UMOWA POWIERZENIA DANYCH DO PRZETWARZANIA
UMOWA POWIERZENIA DANYCH DO PRZETWARZANIA
Zwana dalej „Umową”, zawarta w dniu roku pomiędzy:
Droplabs sp. z o.o.. z siedzibą w Krakowie przy ul. Grodzka 42/1, (31-044) wpisana do Krajowego Rejestru Sądowego – rejestru przedsiębiorców przez SĄD REJONOWY DLA KRAKOWA ŚRÓDMIEŚCIA W KRAKOWIE, XI WYDZIAŁ GOSPODARCZY KRAJOWEGO REJESTRU SĄDOWEGO, pod nr KRS 0000468242,
reprezentowaną przez Xxxxx Xxxxxxxxx – Prezesa Zarządu Zwaną dalej “Podmiotem przetwarzającym” lub “Droplabs”,
a ————————————————————————————————————————————————————————————————————————
Zwanym/zwaną dalej “Użytkownikiem” lub “Administratorem danych”
§ 1. PRZEDMIOT PRZETWARZANIA
Użytkownik jako Administrator Danych Osobowych powierza i poleca Droplabs przetwarzanie danych osobowych w związku z wdrożeniem i świadczeniem Usługi, szczegółowo określonej w Regulaminie, zarówno w czasie trwania okresu testowego, o ile taki okres został Użytkownikowi udostępniony, jak i po jego upływie. Użytkownik oświadcza, iż sposób i cele przetwarzania danych osobowych zostały ustalone wyłącznie przez Użytkownika.
§ 2. CHARAKTER I CEL PRZETWARZANIA
Użytkownik poleca i powierza Podmiotowi przetwarzającemu do przetwarzania zbiór danych osobowych zgromadzonych przez Użytkownika, a także danych zgromadzonych i eksportowanych za pośrednictwem Usługi, w trakcie obowiązywania niniejszej Umowy. Cel przetwarzania danych jest na gruncie niniejszej Umowy tożsamy z celem określonym podczas zbierania danych przez Użytkownika.
§ 3. RODZAJ DANYCH
1. Użytkownik powierza przetwarzanie następujący rodzaj danych osobowych (niepotrzebne skreślić):
a. Imię i nazwisko
b. E-mail
c. Telefon
d. Adres
e. Adres IP
f. Dane marketingowe (zgody na wysyłanie informacji handlowych).
g. informację o rabatach i rodzaju usługi/produktu,
h. informacje o preferencjach dotyczących usługi/produktu,
i. w przypadku wystąpienia z zapytaniem także w zakresie treści zapytania,
j. w przypadku wystąpienia prośby kupujących będących osobami fizycznymi, prowadzącymi działalność gospodarczą o wystawienie faktury, także w zakresie: danych adresowych i NIP.
2. Przez kategorie osób, których dane dotyczą należy rozumieć klientów lub potencjalnych klientów Użytkownika odwiedzających sklep lub serwis internetowy Użytkownika (osoby fizyczne, osoby prawne).
3. W przypadku konieczności dodania dodatkowego rodzaju danych osobowych niewskazanych na liście powyżej, Użytkownik poinformuje o tym w formie mailowej, przy czym każdorazowa modyfikacja danych osobowych wskazanych na liście nie wymaga formy aneksu do niniejszej Umowy.
§ 4. PRAWA I OBOWIĄZKI PODMIOTU PRZETWARZAJĄCEGO
1. Podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora zawarte w § 1 powyżej.
2. Podmiot przetwarzający oświadcza, że zobowiązuje się do wykorzystania danych osobowych, wyłącznie w zakresie i czasie niezbędnym do realizacji Umowy.
