OGÓLNE WARUNKI
OGÓLNE WARUNKI
dotyczące powierzania i przetwarzania danych osobowych
OWODO mają zastosowanie, o ile relacje handlowe, faktyczne i/lub prawne pomiędzy Administratorem danych, a spółką pod firmą Hellmann Worldwide Logistics Polska Spółka z ograniczoną odpowiedzialnością sp.k. z siedzibą w Raszynie (05-090) przy xx. Xxxxxxxxxxxx 00, wpisaną pod numerem KRS 0000344496 w Rejestrze Przedsiębiorców KRS prowadzonym przez Sąd Rejonowy dla x.xx. Warszawy, XIV Wydział Gospodarczy Krajowego Rejestru Sądowego (dalej „HWL”) działającą jako przetwarzający dane osobowe przewidują powierzanie i/lub przetwarzanie danych osobowych, których administratorem jest Administrator danych. W przypadku sprzeczności OWODO i Umowy głównej stosuje się postanowienia OWODO.
1. DEFINICJE:
1.1. „Administrator danych”- przedsiębiorca zlecający HWL świadczenie usług znajdujących się w ofercie
handlowej HWL,
1.2. „Dane Osobowe”- informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”), tj. takiej, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie cechy takiej jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jednej bądź kilku cech określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej,
1.3. „EOG”- Europejski Obszar Gospodarczy,
1.4. „Przetwarzający”- HWL będący kontrahentem Administratora danych, do którego mają zastosowanie
OWODO, który przetwarza dane osobowe na zlecenie Administratora danych,
1.5. „Przetwarzanie”- oznacza operację lub zestaw operacji wykonywanych na Danych Osobowych lub zestawach Danych Osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie,
1.6. „PUODO”- Prezes Urzędu Ochrony Danych Osobowych,
1.7. „RODO”- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),
1.8. „OWODO”- niniejsze warunki powierzenia i przetwarzania Danych Osobowych,
1.9. „Umowa główna”- umowa, relacje handlowe, faktyczne i/lub prawne pomiędzy Administratorem danych, na podstawie których Przetwarzający świadczy na rzecz Administratora danych usługi opisane w Umowie głównej.
2. POSTANOWIENIA OGÓLNE
2.1. Administrator danych powierza Przetwarzającemu, a Przetwarzający przyjmuje do przetwarzania Dane Osobowe zgodnie z OWODO.
2.2. Przetwarzający zobowiązuje się przetwarzać Dane Osobowe wyłącznie w celu i zakresie wskazanym w OWODO.
2.3. O ile Umowa główna nie stanowi inaczej, OWODO stosuje się przez czas obowiązywania Umowy głównej.
2.4. Administrator danych może wypowiedzieć OWODO, w każdym czasie, ze skutkiem natychmiastowym w przypadku naruszenia przez Przetwarzającego zasad ochrony Danych Osobowych lub powszechnie obowiązujących przepisach prawa lub otrzymania od organu ochrony danych osobowych żądania zaprzestania udostępniania danych osobowych Przetwarzającemu.
3. POSTANOWIENIA SZCZEGÓŁOWE
3.1. Zakres, rodzaj i cel zbierania, przetwarzanie i/lub używanie Danych Osobowych
3.1.1. Przetwarzający jest upoważniony do przetwarzania Danych Osobowych wyłącznie w celach i w
związku z wykonywaniem Umowy głównej i/lub w zakresie wskazanym w OWODO.
3.1.2. Przetwarzający jest upoważniony do przetwarzania Danych Osobowych w zakresie czynności
opisanych w Umowie głównej.
3.1.3. Dane Osobowe mogą być przetwarzane wyłącznie na terenie Polski, Państwa Członkowskiego Unii Europejskiej (UE) albo na terenie sygnatariusza Porozumienia EOG. Jakiekolwiek przekazanie danych do państw trzecich (państw nienależących do EOG) wymaga wcześniejszej zgody
Administratora danych wyrażonej na piśmie i od rozpoczęcia stosowania RODO – także warunków w nim określonych.
