Umowa Powierzenia Przetwarzania Danych Osobowych

1. Wstęp

Poniższa umowa powierzenia przetwarzania danych osobowych („Umowa Powierzenia”) jest częścią oraz podlega pod postanowienia Warunków Świadczonych Usług („Umowa”) zawartych pomiędzy firmą lightenbody™ z siedzibą przy ul. Heweliusza 11/819, 80-890 Gdańsk, NIP 7532294721, REGON 362814110, email: [email protected] („Administrator”), a stroną zwaną dalej „Klientem” w odniesieniu do osoby lub jednostki, która utworzyła konto biznesowe w Fitssey, aby skorzystać z Usług Administratora.

Wszelkie terminy pisane dużą literą, niewyjaśnione w tym dokumencie, zostały zdefiniowane w Umowie. Poniższa Umowa Powierzenia ma zastosowanie wyłącznie w zakresie przetwarzania Danych Osobowych chronionych przez Prawo Ochrony Danych właściwych dla Europejskiego Obszaru Gospodarczego ("EOG").

2. Definicje

  • Umowa – kontrakt w przedmiocie świadczenia Usług zawierany pomiędzy Administratorem, a Klientem drogą elektroniczną lub z użyciem jednego z Serwisów administrowanych przez Administratora,

  • Dane osobowe – oznacza dane personalne, które Administrator przetwarza na zlecenie Klienta, jako podmiot przetwarzający w trakcie korzystania z Usług, opisane w niniejszej Umowie Powierzenia,

  • Prawo Ochrony Danych Osobowych – oznacza wszelkie prawa dotyczące ochrony oraz prywatności danych mające zastosowanie podczas przetwarzania Danych Osobowych w celu realizacji Umowy, włączając w to Prawo UE Dotyczące Ochrony Danych,

  • Prawo UE Dotyczące Ochrony Danych – oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Rozporządzenie o ochronie danych osobowych - RODO) oraz dyrektywę 20002/58/WE dotyczącą przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej.

  • EOG – oznacza, dla celów niniejszej Umowy Powierzenia, Unię Europejską, Europejski Obszar Gospodarczy i/lub kraje członkowskie,

  • Standardowe Klauzule Umowne – oznaczają standardowe klauzule umowne ochrony danych zatwierdzone przez Komisję Europejską,

  • Naruszenie Ochrony Danych – oznacza pojedyncze zdarzenie lub serię niepożądanych albo niespodziewanych zdarzeń związanych z bezpieczeństwem Danych Osobowych Klienta zarządzanych przez Administratora,

  • Dane Wrażliwe – oznaczają:

    • – numer PESEL, numer paszportu, dowodu, prawa jazdy, legitymacji studenckiej lub innego dokumentu identyfikującego, w tym skany lub innego rodzaju kopie powyższych dokumentów;

    • – numer karty płatniczej lub kredytowej;

    • – informacje na temat zatrudnienia, informacje finansowe, dane genetyczne, biometryczne lub dotyczące zdrowia;

    • – informacje na temat pochodzenia rasowego lub etnicznego, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane dotyczące seksualności lub orientacji seksualnej;

    • – dane dostępu do konta (hasło);

    • – inne dane, które wchodzą w zakres definicji szczególnych kategorii danych osobowych zdefiniowanych przez RODO lub inne prawo dotyczące ochrony danych mające zastosowanie.

  • Podprocesor – oznacza inną jednostkę przetwarzającą dane na zlecenie Administratora w celu spełnienia zobowiązań względem oferowania Usług zgodnie z Umową oraz Umową Powierzenia.

3. Rola i zakres odpowiedzialności

  1. Role stron
    Klient jest administratorem Danych Osobowych swoich klientów, natomiast Administrator przetwarza Dane Osobowe jako podmiot przetwarzający na zlecenie Klienta zgodnie z Załącznikiem A („Szczegóły przetwarzania danych”) dołączonym do Umowy Powierzenia.

  2. Zakres przetwarzania
    Administrator przetwarza Dane Osobowe wyłącznie w zakresie określonym w niniejszej Umowie Powierzenia, zgodnie z Prawem UE Dotyczącym Ochrony Danych. Strony zgadzają się, że Umowa definiuje jednoznacznie i ostatecznie zakres przetwarzania Danych Osobowych.

