dostępu testowego
dostępu testowego
Regulamin
emplo
§ 1 DEFINICJE
Użyte w niniejszym Regulaminie określenia posiadają następujące znaczenie:
1) Adres E-Mail Klienta – oznacza adres e-mail wskazany przez Klienta w formularzu Umowy o Dostęp Testowy dostępnym pod adresem internetowym xxx.xxxxx.xx lub przesłanym przez Xxxxxxxxxxx osobie wskazanej przez Xxxxxxx, na który Usługodawca będzie przekazywał wszelkie powiadomienia, oświadczenia, notyfikacje oraz inne informacje dotyczące powierzenia przetwarzania Danych Osobowych.
2) Klient – osoba prawna, jednostka organizacyjna nieposiadająca osobowości prawnej, a także osoba fizyczna prowadząca działalność gospodarczą, korzystająca z Platformy emplo w związku z prowadzoną działalnością gospodarczą.
3) Konto – zbiór zasobów i ustawień utworzonych dla Użytkownika w Platformie emplo, zawierający informacje (w tym Dane Osobowe) dotyczące danego Użytkownika oraz uprawnienia w zakresie właściwym dla poziomu dostępu nadanego danemu Użytkownikowi. Każde Konto jest indywidualne, a dostęp do niego posiada wyłącznie jeden, imiennie oznaczony Użytkownik.
4) Oprogramowanie – oprogramowanie komputerowe, będące podstawą funkcjonowania Platformy emplo, na które składają się x.xx. kody źródłowe, grafika, pliki HTML, bazy danych i inne elementy oprogramowania niezbędne do niezależnego funkcjonowania Platformy emplo.
5) Okres testowy – czas określony w Regulaminie, korzystania przez Klienta z Usługi Dostępu Testowy.
6) Platforma emplo lub Platforma – system informatyczny służący do zarządzania zasobami ludzkimi w przedsiębiorstwie oraz do innych celów uzgodnionych z Usługodawcą.
7) Regulamin – niniejszy regulamin.
8) Usługodawca – Emplo spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie przy ul. Prostej 68, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla x.xx. Warszawy, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000488545, posiadająca numer NIP: 5272706544.
9) Użytkownik – osoba fizyczna zatrudniona przez Klienta w jakiejkolwiek formie lub współpracująca z nim na podstawie umowy cywilnoprawnej, uprawniona przez Klienta do korzystania z Platformy emplo, posiadająca unikalny identyfikator oraz indywidualne Konto dostępu do Platformy, o zdefiniowanym poziomie uprawnień.
10) Umowa o Dostęp Testowy – umowa zawarta na warunkach Regulaminu i za pośrednictwem formularza rejestracyjnego dostępnego na stronie xxx.xxxxx.xx, na podstawie której Usługodawca świadczy na rzecz Klienta Usługę Dostępu Testowego.
11) Usługa Dostępu Testowego - oznacza usługę oferowaną w modelu SaaS (ang. Software as a Service) przez Usługodawcę na rzecz Klienta, polegającą na udzieleniu Klientowi nieodpłatnego dostępu do Platformy emplo w celu umożliwienia mu zapoznania się ze sposobem działania oraz funkcjonalnościami Platformy emplo.
§ 2 DOSTĘP TESTOWY DO PLATFORMY EMPLO
1. Na warunkach określonych w Regulaminie Usługodawca udziela Klientowi dostępu testowego do Platformy emplo w celu umożliwienia mu zapoznania się ze sposobem działania oraz funkcjonalnościami Platformy.
2. Usługa Dostępu Testowego jest udzielana na Okres Testowy trwający nie dłużej niż 14 (czternaście) dni. Dokładny Okres Testowy będzie wskazany w wiadomości e-mail przesłanej przez Usługodawcę na Adres E-Mail Klienta.
3. Warunkiem skorzystania z Usługi Dostępu Testowego jest wypełnienie formularza rejestracyjnego dostępnego na stronie xxx.xxxxx.xx lub przesłanego przez Usługodawcę osobie wskazanej przez Xxxxxxx, podanie danych Klienta, oraz zaakceptowanie w całości postanowień Regulaminu przez osobę upoważnioną do reprezentacji Klienta.
4. Po spełnieniu warunków, o których mowa w ust. 3 niniejszego paragrafu, Usługodawca udostępni Usługę Dostępu Testowego dla maksymalnie 6 Kont. Od dnia udostępnienia, w trakcie trwania Okresu testowego, Klient jest uprawniony do korzystania z Platformy na zasadach określonych w Regulaminie.
5. Usługodawca zastrzega sobie prawo do nie udzielenia Klientowi Usługi Dostępu Testowego bez podania przyczyny lub zaprzestanie udostępnienia w szczególności na skutek naruszenia przez Klienta postanowień Regulaminu.
