Umowa powierzenia przetwarzania danych osobowych

Umowa powierzenia obowiązująca od dnia 23.10.2023

Umowa powierzenia przetwarzania danych osobowych

zawarta pomiędzy:

osobą fizyczną, osobą prawną lub jednostką organizacyjną nieposiadającą osobowości prawnej, ale posiadającą zdolność prawną, która zawarła z Dostawcą Umowę o korzystanie z Platformy APFINO zgodnie z Regulaminem Platformy APFINO, dalej „Klient”

Comarch Finance Connect sp. z o.o. z siedzibą w Krakowie (31-864) przy ul. Xxxxxxxxx Xxxxxxx Xxxxxxxxxxxxx 00, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla Krakowa- Śródmieścia w Krakowie, XI Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000407455, NIP: 6751471192, REGON: 122485307, kapitał zakładowy 4.000.000,00 zł, dalej jako: „Dostawca”,

zwanymi dalej „Stronami” a każda z osobna „Stroną”

Strony zawierają niniejszą umowę powierzenia przetwarzania danych osobowych w związku z Umową o korzystanie z Platformy APFINO, na podstawie której Dostawca świadczy dla Klienta w zakresie i na warunkach ustalonych w Umowie o korzystanie z Platformy APFINO usługi, które są związane z przetwarzaniem Danych Osobowych przez Dostawcę jako Podmiot przetwarzający.

Zasady powierzenia przetwarzania danych osobowych w imieniu Xxxxxxx

§1 Definicje

1. Pojęcia występujące w niniejszej Umowie powierzenia oznaczają:

a) Administrator – administrator w rozumieniu art. 4 pkt 7 RODO;

b) Dane osobowe – dane osobowe w rozumieniu art. 4 pkt 1 RODO;

c) Dane Osobowe Klienta – Dane osobowe określone w § 2 ust. 2 Umowy Powierzenia;

d) Dostawca Usług Płatniczych – Partner Dostawcy świadczący usługi płatnicze na rzecz Klientów lub ich kontrahentów wskazany na Platformie APFINO jako podmiot świadczący usługi płatności;

e) Dane Płatności – informacje oraz dane należące do Klienta, w tym dane osobowe, których Klient jest administratorem gromadzone na Koncie Firmowym Klienta, w tym na znajdujących się tam dokumentach księgowych, które umożliwiają wykonywanie transakcji przez Klienta oraz przez podmioty trzecie na jego rzecz, w szczególności informacje o odbiorcy i płatniku, rodzaju transakcji, kwocie transakcji, walucie, numerze rachunku bankowego odbiorcy transakcji, tytule wykonania transakcji;

f) Klient – osoba fizyczna, osoba prawna lub jednostka organizacyjna nieposiadająca osobowości prawnej, ale posiadającą zdolność prawną, która zawarła Umowę z Dostawcą zgodnie z postanowieniami Regulaminu Platformy APFINO;

g) Konto Firmowe – wydzielona część Platformy APFINO, która dostępna jest dla Klienta po zalogowaniu się za pomocą prawidłowych Danych uwierzytelniających, która pozwala na korzystanie z Usług oferowanych w ramach Platformy APFINO;

h) Link do płatności –dostępna za pośrednictwem Platformy APFINO na zasadach określonych w Regulaminie Platformy APFINO funkcjonalność polegająca na możliwości zamieszczenia na dokumentach faktur wystawianych przez Klienta xxxxx, który umożliwia przekierowanie odbiorcy faktury według jego wyboru:

i. do określonego Dostawcy Usług Płatniczych w celu wykonania transakcji albo

ii. do Partnera Odroczonych Płatności w celu odroczenia płatności

- oraz przekazania odpowiednio Dostawcy Usług Płatniczych albo Partnerowi Odroczonych Płatności Danych Płatności w celu realizacji wybranej usługi;

i) Naruszenie ochrony danych osobowych – naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO;

j) Operator – Comarch Spółka Akcyjna z siedzibą w Krakowie, adres: al. Xxxx Xxxxx XX 00X, 00 – 000 Xxxxxx, zarejestrowana w rejestrze przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy dla Krakowa

- Śródmieścia w Krakowie XI Wydział Gospodarczy Krajowego Rejestru Sadowego pod numerem KRS 0000057567, NIP: 6770065406, posiadającą kapitał zakładowy w wysokości 8.133.349.00 zł (wpłacony w całości);

k) Partnerzy – podmioty oferujące swoje Produkty Klientom w ramach Platfomy APFINO, w tym Partner Odroczonych Płatności oraz Dostawca Usług Płatniczych.

l) Partner Odroczonych Płatności - Partner Dostawcy wskazany na Platformie APFINO jako podmiot świadczący usługi odroczenia płatności;

m) Podmiot przetwarzający – podmiot przetwarzający w rozumieniu art. 4 pkt 8 RODO;

n) Platforma APFINO – platforma działająca pod adresem: xxxxx://xxx.xxxxxx.xx , dostępna za pośrednictwem stron: xxx.xxxxxx.xx, która umożliwia Klientom korzystanie z Usług oferowanych i świadczonych drogą elektroniczną zgodnie z postanowieniami Regulaminu Platformy APFINO;

o) Przetwarzanie – przetwarzanie danych osobowych w rozumieniu art. 4 pkt 2 RODO;

p) Regulamin Platformy APFINO – regulamin Platformy APFINO określający zasady i warunki świadczenia przez Dostawcę Usług na rzecz Klienta za pośrednictwem Platformy APFINO, w tym prawa i obowiązki Klienta;

q) Regulamin Systemu Comarch ERP XT – udostępniany przez Operatora regulamin określający zasady, zakres i warunki świadczenia usług w ramach Systemu Comarch ERP XT przez Operatora;

r) Regulamin Usług Comarch ERP Optima Chmura Standard – udostępniany przez Operatora regulamin określający zasady, zakres i warunki świadczenia Usług Comarch ERP Optima Chmura Standard przez Operatora;

s) RODO – Rozporządzenie Parlamentu Europejskiego i Rady(UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych;

t) System Comarch ERP XT – platforma działająca pod adresem xxx.xxxxx.xx, umożliwiająca korzystanie z usług oferowanych i świadczonych drogą elektroniczną, zgodnie z Regulaminem Serwisu Comarch ERP XT przez Operatora, w szczególności wystawianie dokumentów handlowych, inwentaryzację magazynów oraz prowadzenie księgi podatkowej;

u) System Comarch ERP Optima – oprogramowanie Comarch ERP Optima udostępniane przez Operatora w modelu stacjonarnym (on-premise) lub w wersji online (Comarch ERP Chmura Standard lub Chmura Enterprise);

v) System Comarch ERP XL – oprogramowanie Comarch ERP XL udostępniane przez Operatora w modelu stacjonarnym (on-premise) lub w wersji online (Comarch ERP Optima Chmura Standard lub Chmura Enterprise)

w) Umowa Powierzenia – niniejsza umowa powierzenia przetwarzania danych osobowych zawierana w formie elektronicznej, stanowiąca integralną część Umowy o korzystanie z Platformy APFINO;

x) Umowa lub Umowa o korzystanie z Platformy APFINO – umowa o świadczenie usług w ramach Platformy APFINO, która jest zawierana pomiędzy Dostawcą a Klientem w formie elektronicznej zgodnie z postanowieniami Regulaminu Platformy APFINO;

y) Usługi – usługi, o których mowa w §2 ust. 3 Umowy Powierzenia wykonywane przez Dostawcę na podstawie Umowy o korzystanie z Platformy APFINO związane z Przetwarzaniem przez Dostawcę Danych osobowych Klienta;

z) Użytkownik Główny Konta Firmowego – osoba fizyczna będąca Klientem albo inną osobą upoważnioną do samodzielnego reprezentowania Klienta, w tym do zawarcia w jego imieniu Umowy o korzystanie z Platformy APFINO oraz podejmowania wszelkich innych czynności prawnych i faktycznych na Platformie APFINO, która składa Wniosek, a następnie korzysta z Konta Firmowego w imieniu i na rzecz Klienta.

