DEFINICJE
Umowa o powierzenie przetwarzania danych osobowych przez
Zarejestrowanego Użytkownika Właścicielowi Strony Internetowej
DEFINICJE
1. Administrator – Zarejestrowany Użytkownik w rozumieniu Regulaminu Strony Internetowej xxxxx://xxx.XxxxXxxxxxx.xxx, do którego niniejszy dokument jest załącznikiem;
2. Podmiot Przetwarzający lub PP – Właściciel Strony Internetowej w rozumieniu Regulaminu Strony Internetowej xxxxx://xxx.XxxxXxxxxxx.xxx, do którego niniejszy dokument jest załącznikiem;
3. Umowa – umowa powierzenia przetwarzania danych osobowych regulowana niniejszym dokumentem.
Pozostałe pojęcia pisane wielką literą mają znaczenie nadane im treścią Regulaminu Strony Internetowej xxxxx://xxx.XxxxXxxxxxx.xxx.
§1
1. Administrator oświadcza, że jest administratorem danych osobowych Gości, na które składają się dane w zakresie wskazanym w załączniku A poniżej (dalej jako Dane osobowe).
2. Strony oświadczają, że zawarły umowę na korzystanie ze Strony Internetowej (dalej jako Umowa współpracy). Wykonanie Umowy współpracy przez PP wymaga przetwarzania Danych osobowych administrowanych przez Administratora.
3. Na podstawie niniejszej umowy Administrator powierza PP przetwarzanie Danych osobowych, w rozumieniu ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej jako RODO), w zakresie określonym w załączniku A poniżej oraz ściśle i wyłącznie w celu wykonania Umowy współpracy.
4. PP oświadcza, że zna i realizuje przepisy RODO, a także zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
5. PP upoważniony jest do wykonywania operacji przetwarzania Danych osobowych wskazanych w
załączniku B poniżej.
6. PP nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody Administratora. W przypadku ogólnej pisemnej zgody PP informuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających na co najmniej 21 dni przed planowanym dniem rozpoczęcia przetwarzania przez inny podmiot przetwarzający. Brak wyraźnego stanowiska Administratora w tym terminie oznacza brak zgody Administratora na posłużenie się przez PP innym podmiotem przetwarzającym.
7. Po uzyskaniu stosownej zgody Administratora opisanej w ust.6 powyżej PP uprawniony jest do skorzystania z usług innego podmiotu przetwarzającego pod warunkiem zawarcia z tym
podmiotem umowy powierzenia przetwarzania Danych osobowych na zasadach nie mniej restrykcyjnych niż niniejsza Umowa oraz przepisy RODO.
8. Jeżeli do wykonania w imieniu Administratora konkretnych czynności przetwarzania PP korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają te same obowiązki ochrony danych jak w niniejszej Umowie, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na PP.
9. PP zapewnia Administratorowi efektywne wykonywanie uprawnień Administratora wynikających z niniejszej Umowy, przepisów RODO, innych przepisów prawa UE, prawa państwa członkowskiego, któremu podlega PP lub ten podmiot oraz prawa polskiego, względem podmiotu przetwarzającego, którym posługuje się PP, a także efektywne egzekwowanie obowiązków wynikających z w/w źródeł prawa i Umowy.
10. Niniejszym PP informuje Administratora, że korzysta z usług dalszych podmiotów przetwarzających przetwarzając powierzone przez Administratora PP dane osobowe Gości. Administrator wyraża zgodę na powyższe.
11. Od września 2021 wdrożyliśmy nowe standardowe klauzule umowne (SCC 2021) w związku z naszą umową z Amazonem. Więcej informacji na ten temat na stronie xxxxx://xxx.xxxxxx.xxx/xxxxx/xxxxxxxx/xxx-xxxxxxxx-xxxxxxxxxxx-xxxxxxx-xxx-xxxx-xx-xxx- aws-gdpr-data-processing-addendum-for-customers/
12. Ponadto Komisja Europejska i Stany Zjednoczone Ameryki osiągnęły porozumienie co do zasady w sprawie nowych Transatlantyckich Ram Prywatności Danych, które ułatwią przepływ danych i zajmą się decyzją Schrems II z lipca 2020 r. Więcej informacji na stronie https:// xx.xxxxxx.xx/xxxxxxxxxx/xxxxxxxxxxx/xxxxxx/xx/xx_00_0000
13. Administrator jest wyłącznie odpowiedzialny za:
1) spełnienie wszelkich obowiązków wynikających z przepisów prawa ochrony danych osobowych właściwych dla Administratora, w szczególności wobec osób, których przetwarzanie danych powierza PP;
2) za dobór zakresu danych osobowych, które przetwarza, zdefiniowanie celu i sposobów ich przetwarzania.
Wszelkie konsekwencje niewykonania obowiązków opisanych powyżej przez Administratora obciążają wyłącznie Administratora, w tym w kontekście odpowiedzialności regresowej wobec PP.