6. Usługodawca nieodpłatnie udostępnia Klientowi Regulamin przed udostępnieniem Usługi Dostępu Testowego do Platformy, a także – na jego żądanie – w sposób, który umożliwia pozyskanie, odtwarzanie i utrwalanie treści Regulaminu za pomocą systemu teleinformatycznego, którym posługuje się Klient.
7. Do współpracy z systemem teleinformatycznym Usługodawcy niezbędne jest: połączenie z siecią Internet, przeglądarka internetowa umożliwiająca wyświetlanie na ekranie komputera dokumentów HTML oraz włączona opcja akceptowania plików cookies w przypadku usług wskazanych w „Polityce cookies emplo” dostępnej pod adresem xxxxx://xxxxx.xxx/xxxxxx-xxxxxx.
§ 3 PRAWA I OBOWIĄZKI KLIENTA
1. Klient zobowiązany jest do przestrzegania postanowień Regulaminu od chwili podjęcia pierwszej czynności prowadzącej do skorzystania z Platformy.
2. Klient zobowiązuje się nie przekazywać, nie użyczać, ani nie udostępniać jakiejkolwiek osobie trzeciej loginu i hasła dostępu do Platformy. Klient ponosi odpowiedzialność wobec Usługodawcy za wszelkie nieuprawnione udostępnienie loginu i hasła dostępu do Platformy osobom trzecim oraz za wynikłe stąd szkody poniesione przez Usługodawcę lub osoby trzecie.
3. Klient przyjmuje do wiadomości, iż Usługodawcy przysługują wszelkie prawa autorskie do Platformy, Oprogramowania oraz wszelkich ich elementów, mających charakter utworów w rozumieniu ustawy z dnia 4 lutego 1994 roku o prawie autorskim i prawach pokrewnych, bez ograniczeń w stosunku do osób trzecich.
4. Klient zobowiązany jest do wykorzystywania Platformy, Oprogramowania oraz wszelkich ich elementów wyłącznie w celu przetestowania sposobu działania oraz funkcjonalności Platformy.
5. Klient jest wyłącznie odpowiedzialny za treści i materiały umieszczane w Platformie emplo. Klient oświadcza jednocześnie, iż wszelkie treści i materiały umieszczane w Platformie emplo będą wolne od wad prawnych oraz nie będą naruszały chronionych prawem dóbr osobistych lub praw własności intelektualnej osób trzecich. Klient oświadcza, że ma prawo do dysponowania informacjami, materiałami i znakami towarowymi wykorzystywanymi w ramach korzystania z Platformy emplo.
6. Klient zobowiązany jest do podania Usługodawcy wszelkich wymaganych informacji niezbędnych do prawidłowego udostępnienia Usługi Dostępu Testowego. Klient oświadcza jednocześnie, że podane przez niego dane są prawdziwe, zgodne z obowiązującymi przepisami prawa oraz nie naruszają jakichkolwiek dóbr osób trzecich.
7. Klient nie jest uprawniony do udostępniania w jakiejkolwiek formie bez pisemnej zgody Usługodawcy Platformy, Oprogramowania oraz ich elementów osobom trzecim. Klient ponosi odpowiedzialność wobec Usługodawcy za wszelkie nieuprawnione udostępnienie osobom trzecim Platformy, Oprogramowania i ich elementów oraz za wynikłe stąd szkody poniesione przez Usługodawcę lub osoby trzecie.
8. Klient zobowiązuje się nie kopiować, nie powielać ani nie rozpowszechniać w jakikolwiek sposób Platformy, Oprogramowania lub jakichkolwiek ich elementów i ponosi odpowiedzialność wobec Usługodawcy za
jakiekolwiek ich nieuprawnione rozpowszechnianie lub powielenie oraz za wynikłe stąd szkody poniesione przez Usługodawcę lub osoby trzecie.
9. Klient zobowiązuje się do nie wykorzystywania Platformy, Oprogramowania ani jakichkolwiek ich elementów w celu rozwoju, produkcji lub wprowadzenia do obrotu programu komputerowego, w formie identycznej lub zbliżonej do Platformy, jak też do nie podejmowania czynności lub działań mających na celu naruszenie w jakiejkolwiek formie praw autorskich przysługujących Usługodawcy do Platformy, Oprogramowania oraz ich elementów.
10. Klient zobowiązuje się, że w okresie 2 lat od dnia udostępnienia Platformy nie będzie podejmował ani wykonywał (pośrednio lub bezpośrednio) działalności konkurencyjnej w stosunku do Usługodawcy, ani też uczestniczył w podmiocie konkurencyjnym jako wspólnik spółki cywilnej, spółki osobowej lub jako członek organu spółki kapitałowej, bądź uczestniczyć w innej konkurencyjnej osobie prawnej jako członek organu.