2 O ile nie wskazano inaczej, terminy pisane w Umowie Powierzenia z wielkiej litery, a nie zdefiniowane powyżej, przyjmują znaczenie nadane im w Regulaminie Platformy APFINO.

§ 2 Przedmiot

1. Umowa powierzenia określa warunki Przetwarzania przez Dostawcę w imieniu Klienta Danych osobowych Klienta określonych poniżej w ust. 2 poniżej w zakresie Usług wykonywanych na podstawie Umowy o korzystanie z Platformy APFINO, wskazanych w ust. 3 poniżej.

2. Klient powierza Dostawcy Przetwarzanie następujących Danych osobowych znajdujących się na Platformie APFINO, które zostały wprowadzone przez Klienta lub przekazane z innych źródeł zgodnie z poleceniem Klienta:

a) Rodzaj Danych osobowych objętych Umową Powierzenia: identyfikator faktury w Systemie Comarch ERP XT lub w Systemie Comarch ERP Optima lub w Systemie Comarch ERP XL, NIP, REGON, brzmienie firmy, numery faktur, numery rachunków bankowych, imię, nazwisko, dane adresowe i teleadresowe, w tym e-mail, nr telefonu, daty wystawienia faktur, kwota płatności, kwota podatku, termin płatności, waluta płatności, tytuły/opisy płatności, pozostałe dane osobowe zamieszczone na fakturach i innych dokumentach księgowych, dane dotyczące umów zawartych przez Klienta lub jego kontrahentów z Partnerami, informacje o typie płatności, informacje o statusie transakcji, a także inne rodzaje danych osobowych wprowadzone na Platforme APFINO przez Klienta lub przekazane z innych źródeł zgodnie z poleceniem Klienta, których jest ich Administratorem.;

b) Kategorie osób, których Dane osobowe dotyczą: dane osobowe osób upoważnionych do reprezentacji Klienta, wspólników Klienta, pracowników i współpracowników Klienta oraz klientów i kontrahentów Klienta, w tym dłużników.

3. Dostawca będzie przetwarzał Dane Osobowe Klienta w zakresie Usług wykonywanych na podstawie Umowy o korzystanie z Platformy APFINO.

4. Powierzenie Przetwarzania Danych Osobowych Klienta następuje w celu wykonania Umowy o korzystanie z Platformy APFINO.

§ 3 Przetwarzanie Danych osobowych Klienta przez Xxxxxxxx

1. Dostawca będzie przetwarzał Dane Osobowe Klienta wyłącznie w celu, w zakresie i na warunkach określonych w niniejszej Umowie Powierzenia.

2. Dostawca będzie przetwarzał Dane Osobowe Klienta w zakresie świadczenia Usług wyłącznie w formie elektronicznej w systemie informatycznym.

3. Dane Osobowe Klienta będą przetwarzane zgodnie z poleceniami Administratora. Polecenia Administratora dotyczące przetwarzania Danych Osobowych Klienta zawarte są w Umowie o korzystanie z Platformy APFINO oraz w Umowie Powierzenia. Klient może kierować do Dostawcy polecenia dotyczące przetwarzania Danych Osobowych Klienta w formie pisemnej, elektronicznej lub dokumentowej poprzez Platformę APFINO lub na adres wskazany w § 10 ust. 5 lit. b) Umowy Powierzenia. Polecenia przekazane w innej formie nie są wiążące do momentu ich przesłania w uzgodnionej formie. Termin realizacji każdego polecenia powinien być uzgodniony przez Dostawcę i Klienta. Polecenie, które dotyczy zmiany zakresu lub sposobu świadczenia Usług lub wykonania dodatkowej usługi jest traktowane jak zlecenie Dostawcy dodatkowej usługi, za wykonanie której Dostawca może zażądać dodatkowego wynagrodzenia. Takie polecenie może zostać złożone poprzez zawarcie przez Klienta i Dostawcę odpowiedniej umowy i za wynagrodzeniem obliczonym według aktualnego cennika Dostawcy. Do polecenia, które dotyczy środków technicznych i organizacyjnych stosowanych przez Dostawcę zastosowanie ma § 6 ust. 3 Umowy Powierzenia.

4. W przypadku posiadania przez Klienta konta w Systemie Comarch ERP XT i wydania przez Klienta dyspozycji integracji jego Konta Firmowego na Platformie APFINO z kontem Klienta w Systemie Comarch ERP XT zgodnie z Regulaminem Platformy APFINO, Klient wydaje:

a) Dostawcy polecenie:

i. udostępniania Operatorowi, w formie elektronicznej, w drodze jednej lub wielu czynności, następujących danych osobowych przetwarzanych przez Xxxxxxxx w imieniu Xxxxxxx:

a. rodzaj danych osobowych: identyfikator faktury w Systemie ERP XT, NIP, REGON, brzmienie firmy, numery faktur, numery rachunków bankowych, dane adresowe i teleadresowe, w tym e- mail, nr telefonu, kwota płatności, kwota podatku, waluta płatności oraz pozostałe dane osobowe zamieszczone na fakturach i innych dokumentach księgowych;

b. kategorie osób, których dane osobowe dotyczą: dane osobowe osób upoważnionych do reprezentacji Klienta, pracowników i współpracowników Klienta oraz klientów i kontrahentów Klienta, w tym jego dłużników;

ii. przyjmowania od Operatora, w formie elektronicznej, działającego w imieniu i na rzecz Klienta, w drodze jednej lub wielu czynności, następujących danych osobowych Klienta znajdujących się na koncie Klienta w Systemie Comarch ERP XT i każdorazowo przetwarzania tych danych osobowych zgodnie z niniejszą Umową Powierzenia:

b) Operatorowi polecenie:

i. udostępniania Dostawcy, w formie elektronicznej, w drodze jednej lub wielu czynności, następujących danych osobowych przetwarzanych przez Operatora w imieniu Xxxxxxx:

ii. przyjmowania od Dostawcy, działającego w imieniu i na rzecz Klienta, w drodze jednej lub wielu czynności, następujących danych osobowych Klienta znajdujących się na koncie Klienta na Platformie APFINO i każdorazowo przetwarzania tych danych osobowych zgodnie z umową powierzenia zawartą pomiędzy Klientem a Operatorem:

b. kategorie osób, których dane osobowe dotyczą: dane osobowe osób upoważnionych do reprezentacji Klienta, pracowników i współpracowników Xxxxxxx oraz klientów i kontrahentów Klienta, w tym jego dłużników.

