Umowa powierzenia przetwarzania danych osobowych
Umowa powierzenia przetwarzania danych osobowych
dotycząca spółek jawnych, spółek partnerskich, spółek z ograniczoną odpowiedzialnością, spółek akcyjnych oraz prostych spółek akcyjnych
zawarta pomiędzy:
spółką jawną, spółką partnerską, spółką z ograniczoną odpowiedzialnością, spółką akcyjną lub prostą spółką akcyjną wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego, która zawarła z Dostawcą Umowę o korzystanie z Platformy APFINO, dalej „Klient”
a
Comarch Finance Connect sp. z o.o. z siedzibą w Krakowie (31-864) przy ul. Profesora Xxxxxxx Xxxxxxxxxxxxx 23, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla Krakowa-Śródmieścia w Krakowie, XI Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000407455, NIP: 6751471192, REGON: 122485307, kapitał zakładowy 205.000,00 zł, dalej jako: „Dostawca”,
zwanymi dalej „Stronami” a każda z osobna „Stroną”
Strony zawierają niniejszą umowę powierzenia przetwarzania danych osobowych w związku z Umową o korzystanie z Platformy APFINO, na podstawie której Dostawca świadczy dla Klienta w zakresie i na warunkach ustalonych w Umowie o korzystanie z Platformy APFINO usługi, które są związane z przetwarzaniem Danych Osobowych przez Dostawcę jako Podmiot przetwarzający.
Zasady powierzenia przetwarzania danych osobowych w imieniu Xxxxxxx
§1 Definicje
1. Pojęcia występujące w niniejszej Umowie powierzenia oznaczają:
a. Administrator – administrator w rozumieniu art. 4 pkt 7 RODO;
b. Dane osobowe – dane osobowe w rozumieniu art. 4 pkt 1 RODO;
c. Dane osobowe Klienta – Dane osobowe określone w §2 ust. 2 Umowy powierzenia;
d. Konto Firmowe - wydzielona część Platformy APFINO, która dostępna jest dla Klienta po zalogowaniu się za pomocą prawidłowych Danych uwierzytelniających, która pozwala na korzystanie z Usług oferowanych w ramach Platformy APFINO;
e. Klucz wymiany – poufny ciąg znaków wygenerowany dla Klienta na Platformie APFINO w celu integracji Konta Klienta na Platformie APFINO z Kontem Klienta w Systemie Comarch ERP Optima poprzez jego wprowadzenie we wskazanej zakładce Konta Klienta w Systemie Comarch ERP Optima
f. Naruszenie ochrony danych osobowych – naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO;
g. Operator - Comarch Spółka Akcyjna z siedzibą w Krakowie, adres: xx. Xxxx Xxxxx XX 00X 31 – 864 Kraków, zarejestrowana w rejestrze przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy dla Krakowa - Śródmieścia w Krakowie XI Wydział Gospodarczy Krajowego Rejestru
Sadowego pod numerem KRS 0000057567, NIP: 6770065406, posiadają kapitał zakładowy w wysokości 8 133 349 PLN (wpłacony w całości);
h. Partnerzy - podmioty oferujące swoje Produkty Klientom w ramach Platformy APFINO;
i. Podmiot przetwarzający – podmiot przetwarzający w rozumieniu art. 4 pkt 8 RODO;
Platforma APFINO platforma działająca pod adresem: xxxxx://xxx.xxxxxx.xx, dostępna za pośrednictwem stron: xxx.xxxxxx.xx oraz xxx.xxxxxxx-xxxxxxx.xxx, która umożliwia Klientom korzystanie z Usług oferowanych i świadczonych drogą elektroniczną zgodnie z postanowieniami Regulaminu Platformy APFINO.
j. Przetwarzanie – przetwarzanie danych osobowych w rozumieniu art. 4 pkt 2 RODO;
k. Regulamin Serwisu Comarch ERP XT – udostępniany przez Operatora regulamin określający zasady, zakres i warunki świadczenia usług w ramach Systemu Comarch ERP XT przez Operatora;
l. Regulamin Usług Comarch ERP Optima Chmura Standard – udostępniany przez Operatora regulamin określający zasady, zakres i warunki świadczenia Usług Comarch ERP Optima Chmura Standard przez Operatora.
m. RODO - Rozporządzenie Parlamentu Europejskiego i Rady(UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych
n. System Comarch ERP XT - platforma działająca pod adresem xxx.xxxxx.xx, umożliwiająca korzystanie z usług oferowanych i świadczonych drogą elektroniczną, zgodnie z Regulaminem Serwisu Comarch ERP XT przez Operatora, w szczególności wystawianie dokumentów handlowych, inwentaryzację magazynów oraz prowadzenie księgi podatkowej;
o. System Comarch ERP Optima – oprogramowanie Comarch ERP Optima udostępniane przez Operatora w modelu stacjonarnym (on premise) lub w wersji online (Comarch ERP Chmura Standard lub Chmura Enterprise).
p. Umowa powierzenia – niniejsza umowa powierzenia przetwarzania danych osobowych zawierana w formie elektronicznej, stanowiąca integralną część Umowy o korzystanie z Platformy APFINO;
q. Umowa lub Umowa o korzystanie z Platformy APFINO - umowa o świadczenie usług w ramach Platformy APFINO, która jest zawierana pomiędzy Dostawcą a Klientem w formie elektronicznej zgodnie z postanowieniami Regulaminu Platformy APFINO;
r. Usługi – usługi wymienione w §2 ust. 3 wykonywane przez Dostawcę na podstawie Umowy o korzystanie z Platformy APFINO związane z Przetwarzaniem przez Dostawcę Danych osobowych Klienta;
s. Reprezentant Klienta – osoba fizyczna upoważniona samodzielnie lub łącznie z innymi osobami do reprezentowania Klienta;
t. Użytkownik Główny Konta Firmowego – Reprezentant Klienta, upoważniony do dalszego samodzielnego prowadzenia Konta Firmowego w imieniu oraz na rzecz Klienta oraz dokonywania w imieniu i na rzecz Klienta wszelkich czynności prawnych i faktycznych na Platformie APFINO, w tym wydawania poleceń administratora danych osobowych w rozumieniu RODO.