11. W przypadku naruszenia przez Klienta któregokolwiek z zobowiązań wskazanych w niniejszym paragrafie, Klient zapłaci na rzecz Usługodawcy karę umowną w wysokości 200.000 zł za każdy przypadek naruszenia, nie później niż w terminie 14 dni od daty wezwania przez Usługodawcę. Kara umowna nie pozbawia Usługodawcy możliwości dochodzenia odszkodowania, na zasadach ogólnych, przewyższającego wysokość zastrzeżonej kary umownej.
12. W przypadku niewykonania lub nienależytego wykonania przez Usługodawcę postanowień Regulaminu lub Umowy o Dostęp Testowy, w tym Załącznika nr 1, Usługodawca ponosi odpowiedzialność za szkody wyrządzone Klientowi do wysokości szkody rzeczywistej.
§ 5 POUFNOŚĆ
1. Wszelkie informacje uzyskane przez strony w trakcie trwania Okresu testowego, w tym w szczególności informacje dotyczące warunków finansowych oraz inne stanowiące tajemnicę przedsiębiorstwa w rozumieniu ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz.U. z 1993r. Nr 47, poz. 211), mogą być wykorzystywane wyłącznie w celu prawidłowej realizacji Usługi Dostępu Testowego przez każdą ze stron, chyba że druga strona zwolni ją z obowiązku zachowania poufności lub obowiązek ich ujawnienia wynika z obowiązujących przepisów prawa.
2. Wykorzystywanie lub ujawnianie informacji poufnych w celach innych niż określone w ust. 1 niniejszego paragrafu, traktowane będzie jako czyn nieuczciwej konkurencji.
§ 6 TRYB POSTĘPOWANIA REKLAMACYJNEGO
1. Klient ma prawo składać reklamacje w sprawach dotyczących świadczenia Usługi Dostępu Testowego.
2. Reklamacje rozpatruje Usługodawca.
3. Prawidłowo złożona reklamacja powinna zawierać co najmniej następujące dane:
a) oznaczenie Klienta (dane rejestrowe),
b) przedmiot reklamacji,
c) okoliczności uzasadniające reklamację.
4. Reklamacje nie zawierające powyższych danych nie będą rozpatrywane.
5. Reklamacje należy składać na adres poczty elektronicznej: xxxxxxx@xxxxx.xxx wpisując w temacie wiadomości: „reklamacja” lub na piśmie, na adres siedziby Usługodawcy.
6. Usługodawca dołoży starań, aby reklamacje były rozpatrzone w terminie 14 dni od ich otrzymania. Usługodawca niezwłocznie zawiadomi Klienta o swojej decyzji zapadłej w wyniku rozpatrzenia reklamacji za pośrednictwem poczty elektronicznej, na adres podany w reklamacji.
7. Klient ma prawo zastrzec, że decyzja dotycząca rozpatrzenia reklamacji powinna być sporządzona na piśmie i przesłana na podany w reklamacji adres korespondencyjny. Zastrzeżenie powyższe jest wiążące dla Usługodawcy.
§ 7 POSTANOWIENIA KOŃCOWE
1. Regulamin wchodzi w życie z dniem 21 maja 2018 r.
2. Usługodawca zastrzega sobie prawo do jednostronnej zmiany postanowień Regulaminu. Usługodawca zobowiązuje się do poinformowania Klienta o wprowadzonych zmianach poprzez Adres E-Mail Klienta lub w drodze opublikowania odpowiedniej informacji na stronie logowania do Platformy emplo.
3. Za uprzednią zgodą Usługodawcy Klient może mieć udostępnioną Usługę Dostępu Testowego na kolejny, następujący po sobie, Okres Testowy.
4. Strony postanawiają, iż oświadczenia woli składane Klientowi przez Usługodawcę w związku z wykonywaniem Umowy o Dostęp Testowy, w tym w zakresie Załącznika nr 1 do Regulaminu, mogą być wyrażone w postaci elektronicznej i przesłane na Adres E-Mail Klienta. Klient zobowiązuje się powiadomić Usługodawcę na piśmie nie później niż w terminie 3 dni, o zmianie Adresu E-Mail Klienta. Niewykonanie tego obowiązku będzie oznaczało uznanie korespondencji wysłanej na ostatni podany Adres E-Mail Klienta za skutecznie doręczoną. Postanowienie ust. 5 poniżej stosuje się odpowiednio.
5. Korespondencję wysłaną na Adres E-Mail Klienta Strony uznają za skutecznie doręczoną najpóźniej z chwilą potwierdzenia przyjęcia takiej wiadomości przez system pocztowy Klienta.
6. Wszelkie spory wynikłe na tle stosowania postanowień niniejszego Regulaminu będą rozpatrywane przez sąd właściwy miejscowo dla siedziby Usługodawcy.
7. W sprawach nieuregulowanych Regulaminem, stosuje się przepisy obowiązującego prawa, w tym w szczególności Kodeksu cywilnego, Ustawy o prawie autorskim i prawach pokrewnych.