5. Wykonanie poleceń, o których mowa powyżej, nastąpi bez zbędnej zwłoki po wydaniu przez Klienta dyspozycji integracji kont Klienta wskazanej powyżej oraz każdorazowo w przypadku aktualizacji danych w Systemie ERP XT lub Platformie APFINO po dokonaniu każdej z aktualizacji. Warunkiem wykonania tych poleceń jest jednak jednoczesne posiadanie przez Klienta konta w Systemie Comarch ERP XT i konta na Platformie APFINO. Przez aktualizację danych w Systemie ERP XT lub Platformie APFINO rozumie się uzupełnienie danych (np. dodanie nowej, kolejnej faktury lub rachunku) lub wydanie przez Klienta dyspozycji za pośrednictwem Platformy APFINO lub Systemu Comarch ERP XT. W przypadku, gdy Klient wyda polecenie zaprzestania wykonania czynności, o których mowa w ust. 4 lit. a) i b) powyżej, Dostawca i Operator niezwłocznie zaprzestaną wykonania czynności zgodnie z treścią otrzymanego polecenia. Wydanie polecenia, o którym mowa w zdaniu poprzedzającym, skutkować będzie zaprzestaniem korzystania przez Klienta z funkcjonalności Platformy APFINO polegającej na integracji Konta Klienta na Platformie APFINO oraz konta Klienta w Systemie Comarch ERP XT oraz innych funkcjonalności, jeśli korzystanie z nich wymaga integracji kont Klienta w Systemie Comarch ERP XT oraz na Platformie Apfino.

6. Dostawca jako pełnomocnik Operatora jest umocowany do odbioru polecenia, o którym mowa w ust. 4 lit. b) w zw. z ust. 5 powyżej. Z uwagi na powyższe, z chwilą wydania przez Klienta wyraźnej dyspozycji integracji Konta Firmowego na Platformie APFINO z kontem Klienta w Systemie Comarch ERP XT, o której mowa w ust. 4 powyżej, dochodzi do wydania polecenia, zarówno Dostawcy, jak i Operatorowi.

7. W przypadku posiadania przez Klienta konta w Systemie Comarch ERP Optima lub w Systemie Comarch ERP XL oraz wydania przez Klienta dyspozycji integracji jego Konta Firmowego na Platformie APFINO z kontem Klienta w Systemie Comarch ERP Optima lub Comarch ERP XL zgodnie z Regulaminem Platformy APFINO albo dokonania przez Klienta integracji konta Klienta w Systemie Comarch ERP Optima podczas składania Wniosku zgodnie z § 7 ust. 5 Regulaminu Platformy APFINO, Klient wydaje:

a) Dostawcy polecenie:

i. udostępniania do systemu ERP, z którym następuje integracja, tj. Systemu Comarch ERP Optima albo Systemu Comarch ERP XL, na konto Klienta, w formie elektronicznej, w drodze jednej lub wielu czynności, w imieniu Klienta, danych osobowych znajdujących się na Platformie APFINO:

a. rodzaj danych osobowych: identyfikator faktury, NIP, REGON, brzmienie firmy, numery faktur, numery rachunków bankowych, dane adresowe i teleadresowe, w tym e-mail, nr telefonu, kwota płatności, kwota podatku, waluta płatności oraz pozostałe dane osobowe zamieszczone na fakturach i innych dokumentach księgowych;

b. kategorie osób, których dane osobowe dotyczą: dane osobowe osób upoważnionych do reprezentacji Klienta pracowników i współpracowników Klienta oraz klientów i kontrahentów Klienta, w tym jego dłużników;

ii. przyjmowania z systemu ERP, z którym następuje integracja, tj. Systemu Comarch ERP Optima albo Systemu Comarch ERP XL, w formie elektronicznej, w drodze jednej lub wielu czynności, w imieniu Klienta, danych osobowych znajdujących się na koncie Klienta w wybranym przez Klienta systemie ERP, tj. Systemie Comarch ERP Optima lub Comarch ERP XL, i każdorazowo przetwarzania tych danych osobowych zgodnie z niniejszą Umową Powierzenia:

a. rodzaj danych osobowych: identyfikator faktury w Systemie ERP Optima lub ERP XL, NIP, REGON, brzmienie firmy, numery faktur, numery rachunków bankowych, dane adresowe i teleadresowe, w tym e-mail, nr telefonu, kwota płatności, kwota podatku, waluta płatności oraz pozostałe dane osobowe zamieszczone na fakturach i innych dokumentach księgowych;

8. W przypadku posiadania przez Klienta konta w Systemie Comarch ERP Optima lub w Systemie Comarch ERP XL i korzystania przez Klienta z tego systemu w wersji online oraz wydania przez Klienta dyspozycji integracji jego Konta Firmowego na Platformie APFINO z kontem Klienta w Systemie Comarch ERP Optima lub Comarch ERP XL zgodnie z Regulaminem Platformy APFINO albo dokonania przez Klienta integracji konta Klienta w Systemie Comarch ERP Optima podczas składania Wniosku zgodnie z § 7 ust. 5 Regulaminu Platformy APFINO, oznacza wydanie Operatorowi polecenia:

a) udostępniania Dostawcy, w formie elektronicznej, w drodze jednej lub wielu czynności, następujących danych osobowych przetwarzanych przez Operatora w imieniu Klienta w Systemie Comarch ERP Optima albo w Systemie Comarch ERP XL:

i. rodzaj danych osobowych: identyfikator faktury w Systemie ERP Optima lub Systemie ERP XL, NIP, REGON, brzmienie firmy, numery faktur, numery rachunków bankowych, dane adresowe i teleadresowe, w tym e-mail, nr telefonu, kwota płatności, kwota podatku, waluta płatności oraz pozostałe dane osobowe zamieszczone na fakturach i innych dokumentach księgowych;

ii. kategorie osób, których dane osobowe dotyczą: dane osobowe osób upoważnionych do reprezentacji Klienta, pracowników i współpracowników Klienta oraz klientów i kontrahentów Klienta, w tym jego dłużników;

b) przyjmowania od Dostawcy, działającego w imieniu i na rzecz Klienta, w formie elektronicznej, w drodze jednej lub wielu czynności, następujących danych osobowych Klienta znajdujących się na koncie Klienta w Platformie APFINO i każdorazowo przetwarzania tych danych osobowych zgodnie z umową powierzenia zawartą pomiędzy Klientem a Operatorem:

i. rodzaj danych osobowych: identyfikator faktury, NIP, REGON, brzmienie firmy, numery faktur, numery rachunków bankowych, dane adresowe i teleadresowe, w tym e-mail, nr telefonu, kwota płatności, kwota podatku, waluta płatności oraz pozostałe dane osobowe zamieszczone na fakturach i innych dokumentach księgowych.

ii. kategorie osób, których dane osobowe dotyczą: dane osobowe osób upoważnionych do reprezentacji Klienta, pracowników i współpracowników Xxxxxxx oraz klientów i kontrahentów Klienta, w tym jego dłużników

9. Wydanie przez Klienta poleceń, o których mowa w ust. 7 i 8 powyżej, uważa się za skuteczne z chwilą ukończenia przez Klienta procesu integracji Konta Firmowego w Platformie APFINO z kontem Klienta w Systemie Comarch ERP Optima albo Systemem Comarch ERP XL zgodnie z Regulaminem APFINO albo w przypadku, gdy integracja następuje podczas składania Wniosku zgodnie z § 7 ust. 5 Regulaminu Platformy APFINO – z chwilą zawarcia Umowy z Dostawcą. Dostawca jako pełnomocnik Operatora jest umocowany do odbioru polecenia, o którym mowa w ust. 8 powyżej, dlatego ukończenie procesu integracji Konta Firmowego w Platformie APFINO z kontem Klienta w Systemie Comarch ERP Optima albo Systemie Comarch ERP XL oznacza wydanie polecenia zarówno Dostawcy, jak też Operatorowi – w przypadku określonym w ust. 8 powyżej.