§2 Przedmiot
1. Umowa powierzenia określa warunki Przetwarzania przez Dostawcę w imieniu Klienta Danych osobowych Klienta określonych poniżej w §2 ust. 2 w zakresie Usług wykonywanych na podstawie Umowy o korzystanie z Platformy APFINO, wskazanych w § 2 ust.3 poniżej.
2. Klient powierza Dostawcy Przetwarzanie następujących Danych osobowych znajdujących się w Platformie APFINO, które zostały wprowadzone przez Klienta lub przekazane z innych źródeł zgodnie z poleceniem Klienta,:
1.1. Rodzaj Danych osobowych objętych Umową powierzenia: identyfikator faktury w Systemie Comarch ERP XT lub w Systemie Comarch ERP Optima, NIP, REGON, brzmienie firmy, numery faktur, numery rachunków bankowych, imię, nazwisko, dane adresowe i teleadresowe, w tym e-mail, nr telefonu, daty wystawienia faktur, kwota faktury, termin płatności, pozostałe dane osobowe zamieszczone na fakturach i dokumentach księgowych, dane dotyczące umów zawartych przez Klienta z Partnerami, a także inne rodzaje danych osobowych wprowadzone na Platformie APFINO przez Klienta lub przekazane z innych źródeł zgodnie z poleceniem Klienta, których jest on Administratorem.
1.2.Kategorie osób, których Dane osobowe dotyczą: dane osobowe osób upoważnionych do reprezentacji Klienta, wspólników Klienta, pracowników i współpracowników Klienta oraz klientów i kontrahentów Klienta, w tym dłużników.
3. Dostawca będzie przetwarzał Dane osobowe Klienta w zakresie Usług wykonywanych na podstawie Umowy o korzystanie z Platformy APFINO.
4. Powierzenie Przetwarzania Danych osobowych Klienta następuje w celu wykonania Umowy o korzystanie z Platformy APFINO.
§3 Przetwarzanie Danych osobowych Klienta przez Xxxxxxxx
1. Dostawca będzie przetwarzał Dane Osobowe Klienta wyłącznie w celu, w zakresie i na warunkach określonych w niniejszej Umowie Powierzenia.
2. Dostawca będzie przetwarzał Dane osobowe Klienta w zakresie świadczenia Usług wyłącznie w formie elektronicznej w systemie informatycznym.
3. Dane osobowe Klienta będą przetwarzane zgodnie z poleceniami Administratora. Polecenia Administratora dotyczące przetwarzania Danych Osobowych Klienta zawarte są w Umowie o korzystanie z Platformy APFINO oraz w Umowie powierzenia. Klient może kierować do Dostawcy polecenia dotyczące przetwarzania Danych Osobowych Klienta w formie pisemnej, elektronicznej lub dokumentowej poprzez Platformę APFINO lub na adres wskazany w §10 ust. 5.2 niniejszego Załącznika. Polecenia przekazane w innej formie nie są wiążące do momentu ich przesłania w uzgodnionej formie. Termin realizacji każdego polecenia powinien być uzgodniony przez Dostawcę i Klienta. Polecenie, które dotyczy zmiany zakresu lub sposobu świadczenia Usług lub wykonania dodatkowej usługi jest traktowane jak zlecenie Dostawcy dodatkowej usługi, za wykonanie której Dostawca może zażądać dodatkowego wynagrodzenia. Takie polecenie może zostać złożone poprzez zawarcie przez Klienta i Dostawcę odpowiedniej umowy i za wynagrodzeniem obliczonym według aktualnego cennika Dostawcy. Do polecenia, które dotyczy środków technicznych i organizacyjnych stosowanych przez Dostawcę zastosowanie ma §6 ust.3.
4. W przypadku posiadania przez Klienta konta w Systemie Comarch ERP XT, wyboru na Platformie APFINO integracji z tym systemem i kliknięcia przez Klienta na Platformie APFINO przycisku „Akceptuj i zintegruj” Klient wydaje:
a. Dostawcy polecenia
i. udostępniania Operatorowi w formie elektronicznej w drodze jednej lub wielu czynności następujących danych osobowych przetwarzanych przez Dostawcę w imieniu Xxxxxxx:
a. rodzaj danych osobowych: identyfikator faktury w Systemie ERP XT, NIP, REGON, brzmienie firmy, numery faktur, numery rachunków bankowych, dane adresowe i teleadresowe, w tym e-mail, nr telefonu, oraz pozostałe dane osobowe zamieszczone na fakturach i dokumentach księgowych.
b. kategorie osób, których dane osobowe dotyczą: dane osobowe osób upoważnionych do reprezentacji Klienta, pracowników i współpracowników Klienta oraz klientów i kontrahentów Klienta.
ii. przyjmowania od Operatora, działającego w imieniu i na rzecz Klienta, w drodze jednej lub wielu czynności, następujących danych osobowych Klienta znajdujących się na koncie Klienta w Systemie Comarch ERP XT i każdorazowo przetwarzania tych danych osobowych zgodnie z niniejszą Umową powierzenia;
a. rodzaj danych osobowych: identyfikator faktury w Systemie ERP XT, NIP, REGON, brzmienie firmy, numery faktur, numery rachunków bankowych, dane adresowe i teleadresowe, w tym e-mail, nr telefonu, oraz pozostałe dane osobowe zamieszczone na fakturach i dokumentach księgowych.
b. kategorie osób, których dane osobowe dotyczą: dane osobowe osób upoważnionych do reprezentacji Klienta, pracowników i współpracowników Klienta oraz klientów i kontrahentów Klienta.
b. Operatorowi polecenia:
i. udostępniania Dostawcy w formie elektronicznej, w drodze jednej lub wielu czynności, następujących danych osobowych przetwarzanych przez Operatora w imieniu Xxxxxxx:
a. rodzaj danych osobowych: identyfikator faktury w Systemie ERP XT, NIP, REGON, brzmienie firmy, numery faktur, numery rachunków bankowych, dane adresowe i teleadresowe, w tym e-mail, nr telefonu, oraz pozostałe dane osobowe zamieszczone na fakturach i dokumentach księgowych.
