Warunki Przetwarzania Danych Osobowych Worldline Financial Services (Europe) S.A.
Warunki Przetwarzania Danych Osobowych Worldline Financial Services (Europe) S.A.
Wersja 07.2021 (EU PL)
1 Wstęp
1.1 Niżej opisane Warunki Przetwarzania Danych mają zastosowanie do Produktów i Usług, dla których SIX Payment Services (Europe) S.A. (zwana dalej „Worldline”) kwalifikuje się jako Podmiot Przetwarzający Dane, zgod- nie z umową pomiędzy Akceptantem a Worldline.
1.2 Niżej opisane warunki Przetwarzania Danych oraz pozostała treść umowy stanowią kompletne, pisemne instrukcje Akceptanta/Administra- tora Danych dla Worldline/Przetwarzający Dane Dane w zakresie przetwa- rzania danych osobowych w kontekście Produktów oraz Usług, dla których Worldline kwalifikuje się jako Podmiot Przetwarzający Dane.
1.3 Akceptant, jako Administrator Danych, gwarantuje, że wszelkie Dane Osobowe przetwarzane przez Worldline w jego imieniu dla celów umowy są przetwarzane zgodnie z Przepisami prawa, takimi jak własne zobowiązania dotyczące legalności przetwarzania, kategorii przetwarzanych danych, Prawa Osób, których dane dotyczą (w tym informacje przekazane Worldline jako Administratorowi Danych i Przetwarzającemu Dane), określenie i wdrożenie odpowiednich okresów przechowywania danych, dopełnienie odpowiednich formalności, jeśli takie występują, a także wszelkie weryfi- kacje i zapewnienia dotyczące adekwatności gwarancji udzielonych przez Worldline w zakresie przetwarzania i ochrony Danych Osobowych.
1.4 Akceptant, jako Administrator Danych, jest zobowiązany do prze- strzegania Przepisów prawa i ponosi odpowiedzialność za wszelkie naru- szenia Przepisów prawa.
2 Obowiązki Worldline
2.1 Jako Podmiot Przetwarzający Dane, Worldline będzie przestrzegać Przepisów prawa podczas Przetwarzania Danych osobowych w imieniu Akceptanta.
2.2 Worldline będzie:
• Przetwarzać Dane Osobowe zgodnie z pisemną instrukcją Akceptanta lub gdy jest to wymagane w celu dostarczenia Produktów i Usług zgod- nie z umową;
• Natychmiast informować Akceptanta, jeżeli w jej opinii jego zlecenie narusza Przepisy prawa i żądać poprawionych instrukcji;
• Współpracować z Akceptantem w celu wypełnienia jego własnych zobo- wiązań w zakresie ochrony danych, wynikających z Prawodawstwa (np. ocena skutków dla ochrony danych, rejestry czynności przetwarzania, uprzednie konsultacje). Akceptant przyjmuje do wiadomości i zgadza się na to, że Worldline ma prawo do wystawienia faktury za takie usługi według stawek godzinowych lub dziennych obowiązujących w danym czasie;
• Prowadzić wewnętrzną ewidencję działań związanych z przetwarzaniem danych w imieniu Akceptanta;
• W czasie trwania umowy Worldline nie będzie przechowywać Danych osobowych przez okres dłuższy niż jest to konieczne i będzie usuwać dane osobowe na specjalne żądanie Akceptanta, chyba że ich ponowne wykorzystanie będzie wymagane przez obowiązujące normy biznesowe i obowiązujące przepisy prawa. Worldline wprowadzi te zmiany w ciągu 30 dni kalendarzowych.
• Po wygaśnięciu umowy lub po jej rozwiązaniu, lub na wniosek o usunię- cie lub zwrot danych osobowych do Akceptanta, z wyjątkiem danych osobowych, które Worldline Przetwarza jako Administrator Danych, Worldline, zgodnie z wyborem Akceptanta, usunie, zanonimizuje lub zwróci (w zakresie, w jakim jest to technicznie możliwe) takie Dane Oso- bowe, oraz usunie lub zanonimizuje istniejące kopie, chyba że obowią- zujące przepisy prawa uniemożliwiają zwrot lub zniszczenie całości lub części Danych Osobowych lub wymaga przechowywania Danych Oso- bowych (w takim przypadku Worldline będzie chronić poufność Danych Osobowych i nie będzie już aktywnie przetwarzać Danych Osobowych).
116.1355.05 EU_PL/04.2022
• Worldline, bez zbędnej zwłoki, zgodnie z Prawodawstwem, zapewni Akceptantowi możliwość wglądu do Danych Osobowych i ich modyfiko- wania lub udostępni Akceptantowi kopię Danych Osobowych, które przetwarza i wprowadzi poprawki w imieniu i zgodnie z instrukcjami Akceptanta.