10. Wykonanie poleceń, o których mowa w ust. 7 i 8 powyżej, nastąpi bez zbędnej zwłoki po wydaniu przez Klienta polecenia oraz każdorazowo w przypadku aktualizacji danych odpowiednio w Systemie Comarch ERP Optima lub Systemie Comarch ERP XL albo na Platformie APFINO - po dokonaniu każdej z aktualizacji, a w przypadku Danych płatności każdorazowo po wybraniu przez Klienta w Systemie Comarch ERP Optima opcji „Przekaż do Apfino”. Warunkiem wykonania tych poleceń jest jednak jednoczesne posiadanie przez Klienta konta w Systemie Comarch ERP Optima lub Systemie Comarch ERP XL i Konta Firmowego na Platformie APFINO. Przez aktualizacje danych w Systemie ERP Optima lub w Systemie Comarch ERP XL lub na Platformie APFINO rozumie się uzupełnienie danych (np. dodanie nowej, kolejnej faktury lub rachunku) lub wydanie przez Klienta dyspozycji za pośrednictwem Platformy APFINO lub Systemu Comarch ERP Optima albo Systemu Comarch ERP XL.

11. W przypadku, gdy Klient wyda polecenie zaprzestania wykonania czynności, o których mowa w ust. 7-10 powyżej, zgodnie z § 3 ust. 3 Umowy Powierzenia, Dostawca i Operator niezwłocznie zaprzestaną wykonania czynności zgodnie z treścią otrzymanego polecenia. Wydanie polecenia, o którym mowa w zdaniu poprzedzającym, skutkować będzie zaprzestaniem korzystania przez Klienta z funkcjonalności Platformy APFINO polegającej na integracji Konta Klienta na Platformie APFINO odpowiednio – z kontem Klienta w Systemie Comarch ERP Optima albo kontem Klienta w Systemie Comarch ERP XL.

12. Aktywacja przez Klienta funkcjonalności Linku do płatności zgodnie z § 5 ust. 13-18 Regulaminu Platformy APFINO obejmującej Link do płatności umożliwiający przekierowanie odbiorcy faktury do Dostawcy Usług Płatniczych albo do Partnera Odroczonych Płatności, oznacza wydanie przez Klienta Dostawcy polecenia odpowiednio do:

a) przekazywania przez Dostawcę w imieniu Klienta do wskazanego na Platformie APFINO odpowiednio Dostawcy Usług Płatniczych albo do Partnera Odroczonych Płatności, w formie elektronicznej, w drodze jednej lub wielu czynności następujących danych osobowych przetwarzanych przez Dostawcę w imieniu Xxxxxxx, które znajdują się na Koncie Firmowym Klienta:

i. rodzaje danych osobowych: imię i nazwisko, brzmienie firmy/nazwa, numer NIP, numer rachunku bankowego, kwota należności, opis lub tytuł transakcji, numer dokumentu, numer umowy Klienta;

ii. kategorie osób, których dane osobowe dotyczą: dane osobowe Klienta; dane osobowe kontrahenta Klienta;

- przy czym wykonanie powyższego polecenia udostępnienia przez Dostawcę wskazanych danych Klienta do Dostawcy Usług Płatniczych albo Partnera Odroczonych Płatności będzie realizowane każdorazowo w momencie skorzystania z linku zamieszczonego na fakturze i przekierowania do systemu Dostawcy Usług Płatniczych albo do systemu Partnera świadczącego usługi odroczenia płatności;

b) przyjmowania w imieniu Klienta odpowiednio od Dostawcy Usług Płatniczych albo od Partnera Odroczonych Płatności, w formie elektronicznej, w drodze jednej lub wielu czynności, następujących danych osobowych Klienta i każdorazowo przetwarzania tych danych osobowych zgodnie z niniejszą Umową powierzenia:

i. rodzaj danych osobowych: informacje o statusie transakcji wykonanej po otwarciu linku zamieszczonego na fakturze,

ii. kategorie osób, których dane osobowe dotyczą: dane osobowe Klienta oraz klientów i kontrahentów Klienta.

13. Wybór przez Klienta przycisku „Zapłać” zamieszczonego na Platformie APFINO obok wybranej należności wskazanej na Platformie APFINO, która ma podlegać opłaceniu, oznacza wydanie przez Klienta Dostawcy polecenia:

a) udostępniania przez Xxxxxxxx w imieniu Klienta do Dostawcy usług płatniczych wskazanego na Platformie APFINO, w formie elektronicznej, w drodze jednej lub wielu czynności następujących danych osobowych przetwarzanych przez Dostawcę w imieniu Xxxxxxx, znajdujących się na Koncie Firmowym:

i. rodzaj danych osobowych: imię i nazwisko, brzmienie firmy/nazwa, numery rachunków bankowych odbiorcy, kwoty transakcji, opis lub tytuł transakcji, adres,

ii. kategorie osób, których dane osobowe dotyczą: dane osobowe Klienta lub/i klientów oraz kontrahentów Klienta;

b) przyjmowania w imieniu Xxxxxxx od Dostawcy Usług Płatniczych wskazanego na Platformie APFINO, w formie elektronicznej, w drodze jednej lub wielu czynności, następujących danych osobowych Klienta i każdorazowo przetwarzania tych danych osobowych zgodnie z niniejszą Umową Powierzenia:

i. rodzaj danych osobowych: informacje o statusie transakcji,

ii. kategorie osób, których dane osobowe dotyczą: dane osobowe Klienta oraz klientów i kontrahentów Klienta.

14. W przypadku, gdy Klient wyda polecenie zaprzestania wykonania czynności, o których mowa w ust. 12-13 powyżej, zgodnie z ust. 3 powyżej, Xxxxxxxx niezwłocznie zaprzestanie wykonywania czynności zgodnie z treścią otrzymanego polecenia, z zastrzeżeniem, że będzie wykonywał te polecenia w odniesieniu do Linków do płatności, które zostały zamieszczone na fakturach przed jego wydaniem. Wydanie polecenia, o którym mowa w zdaniu poprzedzającym, skutkować będzie brakiem możliwości korzystania przez Klienta z funkcjonalności Platformy APFINO, o których mowa w ust. 12 i 13 powyżej, tj. odpowiednio z funkcjonalności Linku do płatności lub funkcjonalności opłacania faktur. W celu uniknięcia wątpliwości wskazuje się, że rezygnacja z funkcjonalności Linku do płatności uznaje się za wydanie polecenia zaprzestania wykonywania czynności, o których mowa w ust. 12 powyżej.

15. Dostawca poinformuje Klienta, jeżeli polecenie Administratora przekazane mu zgodnie z ust. 3 powyżej, jest, zdaniem Xxxxxxxx, niezgodne z RODO lub innymi przepisami o ochronie danych osobowych.