b. kategorie osób, których dane osobowe dotyczą: dane osobowe osób upoważnionych do reprezentacji Klienta, pracowników i współpracowników Klienta oraz klientów i kontrahentów Klienta.
ii. przyjmowania od Dostawcy, działającego w imieniu i na rzecz Klienta, w drodze jednej lub wielu czynności, następujących danych osobowych Klienta znajdujących się na koncie Klienta w Systemie Comarch ERP XT:
a. rodzaj danych osobowych: identyfikator faktury w Systemie ERP XT, NIP, REGON, brzmienie firmy, numery faktur, numery rachunków bankowych, dane adresowe i teleadresowe, w tym e-mail, nr telefonu, oraz pozostałe dane osobowe zamieszczone na fakturach i dokumentach księgowych.
b. kategorie osób, których dane osobowe dotyczą: dane osobowe osób upoważnionych do reprezentacji Klienta, pracowników i współpracowników Klienta oraz klientów i kontrahentów Klienta.
i każdorazowo przetwarzania tych danych osobowych zgodnie z niniejszą Umową powierzenia.
Wykonanie poleceń o których mowa powyżej nastąpi bez zbędnej zwłoki po kliknięciu na Platformie APFINO przycisku „Akceptuj warunki i zintegruj” oraz każdorazowo w przypadku aktualizacji danych w Systemie ERP XT lub Platformie APFINO po dokonaniu każdej z aktualizacji. Warunkiem wykonania tych poleceń jest jednak jednoczesne posiadanie przez Klienta konta w Systemie Comarch ERP XT i Konta na Platformie APFINO. Przez aktualizacje danych w Systemie ERP XT lub Platformie APFINO rozumie się uzupełnienie danych (np. dodanie nowej, kolejnej faktury lub rachunku).
5. W przypadku, gdy Klient wyda polecenie zaprzestania wykonania czynności o których mowa w ust. 4 lit. a i b powyżej zgodnie z § 3 ust. 3 Umowy powierzenia, Dostawca i Operator niezwłocznie zaprzestaną wykonania czynności zgodnie z treścią otrzymanego polecenia. Wydanie polecenia, o którym mowa w zdaniu poprzedzającym, skutkować będzie zaprzestaniem korzystania przez Klienta z funkcjonalności Platformy APFINO polegającej na integracji Konta Klienta na Platformie APFINO oraz konta Klienta w Systemie Comarch ERP XT.
6. Dostawca jako pełnomocnik Operatora jest umocowany do odbioru polecenia o którym mowa w § 3 ust. 4 lit. b w zw. z ust. 5 powyżej. Z uwagi na powyższe z chwilą kliknięcia na Platformie APFINO przycisku
„Akceptuj i i zintegruj” dochodzi do wydania polecenia o treści wskazanej w § 3 ust. 4 lit. b w zw. z ust. 5 powyżej zarówno Dostawcy, jak i Operatorowi.
7. W przypadku posiadania przez Klienta konta w Systemie Comarch ERP Optima, wyboru na Platformie APFINO integracji z tym systemem, kliknięcia na Platformie APFINO przycisku „Akceptuj i przejdź dalej” i dokonania przez niego integracji z Systemem Comarch ERP Optima za pośrednictwem Klucza wymiany, zgodnie z instrukcją zamieszczoną na Platformie APFINO, Klient wydaje:
a. Dostawcy polecenia:
i. udostępniania do Systemu Comarch ERP Optima, na Konto Klienta w formie elektronicznej w drodze jednej lub wielu czynności następujących danych osobowych przetwarzanych przez Dostawcę w imieniu Xxxxxxx:
a. rodzaj danych osobowych: identyfikator faktury, NIP, REGON, brzmienie firmy, numery faktur, numery rachunków bankowych, dane adresowe i teleadresowe, w tym e-mail, nr telefonu, oraz pozostałe dane osobowe zamieszczone na fakturach i dokumentach księgowych, a także informacje o zawartych przez Klienta Umowach z Partnerami.
b. kategorie osób, których dane osobowe dotyczą: dane osobowe Klienta, pracowników i współpracowników Klienta oraz klientów i kontrahentów Klienta.
ii. przyjmowania z Systemu Comarch ERP Optima, w drodze jednej lub wielu czynności, następujących danych osobowych Klienta znajdujących się na koncie Klienta w Systemie Comarch ERP Optima i każdorazowo przetwarzania tych danych osobowych zgodnie z niniejszą Umową powierzenia:
a. rodzaj danych osobowych: identyfikator faktury w Systemie ERP Optima, NIP, REGON, brzmienie firmy, numery faktur, numery rachunków bankowych, dane
adresowe i teleadresowe, w tym e-mail, nr telefonu, oraz pozostałe dane osobowe zamieszczone na fakturach i dokumentach księgowych, a także informacje o zawartych przez Klienta Xxxxxxx z Partnerami.
b. kategorie osób, których dane osobowe dotyczą: dane osobowe Klienta, pracowników i współpracowników Klienta oraz klientów i kontrahentów Klienta.
8. W przypadku, gdy Klient posiada konto w Systemie Comarch ERP Optima i w związku z korzystaniem przez Klienta z tego systemu w wersji online, powierza on czynności przetwarzania danych zamieszczonych w Systemie Comarch ERP Optima Operatorowi, wybór przez Klienta na Platformie APFINO integracji z tym system, kliknięcie na Platformie APFINO przycisku „Akceptuj i przejdź dalej” i dokonanie przez niego integracji z Systemem Comarch ERP Optima za pośrednictwem Klucza wymiany, zgodnie z instrukcją zamieszczoną na Platformie APFINO, oznacza także wydanie Operatorowi polecenia:
i. udostępniania Dostawcy w formie elektronicznej, w drodze jednej lub wielu czynności, następujących danych osobowych przetwarzanych przez Operatora w imieniu Klienta w Systemie Comarch ERP Optima:
a. rodzaj danych osobowych: identyfikator faktury w Systemie ERP Optima, NIP, REGON, brzmienie firmy, numery faktur, numery rachunków bankowych, dane adresowe i teleadresowe, w tym e-mail, nr telefonu, oraz pozostałe dane osobowe zamieszczone na fakturach i dokumentach księgowych, a także informacje o zawartych przez Klienta Umowach z Partnerami.