  3. Zakazane dane
    Klient nie będzie wprowadzał żadnych Danych Wrażliwych w celu przetwarzania jako przedmiot Umowy. Administrator nie będzie odpowiadał za wprowadzone Dane Wrażliwe w przypadku Naruszenia Ochrony Danych lub jakimkolwiek innym. Poniższa Umowa Powierzenia nie ma odniesienia do Danych Wrażliwych.

  4. Obowiązki Klienta
    Klient oświadcza i gwarantuje, że:

    • będzie przetwarzał Dane Osobowe, stosując się do wszelkich obowiązujących Praw Ochrony Danych Osobowych;

    • posiada i będzie uzyskiwał wszelkie zgody oraz prawa, zgodnie z Prawem Ochrony Danych Osobowych niezbędne Administratorowi do przetwarzania Danych Osobowych do celów opisanych w Umowie. Klient ponosi wyłączną odpowiedzialność za bezbłędność, zgodność oraz legalność Danych Osobowych, oraz sposób w jaki je pozyskano. Klient oświadcza, że będzie się stosował do Praw Ochrony Danych Osobowych w odniesieniu do treści tworzonych, wysyłanych lub zarządzanych przy użyciu Usług Administratora, włączając pozyskiwanie zgód w celu wysyłki treści marketingowych.

4. Dalsze powierzenie danych do przetwarzania

  1. Autoryzowani Podprocesorzy
    Klient oświadcza, że Administrator może powierzyć Dane Osobowe objęte niniejszą Umową Powierzenia podprocesorowi do dalszego przetwarzania Danych Osobowych w celu realizacji postanowień Umowy. Lista Podprocesorów obecnie współpracujących z Administratorem jest dostępna w Załączniku C. Administrator poinformuje Klienta w przypadku zmian w liście Podprocesorów.

  2. Sprzeciw Klienta wobec Podprocesora
    Klient może wyrazić pisemny sprzeciw wobec wyznaczenia przez Administratora nowego Podprocesora w ciągu 5 dni kalendarzowych od otrzymania powiadomienia, pod warunkiem, że sprzeciw ten jest uzasadniony z powodów związanych z ochroną danych. W takim przypadku Administrator może zezwolić Klientowi na zawieszenie lub zakończenie Usługi zgodnie z postanowieniami Umowy, bez odpowiedzialności wobec którejkolwiek ze stron.

  3. Obowiązki Podprocesorów
    Administrator zawrze z każdym Podwykonawcą pisemną umowę zawierającą obowiązki w zakresie ochrony Danych Osobowych, które zapewniają co najmniej taki sam poziom ochrony jak niniejsza Umowa Powierzenia, w zakresie mającym zastosowanie do charakteru usług świadczonych przez danego Podprocesora. Administrator pozostaje odpowiedzialny za przestrzeganie przez Podprocesora obowiązków wynikających z niniejszej Umowy Powierzenia oraz za wszelkie działania lub zaniechania Poprocesora, które spowodują, że Administrator naruszy którekolwiek z obowiązków wynikających z niniejszej Umowy Powierzenia.

5. Bezpieczeństwo

  1. Środki bezpieczeństwa
    Administrator wykorzystuje odpowiednie środki organizacyjne i techniczne, aby chronić Dane Osobowe przed Naruszeniem Ochrony Danych oraz, aby zachować bezpieczeństwo i poufność Danych Osobowych zgodnie ze standardami bezpieczeństwa zdefiniowanymi w Załączniku B („Środki bezpieczeństwa”).

  2. Poufność przetwarzanych danych
    Administrator zapewnia, że każda osoba autoryzowana przez niego do przetwarzania Danych Osobowych (w tym pracownicy i Podprocesorzy) zobowiązana jest do zachowania pełnej poufności. Dane Osobowe nie będą wykorzystywane, ujawniane ani udostępniane bez zgody Klienta, chyba że konieczność ujawnienia wynika z obowiązujących przepisów prawa.

