Załącznik do Umowy Członkostwa w Trusted Shops Umowa powierzenia przetwarzania danych osobowych
Załącznik do Umowy Członkostwa w Trusted Shops Umowa powierzenia przetwarzania danych osobowych
pomiędzy wymienionym w umowie członkostwa sklepem internetowym - Administrator danych -
- zwany dalej Zleceniodawcą -
a Trusted Shops GmbH, Xxxxxxxxxxxx Xxx. 00X, 00000 Xxxxxxx, Xxxxxx - Podmiot przetwarzający -
- zwany dalej Zleceniobiorcą -
- zwanymi łącznie w dalszej treści Stronami -
Strony zawarły Umowę o Członkostwo w Trusted Shops (zwaną dalej umową główną), w ramach której dane osobowe Zleceniodawcy mogą być przetwarzane na jego zlecenie przez Zleceniobiorcę. Niniejszy załącznik konkretyzuje zobowiązania stron w zakresie ochrony danych osobowych wynikające z powierzenia przetwarzania danych w ramach realizacji umowy głównej. Znajduje on zastosowanie do wszystkich wymienionych niżej czynności, które pozostają w związku z umową główną i w przypadku których pracownicy Zleceniobiorcy lub osoby trzecie upoważnione przez Zleceniobiorcę przetwarzają powierzone dane osobowe Zleceniodawcy (zwane dalej danymi):
• Graficzna prezentacja Trustbadge, jako treści podmiotu trzeciego w ramach strony internetowej sklepu objętego umową główną (przetwarzanie plików dziennika, tzw. „logfiles”).
• Gromadzenie adresów e-mail i wysyłanie drogą mailową zaproszeń do wystawienia opinii o zakupie (dotyczy przede wszystkim wykorzystywania przez członkowski sklep internetowy opcjonalnych narzędzi „Review Collector“ i „AutoCollection), gdy kwestia otrzymywania zaproszeń do wystawienia opinii nie została uregulowana osobnym porozumieniem umownym pomiędzy Trusted Shops a osobą, której dane dotyczą (użytkownicy zarejestrowani do celów korzystania z usług Trusted Shops dla Kupujących).
• Gromadzenie danych kontaktowych i innych informacji o firmie (np. nazwa, adres e-mail, adres pocztowy i numer telefonu) w przypadku korzystania z generatora tekstów prawnych Trusted Shops.
Dodatkowe załączniki („Appendices”) do niniejszej umowy powierzenia przetwarzania danych osobowych znajdują się pod adresem: xxxx://xxxxxxx.xxxxxxxxxxxx.xxx/xx/xx/xxxxx_xxxxx_xxxxxxxxxx_xxxxxxxxxx. Zgodnie z ustaleniami niniejszej umowy powierzenia przetwarzania danych, użytkownik będzie informowany o ewentualnych zmianach.
Definicje
W przypadku użycia w niniejszej umowie powierzenia przetwarzania danych pojęć, które zostały zdefiniowane w art. 4 Rozporządzania UE
2016/679 o ochronie danych (zwanym dalej RODO) – definicje tam zawarte obowiązują również w zakresie niniejszej umowy powierzenia.
A Przedmiot i czas trwania powierzenia
A1 Przedmiot i czas trwania powierzenia przetwarzania danych oraz rodzaj i cel przetwarzania wynikają z umowy głównej oraz jej załączników.
A2 Dane objęte powierzeniem przetwarzania oraz kategorie osób, których dane dotyczą zostały określone w załączniku nr 1 („Appendix 1”) do niniejszej umowy powierzenia przetwarzania danych.
A3 Czas trwania umowy powierzenia przetwarzania danych zależy od czasu trwania umowy głównej, o ile z postanowień niniejszego załącznika nie wynikają zobowiązania wykraczające poza ten zakres czasu.
B Obowiązki Zleceniobiorcy
B1.1 Zleceniobiorca i każda podlegająca mu osoba, która ma dostęp do danych osobowych mogą przetwarzać dane wyłącznie w ramach niniejszej umowy powierzenia przetwarzania danych i w zakresie zgodnym z udokumentowanymi poleceniami Zleceniodawcy, chyba że zachodzi przypadek wyjątkowy określony w art. 28 ust. 3 a) RODO.