• Worldline will not disclose Personal Data to any third party, except (i) as the Merchant directs, (ii) as stipulated in the Contract or (iii) as required for Processing by Authorised Subcontractors, or (iv) as required by law.
• Worldline oświadcza, że osoby działające w jego imieniu i upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania bezpieczeństwa i poufności danych osobowych zgodnie z postanowie- niami umowy. W tym celu Worldline poinformuje i przeszkoli osoby dzia- łające w jej imieniu i mające dostęp do Danych Osobowych w zakresie obowiązujących wymogów oraz zapewni ich przestrzeganie poprzez umowne lub ustawowe zobowiązania do zachowania poufności.
• Na pisemny wniosek złożony przez Administratora nie później niż 30 dni kalendarzowych przed zakończeniem umowy, Worldline dostarczy Akceptantowi czytelną kopię aktualnych Danych Osobowych znajdują- cych się w jej systemach. Koszty związane z takim wnioskiem ponosi Akceptant.
3 Zatrudnianie podwykonawców
3.1 Akceptant udziela upoważnienia do zaangażowania członków Grupy Worldline jako Podwykonawców. Akceptant upoważnia Worldline do udo- stępniania Danych Osobowych lub zlecenia ich przetwarzania w całości lub w części w celu realizacji Produktów i Usług w stousnku, do których Worldline jest Podmiotem Przetwarzającym Dane dla Upoważnionych Pod- wykonawców.
3.2 Zgodnie z artykułem 7.4 Regulaminu, Worldline poinformuje Akcep- tanta o wszelkich zamierzonych zmianach dotyczących zatrudnienia lub wymiany Podwykonawców.
3.3 Worldline zapewni na drodze umowy pisemnej, że Upoważniony Pod- wykonawca wdroży poziom ochrony danych osobowych odpowiadający postanowieniom niniejszej umowy i pozostanie odpowiedzialny wobec Worldline za wszelkie zlecone czynności.
3.4 Akceptant ma prawo odmówić zaangażowania któregokolwiek z Podwykonawców. W celu skorzystania z tego prawa, Akceptant jest zobo- wiązany do pisemnego powiadomienia o tym Worldline w ciągu 10 dni roboczych. Akceptant wyraża zgodę na to, aby wszelkie zastrzeżenia były zawsze umotywowane i zawierały istotne lub prawne uzasadnienie.
4 Miejsce przetwarzania
4.1 Worldline zapewni, że przetwarzanie Danych osobowych ma miejsce:
• w obrębie Unii Europejskiej;
• w jakimkolwiek innym kraju, na terytorium lub w określonych sektorach takiego kraju, uznanych przez Komisję Europejską za kraj oferujący odpowiedni poziom ochrony danych; lub
• w jakimkolwiek innym kraju:
• po uprzedniej pisemnej zgodzie Akceptanta i w zakresie, w jakim prze- kazanie Danych Osobowych do tego kraju jest zgodne z Prawodaw- stwem lub
• gdy Worldline wprowadził odpowiednie mechanizmy w celu zapewnie- nia równoważnego poziomu ochrony zgodnie z Prawodawstwem (np., Standardowe Klauzule Kontraktowe).
5 Środki bezpieczeństwa i poufności
5.1 Worldline stosuje odpowiednie techniczne i organizacyjne środki bezpieczeństwa i poufności mające na celu zapobieganie przypadkowemu lub niezgodnemu z prawem zniszczeniu, utracie, zmianie lub nieuprawnio- nemu ujawnieniu lub dostępowi do Danych Osobowych. Akceptant zgadza się z tym, że:
• Techniczne i organizacyjne środki bezpieczeństwa określone i stoso- wane przez Worldline opierają się na instrukcjach i informacjach otrzy- manych od Akceptanta;
• Dokonał przeglądów technicznych i organizacyjnych środków bezpie- czeństwa określonych na stronie internetowej i uznał je za odpowiednie, biorąc pod uwagę ryzyko związane z ich przetwarzaniem i Cele.
6 Naruszenie ochrony danych osobowych
6.1 W przypadku Naruszenia powstałego w trakcie świadczenia Produk- tów i Usług, dla których Worldline kwalifikuje się jako Podmiot Przetwarza- jący Dane, Worldline, bez zbędnej zwłoki, po zidentyfikowaniu i ustaleniu okoliczności i konsekwencji Naruszenia, powiadomi o nim Akceptanta i przekaże mu wszelkie istotne informacje na ten temat. Powiadomienie przez Worldline o Naruszeniu Ochrony Danych nie może być w żadnym wypadku interpretowane jako uznanie winy lub odpowiedzialności za Naru-
Warunki Przetwarzania Danych Osobowych Worldline Financial Services (Europe) S.A.
szenie Ochrony Danych. W przypadku odpowiedzialności Worldline, pod- lega to postanowieniom art. 9 Warunków Ogólnych.
