UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Załącznik nr 2 do Regulaminu Świadczenia Usługi “SYSTEM TAXI”

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Niniejsza umowa powierzenia przetwarzania danych osobowych (zwana dalej „ Umową”) stanowi integralną część umowy zawartej pomiędzy KOMBOTECH Xxxxxxx Xxxxxxxxxx a Usługoborcą (zwanej dalej „Umową główną”), obowiązującej na podstawie akceptacji Regulaminu świadczenia usługi dostępu do oprogramowania Systemu „KOMBO System Taxi”.

Umowa zostaje zawarta pomiędzy Usługobiorcą pełniącym funkcję Administratora Danych Osobowych (zwanym dalej „Administratorem”) oraz KOMBOTECH Xxxxxxx Xxxxxxxxxx będącym podmiotem przetwarzającym dane osobowe (zwanym dalej „Przetwarzającym”) w celu realizacji Umowy głównej.

Umowa zostaje zawarta drogą elektroniczną poprzez akceptację warunków Umowy w formularzu zamówienia Usługi.

Niniejsza Umowa powierzenia i inne postanowienia Umowy głównej są komplementarne. Niemniej jednak, w przypadku niezgodności pomiędzy nimi, zastosowanie będzie miała niniejsza Umowa. Terminy rozpoczynające się z wielkiej litery, które nie zostały zdefiniowane w niniejszej Umowie, należy rozumieć tak, jak zostały one zdefiniowane w Umowie głównej.

§ 1 Postanowienia ogólne

1. Administrator oświadcza, że posiada status administratora danych osobowych w rozumieniu Rozporządzanie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej nazywanego RODO, w odniesieniu do danych powierzanych Przetwarzającemu („Dane”).

2. W oparciu o Umowę, tj. na zasadach oraz w zakresie w niej wskazanych, Administrator powierza Przetwarzającemu do przetwarzania Dane, a Przetwarzający zobowiązuje się do przetwarzania Danych w granicach określonych Umową oraz powszechnie obowiązującymi przepisami prawa.

3. Przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora. Dla uniknięcia wątpliwości Strony wskazują, że Umowa stanowi wystarczające polecenie do przetwarzania danych przez Przetwarzającego.

§ 2 Zakres i cel przetwarzania danych

1. Przetwarzanie Danych przez Przetwarzającego będzie następować wyłącznie w związku z realizacją Umowy głównej.

2. Na podstawie Umowy Przetwarzający będzie przetwarzał tzw. dane zwykłe, tj. nie podlegające dodatkowym regulacjom.

3. Przetwarzający będzie przetwarzać dane wprowadzone przez Administratora w związku z prowadzoną przez niego działalnością takie jak:

a) Dane klientów Administratora, w szczególności takie dane jak:

1. Imię i nazwisko klienta,

2. Dane na temat prowadzonej działalności gospodarczej,

3. Adres zamieszkania klienta,

4. Numery telefonów klienta,

5. Adres e-mail klienta,

6. Informacje o zgodzie na kontakt marketingowy,

7. Informacje na temat składanych przez klienta zamówień,

8. Pozostałe dane do zbierania, których Administrator jest prawnie zobowiązany w związku ze świadczeniem usług.

b) dane taksówkarzy pracujących dla Administratora, w szczególności takie jak:

1. Imię i nazwisko taksówkarza,

2. Adres zamieszkania taksówkarza,

3. Dane na temat prowadzonej działalności gospodarczej,

4. Adres e-mail taksówkarza,

5. Identyfikator taksówkarza,

6. Numer licencji taksówkarza,

7. Numer rejestracyjny, marka, kolor oraz pozostałe informacje dotyczące pojazdu taksówkarza,

8. Dane o przyznanych taksówkarzowi pozwoleniach, ich numerach oraz okresie ich ważności,

9. Pozostałe dane do zbierania, których Administrator jest prawnie zobowiązany w związku ze świadczeniem usług.

c) oraz dane osób pracujących na rzecz Administratora w charakterze dyspozytorów/ek w związku z wykonywaną przez nich pracą/świadczonymi usługami m. in. takie jak:

1. Imię nazwisko,

2. Adres e-mail,

3. Adres zamieszkania.

4. Przetwarzający przetwarza dane osobowe w celu świadczenia usług objętych Umową główną.

5. W celu realizacji Umowy głównej, Przetwarzający może powierzyć dane wymienione w § 2 Umowy wybranym przez Przetwarzającego dostawcom usług Data Center (między innymi: serwerownia, usługi hostingowe, usługi kolokacji oraz usługi dzierżawy serwerów), na co Administrator wyraża zgodę.