  3. Aktualizacja środków bezpieczeństwa
    Klient jest odpowiedzialny za zapoznanie się z informacjami udostępnionymi przez Administratora dotyczącymi bezpieczeństwa danych oraz ustalenie, czy Usługa spełnia wymagania Klienta oraz zobowiązania prawne wynikające z przepisów o ochronie danych. Klient przyjmuje do wiadomości, że środki bezpieczeństwa podlegają postępowi technicznemu i rozwojowi oraz że Administrator może od czasu do czasu aktualizować lub modyfikować środki bezpieczeństwa, pod warunkiem, że takie aktualizacje i modyfikacje nie spowodują pogorszenia ogólnego bezpieczeństwa Usługi świadczonej na rzecz Klienta.

  4. Naruszenie Ochrony Danych
    W przypadku Naruszenia Ochrony Danych Administrator zobowiązuje się:

    • bezzwłocznie poinformować Klienta o wystąpieniu naruszenia, nie później niż 48 godzin po uzyskaniu informacji na temat incydentu;

    • przekazać Klientowi niezbędne informacje dotyczące naruszenia w formie elektronicznej;

    • niezwłocznie przedsięwziąć środki w celu powstrzymania oraz zbadania naruszenia.

  5. Obowiązki Klienta
    Klient ponosi odpowiedzialność za bezpieczne korzystanie z Usług, włączając w to bezpieczne przechowywanie danych logowania, zachowanie środków bezpieczeństwa podczas wprowadzania Danych Osobowych oraz udzielenie dostępu do danych wyłącznie uprawnionym osobom.

6. Raporty bezpieczeństwa oraz audyty

  1. Prawo kontroli
    Administrator udostępnia do informacji Klienta wszelkie informacje, w sposób uzasadniony, niezbędne do potwierdzenia, iż podjęte przez Administratora środki bezpieczeństwa spełniają postanowienia Umowy oraz są zgodne z RODO.

  2. Raporty bezpieczeństwa
    Klient przyjmuje do wiadomości, iż Administrator przechodzi regularne audyty odnośnie standardów PCI organizowane przez niezależną jednostkę, jak również wewnętrzne kontrole bezpieczeństwa.

  3. Stan bezpieczeństwa
    Dodatkowo Administrator, odpowie na wszelkie uzasadnione zapytania Klienta odnośnie bezpieczeństwa, aby potwierdzić jego zgodność z poniższą Umową Powierzenia, przesłane w formie pisemnej pod adres [email protected], jednocześnie zaznaczając, że Klient jest uprawniony do skorzystania z tego prawa nie częściej niż 1 raz w roku kalendarzowym.

7. Transfer danych

  1. Lokalizacja centrum danych
    Administrator może przesyłać Dane Osobowe do innych lokalizacji, gdzie Administrator lub jego Podprocesorzy realizują operacje związane z przetwarzaniem danych. Administrator zapewnia, że w każdym przypadku taki transfer będzie wykonany zgodnie z obowiązującym Prawem Ochrony Danych Osobowych.

8. Usunięcie lub zwrot danych

  1. Usunięcie danych
    Administrator, po zakończeniu lub anulowaniu Umowy, zależnie od decyzji Klienta trwale usuwa lub zwraca Administratorowi wszelkie Dane Osobowe (włączając istniejące kopie), chyba że prawo Unii Europejskiej lub prawo jej państwa członkowskiego nakazują przechowywanie Danych Osobowych lub kopii zapasowych Danych Osobowych. W tym przypadku Administrator zobowiązuje się odizolować dane oraz zabezpieczyć je przed dalszym przetwarzaniem, a ostatecznie usunąć zgodnie z polityką Administratora.