ZAŁĄCZNIK NR 1:
Umowa powierzenia przetwarzania danych osobowych
Umowa powierzenia przetwarzania danych osobowych
Załącznik nr 1 do Regulaminu dostępu testowego emplo („Umowa Powierzenia”)
A. Umowa Powierzenia stanowi integralną część Regulaminu i określa zasady przetwarzania przez Usługodawcę na zlecenie Klienta danych osobowych Użytkowników za pośrednictwem Platformy emplo.
B. Pojęcia użyte w Umowie Powierzenia i pisane wielką literą mają znaczenie przypisane im w treści Umowy Powierzenia oraz w Regulaminie.
C. Umowa Powierzenia stanowi całość zobowiązań oraz warunków powierzenia przetwarzania danych Użytkowników pomiędzy Klientem i Usługodawcą w związku z Usługą Dostępu Testowego i zastępuje wszelkie dotychczasowe umowy, porozumienia oraz ustalenia pomiędzy Klientem i Usługodawcą w tym zakresie.
§1 Definicje
1. Administrator Danych – oznacza Klienta, który samodzielnie lub wspólnie z innymi podmiotami ustala cele i sposoby przetwarzania Danych Osobowych;
2. Cel Przetwarzania – oznacza realizację przez Usługodawcę zobowiązań określonych w Umowie o Dostęp Testowy w związku z korzystaniem przez Klienta z Platformy emplo;
3. Czynności Przetwarzania – oznaczają wszelkie operacje na Danych Osobowych, które będzie wykonywał Podmiot Przetwarzający na polecenie Administratora Danych na podstawie Umowy o Dostęp Testowy, takie jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
4. Dalszy Podmiot Przetwarzający – oznacza podmiot, z którego usług korzysta Podmiot Przetwarzający przy wykonywaniu praw i obowiązków określonych w Umowie o Dostęp Testowy i dokonywania konkretnych Czynności Przetwarzania, który będzie miał dostęp do Danych Osobowych;
5. Dane Osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, których dotyczy powierzenie przetwarzania na mocy Umowy Powierzenia w związku z korzystaniem przez Klienta z Platformy emplo. Dane Osobowe określa §2 Umowy Powierzenia przez wskazanie kategorii osób, których dane dotyczą, rodzaju danych osobowych oraz czynności i formy przetwarzania;
6. EOG – oznacza Europejski Obszar Gospodarczy zdefiniowany w Porozumieniu o Europejskim Obszarze Gospodarczym (Dz. U. UE L z dnia 3 stycznia 1994 r. z późn. zm.) czyli państwa należące do Unii Europejskiej oraz Norwegię, Islandię i Lichtenstein;
7. Harmonogram Kontroli – oznacza harmonogram Kontroli Przetwarzania, które mogą przeprowadzać Klienci u Usługodawcy;
8. Informacja o Dalszym Podmiocie Przetwarzającym – oznacza informację o zamiarze powierzenia przetwarzania Danych Osobowych przez Usługodawcę innemu podmiotowi niż określony w Załączniku nr 2 do Umowy Powierzenia, zawierającą (i) nazwę i adres siedziby Dalszego Podmiotu Przetwarzającego, (ii) miejsce przetwarzania Danych Osobowych oraz (iii) cel dalszego powierzenia przetwarzania Danych Osobowych (funkcję Dalszego Podmiotu Przetwarzającego);
9. Klient – oznacza Klienta zgodnie z definicją określoną w Regulaminie;
10. Kontrola Przetwarzania – oznacza audyty (w tym inspekcje) zgodności przetwarzania Danych Osobowych z wykorzystaniem Platformy emplo, z przepisami prawa, w szczególności z RODO oraz Umową Powierzenia, z wyłączeniem: (i) informacji zawierających tajemnicę przedsiębiorstwa lub (ii) przeprowadzania testów penetracyjnych lub innych podobnych testów Platformy emplo. Kontrola Przetwarzania może być dokonana samodzielnie przez Klienta lub za pośrednictwem upoważnionego przez niego audytora, po przedłożeniu przez audytora pełnomocnictwa do działania w imieniu Xxxxxxx;
11. Naruszenie Ochrony Danych Osobowych – oznacza naruszenie bezpieczeństwa Danych Osobowych prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego
ujawnienia lub nieuprawnionego dostępu do Danych Osobowych, w stosunku do których są wykonywane Czynności Przetwarzania przez odpowiednio Podmiot Przetwarzający lub Dalszy Podmiot Przetwarzający;
12. Ocena Skutków dla Ochrony Danych – oznacza ocenę skutków planowanych operacji przetwarzania dla ochrony Danych Osobowych, o której mowa w art. 35-36 RODO;
13. Organ Nadzorczy – oznacza organ nadzorczy, o którym mowa w art. 4 pkt 21 RODO;