§2
1. PP zobowiązuje się i zapewnia, że nie będzie przetwarzał Danych osobowych w celach i zakresie innych niż przewidziane w niniejszej Umowie, z zastrzeżeniem ust. 4 pkt 1) poniżej.
2. PP zobowiązuje się do przetwarzania Danych osobowych, a także do udzielenia asysty w wykonywaniu oraz do wykonywania jako takiego, wszelkich obowiązków dotyczących Administratora, zgodnie z powszechnie obowiązującymi przepisami prawa w zakresie ochrony danych osobowych, w szczególności z przepisami RODO, innymi przepisami Unii Europejskiej (UE) oraz prawa polskiego.
3. PP ma w szczególności następujące obowiązki i stosuje się do następujących zasad:
PP przetwarza Dane osobowe wyłącznie na udokumentowane polecenie Administratora – co dotyczy też przekazywania Danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo UE lub prawo państwa członkowskiego, któremu podlega PP; w takim przypadku na co najmniej 21 dni przed rozpoczęciem takiego przetwarzania PP informuje Administratora w formie pisemnej o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
1) PP zapewnia, by osoby upoważnione do przetwarzania Danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
2) PP podejmuje wszelkie środki wymagane na mocy art. 30, 32, 35 oraz 36 RODO, informując o
wynikach na bieżąco Administratora, przy czym wynik analizy, o której mowa w art. 32, 35 oraz
36 RODO zostanie przekazany Administratorowi po raz pierwszy przed rozpoczęciem przetwarzania Danych osobowych;
3) PP przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których
mowa w §1 ust.6 – 9 powyżej;
4) PP biorąc pod uwagę charakter przetwarzania zapewnia Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązanie się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO;
5) PP uwzględniając charakter przetwarzania oraz dostępne mu informacje zapewnia Administratorowi wywiązanie się z obowiązków określonych w art. 30–36 RODO;
6) PP przekazuje Administratorowi wszelkie wnioski i inną komunikację pochodzącą od osoby, której Dane osobowe dotyczą w terminie 12 godzin od momentu ich otrzymania, elektronicznie na adres kontaktowy Zarejestrowanego Użytkownika, zaś oryginały dokumentów w terminie 3 dni pocztą na adres siedziby Administratora;
7) PP odpowiada wyczerpująco na każde zapytanie Administratora związane z wykonywaniem niniejszej Umowy przesyłając dowody na treść odpowiedzi, w terminie 3 dni od dnia doręczenia zapytania na piśmie albo przesłania przez Administratora zapytania elektronicznie na adres e-mail xxxxxxx@xxxxxxxxxxx.xxx;
8) PP po rozwiązaniu lub wygaśnięciu niniejszej Umowy, a także wcześniej na każde żądanie Administratora, zaprzestaje przetwarzania Danych osobowych oraz zależnie od decyzji Administratora usuwa lub zwraca Administratorowi wszelkie Dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo UE, prawo państwa członkowskiego, któremu podlega PP lub prawo polskie nakazują przechowywanie Danych osobowych;
9) PP udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwia Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji, w każdym czasie i bez ostrzeżenia, a także przyczynia się do ich przeprowadzenia w efektywny sposób.
W związku z obowiązkiem określonym w akapicie powyżej PP niezwłocznie informuje Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie przepisów RODO lub innych przepisów UE, prawa państwa członkowskiego, któremu podlega PP lub
prawa polskiego, o ochronie danych osobowych.
4. PP nadto jest zobowiązany do:
1) wykonywania instrukcji i wskazań Administratora dotyczących zakresu, celów i środków przetwarzania Danych osobowych;
2) stosowania środków technicznych i organizacyjnych zapewniających pełną ochronę przetwarzanych Danych osobowych, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem;
3) dopuszczania przetwarzania Danych osobowych, do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład, służących do przetwarzania danych, wyłącznie osób posiadających upoważnienie do przetwarzania Danych osobowych wydane przez PP;
4) prowadzenia ewidencji osób zatrudnionych przy przetwarzaniu Danych osobowych.
5. PP zobowiązuje się do niezwłocznego poinformowania Administratora o każdym przypadku naruszenia ochrony powierzonych Danych osobowych elektronicznie na adres kontaktowy Zarejestrowanego Użytkownika, nie później niż w terminie 12 godzin od chwili uzyskania informacji o naruszeniu. Zgłoszenie naruszenia ochrony danych musi co najmniej:
1) opisywać charakter naruszenia ochrony Danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów Danych osobowych, których dotyczy naruszenie;
2) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
3) opisywać możliwe konsekwencje naruszenia ochrony Danych osobowych;
4) opisywać środki zastosowane lub proponowane przez PP w celu zaradzenia naruszeniu ochrony Danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
6. PP jest zobowiązany do dokumentowania wszelkich okoliczności i zebrania wszelkich dowodów, które pomogą Administratorowi wyjaśnić okoliczności naruszenia opisanego w ust.5 powyżej, w tym jego charakter, skalę, skutki, czas zdarzenia, osoby odpowiedzialne, osoby poszkodowane etc. PP prowadzi rejestr incydentów, w którym dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
§3
1. PP zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli, audytów i inspekcji w terminie wskazanym przez Administratora danych nie dłuższym niż 7 dni od dnia takiego wskazania.