3.2. Kategorie Danych Osobowych
Administrator danych powierza Przetwarzającemu do przetwarzania Dane Osobowe, wskazane i
wynikające z treści Umowy głównej, niezbędne do wykonania zrealizowania usługi zleconej HWL.
4. ŚRODKI TECHNICZNE I ORGANIZACYJNE
Przetwarzający zobowiązuje przetwarzać powierzone Dane Osobowe zgodnie z obowiązującymi przepisami
prawa, w szczególności Przetwarzający:
4.1.1. jest zobowiązany wdrożyć i udokumentować wdrożenie wymaganych prawem środków technicznych i organizacyjnych, w szczególności w zakresie bezpieczeństwa przetwarzania Danych Osobowych.
4.1.2. jest zobowiązany do udzielenia wszelkiej pomocy Administratorowi danych w zakresie wykonywania praw podmiotów danych, w szczególności bezzwłocznego przekazania żądań lub pytań podmiotu danych, przygotowania odpowiedzi lub przekazania informacji potrzebnych do przygotowania odpowiedzi na żądanie Administratora danych, wykonanie praw podmiotów danych, takich jak przygotowanie kopii danych, poprawienie treści błędnych danych czy usunięcie danych na żądanie Administratora danych.
4.1.3. jest zobowiązany wdrożyć środki zapewniające: i) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; ii) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; iii) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
5. ZMIANA, USUWANIE I BLOKOWANIE DANYCH
Przetwarzający może zmienić, usunąć lub zablokować przetwarzane Dane Osobowe, wyłącznie na polecenie Administratora danych. Jeśli podmiot danych osobowych zwróci się bezpośrednio do Przetwarzającego o zmianę lub usunięcie jego Danych Osobowych, Przetwarzający niezwłocznie, w terminie nie później niż 5 (pięciu) dni roboczych, przekazuje taką prośbę Administratorowi danych w formie wiadomości elektronicznej na adres wskazany w Umowie głównej, jako adres, przy wykorzystaniu którego strony utrzymują bieżące kontakty. Przetwarzający udzieli Administratorowi danych wszelkiej niezbędnej pomocy przy wykonywaniu powyższych uprawnień.
6. ZOBOWIĄZANIA PRZETWARZAJĄCEGO
Niezależnie od pozostałych zobowiązań ciążących na Przetwarzającym na podstawie OWODO lub właściwych przepisów prawa, Przetwarzający jest zobowiązany do:
6.1.1. powołania w formie pisemnej – jeżeli obowiązek ten wynika z przepisów prawa – inspektora ochrony danych. Dane kontaktowe do inspektora ochrony danych zostaną wskazane na stronie internetowej HWL celem umożliwienia bezpośredniego kontaktu z inspektorem ochrony danych;
6.1.2. zachowania poufności zgodnie z obowiązującymi przepisami prawa; wszystkie osoby, które na podstawie OWODO mają dostęp do Danych Osobowych Administratora danych zostaną zobowiązane przez Przetwarzającego do zachowania Danych Osobowych i metod ich ochrony w poufności oraz powinny zostać poinformowane o dodatkowych wymaganiach dotyczących ochrony Danych Osobowych przewidzianych OWODO i ograniczeniu uprawnienia do przetwarzania Danych Osobowych wyłącznie w ściśle oznaczonych celach; osoby te mogą przetwarzać dane osobowe wyłącznie na udokumentowane polecenie Administratora danych, na podstawie odrębnego stosunku prawnego, przy czym polecenia te będą dotyczyć następujących czynności: zbierania, utrwalania, przechowywania, opracowywania, udostępniania, usuwania, wyłącznie w systemach informatycznych.
6.1.3. wdrożenia i utrzymywania wszystkich środków technicznych i organizacyjnych zgodnie z powszechnie obowiązującymi przepisami prawa;
6.1.4. natychmiastowego powiadomienia Administratora danych o czynnościach kontrolnych wobec Danych Osobowych i środkach podjętych przez organ nadzoru.