§4 Okres przetwarzania

1. Dane Osobowe Klienta będą przetwarzane przez Dostawcę w okresie wykonywania Usług, z zastrzeżeniem ust. 2 i 3 poniżej.

2. O ile w Umowie o korzystanie z Platformy APFINO nie postanowiono inaczej, po zakończeniu współpracy Dostawcy i Klienta na podstawie Umowy o korzystanie z Platformy APFINO, Dostawca usuwa Dane Osobowe Klienta znajdujące się w posiadaniu Dostawcy oraz ich kopie w terminie 90 (dziewięćdziesięciu) dni licząc od dnia rozwiązania lub wygaśnięcia Umowy o korzystanie z Platformy APFINO, chyba że przed upływem ww. okresu:

a) zgłoszone zostanie roszczenie wobec Dostawcy - wówczas dane te będą przetwarzane do dnia przedawnienia roszczenia;

b) Klient zgłosi żądanie ich wydania – wówczas Dostawca zwróci Klientowi posiadane dane oraz usunie wszelkie kopie tych danych.

3. Przez cały okres obowiązywania Umowy o korzystanie z Platformy APFINO Klient może zgłosić żądanie wydania lub usunięcia danych osobowych.

4. W przypadku zgłoszenia żądania wydania danych osobowych przez Klienta są one zwracane przez Dostawcę na zasadach oraz w terminach uzgodnionych przez Strony.

5. Postanowienia ust. 1, 2 i 4 powyżej pozostają w mocy po rozwiązaniu lub wygaśnięciu Umowy o korzystanie z Platformy APFINO.

§5 Obowiązki Dostawcy

1. Dostawca zobowiązuje do przestrzegania Umowy powierzenia i właściwych przepisów prawa mających zastosowanie do Przetwarzania Danych Osobowych Klienta, w szczególności zobowiązuje się do przestrzegania obowiązków Podmiotu przetwarzającego wynikających z RODO.

2. Dostawca zapewnia, by osoby upoważnione przez Dostawcę do Przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.

3. Dostawca zobowiązuje do przyjęcia odpowiednio od Operatora działającego w imieniu i na rzecz Klienta lub od Klienta, danych osobowych Klienta znajdujących się na koncie Klienta w Systemie Comarch ERP XT zgodnie z § 3 ust. 4-5 Umowy Powierzenia lub na koncie Klienta odpowiednio w Systemie Comarch ERP Optima albo w Systemie Comarch ERP XL zgodnie z § 3 ust. 7-10 Umowy Powierzenia i przetwarzania tych danych osobowych na warunkach wskazanych w Umowie Powierzenia. Dostawca zobowiązuje się do przyjęcia w imieniu Klienta danych osobowych od Dostawcy usług płatniczych zgodnie z § 3 ust. 12-14 Umowy Powierzenia i przetwarzania tych danych na warunkach wskazanych w Umowie Powierzenia.

4. Dostawca zobowiązuje się do udostępnienia odpowiednio Klientowi lub Operatorowi działającemu w imieniu Klienta danych osobowych Klienta przetwarzanych przez Dostawcę w imieniu Klienta zgodnie z § 3 ust. 4-5 Umowy Powierzenia albo zgodnie z § 3 ust. 7-10 Umowy Powierzenia. Dostawca zobowiązuje się do udostępniania w imieniu Klienta Xxxxxxxx usług płatniczych danych osobowych Klienta zgodnie z § 3 ust. 12-14 Umowy Powierzenia.

5. Dostawca podejmuje środki organizacyjne i techniczne właściwe zgodnie z art. 32 RODO do Przetwarzania Danych osobowych Klienta przez Podmiot przetwarzający w zakresie Usług świadczonych zgodnie z Umową o korzystanie z Platformy APFINO. Opis standardowych środków organizacyjnych i technicznych stosowanych przez Dostawcę określa Załącznik „Standardowe środki techniczne i organizacyjne”. Dostawca jest uprawniony do dowolnego wyboru lub zmiany tych środków organizacyjnych i technicznych, o ile nie spowoduje to naruszenia warunków Umowy o korzystanie z Platformy APFINO. Klient może zlecić Dostawcy zmianę lub wdrożenie dodatkowych środków organizacyjnych i technicznych zgodnie z § 6 ust. 3 Umowy Powierzenia.

6. W zakresie pomocy dla Administratora przy realizacji obowiązku wdrożenia przez Administratora odpowiednich środków organizacyjnych i technicznych, o której mowa art. 28 ust. 3 pkt f) RODO, uwzględniając charakter Przetwarzania oraz dostępne mu informacje, Dostawca zobowiązany jest do:

a) wdrożenia u Dostawcy środków organizacyjnych i technicznych zgodnie z § 5 ust. 5 Umowy Powierzenia;

b) udzielania w miarę możliwości informacji o możliwych do zastosowania innych lub dodatkowych środkach technicznych i organizacyjnych - na zapytanie Klienta złożone na podstawie § 6 ust. 1 Umowy Powierzenia.

7. W zakresie pomocy dla Administratora przy realizacji obowiązku wykonania oceny skutków dla ochrony danych oraz uprzednich konsultacji z organem nadzorczym, o której mowa art. 28 ust. 3 pkt f) RODO, uwzględniając charakter Przetwarzania oraz dostępne mu informacje, Dostawca zobowiązany jest do:

a) udostępnienia na żądanie Administratora standardowej dokumentacji Dostawcy zawierającej opis środków technicznych i organizacyjnych stosowanych przez Dostawcę zgodnie z § 5 ust. 5 Umowy Powierzenia;

b) udzielania w miarę możliwości dodatkowych informacji dotyczących stosowanych lub możliwych do zastosowania przez Dostawcę środków technicznych i organizacyjnych - na zapytanie Klienta złożone na podstawie § 6 ust. 1 Umowy Powierzenia;

c) udzielania w miarę możliwości dodatkowych informacji związanych z zapytaniem organu nadzorczego w toku uprzednich konsultacji - na zapytanie Klienta złożone na podstawie § 6 ust. 1 Umowy Powierzenia.

8. W zakresie pomocy dla Administratora przy realizacji obowiązku dokonywania zgłoszenia Naruszenia ochrony danych osobowych do organu nadzorczego oraz zawiadamiania o Naruszeniu ochrony danych osobowych osób, których dane dotyczą, o której mowa art. 28 ust. 3 pkt f) RODO, uwzględniając charakter Przetwarzania oraz dostępne mu informacje Dostawca zobowiązany jest do:

a) zgłoszenia Klientowi bez zbędnej zwłoki na adres email Użytkownika Głównego Konta Firmowego podany w trakcie rejestracji na Platformę APFINO Naruszenia ochrony danych osobowych stwierdzonego przez Dostawcę w związku z wykonywaniem Umowy Powierzenia;

b) udzielenia Klientowi w miarę możliwości dodatkowych informacji dotyczących stwierdzonego przez Klienta lub zgłoszonego przez Dostawcę Naruszenia ochrony danych osobowych w zakresie niezbędnym do ustalenia przez Klienta prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności osób, których Dane osobowe są objęte tym naruszeniem, oraz w zakresie niezbędnym do dokonania przez Klienta zgodnie z art. 33 i 34 RODO zgłoszenia Naruszenia ochrony danych osobowych do organu nadzorczego lub zawiadamiania

o Naruszeniu ochrony danych osobowych osób, których dane dotyczą - na zapytanie Klienta złożone na podstawie § 6 ust. 2 Umowy Powierzenia.