b. kategorie osób, których dane osobowe dotyczą: dane osobowe Klienta, pracowników i współpracowników Klienta oraz klientów i kontrahentów Klienta.
ii. przyjmowania od Dostawcy, działającego w imieniu i na rzecz Klienta, w drodze jednej lub wielu czynności, następujących danych osobowych Klienta znajdujących się na koncie Klienta w Platformie APFINO:
a. rodzaj danych osobowych: identyfikator faktury w Systemie Comarch ERP Optima, NIP, REGON, brzmienie firmy, numery faktur, numery rachunków bankowych, dane adresowe i teleadresowe, w tym e-mail, nr telefonu, oraz pozostałe dane osobowe zamieszczone na fakturach i dokumentach księgowych, a także informacje o zawartych przez Klienta Umowach z Partnerami.
b. kategorie osób, których dane osobowe dotyczą: dane osobowe Klienta, pracowników i współpracowników Klienta oraz klientów i kontrahentów Klienta.
i każdorazowo przetwarzania tych danych osobowych zgodnie z niniejszą Umową powierzenia.
9. Wydanie przez Klienta poleceń, o których mowa w ust. 7 i 8 powyżej uważa się za skuteczne z chwilą ukończenia przez Klienta procesu integracji Konta Firmowego w Platformie APFINO z kontem Klienta w Systemie Comarch ERP Optima poprzez wprowadzenie w Systemie ERP Optima prawidłowego Klucza wymiany wygenerowanego na Platformie APFINO, co umożliwi wymianę danych Klienta pomiędzy Platformą APFINO, a Systemem Comarch ERP Optima. Dostawca jako pełnomocnik Operatora jest umocowany do odbioru polecenia o którym mowa w § 3 ust. 8 powyżej, dlatego ukończenie procesu
integracji Konta Firmowego w Platformie APFINO z kontem Klienta w Systemie Comarch ERP Optima oznacza wydanie polecenia zarówno Dostawcy, jak też Operatorowi – w przypadku określonym w ust. 8. 10.Wykonanie poleceń o których mowa w ust. 7 i 8 powyżej nastąpi bez zbędnej zwłoki po wydaniu przez Klienta polecenia oraz każdorazowo w przypadku aktualizacji danych w Systemie Comarch ERP Optima lub Platformie APFINO po dokonaniu każdej z aktualizacji. Warunkiem wykonania tych poleceń jest jednak jednoczesne posiadanie przez Klienta konta w Systemie Comarch ERP Optima i Konta Firmowego
na Platformie APFINO. Przez aktualizacje danych w Systemie ERP Optima lub Platformie APFINO rozumie się uzupełnienie danych (np. dodanie nowej, kolejnej faktury lub rachunku) lub wydanie przez Klienta dyspozycji za pośrednictwem Platformy APFINO lub Systemu Comarch ERP Optima.
11.W przypadku, gdy Klient wyda polecenie zaprzestania wykonania czynności o których mowa w ust. 7-9 powyżej zgodnie z § 3 ust. 3 Umowy powierzenia, Dostawca i Operator niezwłocznie zaprzestaną wykonania czynności zgodnie z treścią otrzymanego polecenia. Wydanie polecenia, o którym mowa w zdaniu poprzedzającym, skutkować będzie zaprzestaniem korzystania przez Klienta z funkcjonalności Platformy APFINO polegającej na integracji Konta Klienta na Platformie APFINO oraz konta Klienta w Systemie Comarch ERP Optima.
12.Dostawca poinformuje Klienta, jeżeli polecenie Administratora przekazane mu zgodnie z §3 ust.3, jest, zdaniem Xxxxxxxx, niezgodne z RODO lub innymi przepisami o ochronie danych osobowych.
§4 Okres przetwarzania
1. Dane osobowe Klienta będą przetwarzane przez Dostawcę w okresie wykonywania Usług, z zastrzeżeniem §4 ust. 2 i 3.
2. O ile w Umowie o korzystanie z Platformy APFINO nie postanowiono inaczej, po zakończeniu współpracy Dostawcy i Klienta na podstawie Umowy o korzystanie z Platformy APFINO, Dostawca usuwa Dane osobowe Klienta znajdujące się w posiadaniu Dostawcy oraz ich kopie w terminie 90 dni od dnia rozwiązania lub wygaśnięcia Umowy o korzystanie z Platformy APFINO.
3. Postanowienia §4 ust. 1 i 2 pozostają w mocy po rozwiązaniu lub wygaśnięciu Umowy o korzystanie z Platformy APFINO.
§5 Obowiązki Dostawcy
1. Dostawca zobowiązuje do przestrzegania Umowy powierzenia i właściwych przepisów prawa mających zastosowanie do Przetwarzania Danych Osobowych Klienta, w szczególności zobowiązuje się do przestrzegania obowiązków Podmiotu przetwarzającego wynikających z RODO.
2. Dostawca zapewnia, by osoby upoważnione przez Dostawcę do Przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
3. Dostawca zobowiązuje do przyjęcia odpowiednio od Operatora działającego w imieniu i na rzecz Klienta lub od Klienta, danych osobowych Klienta znajdujących się na koncie Klienta w Systemie Comarch ERP XT zgodnie z § 3 ust. 4 -5 lub na koncie Klienta w Systemie Comarch ERP Optima zgodnie z § 3 ust. 7-
9 i przetwarzania tych danych osobowych na warunkach wskazanych w niniejszej Umowie powierzenia.
4. Dostawca zobowiązuje się do udostępnienia odpowiednio Klientowi lub Operatorowi działającemu w imieniu Klienta danych osobowych Klienta przetwarzanych przez Dostawcę w imieniu Xxxxxxx zgodnie z § 3 ust. 4 -5 albo zgodnie z § 3 ust. 7-9.