9. Prawo dostępu do danych i współpraca

  1. Wnioski osób, których dane dotyczą
    Administrator zapewnia Klientowi szereg funkcji, z których klient może skorzystać w celu wyszukiwania, poprawiania, usuwania lub ograniczania Danych Osobowych, które mogą pomóc Klientowi w związku z obowiązkami nałożonymi przez RODO, w tym obowiązkiem udzielenia odpowiedzi na żądanie podmiotu lub właściwego organu ochrony danych. W przypadku, gdy klient nie jest w stanie uzyskać dostępu do odpowiednich Danych Osobowych w ramach Usługi, Administrator (na koszt Klienta) zapewni rozsądne wsparcie, aby pomóc w udzieleniu odpowiedzi na wszelkie zapytania osób fizycznych lub właściwych organów ochrony danych dotyczące przetwarzania Danych Osobowych jako przedmiot Umowy. W przypadku, gdy takie zapytanie zostanie skierowane do Administratora bezpośrednio przez podmiot, Administrator nie odpowie bezpośrednio, bez zgody Klienta, chyba że w celu skierowania osoby, której dane dotyczą do kontaktu z Klientem lub w przypadku wymaganym przez prawo. Jeśli Administrator zostanie zobowiązany do udzielenia odpowiedzi, niezwłocznie powiadomi Klienta i dostarczy kopię żądania, chyba, że w danym przypadku będzie to prawnie zabronione. W celu uniknięcia wątpliwości należy wyjaśnić, że żadne z postanowień Umowy (w tym niniejsza Umowa Powierzenia) nie ogranicza ani nie uniemożliwia Administratorowi odpowiadania na żądania osób, których dane dotyczą lub organów ochrony danych w związku z Danymi Osobowymi, dla których Administrator jest administratorem danych.

  2. Wezwania i nakazy sądowe
    Jeśli organ ścigania wyśle do Administratora żądanie dotyczące Danych Osobowych (np. w postaci wezwania sądowego lub nakazu sądowego), Administrator podejmie próbę przekierowania żądania do Klienta. W ramach tych działań Administrator może przekazać organom ścigania podstawowe informacje kontaktowe Klienta. Jeśli Administrator zostanie zmuszony do ujawnienia Danych Osobowych organom ścigania, Administrator powiadomi Klienta w odpowiedni sposób o żądaniu, umożliwiając mu wystąpienie z wnioskiem o wydanie nakazu ochronnego lub innego odpowiedniego środka, chyba że jest to prawnie zabronione.

  3. Ocena wpływu na ochronę danych
    W zakresie wymaganym przez Prawo Ochrony Danych Osobowych Administrator dostarczy (na koszt Klienta) wszelkie uzasadnione informacje dotyczące Usługi, aby umożliwić Klientowi przeprowadzenie oceny wpływu na ochronę jego danych.

10. Ograniczenie odpowiedzialności

  1. Odpowiedzialność stron wynikająca lub związana z niniejszą Umową Powierzenia (włączając w to Standardowe Klauzule Umowne) podlega wyłączeniom i ograniczeniom odpowiedzialności określonym w Umowie.

11. Obowiązywanie Umowy

  1. Poniższa Umowa Powierzenia obowiązuje przez cały okres przetwarzania Danych Osobowych przez Administratora, na zlecenie Klienta, do czasu anulowania lub zakończenia Umowy (gdy wszystkie Dane Osobowe zostały usunięte lub zwrócone zgodnie z punktem 8.1).

  2. Strony zgadzają się, że poniższa Umowa Powierzenia zastępuje inne istniejące dokumenty dotyczące przetwarzania danych lub podobne porozumienia, które strony mogły uprzednio zawrzeć w związku z korzystaniem z Usług.

  3. W przypadku niezgodności lub niespójności pomiędzy niniejszą Umową Powierzenia oraz Warunkami Świadczenia Usług obowiązują postanowienia następujących dokumentów (zgodnie z kolejnością, w jakiej zostały wymienione):

    • Standardowe Klauzule Umowne;

    • niniejsza Umowa Powierzenia;

    • Warunki Świadczonych Usług.

  4. Niezależnie od innych postanowień Umowy (w tym niniejszej Umowy Powierzenia), Administrator będzie mieć prawo do gromadzenia, wykorzystywania i ujawniania danych związanych z korzystaniem, wsparciem i/lub obsługą Usługi („Dane Usługi”), w celu prowadzenia działalności, takich jak wystawianie faktur, zarządzanie kontem, wsparcie techniczne i rozwój produktu. W zakresie, w jakim Dane Usługi są uważane za Dane Osobowe zgodnie z Prawem Ochrony Danych Osobowych, Administrator będzie odpowiedzialny za takie dane i będzie je przetwarzał zgodnie z Polityką Prywatności oraz przepisami o ochronie danych osobowych. W celu uniknięcia wątpliwości, niniejsza Umowa Powierzenia nie ma zastosowania do Danych Usługi.