9. W przypadku stwierdzenia Naruszenia ochrony danych osobowych spowodowanego z winy Dostawcy lub z winy podwykonawcy Dostawcy, Dostawca dokona przeglądu stosowanych środków technicznych i organizacyjnych oraz w razie potrzeby i w miarę możliwości wprowadzi odpowiednie zmiany w celu zapobiegnięcia powtórzeniu się takiego Naruszenia ochrony danych osobowych w przyszłości.

10. Biorąc pod uwagę charakter przetwarzania, Dostawca zobowiązuje się, w miarę możliwości, poprzez odpowiednie środki techniczne i organizacyjne i na żądanie Klienta złożone na podstawie § 6 ust. 1 Umowy Powierzenia, pomagać Administratorowi wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.

11. W celu uniknięcia wątpliwości wszelkie modyfikacje lub funkcjonalny rozwój oprogramowania, usługi związane z aktualizacją i upgradem do wyższej wersji oprogramowania powinny być przedmiotem odrębnej umowy, za którego wykonanie Dostawca otrzyma dodatkowe wynagrodzenie obliczone według stawek określonych według aktualnego cennika Dostawcy.

§6 Uprawnienia Klienta

1. W okresie obowiązywania Umowy o korzystanie z Platformy APFINO Klient jest uprawniony do składania zapytań określonych w § 5 ust 6 - 10 oraz żądania od Dostawcy udzielenia informacji dotyczących sposobu wykonywania Przetwarzania przez Dostawcę. W tym zakresie Klient może kierować zapytania na adres email wskazany w § 10 ust. 5 lit. b) Umowy Powierzenia. Realizacja zapytań Klienta może polegać na odpowiedzi na pojedyncze pytania, na przygotowaniu ustalonych przez Dostawcę i Klienta raportów lub analiz lub innej ustalonej przez Xxxxxxxx i Klienta formie odpowiedzi.

2. Klient jest upoważniony do przeprowadzenia audytu w celu weryfikacji przestrzegania niniejszego Załącznika przez Dostawcę, bezpośrednio lub za pośrednictwem upoważnionego audytora, z zastrzeżeniem następujących warunków:

a) audytorem Klienta nie może być podmiot prowadzący działalność konkurencyjną wobec Dostawcy, Comarch

S.A. lub innej spółki z grupy kapitałowej Comarch (wykaz spółek z grupy kapitałowej Comarch jest dostępny na stronie internetowej: xxxxx://xxx.xxxxxxx.xx/x-xxxxxx/xxxxx-xxxxxxxxxx-x-xxxxxx-xxxxxxxxxxxxx/), ani podmiot z nim powiązany lub jego pracownik lub podmiot/osoba z nim współpracująca, bez względu na podstawę zatrudnienia lub współpracy;

b) audyt może obejmować wysyłanie zapytań, analizę dokumentów, rozmowy z pracownikami/współpracownikami Dostawcy lub podwykonawców Dostawcy oraz wizytację lokali Dostawcy lub podwykonawców Dostawcy, o ile mają bezpośredni związek w wykonywaniem Przetwarzania;

c) audyt nie może obejmować informacji lub dokumentów dotyczących innych klientów Dostawcy, ani zmierzać lub skutkować uzyskaniem dostępu Klienta do Danych osobowych innych niż Dane Osobowe Klienta lub do danych poufnych dostawców lub innych podmiotów

d) w czasie audytu Klient ma obowiązek przestrzegania wewnętrznych procedur i polityk Dostawcy lub podwykonawcy Dostawcy dotyczących bezpieczeństwa i poufności dostarczonych przed rozpoczęciem audytu oraz zobowiązuje się do zachowania w poufności wszelkich danych i informacji uzyskanych w trakcie audytu; w zakresie przestrzegania ww. obowiązków przez audytora, za działania i zaniechania audytora Klient odpowiada jak za własne działania i zaniechania.

e) audyt nie powinien być przeprowadzany częściej niż raz w roku kalendarzowym i nie powinien trwać dłużej niż 14 (czternaście) dni;

f) termin audytu powinien być uzgodniony przez Dostawcę i Klienta, przy czym Klient powinien zgłosić zamiar przeprowadzenia audytu co najmniej 30 (trzydzieści) dni przed jego proponowanym terminem, wysyłając wiadomość email na adres określony w § 10 ust. 5 lit. b);

g) Dostawca zobowiązany jest do aktywnego udziału w audycie i odpowiedniej współpracy z Klientem i audytorem;

h) każda ze Stron pokrywa własne koszty związane z przeprowadzeniem audytu, przy czym Klient pokrywa każdorazowo wszystkie koszty audytora.

3. Klient może w każdym czasie wnioskować o wdrożenie nowych lub zmianę stosowanych przez Dostawcę środków technicznych i organizacyjnych, o których mowa w § 5 ust. 5 Umowy Powierzenia. W przypadku takiego żądania Klienta, o ile jest to zasadne i możliwe do zrealizowania bez zmiany organizacji lub naruszenia ciągłości działania przedsiębiorstwa Dostawcy lub jego podwykonawcy, Dostawca przedłoży Klientowi ofertę i strony ustalą w drodze negocjacji warunki zmiany lub wdrożenia nowych środków technicznych i organizacyjnych.

4. Klient jest uprawniony do wydania poleceń, o których mowa w § 3 Umowy Powierzenia.

5. Klient powinien korzystać z uprawnień określonych w niniejszym Załączniku w taki sposób by nie zakłócić wykonywania Umowy o korzystanie z Platformy APFINO oraz prowadzenia bieżącej działalności przez Dostawcę i jego podwykonawców.

§7 Oświadczenia i obowiązki Klienta

1. Klient oświadcza, że jest Administratorem Danych Osobowych Klienta i gwarantuje, że są przez niego przetwarzane zgodnie z prawem.

2. Klient zobowiązuje do przestrzegania niniejszej Umowy Powierzenia oraz właściwych przepisów prawa mających zastosowanie do Przetwarzania danych osobowych, w szczególności zobowiązuje się do przestrzegania obowiązków Administratora wynikających z RODO.

3. Dostawca oświadcza, że jest pełnomocnikiem Comarch S.A. upoważnionym do odbioru od Klienta w imieniu Xxxxxxx

S.A. poleceń, o których mowa w § 3 ust. 4 -5 oraz § 3 ust. 8-9 Umowy Powierzenia.

§8 Podwykonawcy Dostawcy

1. Klient wyraża niniejszym zgodę na dalsze powierzenie Przetwarzania Danych osobowych Klienta w ramach usług zlecanych przez Dostawcę następującym podwykonawcom: Comarch S.A. z siedzibą w Krakowie oraz CA Consulting S.A.