B1.2 Zleceniobiorca niezwłocznie poinformuje Zleceniodawcę jeśli uzna, że dane polecenie narusza stosowane przepisy. Zleceniobiorca może w takim przypadku nie wykonać
polecenia do czasu, aż zostanie ono potwierdzone lub zmienione przez Zleceniodawcę.
B1.3 Polecenia dot. przetwarzania danych są pierwotnie określone w umowie głównej i mogą następnie zostać przez Zleceniodawcę uzupełnione lub zastąpione innymi poleceniami skierowanymi w formie pisemnej lub elektronicznej (forma tekstowa) do wskazanego przez Zleceniobiorcę adresata. Polecenia ustne należy niezwłocznie potwierdzać w formie pisemnej lub tekstowej.
B1.4 Polecenia wykraczające poza uzgodnione w umowie głównej świadczenia będą traktowane jako wnioski o zmianę zakresu przetwarzania danych w ramach ich powierzenia. Ewentualne powstałe z tego tytułu uzasadnione koszty ponosi Zleceniodawca.
B2 Zleceniobiorca zobowiązany jest w swoim zakresie odpowiedzialności tak planować wewnętrzną organizację w przedsiębiorstwie, aby sprostać szczególnym wymogom ochrony danych. Podejmie on działania techniczne i organizacyjne celem zapewnienia odpowiedniej ochrony danych powierzonych mu przez Zleceniodawcę. Działania te będą odpowiadać wymogom Rozporządzenia o ochronie danych osobowych (art. 32 RODO). W związku z powierzeniem przetwarzania danych Zleceniobiorca podejmie działania techniczne i organizacyjne, trwale
20191210_ADV_Memberships_PL_v1.4.DOCX_AMB 1 / 4
zapewniające poufność, integralność, dostępność i wytrzymałość systemów i usług.
B2.1 Przed rozpoczęciem przetwarzania Zleceniobiorca winien udokumentować wdrożenie stosownych środków technicznych i organizacyjnych odpowiednich dla charakteru i zakresu danych przetwarzanych w ramach powierzenia i w razie takiej woli – przekazać je Zleceniodawcy do sprawdzenia.
B2.2 Uzgodnione i udokumentowane środki techniczne i organizacyjne, zostały dołączone jako załącznik nr 2 („Appendix 2”) i stanowią integralną część niniejszej umowy powierzenia danych. Środki te są znane Zleceniodawcy i ponosi on odpowiedzialność za to, żeby zapewniały one odpowiedni poziom ochrony w odniesieniu do ryzyka związanego z przetwarzaniem danych.
B2.3 Wdrożone środki techniczne i organizacyjne podlegają ciągłym ulepszeniom technicznym i aktualizacjom. W tym zakresie Zleceniobiorca może realizować alternatywne, adekwatne działania mające na celu zapewnienie odpowiedniego poziomu bezpieczeństwa danych. Istotne zmiany należy dokumentować.
B3 Zleceniobiorca nie może powierzonych mu danych samowolnie poprawiać, usuwać lub ograniczać ich przetwarzania. Może to uczynić jedynie na udokumentowane polecenie Zleceniodawcy.
B3.1 Nie dotyczy to sytuacji, kiedy osoba, której dane dotyczą – w odniesieniu do swoich praw zwróci się bezpośrednio do Zleceniobiorcy. W takim przypadku Zleceniobiorca skontaktuje się z Zleceniodawcą w celu wyjaśnienia, kto z nich powinien podjąć obowiązkowe działania informacyjne lub inne czynności zmierzające do poszanowania uprawnień przysługujących osobie, której dane dotyczą. W przypadku zezwolenia udzielonego przez Zleceniodawcę, Zleceniobiorca – w ramach swoich możliwości będzie uprawniony do podjęcia wszelkich niezbędnych działań zmierzających do poszanowania praw osoby, której dane dotyczą.