3. Podmiot przetwarzający zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
4. Podmiot przetwarzający oświadcza, iż podejmuje odpowiednie środki techniczne i organizacyjne zgodnie z art. 32 RODO, zapewniające stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, w szczególności pseudonimizację i szyfrowanie danych osobowych, zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania, przywracanie dostępności danych w razie incydentu fizycznego lub technicznego, regularne testowanie i ocenianie skuteczności ww. środków). Droplabs jest uprawniony do dokonania wyboru lub zmiany tych środków organizacyjnych i technicznych, o ile nie spowoduje to naruszenia warunków świadczenia Usługi.
5. Podmiot przetwarzający pomaga Użytkownikowi, uwzględniając charakter przetwarzania oraz dostępne mu informacje, wywiązać się z obowiązków Użytkownika w zabezpieczaniu danych, zgłaszaniu naruszeń organowi nadzorczemu, zawiadamianiu osoby, której dane dotyczą, a także o naruszeniu ochrony danych osobowych. Termin na przesłanie przez Podmiot przetwarzający zgłoszenia Użytkownikowi o zdarzeniach w przedmiocie naruszenia danych osobowych wynosi 48 godzin od stwierdzenia naruszenia.
6. Podmiot przetwarzający pomaga Użytkownikowi, uwzględniając charakter przetwarzania oraz dostępne mu informacje, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO (wspiera w realizacji uprawnień osoby o charakterze informacyjnym, korekcyjnym i zakazowym).
7. Po zakończeniu świadczenia usług, Użytkownik może według swojego wyboru żądać od Podmiotu przetwarzającego usunięcia lub zwrotu danych osobowych powierzonych na jego rzecz przez Użytkownika oraz zażądać usunięcia wszelkich istniejących kopii. Podmiot przetwarzający może odmówić spełnienia tego żądania, jeżeli prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
8. Podmiot przetwarzający jest zobowiązane udostępnić Użytkownikowi jako administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO. Informacje powinny zostać udostępnione w odpowiednim terminie, nie później jednak niż w terminie 7 dni od należytego zgłoszenia żądania udostępnienia przez Użytkownika. Jednocześnie Podmiot przetwarzający jest zobowiązany umożliwić Użytkownikowi lub audytorowi upoważnionemu przez Użytkownika przeprowadzenie audytów, w tym inspekcji i przyczyniać się do nich.
9. Użytkownik oświadcza, iż wyraża zgodę na dalsze powierzenie przetwarzania danych osobowych podmiotom („podprocesorom”), dostarczających usługi oraz rozwiązania technologiczne wspierające Usługę:
● firmom hostingowym zapewniającym miejsce na serwerach (w szczególności Amazon),
● osobom współpracującym z nami na podstawie umów cywilnoprawnych, wspierającym naszą bieżącą działalność,
● dostawcy usług internetowych (w szczególności Google),
● dostawcy oprogramowania pozwalającego na zbieranie opinii użytkowników Serwisu,
● dostawcom oprogramowania do obsługi klientów oraz potencjalnych klientów w związku z Usługami,
● dostawcy oprogramowania do telefonicznej obsługi klientów i potencjalnych klientów w związku z usługami.
● dostawcy platformy płatniczej za pośrednictwem, której możesz zapłacić za nasze Usługi tj. Blue Media S.A., Payu S.A. DotPay Sp. z o.o., PayLane Sp. z o.o.
● dostawcy oprogramowania do wystawiania faktur,
● podmiotom świadczącym obsługę księgową i rachunkową.
● W przypadku wysłania do ciebie przesyłki drogą tradycyjną także: firmie świadczącej usługi kurierskie/pocztowe.
● W przypadku wysyłania do ciebie komunikatów systemowych oraz edukacyjnych, a także treści marketingowych drogą elektroniczną: podmiotom dostarczającym oprogramowanie do wysyłania wiadomości marketingowych, zwłaszcza w ramach usługi newsletter.
Użytkownik oświadcza, iż wyraża zgodę na dalsze powierzenie przetwarzania danych osobowych również przez podmioty spoza Unii Europejskiej np. Google. Właściwy poziom ochrony twoich danych, w tym poprzez stosowanie odpowiednich zabezpieczeń, zapewnia uczestnictwo tych podmiotów w Tarczy Prywatności UE-USA, ustanowionej decyzją wykonawczą Komisji Europejskiej jako zbiór zasad gwarantujących odpowiednią ochronę twojej prywatności.