2. Klient wyraża zgodę na dalsze powierzenie Przetwarzania Danych osobowych Klienta w ramach usług zlecanych przez Dostawcę innym podmiotom po uprzednim powiadomieniu Klienta o takim podwykonawcy z co najmniej 14-dniowym wyprzedzeniem poprzez wiadomość e-mail wysłaną na adres wskazany w §10 ust. 5 lit. a) Umowy Powierzenia i pod warunkiem, że Klient nie zgłosi sprzeciwu wobec takiego podwykonawcy w terminie 7 (siedmiu) dni licząc od daty powiadomienia przez Xxxxxxxx. Sprzeciw Klienta powinien zostać wysłany drogą mailową na adres wskazany w § 10 ust. 5 lit. b) Umowy Powierzenia.

3. Dostawca zobowiązuje się współpracować z takimi podwykonawcami, którzy zapewniają wdrożenie takich środków technicznych i organizacyjnych, aby Przetwarzanie odpowiadało wymogom RODO.

4. Dostawca zawrze z każdym podwykonawcą, który będzie przetwarzał Xxxx Xxxxxxx Klienta stosowną umowę, nakładającą na podwykonawcę odpowiednie obowiązki ochrony Danych osobowych.

5. Jeżeli podwykonawca Dostawcy nie wywiąże się ze spoczywających na nim obowiązków ochrony Danych osobowych Klienta, Dostawca ponosi wobec Klienta odpowiedzialność za niewypełnienie obowiązków przez podwykonawcę tak jak za własne działania i zaniechania.

§9 Odpowiedzialność

1. Klient odpowiada za prawidłowe wykonywanie obowiązków Administratora zgodnie z RODO, innymi właściwymi przepisami ochrony danych osobowych i Umową Powierzenia, jak również odpowiada za wszelkie działania i zaniechania Użytkownika Głównego Konta Firmowego jak za własne działania i zaniechania.

2. Dostawca odpowiada za prawidłowe wykonywanie obowiązków Podmiotu przetwarzającego zgodnie z RODO, innymi właściwymi przepisami ochrony danych osobowych i Umową Powierzenia.

3. Umowa Powierzenia stanowi integralną część Umowy o korzystanie z Platformy APFINO i jej naruszenie stanowi naruszenie Umowy o korzystanie z Platformy APFINO. W związku z tym, w zakresie dozwolonym przepisami prawa, odpowiedzialność każdej ze stron wobec drugiej strony, z tytułu naruszenia RODO, innych właściwych przepisów ochrony danych osobowych lub Umowy Powierzenia podlega wyłączeniu lub ograniczeniu zgodnie z postanowieniami Umowy o korzystanie z Platformy APFINO.

4. Odpowiedzialność Dostawcy za wykonanie polecenia Administratora, które jest niezgodne z RODO lub innymi przepisami o ochronie danych osobowych jest wyłączona.

5. Postanowienia § 9 pozostają w mocy po rozwiązaniu lub wygaśnięciu Umowy o korzystanie z Platformy APFINO.

§10 Postanowienia końcowe

1. Umowa Powierzenia wchodzi w życie ze skutkiem od dnia wejścia w życie Umowy o korzystanie z Platformy APFINO, stanowi integralną część Umowy o korzystanie z Platformy APFINO i zostaje zawarta na okres wykonywania Umowy

o korzystanie z Platformy APFINO. Zmiany Umowy powierzenia następują w trybie właściwym dla zmian Umowy

o korzystanie z Platformy APFINO określonym w Regulaminie Platformy APFINO.

2. Rozwiązanie lub wygaśniecie Umowy o korzystanie z Platformy APFINO skutkuje odpowiednio rozwiązaniem lub wygaśnięciem Umowy powierzenia bez potrzeby składania dodatkowych oświadczeń. Rozwiązanie Umowy powierzenia przed upływem okresu na jaki została zawarta Umowa o korzystanie z Platformy APFINO bez jednoczesnego rozwiązania Umowy o korzystanie z Platformy APFINO jest wyłączone.

3. Przeniesienie praw i obowiązków wynikających z niniejszej Umowy powierzenia jest dopuszczalne na takich samych warunkach jakie określa Umowa o korzystanie z Platformy APFINO dla zmiany strony Umowy o korzystanie z Platformy APFINO.

4. Przetwarzanie danych osobowych będzie wykonywane wyłącznie na terytorium Unii Europejskiej. Przekazanie przez Dostawcę Danych Osobowych Klienta do państwa trzeciego wymaga uprzedniej zgody Klienta w formie pisemnej lub dokumentowej, chyba że obowiązek taki nakłada na niego prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem Przetwarzania Dostawca informuje Klienta o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.

5. Adresy korespondencyjne Stron:

a) Klient: adres Klienta ujawniony w rejestrze przedsiębiorców Krajowego Rejestru Sądowego; e-mail Użytkownika Głównego Konta Firmowego podany na Platformie APFINO przy zakładaniu Konta Firmowego, e-mail będący loginem Użytkownika Głównego Konta Firmowego,

b) Dostawca: ul. Xxxxxxxxx Xxxxxxx Xxxxxxxxxxxxx 00, 00 – 000 Xxxxxx, xxxxxxx@xxxxxx.xx .

6. Integralną część Umowy powierzenia stanowi Załącznik „Standardowe środki techniczne i organizacyjne”.

Załącznik nr 1 - Standardowe środki techniczne i organizacyjne (wersja obowiązująca od 25 maja 2018 r.)

Niniejszy załącznik przedstawia ogólny opis standardowych środków technicznych i organizacyjnych stosowanych przy świadczeniu dla klientów usług związanych z przetwarzaniem danych osobowych. Umowa główna może określać dodatkowe lub inne środki techniczne i organizacyjne uzgodnione przez Strony i w tym zakresie postanowienia Umowy głównej będą miały pierwszeństwo przed postanowieniami niniejszego załącznika.

I. Środki organizacyjne - Procedury i polityki obowiązujące w grupie Comarch

1. W spółkach z grupy Comarch wdrażane są niezbędne procedury i polityki służące x.xx. zapewnieniu bezpieczeństwa, poufności, integralności i dostępności danych klientów (w tym danych osobowych, w stosunku do których administratorami są klienci), do których w ramach świadczonych usług uzyskują dostęp pracownicy lub współpracownicy spółek z grupy Comarch.

2. Spółka Comarch S.A. posiada certyfikat ISO 27001 i wdrożyła procedury i powiązane z nimi instrukcje określające w szczególności:

a) Politykę bezpieczeństwa,

b) Politykę zarządzania siecią informatyczną Comarch,

c) Zasady administracji systemami i aplikacjami,

d) Zasady przebywania na terenie Comarch i dostępu do pomieszczeń Comarch,

e) Zasady użytkowania aktywów i wynoszenie sprzętu,

f) Zasady zabezpieczenia komputerów osobistych,

g) Zasady korzystania z nośników informacji,

h) Zasady dostępu zdalnego,

i) Zasady bezpieczeństwa poczty elektronicznej,

j) Politykę haseł,

k) Politykę ciągłości działania,

l) Politykę antywirusową.

3. W pozostałych spółkach z grupy Comarch wdraża się niezbędne procedury i polityki co do zasady oparte na procedurach obowiązujących w głównej spółce w grupie, w zakresie uwzględniającym specyfikę i działalność tych spółek.

4. Wdrażane są ponadto dedykowane procedury służące zapewnieniu prawidłowego wykonania wynikających z RODO obowiązków spółek Comarch jako administratorów oraz obowiązków spółek Comarch jako podmiotów przetwarzających (w stosunku do danych klientów).