B3.2 Zleceniobiorca będzie w miarę możliwości poprzez odpowiednie działania techniczne i organizacyjne wspierał Zleceniodawcę w opracowywaniu i odpowiadaniu na wnioski osób, których dane dotyczą. Powstałe w wyniku tego uzasadnione koszty ponosi Zleceniodawca.
B3.3 O ile jest to objęte zakresem świadczenia, Zleceniobiorca winien po udokumentowanym poleceniu Zleceniodawcy niezwłocznie zapewnić przedstawienie koncepcji w zakresie usuwania danych, realizowania prawa do bycia zapomnianym, poprawienia danych lub ich przeniesienia.
B4 Niezależnie od obowiązków określonych postanowieniami niniejszej umowy powierzenia przetwarzania danych Zleceniobiorca winien ponadto przestrzegać ustawowych obowiązków określonych w art. 28 do art. 33 RODO. W tym kontekście zapewnia on w szczególności przestrzeganie następujących wytycznych:
B4.1 Zleceniobiorca przekazuje Zleceniodawcy dane kontaktowe wewnętrznego inspektora ochrony danych, o ile należy go powołać zgodnie z art. 37 RODO. Wewnętrzny inspektor ochrony danych wykonuje swoje czynności w oparciu o art. 38 i nast. RODO.
Jeśli Zleceniobiorca nie jest zobowiązany do powołania inspektora ochrony danych, wtedy wskazuje Zleceniodawcy osobę kontaktową do spraw związanych z przetwarzaniem danych osobowych.
B4.2 Celem zachowania zasad poufności zgodnie z art. 28 ust. 3 zdanie 2 lit. b, a także art. 29, 32 ust. 4 RODO, Zleceniobiorca wykorzystuje do wykonania prac tylko takich pracowników, których zobowiązano do zachowania poufności i którzy zostali zapoznani z istotnymi postanowieniami w zakresie ochrony danych osobowych. Zleceniobiorca zapewnia, że pracownikom zajmującym się przetwarzaniem powierzonych danych oraz innym osobom działającym na rzecz Zleceniobiorcy nie wolno przetwarzać danych poza ramami niniejszego powierzenia przetwarzania danych.
B4.3 Zleceniobiorca wspiera Zleceniodawcę w miarę swoich możliwości przy odpowiadaniu na zapytania organów kontrolnych lub zapytania i roszczenia osób, których dane
dotyczą, zgodnie z rozdziałem III RODO, art. 82 RODO oraz w zakresie przestrzegania obowiązków określonych w art. 32 do 36 RODO. Powstałe w wyniku tego uzasadnione koszty ponosi Zleceniodawca, chyba że to Zleceniobiorca jest odpowiedzialny za powstanie roszczeń, zapytań i obowiązku zgłoszenia naruszenia. Zobowiązanie Zleceniodawcy do ponoszenia kosztów nie dotyczy ponadto udostępnienia przez Zleceniodawcę informacji i dokumentów służących zapewnieniu transparentności i przejrzystości.
B4.4 Zleceniobiorca niezwłocznie powiadomi Zleceniodawcę w przypadku poważnych zakłóceń istotnych procesów w przedsiębiorstwie lub w przypadku poważnych naruszeń dot. bezpieczeństwa powierzonych danych spowodowanych ze strony Zleceniobiorcy lub osób zatrudnionych u niego. Zleceniobiorca zawiadamia również o przypadkach naruszeń ustaleń podjętych na podstawie niniejszej umowy powierzenia, a także w przypadku zaistnienia innych nieprawidłowości w zakresie przetwarzania powierzonych danych. Zleceniobiorca podejmie niezbędne działania celem zabezpieczenia danych i zmniejszenia możliwych negatywnych skutków dla osób, których dane dotyczą.
B4.5 Zleceniobiorca poinformuje niezwłocznie Zleceniodawcę o czynnościach kontrolnych i działaniach organu nadzorującego, o ile dotyczą one niniejszego powierzenia przetwarzania danych. Powyższe obowiązuje również wtedy, gdy właściwy organ prowadzi wobec Zleceniobiorcy dochodzenie w ramach postępowania o wykroczenie lub postępowania karnego i ma ono związek z przetwarzaniem powierzonych danych osobowych.