10. Dodanie lub integracja poprzez API przez Użytkownika w ramach Usługi oferowanych przez Podmiot przetwarzający zewnętrznych usług, w szczególności aplikacji do wysyłania wiadomości elektronicznych, systemów wsparcia sprzedaży nie stanowić będzie zawarcia pomiędzy Podmiotem przetwarzającym, a podmiotami świadczącymi zewnętrze usługi, umowy podpowierznia przetwarzania danych. Użytkownik jest zobowiązany we własnym zakresie zawrzeć umowę o powierzenie przetwarzania danych z tymi podmiotami. Odpowiedzialność Podmiotu przetwarzającego jest ograniczona wyłącznie do umożliwienia bezpiecznej integracji z Usługą Droplabs..
11. Podmiot przetwarzający nie ma obowiązku badać zgodności z prawem zbioru danych osobowych przekazanych przez Użytkownika na potrzeby wskazane w § 1.
12. Podmiot przetwarzający prowadzi w formie elektronicznej rejestr czynności przetwarzania, który obejmuje:
○ dane identyfikujące Xxxxxxx przetwarzający (imię, nazwisko lub nazwę oraz dane kontaktowe, a także dane przedstawiciela Podmiotu przetwarzającego lub inspektora danych osobowych – jeżeli zostali wyznaczeni)
○ Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust.1 RODO – o ile jest to możliwe.
○ Informacje o przekazaniu danych osobowych do Państwa trzeciego lub organizacji międzynarodowej.
§ 6. PRAWA I OBOWIĄZKI UŻYTKOWNIKA.
1. Użytkownik oświadcza, iż przekazywany zbiór danych osobowych, w szczególności podstawy przetwarzania danych osobowych, a także określony zakres, cele, sposób, kontekst i charakter przetwarzania danych jest zgodne z Rozporządzeniem Parlamentu Europejskiego I Rady (Ue) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (“RODO”) L 119/40 PL Dziennik Urzędowy Unii Europejskiej 4.5.2016 (tekst w języku polskim).
2. Użytkownik oświadcza, iż dokonał wyboru Podmiotu przetwarzającego , biorąc pod uwagę wiedzę fachową, wiarygodność i zasoby Podmiotu przetwarzającego oraz jego ofertę w zakresie zapewnienia odpowiednich środków technicznych i organizacyjnych.
3. Użytkownik ma obowiązek zbadać we własnym zakresie zgodność przetwarzania danych z obowiązującym prawem, zwalniając od tych czynności Podmiot przetwarzający.
4. Użytkownik jako administrator danych osobowych wyłącznie decyduje o sposobie i celach przetwarzania danych.
5. Użytkownik powinien powstrzymać się od pozyskiwania danych osobowych, o których wie lub z uwagi na okoliczności z łatwością mógłby się dowiedzieć, że zostały pozyskane w sposób nielegalny lub też od podmiotów (lub ze źródeł), o których niezgodnej z prawem działalności mógłby dowiedzieć się przy zachowaniu należytej staranności.
6. Użytkownik powinien bez zbędnej zwłoki, nie później niż w terminie 48 godzin od powzięcia informacji, powiadomić Podmiot przetwarzający o wszelkich zdarzeniach, które mogą wpływać na zgodność powierzonych czynności przetwarzania danych z prawem, możliwość wykonania niniejszej Umowy lub niezakłócone świadczenie przez Droplabs Usługi. W przypadku gdy powstała szkoda na skutek braku zachowania aktów staranności, o których mowa w zdaniu poprzedzającym, Podmiot przetwarzający jest zwolnione w tym zakresie z odpowiedzialności. W wypadku wystąpienia roszczeń powstałych na skutek działania Użytkownika, Użytkownik zobowiązany jest zwolnić Podmiot przetwarzający od odpowiedzialności, zwrócić poniesione z tego tytułu koszty oraz zaspokoić roszczenia tych osób w sposób przewidziany w przepisach prawa.