5. Dostawca podejmuje środki organizacyjne i techniczne właściwe zgodnie z art. 32 RODO do Przetwarzania Danych osobowych Klienta przez Podmiot przetwarzający w zakresie Usług świadczonych zgodnie z Umową o korzystanie z Platformy APFINO. Opis standardowych środków organizacyjnych i technicznych stosowanych przez Dostawcę określa Załącznik „Standardowe środki techniczne i organizacyjne”. Dostawca jest uprawniony do dowolnego wyboru lub zmiany tych środków organizacyjnych i technicznych, o ile nie spowoduje to naruszenia warunków Umowy o korzystanie z Platformy APFINO. Klient może zlecić Dostawcy zmianę lub wdrożenie dodatkowych środków organizacyjnych i technicznych zgodnie z §6 ust.3.
6. W zakresie pomocy dla Administratora przy realizacji obowiązku wdrożenia przez Administratora odpowiednich środków organizacyjnych i technicznych, o której mowa art. 28 ust. 3 pkt f) RODO, uwzględniając charakter Przetwarzania oraz dostępne mu informacje, Dostawca zobowiązany jest do :
6.1 wdrożenia u Dostawcy środków organizacyjnych i technicznych zgodnie z §5 ust.6;
6.2 udzielania w miarę możliwości informacji o możliwych do zastosowania innych lub dodatkowych środkach technicznych i organizacyjnych - na zapytanie Klienta złożone na podstawie §6 ust.1;
7. W zakresie pomocy dla Administratora przy realizacji obowiązku wykonania oceny skutków dla ochrony danych oraz uprzednich konsultacji z organem nadzorczym, o której mowa art.28 ust. 3 pkt f) RODO, uwzględniając charakter Przetwarzania oraz dostępne mu informacje, Dostawca zobowiązany jest do:
7.1 udostępnienia na żądanie Administratora standardowej dokumentacji Dostawcy zawierającej opis środków technicznych i organizacyjnych stosowanych przez Dostawcę zgodnie z §5 ust.6;
7.2 udzielania w miarę możliwości dodatkowych informacji dotyczących stosowanych lub możliwych do zastosowania przez Dostawcę środków technicznych i organizacyjnych - na zapytanie Klienta złożone na podstawie §6 ust.1;
7.3 udzielania w miarę możliwości dodatkowych informacji związanych z zapytaniem organu nadzorczego w toku uprzednich konsultacji - na zapytanie Klienta złożone na podstawie §6 ust.1;
8. W zakresie pomocy dla Administratora przy realizacji obowiązku dokonywania zgłoszenia Naruszenia ochrony danych osobowych do organu nadzorczego oraz zawiadamiania o Naruszeniu ochrony danych osobowych osób, których dane dotyczą, o której mowa art.28 ust. 3 pkt f) RODO, uwzględniając charakter Przetwarzania oraz dostępne mu informacje Dostawca zobowiązany jest do :
8.1 zgłoszenia Klientowi bez zbędnej zwłoki na adres email Użytkownika Głównego Konta Firmowego podany w trakcie rejestracji na Platformę APFINO Naruszenia ochrony danych osobowych stwierdzonego przez Dostawcę w związku z wykonywaniem Umowy Powierzenia;
8.2 udzielenia Klientowi w miarę możliwości dodatkowych informacji dotyczących stwierdzonego przez Klienta lub zgłoszonego przez Dostawcę Naruszenia ochrony danych osobowych w zakresie niezbędnym do ustalenia przez Klienta prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności osób, których Dane osobowe są objęte tym naruszeniem, oraz w zakresie niezbędnym do dokonania przez Klienta zgodnie z art. 33 i 34 RODO zgłoszenia Naruszenia ochrony danych osobowych do organu nadzorczego lub zawiadamiania o Naruszeniu ochrony danych osobowych osób, których dane dotyczą - na zapytanie Klienta złożone na podstawie §6 ust.2.
9. W przypadku stwierdzenia Naruszenia ochrony danych osobowych spowodowanego z winy Dostawcy lub z winy podwykonawcy Dostawcy, Dostawca dokona przeglądu stosowanych środków technicznych i organizacyjnych oraz w razie potrzeby i w miarę możliwości wprowadzi odpowiednie zmiany w celu zapobiegnięcia powtórzeniu się takiego Naruszenia ochrony danych osobowych w przyszłości.
10.Biorąc pod uwagę charakter przetwarzania, Dostawca zobowiązuje się, w miarę możliwości, poprzez odpowiednie środki techniczne i organizacyjne i na żądanie Klienta złożone na podstawie §6 ust.1, pomagać Administratorowi wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.
11. W celu uniknięcia wątpliwości wszelkie modyfikacje lub funkcjonalny rozwój oprogramowania, usługi związane z aktualizacją i upgradem do wyższej wersji oprogramowania powinny być przedmiotem odrębnej umowy, za którego wykonanie Dostawca otrzyma dodatkowe wynagrodzenie obliczone według stawek określonych według aktualnego cennika Dostawcy.
§6 Uprawnienia Klienta
1. W okresie obowiązywania Umowy o korzystanie z Platformy APFINO Klient jest uprawniony do składania zapytań określonych w §5 ust 6 - 10 oraz żądania od Dostawcy udzielenia informacji dotyczących sposobu wykonywania Przetwarzania przez Dostawcę. W tym zakresie Klient może kierować zapytania na adres email wskazany w § 10 ust. 5.2. Realizacja zapytań Klienta może polegać na odpowiedzi na pojedyncze pytania, na przygotowaniu ustalonych przez Dostawcę i Klienta raportów lub analiz lub innej ustalonej przez Xxxxxxxx i Klienta formie odpowiedzi.