12. Postanowienia końcowe

  1. W sprawach nieuregulowanych niniejszym dokumentem zastosowanie będzie miało Prawo UE Dotyczące Ochrony Danych oraz właściwe przepisy prawa polskiego.

  2. Wszelkie spory pomiędzy stronami, rozstrzygane będą w sposób polubowny. Jednakże w przypadku braku możliwości polubownego rozwiązania sporu, Sądem właściwym do rozpatrywania sporu jest Sąd właściwy dla siedziby Administratora.

Załącznik A - Szczegóły przetwarzania danych

  1. Przedmiot przetwarzania
    Przedmiotem przetwarzania w niniejszej Umowie Powierzenia są Dane Osobowe.

  2. Czas trwania
    Dane w rozumieniu niniejszej Umowy Powierzenia będą przetwarzane do czasu zakończenia lub anulowania Umowy, zgodnie z jej postanowieniami.

  3. Cel
    Administrator będzie przetwarzał Dane Osobowe wyłącznie do wymienionych celów:

    • w celu realizacji Umowy zawartej z Klientem;

    • na zlecenie Klienta w trakcie korzystania z Usług;

    • w celu zastosowania się do innych uzasadnionych instrukcji Klienta, zgodnych z postanowieniami Umowy.

  4. Charakter i cel przetwarzania danych
    Administrator będzie przetwarzał Dane Osobowe w celu świadczenia Usług zgodnie z niniejszą Umową Powierzenia.

  5. Kategorie danych
    Dane dotyczące osób fizycznych przekazane Administratorowi za pośrednictwem Usług przez Klienta.

  6. Rodzaj Danych Osobowych
    Klient może wprowadzać lub w inny sposób przekazywać określone Dane Osobowe do Usługi, których zakres jest zazwyczaj określany i kontrolowany przez Klienta według własnego uznania i może obejmować następujące rodzaje danych osobowych:

    • Pracownicy: Dane identyfikacyjne i kontaktowe (imię i nazwisko, adres, tytuł, dane kontaktowe, nazwa użytkownika); dane dotyczące zatrudnienia (stanowisko, obszar odpowiedzialności, informacje o zarobkach);

    • Kontakty: Dane identyfikacyjne i kontaktowe (imię i nazwisko, data urodzenia, płeć, dane ogólne, adres, dane kontaktowe, w tym adres e-mail), osobiste zainteresowania lub preferencje (w tym historia zakupów, preferencje marketingowe i publicznie dostępne informacje społecznościowe); Informacje IT (adresy IP, dane użytkowania, dane plików cookie, dane lokalizacji, dane przeglądarki); informacje o płatnościach.

  7. Dane Osobowe Wrażliwe
    Administrator nie wyraża chęci i celowo nie zbiera ani nie przetwarza żadnych Danych Osobowych Wrażliwych w ramach oferowanych Usług.

  8. Zakres przetwarzania danych
    Dane Osobowe będą przetwarzane przez Administratora zgodnie z Umową (włączając niniejszą Umowę Powierzenia) z włączeniem poniższych procesów:

    • zapis, przechowywanie oraz inne procesy niezbędne do świadczenia, utrzymania i udoskonalania Usług oferowanych Klientowi zgodnie z Umową;

    • udostępnianie danych zgodnie z Umową i/lub w przypadku żądania uzasadnionego obowiązującym prawem.

Załącznik B – Środki bezpieczeństwa

Środki techniczne i organizacyjne wdrożone przez Administratora zostały opisane tutaj (aktualizowane zgodnie z punktem 4.3 niniejszej Umowy Powierzenia).

Załącznik C – Podprocesorzy Fitssey

Nazwa i lokalizacja jednostki:

JednostkaLokalizacja
AmazonWashington, USA
CloudflareSan Francisco, USA
FullstoryAtlanta, USA
MailchimpAtlanta, USA
GoogleCalifornia, USA
OVHRoubaix, Francja
SlackCalifornia, USA

Ostatnia modyfikacja: 30 listopada 2019