14. Podmiot Przetwarzający – oznacza Usługodawcę, który przetwarza Dane Osobowe na wyraźne polecenie Klienta w związku z korzystaniem przez Klienta z Platformy emplo;
15. Program Privacy Shield – oznacza program określony w porozumieniu pomiędzy Unią Europejską i Stanami Zjednoczonymi dotyczący przekazywania danych osobowych z Unii Europejskiej do podmiotów z siedzibą w Stanach Zjednoczonych. Na mocy decyzji Komisji Europejskiej z dnia 12 lipca 2016 r. przekazywanie danych osobowych do podmiotów z siedzibą w Stanach Zjednoczonych, które przystąpiły do programu „Privacy Shield” zapewnia odpowiedni stopień ochrony danych osobowych w rozumieniu art. 45 RODO;
16. Przekazywanie Danych Osobowych do Państw Trzecich – oznacza przetwarzanie przez Usługodawcę Danych Osobowych poza EOG za pośrednictwem Dalszego Podmiotu Przetwarzającego po spełnieniu warunków określonych w rozdziale V RODO;
17. RODO – oznacza rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
18. Sprzeciw wobec Dalszego Podmiotu Przetwarzającego – oznacza sprzeciw Klienta wobec dalszego powierzenia przetwarzania Danych Osobowych przez Usługodawcę podmiotowi określonemu w Informacji o Dalszym Podmiocie Przetwarzającym. Sprzeciw wymaga zachowania formy pisemnej pod rygorem nieważności;
19. Standardowe Klauzule Umowne – oznaczają standardowe klauzule ochrony danych przyjęte przez Komisję Europejską, o których mowa w art. 46 RODO.
§2 Dane Osobowe
Kategoria osób, których Dane Osobowe dotyczą | Rodzaj Danych Osobowych | Czynności Przetwarzania | Forma przetwarzania |
Użytkownicy | Wszelkie dane osobowe Użytkownika przekazane przez Klienta lub samodzielnie przez Użytkownika w ramach korzystania z Platformy emplo. Obejmuje to w szczególności następujące dane: imię, nazwisko, numer telefonu, adres e-mail, stanowisko w firmie, nazwa i adres pracodawcy, wizerunek, informacje dotyczące formy i podstawy zatrudnienia, informacje o nieobecnościach, oceny okresowe. | Zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, przeglądanie, przekazywanie, modyfikowanie, usuwanie | Elektroniczna |
§3 Przedmiot i czas trwania przetwarzania Danych Osobowych
1. Klient powierza Usługodawcy przetwarzanie Danych Osobowych w związku z Umową o Dostęp Testowy, a Usługodawca to zlecenie przyjmuje.
2. Usługodawca może przetwarzać Dane Osobowe wyłącznie w celu wykonania zobowiązań wynikających z Umowy o Dostęp Testowy, w tym zapewnienia określonych funkcjonalności.
3. Usługodawca może przetwarzać Dane Osobowe wyłącznie przez (i) okres obowiązywania Umowy o Dostęp Testowy oraz przez (ii) okres od rozwiązania lub wygaśnięcia Umowy o Dostęp Testowy do czasu usunięcia Danych Osobowych zgodnie z postanowieniami Umowy Powierzenia, chyba że Klient oraz Usługodawca ustalą inny termin przetwarzania Danych Osobowych w drodze odrębnego porozumienia.
4. Zawarcie Umowy Powierzenia stanowi udokumentowane polecenie Klienta do przetwarzania przez Usługodawcę Danych Osobowych, w tym do Przekazywania Danych Osobowych do Państw Trzecich, o którym mowa w art. 28 ust. 3 lit. a) RODO.
§4 Miejsce przetwarzania Danych Osobowych
1. Usługodawca będzie przetwarzać Dane Osobowe na obszarze EOG oraz może Przekazywać Dane Osobowe do Państw Trzecich.
2. Przekazywanie Danych Osobowych do Państw Trzecich odbywa się po spełnieniu jednego z następujących warunków: (i) przetwarzanie jest realizowane przez Dalszy Podmiot Przetwarzający w państwie trzecim, w stosunku do którego została wydana decyzja stwierdzająca odpowiedni stopień ochrony, o którym mowa w art. 45 RODO, (ii) przetwarzanie jest realizowane przez Dalszy Podmiot Przetwarzający, który uczestniczy w Programie Privacy Shield, (iii) przetwarzanie jest realizowane przez Dalszy Podmiot Przetwarzający w ramach wiążących reguł korporacyjnych, o których mowa w art. 4 pkt 20 oraz 47 RODO, (iv) przetwarzanie jest realizowane przez Dalszy Podmiot Przetwarzający na podstawie Standardowych Klauzul Umownych zawartych pomiędzy Usługodawcą a Dalszym Podmiotem Przetwarzającym.