6.2 Worldline ma prawo udostępniać te informacje Akceptantowi za pośrednictwem kanału komunikacyjnego, który uzna za najbardziej odpo- wiedni, takiego jak portal internetowy Akceptanta, witryna internetowa lub e-mail.
6.3 Akceptant wyraźnie potwierdza, że jest odpowiedzialny za zapew- nienie zgodności z wymogami Prawodawstwa w kontekście Naruszenia Ochrony Danych oraz że ponosi wyłączną odpowiedzialność za wypełnie- nie takich obowiązków (w tym w szczególności za wszelkie formalności, takie jak powiadomienia właściwych organów).
7 Prawa osoby, której dane dotyczą
7.1 W odniesieniu do ochrony praw osób, których dane dotyczą, Akcep- tant ułatwia korzystanie z tych praw, oraz zapewnia, że osoby, których dane dotyczą otrzymają odpowiednie informacje na temat przetwarzania danych na podstawie niniejszych przepisów w zwięzłej, przejrzystej, zro- zumiałej i łatwo dostępnej formie oraz za pomocą jasnego i prostego języka. W przypadku, gdy wymagana jest zgoda osoby, której dane doty- czą, Akceptant zapewni jej uzyskanie zgodnie z Prawodawstwem.
7.2 W przypadku, gdy osoba, której dane dotyczą, skontaktuje się bez- pośrednio z Worldline w celu skorzystania z przysługujących jej praw, Worldline skieruje takie dane do Akceptanta. Na poparcie powyższego, Worldline może podać wnioskodawcy podstawowe dane kontaktowe Administratora Danych.
7.3 Worldline będzie pomagał Administratorowi Danych w wypełnianiu obowiązku udzielenia odpowiedzi na wniosek osoby, której dane dotyczą zgodnie z Prawodawstwem oraz z uwzględnieniem charakteru i kontekstu usługi przetwarzania danych świadczonej na rzecz Akceptanta. Akceptant zgadza się, że Worldline ma prawo do fakturowania takiej pomocy według stawek godzinowych lub dziennych, które wówczas obowiązują.
8 Audyt
8.1 Worldline umożliwi niezależnemu audytorowi zewnętrznemu, nie będącemu konkurentem Worldline i upoważnionemu przez Akceptanta do sprawdzenia na koszt Akceptanta zgodności Worldline z niniejszymi Warunkami Przetwarzania Danych. Worldline zapewni rozsądną pomoc w przeprowadzaniu takiego audytu.
9 Odpowiedzialność
9.1 Odpowiedzialność każdej ze stron wobec drugiej strony reguluje artykuł 9 Ogólnych Warunków umowy.
10 Definicje
• Upoważniony Podwykonawca: podmiot, który również: (a) kwalifikuje się jako Członek Grupy Atos; i/lub (b) podmiot wskazany na stronie inter- netowej, okresowo aktualizowany.
• Worldline, Członek Grupy Worldline: każdy podmiot należący do grupy spółek Worldline, który wystąpi z grupy spółek Worldline, będzie ubiegał się o członkostwo w grupie Worldline na potrzeby umowy w fazie przej- ściowej, trwającej maksymalnie 6 miesięcy.
• Naruszenie, Naruszenie Ochrony Danych lu Naruszenie Danych Oso- bowych: oznacza Ochrony naruszenie bezpieczeństwa prowadzące do przypadkowego lub bezprawnego zniszczenia, utraty, zmiany lub nie- uprawnionego ujawnienia lub dostępu dodanych osobowych, przesła- nych, przechowywanych lub przetwarzanych w inny sposób.
• Administrator (Administrator Danych), Przetwarzający (Przetwarza- jący Dane), Dane Osobowe, Podmiot Danych Dane Osobowe, Podmiot Danych: Terminy te mają takie samo znaczenie, jak definicja nadana im w GDPR.
• Inspektor Ochrony Danych lub IOD:
xxxxxxxxxxxxxx.xxxxxx@xxxxxxxxx.xxx
• Przepisy prawa: Ogólne rozporządzenie o ochronie danych, formalnie znane jako rozporządzenie (UE) 2016/679 (GDPR) oraz wszelkie inne stosowne unijne i krajowe przepisy dotyczące prywatności.
• Produkty i Usługi: produkty i usługi świadczone przez Worldline na rzecz Akceptanta zgodnie z umową, które mogą od czasu do czasu ulegać zmianom.
• Strona Internetowa: Website: xxxxxxxxx.xxx/xxxxxxxx-xxxxxxxx
• Worldline: Worldline Financial Services (Europe) S.A., Atrium Business Park - 00, xxx xx Xxxxx Xxxxxx, X-0000 Xxxxxxxxx, Xxxxxxxxxx