2. Klient jest upoważniony do przeprowadzenia audytu w celu weryfikacji przestrzegania niniejszego Załącznika przez Dostawcę, bezpośrednio lub za pośrednictwem upoważnionego audytora, z zastrzeżeniem następujących warunków :
2.1 audytorem Klienta nie może być podmiot prowadzący działalność konkurencyjną wobec Dostawcy, Comarch S.A. lub innej spółki z grupy kapitałowej Comarch (wykaz spółek z grupy kapitałowej Comarch jest dostępny na stronie internetowej: xxxxx://xxx.xxxxxxx.xx/x- firmie/grupa-kapitalowa-i-spolki-stowarzyszone/), ani podmiot z nim powiązany lub jego pracownik lub podmiot/osoba z nim współpracująca, bez względu na podstawę zatrudnienia lub współpracy;
2.2 audyt może obejmować wysyłanie zapytań, analizę dokumentów, rozmowy z pracownikami/współpracownikami Dostawcy lub podwykonawców Dostawcy oraz wizytację lokali Dostawcy lub podwykonawców Dostawcy, o ile mają bezpośredni związek w wykonywaniem Przetwarzania;
2.3 audyt nie może obejmować informacji lub dokumentów dotyczących innych klientów Dostawcy, ani zmierzać lub skutkować uzyskaniem dostępu Klienta do Danych osobowych innych niż Dane osobowe Klienta lub do danych poufnych dostawców lub innych podmiotów
2.4 w czasie audytu Klient ma obowiązek przestrzegania wewnętrznych procedur i polityk Dostawcy lub podwykonawcy Dostawcy dotyczących bezpieczeństwa i poufności dostarczonych przed rozpoczęciem audytu oraz zobowiązuje się do zachowania w poufności wszelkich danych i informacji uzyskanych w trakcie audytu; w zakresie przestrzegania ww. obowiązków przez audytora, za działania i zaniechania audytora Klient odpowiada jak za własne działania i zaniechania.
2.5 audyt nie powinien być przeprowadzany częściej niż raz w roku kalendarzowym i nie powinien trwać dłużej niż 14 dni;
2.6 termin audytu powinien być uzgodniony przez Dostawcę i Klienta, przy czym Klient powinien zgłosić zamiar przeprowadzenia audytu co najmniej 30 dni przed jego proponowanym terminem, wysyłając wiadomość email na adres określony w § 10 ust. 5.2;
2.7 Dostawca zobowiązany jest do aktywnego udziału w audycie i odpowiedniej współpracy z Klientem i audytorem;
2.8 każda ze Stron pokrywa własne koszty związane z przeprowadzeniem audytu, przy czym Klient pokrywa każdorazowo wszystkie koszty audytora.
3. Klient może w każdym czasie wnioskować o wdrożenie nowych lub zmianę stosowanych przez Dostawcę środków technicznych i organizacyjnych, o których mowa w §5 ust. 5. W przypadku takiego żądania Klienta, o ile jest to zasadne i możliwe do zrealizowania bez zmiany organizacji lub naruszenia ciągłości działania przedsiębiorstwa Dostawcy lub jego podwykonawcy, Dostawca przedłoży Klientowi ofertę i strony ustalą w drodze negocjacji warunki zmiany lub wdrożenia nowych środków technicznych i organizacyjnych.
4. Klient jest uprawniony do wydania poleceń o których mowa w §3 powyżej.
5. Klient powinien korzystać z uprawnień określonych w niniejszym Załączniku w taki sposób by nie zakłócić wykonywania Umowy o korzystanie z Platformy APFINO oraz prowadzenia bieżącej działalności przez Dostawcę i jego podwykonawców.
§7 Oświadczenia i obowiązki Klienta
1. Klient oświadcza, że jest Administratorem Danych osobowych Klienta i gwarantuje, że są przez niego przetwarzane zgodnie z prawem.
2. Klient zobowiązuje do przestrzegania niniejszej Umowy Powierzenia oraz właściwych przepisów prawa mających zastosowanie do Przetwarzania danych osobowych, w szczególności zobowiązuje się do przestrzegania obowiązków Administratora wynikających z RODO.
3. Dostawca oświadcza, że jest pełnomocnikiem Comarch S.A. upoważnionym do odbioru od Klienta w imieniu Xxxxxxx S.A. poleceń o których mowa w §3 ust. 4 -5 oraz § 3 ust. 8.
§8 Podwykonawcy Dostawcy
1. Klient wyraża niniejszym zgodę na dalsze powierzenie Przetwarzania Danych osobowych Klienta w ramach usług zlecanych przez Dostawcę następującym podwykonawcom: Comarch S.A. z siedzibą w Krakowie oraz CA Consulting S.A..
2. Klient wyraża zgodę na dalsze powierzenie Przetwarzania Danych osobowych Klienta w ramach usług zlecanych przez Dostawcę innym podmiotom po uprzednim powiadomieniu Klienta o takim podwykonawcy z co najmniej 14-dniowym wyprzedzeniem poprzez wiadomość e-mail wysłaną na adres wskazany w §10 ust. 5.1 i pod warunkiem, że Klient nie zgłosi sprzeciwu wobec takiego podwykonawcy w terminie 7 dni od powiadomienia przez Dostawcę. Sprzeciw Klienta powinien zostać wysłany drogą mailową na adres wskazany w § 10 ust. 5.2.
3. Dostawca zobowiązuje się współpracować z takimi podwykonawcami, którzy zapewniają wdrożenie takich środków technicznych i organizacyjnych, aby Przetwarzanie odpowiadało wymogom RODO.
4. Dostawca zawrze z każdym podwykonawcą, który będzie przetwarzał Dane osobowe Klienta stosowną umowę, nakładającą na podwykonawcę odpowiednie obowiązki ochrony Danych osobowych.
5. Jeżeli podwykonawca Dostawcy nie wywiąże się ze spoczywających na nim obowiązków ochrony Danych osobowych Klienta, Dostawca ponosi wobec Klienta odpowiedzialność za niewypełnienie obowiązków przez podwykonawcę tak jak za własne działania i zaniechania.
§9 Odpowiedzialność
1. Klient odpowiada za prawidłowe wykonywanie obowiązków Administratora zgodnie z RODO, innymi właściwymi przepisami ochrony danych osobowych i Umową Powierzenia, jak również odpowiada za wszelkie działania i zaniechania Użytkownika Głównego Konta Firmowego jak za własne działania i zaniechania..
2. Dostawca odpowiada za prawidłowe wykonywanie obowiązków Podmiotu przetwarzającego zgodnie z RODO, innymi właściwymi przepisami ochrony danych osobowych i Umową Powierzenia.
3. Umowa Powierzenia stanowi integralną część Umowy o korzystanie z Platformy APFINO i jej naruszenie stanowi naruszenie Umowy o korzystanie z Platformy APFINO. W związku z tym, w zakresie dozwolonym przepisami prawa, odpowiedzialność każdej ze stron wobec drugiej strony, z tytułu naruszenia RODO, innych właściwych przepisów ochrony danych osobowych lub Umowy Powierzenia podlega wyłączeniu lub ograniczeniu zgodnie z postanowieniami Umowy o korzystanie z Platformy APFINO.