§5 Środki techniczne i organizacyjne
2. Odpowiednie środki techniczne i organizacyjne obejmują co najmniej środki określone w Załączniku nr 1
do Umowy Powierzenia.
3. Usługodawca może zmienić lub wprowadzić inne środki techniczne i organizacyjne niż określone w Załączniku nr 1 do Umowy Powierzenia pod warunkiem, że będą one spełniały wymogi określone w §5 ust. 1 Umowy Powierzenia.
§6 Personel Usługodawcy
1. Usługodawca dopuści do przetwarzania Danych Osobowych jedynie osoby działające z jego upoważnienia oraz których dostęp do Danych Osobowych jest niezbędny do wykonania usług określonych w Umowie o Dostęp Testowy.
2. Usługodawca zapewni, aby osoby działające z jego upoważnienia i mające dostęp do Danych Osobowych zobowiązały się do zachowania tajemnicy przetwarzanych Danych Osobowych lub podlegały ustawowemu obowiązkowi zachowania tajemnicy. Usługodawca zaznajomi osoby upoważnione do przetwarzania Danych Osobowych z przepisami dotyczącymi ochrony danych osobowych i odpowiedzialnością za ochronę tych danych przed niepowołanym dostępem, nieuzasadnioną modyfikacją, zniszczeniem, nielegalnym ujawnieniem lub pozyskaniem Danych Osobowych.
§7 Dalsze Podmioty Przetwarzające
1. Klient wyraża zgodę na korzystanie przez Usługodawcę z usług Dalszych Podmiotów Przetwarzających przy przetwarzaniu Danych Osobowych zgodnie z art. 28 ust. 2 RODO w celu prawidłowego świadczenia Usługi Dostępu Testowego, w tym zapewnienia określonych funkcjonalności oraz bezpieczeństwa Platformy emplo.
2. Lista Dalszych Podmiotów Przetwarzających, z których korzysta lub zamierza korzystać Usługodawca na dzień rozpoczęcia obowiązywania Umowy Powierzenia znajduje się w Załączniku nr 2 do Umowy Powierzenia. Zawierając Umowę Powierzenia Klient akceptuje powierzenie przetwarzania Danych Osobowych podmiotom określonym w Załączniku nr 2 do Umowy Powierzenia.
3. W przypadku zamiaru skorzystania przez Usługodawcę z usług innych Dalszych Podmiotów Przetwarzających niż określone w Załączniku nr 2 do Umowy Powierzenia, Usługodawca przekaże Klientowi Informację o Dalszym Podmiocie Przetwarzającym co najmniej na 30 dni przed dokonaniem dalszego powierzenia przetwarzania Danych Osobowych. Informacja o Dalszym Podmiocie Przetwarzającym zostanie przekazana w formie elektronicznej na Adres E-Mail Klienta. Zmiana Załącznika nr 2 nie stanowi zmiany Umowy Powierzenia.
4. W terminie 14 dni od dnia otrzymania Informacji o Dalszym Podmiocie Przetwarzającym, Klient może zgłosić Sprzeciw wobec Dalszego Podmiotu Przetwarzającego.
5. Zgłoszenie Sprzeciwu wobec Dalszego Podmiotu Przetwarzającego oznacza wypowiedzenie Umowy o Dostęp Testowy ze skutkiem na koniec miesiąca następującego po miesiącu, w którym złożono Sprzeciw wobec Dalszego Podmiotu Przetwarzającego.
6. Umowa pomiędzy Usługodawcą a Dalszym Podmiotem Przetwarzającym będzie nakładać na Dalszy Podmiot Przetwarzający zobowiązania dotyczące przestrzegania przepisów RODO, w tym zobowiązania dotyczące stosowania środków technicznych i organizacyjnych, które będą adekwatne do rodzaju powierzonych Danych Osobowych oraz ryzyka naruszenia praw osób, których Dane Osobowe dotyczą. Uprawnienia Dalszych Podmiotów Przetwarzających nie będą szersze niż uprawnienia Usługodawcy określone w Umowie Powierzenia.
7. Usługodawca ponosi odpowiedzialność za działania i zaniechania Dalszych Podmiotów Przetwarzających zgodnie z zasadami odpowiedzialności określonymi w Umowie o Dostęp Testowy.
8. Jeżeli skorzystanie z usług Dalszego Podmiotu Przetwarzającego będzie wiązało się z Przekazaniem Danych Osobowych do Państwa Trzeciego i koniecznością zawarcia Standardowych Klauzul Umownych w celu zapewnienia odpowiednich zabezpieczeń zgodnie z art. 46 RODO, a nie zostaną przyjęte przez Komisję Europejską Standardowe Klauzule Umowne dla celów przekazywania danych osobowych pomiędzy podmiotem przetwarzającym a dalszym podmiotem przetwarzającym, Usługodawca zawrze Standardowe Klauzule Umowne z Dalszym Podmiotem Przetwarzającym w imieniu i na rzecz Klienta działając jako jego pełnomocnik. Zawierając Umowę o Dostęp Testowy Klient udziela pełnomocnictwa Usługodawcy do zawarcia w imieniu Klienta Standardowych Klauzul Umownych.