5. Spółki z grupy Comarch współpracują w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych, zapewniając tym samym odpowiedni standard bezpieczeństwa dla klientów grupy Comarch.

II. Środki techniczne i organizacyjne – kontrola dostępu

1. W spółkach z grupy Comarch wdrażane są odpowiednie środki techniczne i organizacyjne zapewniające ograniczenie dostępu do budynków, systemów, środowisk i zbiorów danych wyłącznie dla osób upoważnionych.

2. W budynkach Comarch wydzielane są strefy publicznie dostępne oraz strefy z dostępem zastrzeżonym dla osób upoważnionych.

3. Pracownicy lub współpracownicy korzystają z kart dostępowych lub stosowane są inne metody kontroli fizycznego dostępu do nieruchomości, budynków lub pomieszczeń Comarch, zapewniające kontrolę dostępu poszczególnych osób odpowiednią do zakresu ich uprawnień.

4. Nadawanie uprawnień poszczególnym pracownikom lub współpracownikom w zakresie dostępu do systemów wewnętrznych Comarch oraz środowisk klienta podlega procedurze umożliwiającej kilkustopniową weryfikację wniosku o nadanie uprawnień.

5. Dostęp do systemów wewnętrznych i środowisk oraz danych klientów możliwy jest tylko dla upoważnionych pracowników lub współpracowników po zalogowaniu na indywidualne konto i przy użyciu indywidualnego hasła zgodnego z Polityką haseł.

6. Zdalny dostęp pracowników lub współpracowników do sieci grupy Comarch i późniejsza wymiana informacji odbywają się po uwierzytelnieniu przy wykorzystaniu bezpiecznych mechanizmów, zapewniających poufność i integralność (np. VPN IPSec).

7. W celu zapewnienia bezpieczeństwa, tam gdzie jest to uzasadnione oraz zgodne z prawem, Comarch stosuje monitoring i współpracuje z firmami ochroniarskimi.

III. Środki techniczne i organizacyjne – Comarch Data Center

1. Comarch oferuje klientom korzystanie z Comarch Data Center, tj. data center zarządzanych przez jedną ze spółek z grupy Comarch.

2. Comarch Data Center bazuje na praktykach ITIL v3. w zakresie następujących procesów: zarządzanie zmianą (change management), zarządzanie incydentem (incident management), zarządzanie problemem (problem management), service level management oraz zarządzanie konfiguracją (configuration management). Ponadto, wdrożone są odpowiednie procesy w zakresie: zarządzania aktualizacjami i łatkami (patch management), zarządzanie ryzykiem, procedury backupowe i odtworzeniowe, zarządzanie ciągłością biznesu (business continuity management), raportowania, DRP, przeglądów logów oraz przeglądy dostępów i uprawnień.

3. Backup systemów wewnętrznych podlega centralnemu systemowi backupów zgodnie z Procedurą Backup serwerów.

4. Backup systemów klientów oraz backup danych klientów podlegają zasadom określonym w umowach z klientami. Standardowe procedury Comarch Data Center przewidują maksymalny okres retencji backupów do 3 miesięcy), przy czym okres retencji może zostać wydłużony na żądanie klienta zgodnie z postanowieniami Umowy Głównej.

5. Wstęp do Comarch Data Center mają jedynie inżynierowie Comarch Data Center oraz działy bezpieczeństwa. Inne osoby mogą przebywać na terenie Comarch Data Center tylko w uzasadnionych przypadkach oraz wyłącznie w obecności przedstawiciela Comarch. Dostęp do poszczególnych pomieszczeń na terenie Comarch Data Center może podlegać dalszym ograniczeniom.

6. Stosowana jest logiczna bądź fizyczna separacja środowisk poszczególnych Klientów (VLANy, VMy itp.).

7. Do poszczególnych środowisk mają dostęp jedynie pracownicy lub współpracownicy odpowiedzialni za obsługę poszczególnych klientów i ich działania na systemach klientów są logowane.

8. Wymogowi „segregation of duties” podlegają również inżynierowie Comarch Data Center. W związku z tym, tworzone są dedykowane zespoły dla:

a) systemów Linux/Unix,

b) systemów Windows,

c) baz danych,

d) systemów FireWall (wewnętrznych) oraz Load Balancerów.

e) infrastruktury sieciowej w Data Center oraz FireWalli zewnętrznych.

9. Każdy ośrodek Data Center wyposażony jest w dwie linie klastrów systemów FireWall od dwóch czołowych, niezależnych producentów.

a) Klaster zewnętrzny chroniący dostępu do DMZ,

b) Klaster wewnętrzny kontrolujący przepływy danych pomiędzy DMZ a strefą Bazodanową.

10. W Comarch Data Center stosuje się kilka niezależnych łączy internetowych dywersyfikując media ( np. miedź, światło, radio, uruchomiony protokół BGP).

11. Komunikacja pomiędzy siecią Klienta a Comarch Data Center jest szyfrowana (np. IPSec, SSL VPN).

12. Comarch Data Center stosuje:

a) niezależne i redundantne obiegi klimatyzacji z jednym aktywnym obiegiem,

b) redundantne linie energetycznie z jedną aktywną ścieżką,

c) systemy zasilania awaryjnego (UPS’y lub generatory prądotwórcze),

d) wielostrefową ochronę przeciwpożarową,

e) system gaśniczy oparty o gaz neutralny lub gaz chemiczny,

f) alarm przeciwpożarowy oraz automatyczna notyfikacja.

13. W przypadku decyzji Klienta o wyborze innego data center, stosowane środki techniczne i organizacyjne określa wybrany dostawca usług. W przypadku, gdy Comarch korzysta z podwykonawcy w zakresie świadczenia usług hostingowych dla Klienta, podwykonawca zobowiązany jest do wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO oraz Umowy powierzenia zawartej przez Comarch z Klientem.

IV. Zarządzanie incydentami bezpieczeństwa

W Comarch wdrożono procedurę zarządzania incydentami naruszenia bezpieczeństwa i nałożono na wszystkich pracowników obowiązek zgłaszania wszelkiego rodzaju incydentów naruszenia bezpieczeństwa, w tym incydentów dotyczących naruszenia ochrony danych osobowych.

V. Szkolenia i audyty

1. W Comarch wdrożono procedurę zapewniającą okresowe szkolenia pracowników z zakresu obowiązującej polityki i procedur bezpieczeństwa oraz przepisów i procedur dotyczących ochrony danych osobowych.

2. Audyty bezpieczeństwa systemów wewnętrznych grupy Comarch przeprowadzane są okresowo przez Dział Bezpieczeństwa Wewnętrznego Comarch S.A.

3. Comarch S.A. okresowo przechodzi audyty realizowane przez jednostki certyfikujące.

4. Audyty systemów klientów podlegają zasadom określonym w umowach z klientami. Comarch współpracuje z klientami w zakresie kontroli i audytów przeprowadzanych przez klientów lub wyznaczonych audytorów zewnętrznych w zakresie uzgodnionym przez strony w umowie, przy zachowaniu procedur bezpieczeństwa obowiązujących w grupie Comarch oraz przy uwzględnieniu tajemnicy przedsiębiorstwa oraz obowiązku zachowania w poufności danych i warunków współpracy z innymi klientami.

Document Metadata

Table of Contents

Umowa powierzenia przetwarzania danych osobowych

Document Metadata