4. Odpowiedzialność Dostawcy za wykonanie polecenia Administratora, które jest niezgodne z RODO lub innymi przepisami o ochronie danych osobowych jest wyłączona.
5. Postanowienia §9 pozostają w mocy po rozwiązaniu lub wygaśnięciu Umowy o korzystanie z Platformy APFINO.
§10 Postanowienia końcowe
1. Umowa powierzenia wchodzi w życie ze skutkiem od dnia wejścia w życie Umowy o korzystanie z Platformy APFINO, stanowi integralną część Umowy o korzystanie z Platformy APFINO i zostaje zawarta na okres wykonywania Umowy o korzystanie z Platformy APFINO.
2. Rozwiązanie lub wygaśniecie Umowy o korzystanie z Platformy APFINO skutkuje odpowiednio rozwiązaniem lub wygaśnięciem Umowy powierzenia bez potrzeby składania dodatkowych oświadczeń. Rozwiązanie Umowy powierzenia przed upływem okresu na jaki została zawarta Umowa o korzystanie z Platformy APFINO bez jednoczesnego rozwiązania Umowy o korzystanie z Platformy APFINO jest wyłączone.
3. Przeniesienie praw i obowiązków wynikających z niniejszej Umowy powierzenia jest dopuszczalne na takich samych warunkach jakie określa Umowa o korzystanie z Platformy APFINO dla zmiany strony Umowy o korzystanie z Platformy APFINO.
4. Przetwarzanie danych osobowych będzie wykonywane wyłącznie na terytorium Unii Europejskiej. Przekazanie przez Dostawcę Danych osobowych Klienta do państwa trzeciego wymaga uprzedniej zgody Klienta w formie pisemnej lub dokumentowej, chyba że obowiązek taki nakłada na niego prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W
takim przypadku przed rozpoczęciem Przetwarzania Dostawca informuje Klienta o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
5. Adresy korespondencyjne Stron :
5.1 Klient : adres Klienta ujawniony w rejestrze przedsiębiorców Krajowego Rejestru Sądowego; e- mail Użytkownika Głównego Konta Firmowego podany na Platformie APFINO przy zakładaniu Konta Firmowego ,e-mail będący loginem Użytkownika Głównego Konta Firmowego.
5.2 Dostawca: ul. Profesora Xxxxxxx Xxxxxxxxxxxxx 23, 31 – 864 Kraków, kontakt@finance- xxxxxxx.xxx
6. Integralną część Umowy powierzenia stanowi Załącznik „Standardowe środki techniczne i organizacyjne”.
Załącznik nr 1„Standardowe środki techniczne i organizacyjne
Załącznik - Standardowe środki techniczne i organizacyjne (wersja obowiązująca od 25 maja 2018 r.)
Niniejszy załącznik przedstawia ogólny opis standardowych środków technicznych i organizacyjnych stosowanych przy świadczeniu dla klientów usług związanych z przetwarzaniem danych osobowych. Umowa główna może określać dodatkowe lub inne środki techniczne i organizacyjne uzgodnione przez Strony i w tym zakresie postanowienia Umowy głównej będą miały pierwszeństwo przed postanowieniami niniejszego załącznika.
I. Środki organizacyjne - Procedury i polityki obowiązujące w grupie Comarch
1. W spółkach z grupy Comarch wdrażane są niezbędne procedury i polityki służące x.xx. zapewnieniu bezpieczeństwa, poufności, integralności i dostępności danych klientów (w tym danych osobowych, w stosunku do których administratorami są klienci), do których w ramach świadczonych usług uzyskują dostęp pracownicy lub współpracownicy spółek z grupy Comarch.
2. Spółka Comarch S.A. posiada certyfikat ISO 27001 i wdrożyła procedury i powiązane z nimi instrukcje określające w szczególności:
a) Politykę bezpieczeństwa
b) Politykę zarządzania siecią informatyczną Comarch
c) Zasady administracji systemami i aplikacjami
d) Zasady przebywania na terenie Comarch i dostępu do pomieszczeń Comarch
e) Zasady użytkowania aktywów i wynoszenie sprzętu
f) Zasady zabezpieczenia komputerów osobistych
g) Zasady korzystania z nośników informacji
h) Zasady dostępu zdalnego
i) Zasady bezpieczeństwa poczty elektronicznej
j) Politykę haseł
k) Politykę ciągłości działania
l) Politykę antywirusową
3. W pozostałych spółkach z grupy Comarch wdraża się niezbędne procedury i polityki co do zasady oparte na procedurach obowiązujących w głównej spółce w grupie, w zakresie uwzględniającym specyfikę i działalność tych spółek.
4. Wdrażane są ponadto dedykowane procedury służące zapewnieniu prawidłowego wykonania wynikających z RODO obowiązków spółek Comarch jako administratorów oraz obowiązków spółek Comarch jako podmiotów przetwarzających (w stosunku do danych klientów).
5. Spółki z grupy Comarch współpracują w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych, zapewniając tym samym odpowiedni standard bezpieczeństwa dla klientów grupy Comarch.
II. Środki techniczne i organizacyjne – kontrola dostępu
1. W spółkach z grupy Comarch wdrażane są odpowiednie środki techniczne i organizacyjne zapewniające ograniczenie dostępu do budynków, systemów, środowisk i zbiorów danych wyłącznie dla osób upoważnionych.
2. W budynkach Comarch wydzielane są strefy publicznie dostępne oraz strefy z dostępem zastrzeżonym dla osób upoważnionych.
3. Pracownicy lub współpracownicy korzystają z kart dostępowych lub stosowane są inne metody kontroli fizycznego dostępu do nieruchomości, budynków lub pomieszczeń Comarch, zapewniające kontrolę dostępu poszczególnych osób odpowiednią do zakresu ich uprawnień.
4. Nadawanie uprawnień poszczególnym pracownikom lub współpracownikom w zakresie dostępu do systemów wewnętrznych Comarch oraz środowisk klienta podlega procedurze umożliwiającej kilkustopniową weryfikację wniosku o nadanie uprawnień.