7. PODWYKONAWCY
7.1. Administrator wyraża zgodę na korzystanie przez Przetwarzającego z podwykonawców, którymi w każdym czasie będą tylko i wyłącznie przedsiębiorcy posiadający stosowne zezwolenia i licencje
dotyczące prowadzonej przez nich działalności gospodarczej, dysponujący sprawnymi technicznie środkami transportu lub urządzeniami koniecznymi do wykonywania powierzonych im usług, a także stosowne, o ile wymagają tego odrębne przepisy, ubezpieczenie odpowiedzialności cywilnej swojej działalności gospodarczej. Przetwarzający jest zobowiązany umożliwić Administratorowi skorzystanie z prawa zgłoszenia sprzeciwu co do zaangażowania przez HWL innego podwykonawcy. Brak odpowiedzi Administratora w terminie 3 (trzech) dni od dnia doręczenia takiej informacji, uważa się za brak wyrażenia sprzeciwu.
7.2. Przetwarzający powinien zapewnić, aby ustalenia umowne zawarte z takimi podwykonawcami i innymi
osobami trzecimi odzwierciedlały obowiązki ochrony danych objęte OWODO.
8. PRAWO KONTROLI ADMINISTRATORA DANYCH
8.1. Administrator, osobiście lub za pośrednictwem audytorów, może przeprowadzać kontrolę w przedsiębiorstwie Przetwarzającego, w celu zweryfikowania czy Przetwarzający zastosował się do wymagań określonych OWODO. Kontrole, o których mowa w zdaniu poprzednim nie mogą być przeprowadzane częściej niż jeden raz w kwartale, chyba że zachodzą uzasadnione okoliczności, w tym wykrycie naruszenia ochrony danych osobowych, a także każdorazowo nie mogą doprowadzić do utrudnienia wykonywania bieżącej działalności przez Przetwarzającego.
8.2. Administrator danych zapowie kontrolę u Przetwarzającego na co najmniej 3 (trzy) dni robocze przed planowanym jej rozpoczęciem, przy czym w uzasadnionych przypadkach, takich jak naruszenie lub podejrzenie naruszenia ochrony danych osobowych, Administrator danych zgłosi potrzebę kontroli bez wyprzedzenia. Przetwarzający jest zobowiązany do wspierania Administratora danych w przeprowadzeniu kontroli, w szczególności do wpuszczenia Administratora danych (jego przedstawicieli) do pomieszczeń, gdzie u Przetwarzającego przetwarzane są Dane Osobowe, umożliwienia przeglądania dokumentów, sprzętu oraz wyposażenia, które służy do przetwarzania Danych Osobowych jak również umożliwienia kontaktu z osobami, które u Przetwarzającego przetwarzają Dane Osobowe.
8.3. Przetwarzający jest zobowiązany do dostarczenia Administratorowi danych, na jego żądanie, wymaganych przez Administratora danych informacji dotyczących przetwarzania Danych Osobowych oraz udostępnienia Administratorowi danych niezbędnej dokumentacji w tym zakresie.
8.4. Każda kontrola zostanie przeprowadzona w obowiązujących u Przetwarzającego godzinach pracy biura w dni robocze, a jej przeprowadzenie nie może mieć negatywnego wpływu na prawidłowe i terminowe prowadzenie przez Przetwarzającego bieżącej działalności gospodarczej, z zastrzeżeniem wystąpienia uzasadnionych okoliczności, w szczególności wykrycia naruszenia lub podejrzenia naruszenia ochrony danych osobowych.
8.5. Osoby upoważnione do przeprowadzenia kontroli w imieniu Administratora danych zostaną zobowiązane na podstawie pisemnej umowy do zachowania poufności wszelkich informacji, dokumentów, danych, w szczególności o charakterze technicznym, handlowym i finansowym, dotyczących Przetwarzającego lub innych, które uzyskały w związku z przeprowadzeniem kontroli.
9. ZAWIADOMIENIE O NARUSZENIACH PRZETWARZAJĄCEGO
9.1. Przetwarzający zobowiązany jest niezwłocznie informować Administratora danych o wszelkich błędach, nieprawidłowościach, zidentyfikowanych i podejrzewanych naruszeniach zasad ochrony Danych Osobowych, w miarę możliwości nie później niż w terminie 48 godzin od stwierdzenia naruszenia. Przetwarzający zobowiązuje się do podjęcia – w porozumieniu z Administratorem danych
– jak najszybciej wszelkich możliwych środków w celu usunięcia tych naruszeń.