B4.6 Jeśli Zleceniodawca podlega kontroli organu nadzorującego, jest objęty postępowaniem o wykroczenie lub postępowaniem karnym, zgłoszono wobec niego roszczenie osoby, której dane dotyczą lub osoby trzeciej lub inne roszczenie w związku z przetwarzaniem przez Zleceniobiorcę powierzonych danych, wówczas Zleceniobiorca winien go wspierać w miarę swoich najlepszych możliwości. Powstałe w wyniku tego uzasadnione koszty ponosi Zleceniodawca.
B4.7 Zleceniobiorca kontroluje regularnie wewnętrzne procesy oraz działania techniczne i organizacyjne, aby zapewnić, że przetwarzanie w zakresie jego odpowiedzialności odbywa się zgodnie z wymogami obowiązującego prawa o ochronie danych osobowych i zapewniona jest ochrona praw osób, których dane dotyczą.
C Obowiązki Zleceniodawcy
C1 Zleceniodawca („administrator danych“ w rozumieniu Art. 4 pkt. 7 RODO) odpowiada w ramach niniejszej umowy za przestrzeganie ustawowych regulacji dot. ochrony danych, w szczególności za zgodność z prawem przekazywania danych do Zleceniobiorcy i przetwarzania danych. Zleceniodawca jest w szczególności odpowiedzialny za skuteczne pozyskiwanie wymaganych zgód osób, których dane dotyczą, w ramach realizacji powierzonych czynności.
C2 Zleceniodawca winien niezwłocznie poinformować Zleceniobiorcę, jeśli w wynikach zlecenia stwierdzi błędy lub nieprawidłowości w zakresie postanowień o ochronie danych osobowych.
C3 Zleceniodawca wyznaczy i poinformuje Zleceniobiorcę o osobie kontaktowej w zakresie opracowywania pytań dot. ochrony danych w ramach niniejszej umowy powierzenia.
D Podwykonawcy i podpowierzenie danych
D1 Usługi podwykonawcze to takie usługi, do których wykonania Zleceniobiorca angażuje dalszych zleceniobiorców (podwykonawców) celem realizacji całości lub części świadczeń uzgodnionych w umowie głównej.
D1.1 Nie należą do nich dodatkowe, poboczne świadczenia, z których korzysta Zleceniobiorca jak np. usługi telekomunikacyjne, pocztowe, transportowe, konserwacja i serwis oraz utylizacja nośników danych i inne działania zapewniające poufność, integralność, dostępność i możliwość użytkowania sprzętu i oprogramowania służącego do przetwarzania danych – chyba że podwykonawca w toku tych czynności może uzyskać dostęp do danych osobowych. Jednakże także wtedy, gdy podwykonawcy nie uzyskują dostępu do danych osobowych, Zleceniobiorca – w celu zagwarantowania ochrony i
bezpieczeństwa zgromadzonych danych – zobowiązany jest do zawarcia odpowiednich i zgodnych z prawem porozumień, a także do podjęcia odpowiednich działań kontrolnych.
D2 Zleceniobiorca może udzielać zleceń podwykonawcom („podpowierzenie danych”) tylko po uprzednim wyraźnym udzieleniu pisemnej, względnie udokumentowanej zgody przez Zleceniodawcę.
D2.1 Zleceniodawca wyraża zgodę na dalsze powierzenie danych (tzw. podpowierzenie) podwykonawcom wymienionym w załączniku nr 3 („Appendix 3”) – pod warunkiem zawarcia między Zleceniobiorcą, a danym podwykonawcą umowy podpowierzenia przetwarzania danych, która nakłada na podwykonawcę na podstawie umowy lub innego instrumentu prawnego, podlegającego prawu Unii lub prawu danego państwa członkowskiego – takie same obowiązki w zakresie ochrony danych jak te, które na podstawie umowy lub innego instrumentu prawnego (art. 28 ust. 3 RODO) wiążą podmiot przetwarzający i administratora danych.