5. Dostęp do systemów wewnętrznych i środowisk oraz danych klientów możliwy jest tylko dla upoważnionych pracowników lub współpracowników po zalogowaniu na indywidualne konto i przy użyciu indywidualnego hasła zgodnego z Polityką haseł.
6. Zdalny dostęp pracowników lub współpracowników do sieci grupy Comarch i późniejsza wymiana informacji odbywają się po uwierzytelnieniu przy wykorzystaniu bezpiecznych mechanizmów, zapewniających poufność i integralność (np. VPN IPSec).
7. W celu zapewnienia bezpieczeństwa, tam gdzie jest to uzasadnione oraz zgodne z prawem, Comarch stosuje monitoring i współpracuje z firmami ochroniarskimi.
III. Środki techniczne i organizacyjne – Comarch Data Center
1. Comarch oferuje klientom korzystanie z Comarch Data Center, tj. data center zarządzanych przez jedną ze spółek z grupy Comarch.
2. Comarch Data Center bazuje na praktykach ITIL v3. w zakresie następujących procesów: zarządzanie zmianą (change management), zarządzanie incydentem (incident management), zarządzanie problemem (problem management), service level management oraz zarządzanie konfiguracją (configuration management). Ponadto, wdrożone są odpowiednie procesy w zakresie : zarządzania aktualizacjami i łatkami (patch management), zarządzanie ryzykiem, procedury backupowe i odtworzeniowe, zarządzanie ciągłością biznesu (business continuity management), raportowania, DRP, przeglądów logów oraz przeglądy dostępów i uprawnień.
3. Backup systemów wewnętrznych podlega centralnemu systemowi backupów zgodnie z Procedurą Backup serwerów.
4. Backup systemów klientów oraz backup danych klientów podlegają zasadom określonym w umowach z klientami. Standardowe procedury Comarch Data Center przewidują maksymalny okres retencji backupów do 3 miesięcy), przy czym okres retencji może zostać wydłużony na żądanie klienta zgodnie z postanowieniami Umowy Głównej.
5. Wstęp do Comarch Data Center mają jedynie inżynierowie Comarch Data Center oraz działy bezpieczeństwa. Inne osoby mogą przebywać na terenie Comarch Data Center tylko w uzasadnionych przypadkach oraz wyłącznie w obecności przedstawiciela Comarch. Dostęp do poszczególnych pomieszczeń na terenie Comarch Data Center może podlegać dalszym ograniczeniom.
6. Stosowana jest logiczna bądź fizyczna separacja środowisk poszczególnych Klientów (VLANy, VMy itp.)
7. Do poszczególnych środowisk mają dostęp jedynie pracownicy lub współpracownicy odpowiedzialni za obsługę poszczególnych klientów i ich działania na systemach klientów są logowane.
8. Wymogowi „segregation of duties” podlegają również inżynierowie Comarch Data Center. W związku z tym , tworzone są dedykowane zespoły dla:
a) systemów Linux/Unix,
b) systemów Windows,
c) baz danych,
d) systemów FireWall (wewnętrznych) oraz Load Balancerów.
e) infrastruktury sieciowej w Data Center oraz FireWalli zewnętrznych
9. Każdy ośrodek Data Center wyposażony jest w dwie linie klastrów systemów FireWall od dwóch czołowych, niezależnych producentów.
a) Klaster zewnętrzny chroniący dostępu do DMZ,
b) Klaster wewnętrzny kontrolujący przepływy danych pomiędzy DMZ a strefą Bazodanową.
10. W Comarch Data Center stosuje się kilka niezależnych łączy internetowych dywersyfikując media ( np. miedź, światło, radio, uruchomiony protokół BGP).
11. Komunikacja pomiędzy siecią Klienta a Comarch Data Center jest szyfrowana (np. IPSec, SSL VPN).
12. Comarch Data Center stosuje:
a) niezależne i redundantne obiegi klimatyzacji z jednym aktywnym obiegiem;
b) redundantne linie energetycznie z jedną aktywną ścieżką;
c) systemy zasilania awaryjnego (UPS’y lub generatory prądotwórcze);
d) wielostrefową ochronę przeciwpożarową;
e) system gaśniczy oparty o gaz neutralny lub gaz chemiczny;
f) alarm przeciwpożarowy oraz automatyczna notyfikacja.
13. W przypadku decyzji Klienta o wyborze innego data center, stosowane środki techniczne i organizacyjne określa wybrany dostawca usług. W przypadku, gdy Comarch korzysta z podwykonawcy w zakresie świadczenia usług hostingowych dla Klienta, podwykonawca zobowiązany jest do wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO oraz Umowy powierzenia zawartej przez Comarch z Klientem.
IV. Zarządzanie incydentami bezpieczeństwa
W Comarch wdrożono procedurę zarządzania incydentami naruszenia bezpieczeństwa i nałożono na wszystkich pracowników obowiązek zgłaszania wszelkiego rodzaju incydentów naruszenia bezpieczeństwa, w tym incydentów dotyczących naruszenia ochrony danych osobowych.
V. Szkolenia i audyty
1. W Comarch wdrożono procedurę zapewniającą okresowe szkolenia pracowników z zakresu obowiązującej polityki i procedur bezpieczeństwa oraz przepisów i procedur dotyczących ochrony danych osobowych.
2. Audyty bezpieczeństwa systemów wewnętrznych grupy Comarch przeprowadzane są okresowo przez Dział Bezpieczeństwa Wewnętrznego Comarch S.A.
3. Comarch S.A. okresowo przechodzi audyty realizowane przez jednostki certyfikujące.
4. Audyty systemów klientów podlegają zasadom określonym w umowach z klientami. Comarch współpracuje z klientami w zakresie kontroli i audytów przeprowadzanych przez klientów lub wyznaczonych audytorów zewnętrznych w zakresie uzgodnionym przez strony w umowie, przy zachowaniu procedur bezpieczeństwa obowiązujących w grupie Comarch oraz przy uwzględnieniu tajemnicy przedsiębiorstwa oraz obowiązku zachowania w poufności danych i warunków współpracy z innymi klientami.