9.2. Przetwarzający zobowiązuje się ponadto do zawiadomienia Administratora danych o wszczęciu kontroli oraz wszelkiej innej komunikacji z PUODO, o ile dotyczy ona Danych Osobowych Administratora.
9.3. Przetwarzający niezwłocznie zawiadomi Administratora danych o wszystkich sytuacjach, gdy Przetwarzający lub osoba przez niego zatrudniona, naruszy postanowienia dotyczące ochrony Danych Osobowych Administratora danych lub jakiekolwiek postanowienia OWODO.
9.4. Przetwarzający niezwłocznie zawiadomi Administratora danych o każdym przypadku utraty albo nieuprawnionego ujawnienia Danych Osobowych albo nieuprawnionego dostępu do nich, bez względu na powód takiej sytuacji. Powyższe zobowiązanie ma również zastosowanie do poważnych awarii albo gdy występuje podejrzenie naruszenia postanowień dotyczących ochrony Danych Osobowych albo innych nieprawidłowości w przetwarzaniu Danych Osobowych. Po konsultacjach z Administratorem
danych, Przetwarzający powinien podjąć odpowiednie środki mające na celu zabezpieczenie danych oraz zmniejszenie negatywnych rezultatów wpływających na podmioty Danych Osobowych.
10. OBOWIĄZKI ADMINISTRATORA DANYCH
10.1. Administrator zapewnia, że Dane osobowe powierzane Przetwarzającemu, są przetwarzane przez Administratora zgodnie z prawem, na podstawie jednej z przesłanek wymienionych w art. 6 RODO i Administrator jest uprawniony do powierzenia ich przetwarzania Przetwarzającemu.
10.2. O każdej zmianie okoliczności wskazanych w punkcie 10.1 Administrator jest obowiązany niezwłocznie zawiadomić Przetwarzającego.
11. USUNIĘCIE DANYCH I PRZYWRÓCENIE NOŚNIKÓW DANYCH
11.1. Po zakończeniu świadczenia usług na podstawie Umowy głównej lub na żądanie Administratora danych, Przetwarzający zwróci Administratorowi danych wszystkie Dane Osobowe uzyskane w związku z zawarciem Umowy głównej albo usunie je zgodnie z prawem ochrony danych osobowych, za wcześniejszą zgodą Administratora danych, z zastrzeżeniem punktu 11.2., Przetwarzający przedstawi na żądanie Administratora danych protokół potwierdzający usunięcie Danych Osobowych. Protokół, o którym mowa w zdaniu poprzednim zostanie przedstawiony przez HWL Administratorowi danych bez zbędnej zwłoki.
11.2. Niezależnie od powyższego, Przetwarzający jest uprawniony do dalszego przechowywania Danych Osobowych po zakończeniu Umowy głównej, przez okres niezbędny do realizacji swoich uzasadnionych interesów w postaci obrony przed roszczeniami i dochodzenia roszczeń, jak również wypełnienia prawnego obowiązku przechowywania określonych dokumentów przez czas wskazany w tych przepisach.
12. ODPOWIEDZIALNOŚĆ
Przetwarzający jest odpowiedzialny wobec podmiotu danych osobowych za szkody, które podmiot ten może ponieść w rezultacie działania i zaniechania Przetwarzającego Danych Osobowych w zakresie wykonywania Umowy głównej, dobrych praktyk rynkowych, stanowiącego naruszenie przepisów RODO i innych przepisów dotyczących danych osobowych – wyłącznie w zakresie szkody rzeczywistej.
13. POSTANOWIENIA KOŃCOWE
W sprawach nieuregulowanych OWODO stosuje się postanowienia powszechnie obowiązujących przepisów prawa w zakresie ochrony danych osobowych (w szczególności RODO i ustawy o ochronie danych osobowych).