D2.2 Przeniesienie dalszego powierzenia (podpowierzenia) na kolejne podmioty lub zmiana aktualnych podwykonawców są dopuszczalne wyłącznie, jeśli:
• Zleceniobiorca pisemnie lub w formie tekstowej zgłosi Zleceniodawcy takie przeniesienie na podwykonawcę z 30 dniowym wyprzedzeniem;
• Zleceniodawca do momentu przekazania danych nie zgłosi wobec Zleceniobiorcy pisemnie lub w formie tekstowej sprzeciwu odnośnie planowanego przeniesienia oraz;
• Zostanie zawarte umowne porozumienie zgodnie z art. 28 ust. 2-4 RODO. Odpowiednio zastosowanie znajduje pkt. D2.1.
D2.3 Jeśli w powyższym okresie nie zostanie wniesiony sprzeciw, uznaje się, że zgoda na zmianę podwykonawcy została udzielona. Jeśli zostanie zgłoszony sprzeciw, a strony nie będą mogły dojść do porozumienia, wówczas stronom do momentu dalszego powierzenia danych podwykonawcy przyznane zostaje prawo do wypowiedzenia umowy głównej bez zachowania okresu wypowiedzenia.
D2.4 Przekazanie danych osobowych Zleceniodawcy do podwykonawcy i podjęcie przez niego pierwszych czynności możliwe są dopiero wtedy, gdy spełnione będą warunki udzielenia podzlecenia (dalszego powierzenia danych).
D3 Jeśli podwykonawca wykonuje uzgodnioną usługę poza terytorium Unii Europejskiej/ Europejskiego Obszaru Gospodarczego, wówczas obowiązują dodatkowe wymogi określone w ust. E. Wymogi te znajdują również zastosowanie w sytuacji, gdy w przetwarzanie danych zaangażowani mają zostać usługodawcy w rozumieniu ust. D1.1 zdanie 2.
E Miejsce przetwarzania
E1 Gromadzenie, przetwarzanie lub wykorzystywanie danych przez Zleceniobiorcę odbywa się wyłącznie w kraju członkowskim Unii Europejskiej lub innym państwie będącym stroną Porozumienia o Europejskim Obszarze Gospodarczym.
E2 W poszczególnych przypadkach Zleceniobiorca może od tego odstąpić, jeśli zapewnił, że przekazanie danych (ich podpowierzenie) do krajów trzecich odbywać będzie się z zapewnieniem niezbędnych środków ochrony określonych w art. 44 i kolejnych RODO. Postanowienia pkt. D2.1. i D2.2 znajdują odpowiednio zastosowanie.
F Prawa Zleceniodawcy do kontroli
F1 Zleceniobiorca potwierdza Zleceniodawcy przestrzeganie obowiązków określonych w niniejszej umowie i stosowanie odpowiednich środków ochrony bezpieczeństwa danych.
F2 Środki ochrony, które nie dotyczą tylko procesów przetwarzania w ramach niniejszego powierzenia przetwarzania danych, mogą według wyboru Zleceniobiorcy zostać potwierdzone przez:
F2.1 Przeprowadzenie wewnętrznego audytu;
F2.2 Wewnątrzzakładowe zasady postępowania wraz z zewnętrznym potwierdzeniem ich przestrzegania;
F2.3 Przestrzeganie zatwierdzonych zasad postępowania zgodnie z art. 40 RODO;
F2.4 Certyfikacje zgodnie z zatwierdzoną procedurą certyfikowania na podstawie art. 42 RODO;
F2.5 Aktualną opinie, raporty lub wyciągi z raportów niezależnych instancji (np. biegłych rewidentów, inspektora ochrony danych, działu bezpieczeństwa IT, kontroli ksiąg, audytorów ochrony danych osobowych, audytorów jakości);
F2.6 Stosowny certyfikat uzyskany w wyniku audytu bezpieczeństwa informatycznego lub audytu bezpieczeństwa danych osobowych (np. zgodnie z zakresem ochrony podstawowej BSI [Federalnego Urzędu Bezpieczeństwa Techniki Informatycznej]).