6. Na dzień zawarcia umowy Przetwarzający powierza dane następującym dostawcom usług Data Center, na co Administrator wyraża zgodę::

a) OVH Sp. z o.o. ul. Xxxxxxx 0 lok. 1, 54-402, Nr KRS 0000220286, REGON 933029040,

NIP 000-00-00-000

b) Sprint S.A., ul. Jagiellończyka 26, 10-062, NR KRS 0000372363, NIP 000-000-00-00

§ 3 Oświadczenia i zapewnienia

1. Administrator oświadcza, że posiada podstawy prawne do przetwarzania Danych, a powierzenie Danych Przetwarzającemu do przetwarzania nie naruszy praw osób trzecich.

2. Przetwarzający zapewnia, że osoby upoważnione przez niego do przetwarzania Danych będą zobowiązane do zachowania ich w tajemnicy lub będą podlegały odpowiedniemu ustawowemu obowiązkowi zachowania ich w tajemnicy.

3. Przetwarzający podejmuje wszelkie środku wymagane przez właściwe przepisy prawa, a przede wszystkim - w wynikające z art. 32 RODO zgodnie, z którym Przetwarzający wdraża odpowiednie środki techniczne oraz organizacyjne uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

4. Administrator akceptuje środki podjęte przez Przetwarzającego, o jakich mowa w ust. 3 jako wystarczające.

§ 4 Sposób wykonania umowy w zakresie przetwarzania danych osobowych

1. Przy przetwarzaniu Danych Przetwarzający zobowiązuje się wdrożyć wszelkie środki wymagane przez RODO, w tym odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa przetwarzania danych osobowych odpowiadający ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Wdrażając odpowiednie środki Przetwarzający uwzględni stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko, o którym mowa w zdaniu poprzednim.

2. Biorąc pod uwagę charakter przetwarzania, Przetwarzający w miarę możliwości pomoże Administratorowi, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw, określonych w rozdziale III RODO.

3. Uwzględniając charakter przetwarzania oraz dostępne mu informacje, Przetwarzający pomoże Administratorowi wywiązać się z obowiązków określonych w art. 32-36 RODO.

4. Przetwarzający może skorzystać z usług innego podmiotu przetwarzającego (zwanego dalej

„Kolejnym przetwarzającym”), tylko za uprzednią szczegółową lub ogólną pisemną zgodą Administratora. W przypadku ogólnej pisemnej zgody, Przetwarzający poinformuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych Kolejnych Przetwarzających dając tym samym Administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.

5. W umowie z Kolejnym Przetwarzającym, Przetwarzający zobowiąże go do przestrzegania tych samych obowiązków ochrony danych, które w Umowie zostały nałożone na Przetwarzającego. Obowiązki te obejmować będą w szczególności zapewnienie wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO.

6. Zmiana w zakresie Kolejnego przetwarzającego nie stanowi zmiany niniejszej Umowy.

7. Przetwarzający udostępni Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwia Administratorowi lub upoważnionemu przez Administratora audytorowi przeprowadzenie audytów, w tym inspekcji i przyczynia się do nich. Termin audytu musi zostać zgodnie ustalony przez Strony co najmniej na 30 dni przed planowanym audytem.

8. Wszelkie koszty przeprowadzenia audytów, w tym wynikłe po stronie Przetwarzającego, ponosi Administrator .

9. W związku z obowiązkiem określonym w ust. 7, Przetwarzający niezwłocznie poinformuje Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów prawa Unii Europejskiej lub polskich przepisów prawa powszechnie obowiązującego, dotyczących ochrony danych.

§ 5 Czas obowiązywania umowy powierzenia

1. Mając na uwadze to, że Umowa jest ściśle związana z Umową główną Umowa ulega rozwiązaniu z chwilą rozwiązania Umowy głównej.

2. Przetwarzanie Danych następuje w czasie obowiązywania Umowy.

3. Z chwilą rozwiązania Umowy, Przetwarzający usunie lub zwróci Administratorowi (w zależności od decyzji Administratora) wszelkie dane osobowe oraz usunie wszelkie ich istniejące kopie, chyba że prawo Unii Europejskiej lub polskie przepisy prawa powszechnie obowiązującego nakazują przechowywanie danych osobowych. Dane zostaną usunięte w ciągu 14 dni od rozwiązania umowy.

§ 6 Postanowienia końcowe

1. Wszelkie spory wynikłe w związku z Umową będą rozwiązywane przez sąd właściwy dla siedziby Przetwarzającego.

2. W kwestiach nieuregulowanych w niniejszej Umowie zastosowanie mają powszechnie obowiązujące przepisy prawa polskiego, jak również postanowienia Umowy głównej (x.xx. w zakresie odpowiedzialności Przetwarzającego).