych wybranemu podwykonawcy.
6. W przypadku zgłoszenia sprzeciwu, o którym mowa w ust. 4 powyżej, Podmiot przetwarzający jest uprawniony do wypowiedzenia Umowy z zachowaniem jednomiesięcznego okresu wypowiedzenia, ze skutkiem na koniec miesiąca kalendarzowego.
7. Podpowierzenie, o którym mowa w ust. 4 powyżej, nie stanowi zmiany Regulaminu powierzenia.
§ 7.
Postanowienia Regulaminu powierzenia obowiązują przez czas obowiązywania Umowy.
§ 8.
W przypadku zakończenia obowiązywania Umowy, Podmiot przetwarzający, niezwłocznie, nie później niż w terminie 14 (czternastu) dni od dnia zakończenia obowiązywania Umowy, zobowiązuje się zwrócić Administratorowi oraz usunąć z własnych nośników wszelkie dane osobowe, których przetwarzanie zostało mu powierzone, w tym skutecznie usunąć je również z nośników elektronicznych pozostających w jego dyspozycji. Postanowienia zdania poprzedzającego nie dotyczą tych danych osobowych, których przechowywanie przez Podmiot przetwarzający, zgodnie z przepisami powszechnie obowiązującego prawa, wymagane jest przez czas dłuższy niż okres obowiązywania Umowy.
§ 9.
Do zmian Regulaminu powierzenia stosuje się odpowiednio postanowienia § 17 Regulaminu aplikacji.
§ 10.
Aktualna wersja Regulaminu obowiązuje od dnia 14.02.2025r.