§8 Pomoc dla Klienta
Uwzględniając charakter wykonywanych Czynności Przetwarzania Danych Osobowych oraz dostępne informacje w związku ze świadczeniem Usługi Dostępu Testowego, Usługodawca zapewni Klientowi pomoc w wywiązaniu się z następujących obowiązków:
a) zapewnienia odpowiednich środków technicznych i organizacyjnych przetwarzania Danych Osobowych poprzez zastosowanie środków technicznych i organizacyjnych określonych w §5 Umowy Powierzenia;
b) przeprowadzenia Oceny Skutków dla Ochrony Danych poprzez udzielanie Klientowi niezbędnych informacji odnośnie przetwarzania Danych Osobowych z wykorzystaniem Platformy emplo potrzebnych do przeprowadzenia przez Klienta Oceny Skutków dla Ochrony Danych;
c) odpowiedzi na żądania osób, których Dane Osobowe dotyczą, w zakresie określonym w art. 15-22 RODO, poprzez zapewnienie Klientowi określonych funkcjonalności na Platformie emplo, w tym funkcjonalności, które umożliwią: (i) eksport Danych Osobowych, (ii) usunięcie i ograniczenie przetwarzania Danych Osobowych, (iii) sprostowanie Danych Osobowych oraz (iv) wyrażenie i cofnięcie zgody przez Użytkownika. W przypadku zgłoszenia przez osobę, której Dane Osobowe dotyczą, żądania bezpośrednio do Usługodawcy jako Podmiotu Przetwarzającego Dane Osobowe, Usługodawca poinformuje Klienta niezwłocznie o zgłoszonym żądaniu i ustali z nim sposób postępowania w stosunku do zgłoszonego żądania, w tym możliwość skorzystania z określonej funkcjonalności na Platformie emplo;
d) zgłoszenia Naruszenia Ochrony Danych Osobowych Organowi Nadzorczemu oraz z obowiązku zawiadomienia osób, których Dane Osobowe dotyczą, o Naruszeniu Ochrony Danych Osobowych zgodnie z art. 33-34 RODO.
§9 Naruszenie Ochrony Danych Osobowych
1. W przypadku stwierdzenia przez Usługodawcę Naruszenia Ochrony Danych Osobowych, zgodnie z przyjętą u Usługodawcy procedurą, Usługodawca zgłosi takie naruszenie Klientowi niezwłocznie, jednak nie później niż w terminie 36 godzin od stwierdzenia Naruszenia Ochrony Danych Osobowych. Zgłoszenie będzie zawierało:
a) opis okoliczności zdarzenia stanowiącego Naruszenie Ochrony Danych Osobowych oraz jego ustalonych lub podejrzewanych przyczyn;
b) opis charakteru Naruszenia Ochrony Danych Osobowych, w tym w miarę możliwości wskaże kategorie i przybliżoną liczbę osób, których Dane Osobowe dotyczą oraz kategorie i przybliżoną liczbę wpisów Danych Osobowych, których dotyczy Naruszenie Ochrony Danych Osobowych;
c) opis możliwych konsekwencji Naruszenia Ochrony Danych Osobowych;
d) opis zastosowanych przez Usługodawcę środków zaradczych w celu zminimalizowania ewentualnych negatywnych skutków Naruszenia Ochrony Danych Osobowych.
2. Informacja o Naruszeniu Ochrony Danych Osobowych zostanie przekazana przez Usługodawcę na Adres E-Mail Klienta.
3. W przypadku stwierdzenia Naruszenia Ochrony Danych Osobowych Usługodawca podejmuje niezwłocznie wszystkie niezbędne środki techniczne i organizacyjne w celu zaradzenia Naruszeniu Ochrony Danych Osobowych i zminimalizowania jego ewentualnych negatywnych konsekwencji.
§10 Informowanie Klienta
1. Usługodawca niezwłocznie, jednak nie później niż w terminie 5 Dni Roboczych, poinformuje Klienta o:
a) wszelkich zgłoszonych żądaniach osób, których Dane Osobowe dotyczą;
b) wszelkich postępowaniach, w szczególności administracyjnych lub sądowych, dotyczących przetwarzania Danych Osobowych, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu sądowym dotyczących Danych Osobowych, skierowanych do Usługodawcy, a także o wszelkich planowanych postępowaniach lub o realizowanych kontrolach i inspekcjach dotyczących przetwarzania Danych Osobowych;
c) poleceniach wydanych przez Klienta Usługodawcy dotyczących przetwarzania Danych Osobowych, które zdaniem Usługodawcy stanowią naruszenie przepisów RODO lub innych przepisów prawa o ochronie danych osobowych.