F3 Jeżeli w konkretnym przypadku, konieczne byłoby przeprowadzenie inspekcji (kontroli) przez Zleceniodawcę lub wyznaczonego przez niego audytora, gdyż środki ochrony bezpieczeństwa danych wykazane na podstawie pkt. F1 i F2 nie byłyby wystarczające, kontrole takie powinny być przeprowadzane po uprzednim ich zapowiedzeniu, w normalnych godzinach pracy i bez zakłócania działalności gospodarczej Zleceniobiorcy. W przypadku, gdy audytor wyznaczony przez Zleceniodawcę pozostaje w stosunku konkurencyjnym z Zleceniobiorcą, Zleceniobiorcy przysługuje prawo sprzeciwienia się takiemu wyznaczeniu audytora.
G Usuwanie i zwrot danych osobowych
G1 Bez wiedzy Zleceniodawcy nie będą sporządzane kopie ani duplikaty danych. Nie dotyczy to kopii zapasowych, o ile są one niezbędne do zagwarantowania prawidłowego przetwarzania danych, a także danych, które są niezbędne do realizacji ustawowych obowiązków w zakresie przechowywania.
G2 Po rozwiązaniu lub zakończeniu okresu obowiązywania umowy głównej lub wcześniej na żądanie Zleceniodawcy – zależnie od decyzji administratora Zleceniobiorca powinien przekazać Zleceniodawcy będące w jego posiadaniu wszelkie dokumenty, wyniki dotyczące przetwarzania oraz związane z powierzeniem zbiory danych lub dokonać ich zniszczenia zgodnie z przepisami o ochronie danych – jeśli zgodnie z prawem unijnym lub stosowanym prawem państw członkowskich nie istnieje obowiązek sprawozdawczy wymagający przechowywania określonego rodzaju informacji (danych osobowych). Powyższe znajduje zastosowanie także w zakresie materiałów testowych. Protokół usunięcia należy okazać na żądanie.
G3 Zbiory danych przekazane Zleceniobiorcy w celu wysłania zaproszenia do skorzystania z możliwości wystawienia opinii, są usuwane po upływie 3 miesięcy od momentu wysłania zaproszenia.
G4 Dokumentacje służące wykazaniu poprawności i zgodności z zasadami przetwarzania danych będą przechowywane przez Zleceniobiorcę zgodnie z obowiązującymi okresami przechowywania wykraczającymi poza czas trwania umowy głównej. W celu zwolnienia z tego obowiązku Zleceniobiorca może je przekazać Zleceniodawcy po zakończeniu obowiązywania umowy.
G5 Jeśli w wyniku odmiennych wytycznych Zleceniodawcy przy wydaniu lub usuwaniu danych powstaną dodatkowe koszty, wówczas ponosi je Zleceniodawca.
H Odpowiedzialność i odszkodowanie
Zleceniodawca i Zleceniobiorca ponoszą odpowiedzialność wobec osoby, której dane dotyczą – zgodnie z zasadami określonymi w art. 82 RODO – również gdy stanowi to odstępstwo od uzgodnionych w umowie głównej zasad odpowiedzialności.
I Obowiązki informacyjne, forma pisemna i wybór prawa
I1 W przypadku zaistnienia zagrożenia danych powierzonych Zleceniobiorcy przez Zleceniodawcę powstałego w wyniku dokonania zastawu lub zajęcia, postępowania upadłościowego lub ugodowego lub w konsekwencji innych zdarzeń czy działań osób trzecich, Zleceniobiorca niezwłocznie powinien zawiadomić o takim zagrożeniu Zleceniodawcę. W związku z powyższym Zleceniobiorca poinformuje również poszczególnych administratorów
danych, że władztwo i prawo własności do danych przysługują wyłącznie Zleceniodawcy jako „administratorowi tych danych” w rozumieniu unijnego Rozporządzenia o ochronie danych osobowych (RODO).
I2 Zmiany i uzupełnienia niniejszego załącznika i wszystkich jego części – wraz z ewentualnymi zapewnieniami Zleceniobiorcy – wymagają pisemnego porozumienia, które może zostać dokonane również w formie elektronicznej
(tekstowej), a także wyraźnego wskazania na to, że chodzi o zmianę lub uzupełnienie niniejszych warunków. Dotyczy to również rezygnacji z wymogu zachowania tej formy.