§ 7. ODPOWIEDZIALNOŚĆ
1. Strony postanawiają, że Podmiot przetwarzający nie jest odpowiedzialny wobec osób, których dane zostały powierzone za szkodę powstałą w wyniku przetwarzania przez Użytkownika, za pomocą Usług Podmiotu przetwarzającego, powierzonych danych w sposób niezgodny z obowiązującymi przepisami prawa lub w sposób łamiący dobre obyczaje, w tym w szczególności:
○ Wykorzystywanie bazy danych, lub przetwarzanie bazy danych, do której Użytkownik nie posiada praw lub zgód Użytkowników końcowych. Tym samym Użytkownik oświadcza, że dane importowane do Usługi i powierzone do przetwarzania Podmiotowi przetwarzającemu przez Użytkownika nie mają wad prawnych.
○ Innych działań, które nie wynikają z zaniechania lub działań Podmiotu przetwarzającego i jego pracowników, a które spowodują roszczenia osób trzecich.
2. Strony uzgadniają, iż jakakolwiek odpowiedzialność Podmiotu przetwarzającego z jakiegokolwiek tytułu prawnego ograniczona jest do wysokości wynagrodzenia uzyskanego przez Podmiot przetwarzający od Użytkownika.
§ 8.CZAS TRWANIA PRZETWARZANIA
1. W braku odmiennych ustaleń między Stronami, Xxxxx zostaje zawarta na czas oznaczony świadczenia usługi przez Droplabs. Przez czas świadczenia usługi należy rozumieć okres posiadania aktywnego konta w systemie Droplabs, oraz przez okres 14 dni od dnia zawieszenia konta.
2. O ile Regulamin lub odrębna Umowa z Droplabs nie stanowią inaczej, Droplabs usuwa dane osobowe Użytkownika oraz ich kopie niezwłocznie po upływie okresu niezbędnego do ustalenia, dochodzenia lub obrony roszczeń wynikających lub mogących wynikać z realizacji Usługi, o której mowa w Regulaminie lub odrębnej Umowie z Droplabs. Postanowienie to pozostaje w mocy po rozwiązaniu lub wygaśnięciu niniejszej Umowy.
§ 9. POSTANOWIENIA KOŃCOWE
1. Umowa wchodzi w życie z chwilą:
a. jej podpisania – o ile została zawarta w formie pisemnej;
b. złożenia oświadczenia woli przez Użytkownika poprzez aktywowanie Usługi, przy czym w celu uchylenia wątpliwości przez aktywowanie usługi należy rozumieć założenie konta oraz logowanie w Systemie Droplabs.
2. Niniejsza Umowa zastępuje dotychczasowe Umowy zawarte w zakresie powierzenia przetwarzania danych zawarte z Użytkownikiem. W sprawach nieuregulowanych niniejszą Umową zastosowanie mają obowiązujące przepisy prawa, a w szczególności Kodeks cywilny oraz RODO.
3. Inspektorem ds. ochrony danych osobowych jest Xxxxx Xxxxxxxxx (e:mail: xxxxxxx@xxxxxxxx.xx);
4. Wszelkie zmiany lub uzupełnienia niniejszej Umowy wymagają zachowania formy pisemnej (lub odpowiednio dokumentowej dla umów zawartych w tej formie) pod rygorem nieważności. W przypadku wprowadzenia przez Komisję Europejską standardowych klauzul umownych Droplabs przedstawi tekst jednolity uwzględniający standardowe klauzule umowne, który wejdzie w życie wraz z kolejnym okresem rozliczeniowym Usługi, chyba że Użytkownik wyrazi wyraźny sprzeciw.
5. Sądem właściwym dla rozstrzygania sporów powstałych w związku z realizacją niniejszej Umowy jest sąd właściwy dla siedziby Droplabs.
6. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
Droplabs Użytkownik
……………………………. …………………………….