2. PP udostępnia Administratorowi na koszt własny wszelkie informacje niezbędne do wykazania spełnienia obowiązków nałożonych przepisami prawa na Administratorów, w terminach umożliwiających wywiązanie się Administratora z takich obowiązków.
§4
1. PP ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się z obowiązków ochrony danych, w tym spoczywających na podmiocie przetwarzającym, z którego usług korzysta PP w wykonaniu niniejszej Umowy. PP jest odpowiedzialny w szczególności za udostępnienie lub wykorzystanie Danych osobowych niezgodnie z treścią Umowy, a w szczególności za udostępnienie powierzonych do przetwarzania Danych osobowych osobom nieupoważnionym.
2. PP zobowiązuje się do niezwłocznego, nie później niż w terminie 3 dni od dnia dalej opisanego zdarzenia, poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez PP Danych osobowych, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania Danych osobowych skierowanych do PP, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania Danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez organ nadzoru.
3. PP ma obowiązek na bieżąco dokumentować procesy przetwarzania Danych osobowych oraz fakt, zakres i przesłanki obranego sposobu, wywiązywania się z obowiązków nałożonych postanowieniami niniejszej Umowy, przepisami RODO, innymi przepisami prawa UE, prawa państwa członkowskiego, któremu podlega PP oraz prawa polskiego, w zakresie ochrony danych osobowych. Efekt wykonywania obowiązków dokumentowania, opisanych w zdaniu poprzednim, PP przekazuje na każde żądanie Administratorowi, w formie pisemnej lub elektronicznej, wedle wskazania Administratora, w terminie 3 dni dnia wystosowania przez Administratora stosownego żądania.
§5
1. PP zobowiązuje się do zachowania w ścisłej tajemnicy wszelkich informacji, danych, materiałów, dokumentów i Danych osobowych otrzymanych od Administratora oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej, jeżeli mają związek z przetwarzaniem Danych osobowych powierzonych przez Administratora („dane poufne”).
2. PP oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.
3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych w tym w szczególności Danych osobowych
powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do
zapoznania się z ich treścią.
§6
Umowa niniejsza zawarta została na czas niezbędny do wykonania zawartej przez Strony Umowy współpracy i wygasa wraz z rozwiązaniem lub wygaśnięciem Umowy współpracy. W każdym wypadku Umowa niniejsza obowiązuje nie dłużej niż do dnia, w którym cel przetwarzania opisany w §1 ust.3 powyżej zostanie osiągnięty.
§7
1. Umowa stanowi integralną część Umowy współpracy jako jej załącznik.
2. W kwestiach nieuregulowanych postanowieniami niniejszej umowy zastosowanie mają powszechnie obowiązujące przepisy prawa polskiego, w tym RODO.
Załącznik A
ZAKRES DANYCH OSOBOWYCH GOŚCI
1) Email;
2) Adres strony WWW Prezentera;
3) Nickname;
4) Hasło;
5) Imię i Nazwisko;
6) Numer telefonu
7) Kraj,
8) Stanowisko i Nazwa firm;
9) Strefa czasowa;
10) Zdjęcie (avatar);
11) Notka informacyjna;
12) Adres IP;
13) System Operacyjny;
14) Nazwa i wersja Przeglądarki;
15) Rodzaj urządzenia;
16) Data i godzina wejścia i wyjścia na/ze spotkania;
17) Rola uczestnika spotkania;
18) Aktywność zakładki okna przeglądarki;
19) Nawiązywanie połączenia;
20) Zestawienie połączenia;
21) Problem z połączeniem;
22) Odpowiedzi na pytania;
23) Akcja potwierdzająca uczestniczenie w spotkaniu i jej brak;
24) Rozpoczęcie i zakończenie transmisji;
25) Nawiązywanie połączenia i jego zestawianie;
26) Problem z połączeniem;
27) Uruchomienie odtwarzania filmu;
28) Zatrzymanie odtwarzania filmu;
29) Zmiana pozycji odtwarzania;
30) Zakończenie odtwarzania filmu;
31) Uruchomienie pokazu slajdów;
32) Zmiana slajdu;
33) Zakończenie pokazu slajdów;
34) Uruchomienie przeglądarki plików.
Załącznik B
OPERACJE PRZETWARZANIA DANYCH OSOBOWYCH
1) Zbieranie za pośrednictwem sieci Internet;
2) Przechowywanie;
3) Przesyłanie w formie elektronicznej do Administratora;
4) Analiza i deduplikacja;