2. Informacje zostaną przekazane na Adres E-Mail Klienta.
§11 Kontrola Przetwarzania
1. Klient jest uprawniony do przeprowadzenia Kontroli Przetwarzania w następujących przypadkach: (i) obowiązek przeprowadzenia Kontroli Przetwarzania został nałożony przez Organ Nadzorczy lub (ii) przeprowadzenie Kontroli Przetwarzania jest konieczne dla wyjaśnienia Naruszenia Ochrony Danych Osobowych.
2. Klient jest uprawniony do przeprowadzenia Kontroli Przetwarzania w innych przypadkach niż określone w ust. 1 niniejszego paragrafu, pod warunkiem zapłaty na rzecz Usługodawcy opłaty administracyjnej w wysokości 20.000 zł (słownie: dwadzieścia tysięcy złotych). Usługodawca może według własnego uznania zmniejszyć wysokość opłaty administracyjnej, jeżeli planowany zakres kontroli nie będzie powodował istotnego nakładu czasu i działań po stronie Usługodawcy. Opłata administracyjna powiększona o podatek o
towarów i usług będzie płatna przelewem na podstawie faktury wystawionej przez Usługodawcę w terminie do 15. dnia miesiąca następującego po miesiącu, w którym została zakończona Kontrola Przetwarzania.
3. Klient jest zobowiązany zawiadomić Usługodawcę o zamiarze przeprowadzenia Kontroli Przetwarzania co najmniej na 7 Dni Roboczych przed planowaną datą rozpoczęcia Kontroli Przetwarzania, wskazując dokładny zakres, termin oraz osoby upoważnione przez Klienta do przeprowadzenia Kontroli Przetwarzania. Zawiadomienie należy przekazać na Adres E-Mail Usługodawcy.
4. Jeżeli przeprowadzenie Kontroli Przetwarzania nie będzie możliwe w terminie wskazanym przez Klienta w zawiadomieniu, o którym mowa w ust. 3 niniejszego paragrafu, z uwagi na liczbę Kontroli Przetwarzania zgłoszonych przez innych klientów zgodnie z Harmonogramem Kontroli, Usługodawca poinformuje Klienta o pierwszym możliwym terminie przeprowadzenia Kontroli Przetwarzania. Informacja zostanie przekazana na Adres E-Mail Klienta.
5. Kontrola Przetwarzania, w zakresie dotyczącym obszarów przetwarzania Danych Osobowych (np. pomieszczeń i systemów informatycznych Usługodawcy), nie może trwać dłużej niż 3 Dni Robocze.
6. Kontrola Przetwarzania zostanie zakończona podpisaniem przez obie Strony protokołu z Kontroli Przetwarzania. Protokół będzie zawierał wnioski z Kontroli Przetwarzania oraz uzgodniony przez obie Strony zakres ewentualnych zmian w zakresie przetwarzania Danych Osobowych przez Usługodawcę.
7. Niezależnie od obowiązku zapłaty na rzecz Usługodawcy opłaty administracyjnej, o której mowa w ust. 2 niniejszego paragrafu, Klient we własnym zakresie ponosi wszelkie koszty przeprowadzenia Kontroli Przetwarzania.
§12 Zakończenie przetwarzania Danych Osobowych
1. Po rozwiązaniu lub wygaśnięciu Umowy o Dostęp Testowy, Usługodawca zaprzestanie przetwarzania Danych Osobowych i usunie je lub dokona ich anonimizacji w taki sposób, aby nie było możliwe ich ponowne odtworzenie.
2. Usługodawca usunie Xxxx Xxxxxxx z wszelkich nośników danych, w tym z wszelkich istniejących kopii lub dokona ich anonimizacji, nie później niż w terminie 90 dni od dnia rozwiązania lub wygaśnięcia Umowy o Dostęp Testowy, chyba że Strony ustalą inny termin usunięcia lub anonimizacji Danych Osobowych w drodze odrębnego porozumienia. Na żądanie Klienta Usługodawca przekaże protokół usunięcia lub anonimizacji Danych Osobowych.
3. Usługodawca zapewni, że wszystkie Dalsze Podmioty Przetwarzające usuną lub zanonimizują Dane Osobowe na zasadach określonych w tym paragrafie.
4. Jeżeli na mocy odpowiednich przepisów prawa Usługodawca będzie zobowiązany do przechowywania Danych Osobowych jeszcze przez jakiś czas po zakończeniu okresu obowiązywania Umowy o Dostęp Testowy Usługodawca niezwłocznie poinformuje Klienta o wystąpieniu takich okoliczności. W takiej sytuacji Usługodawca będzie przetwarzać Dane Osobowe wyłącznie w zakresie i celu wykonania obowiązków wynikających z przepisów prawa, a po ich spełnieniu niezwłocznie usunie lub dokona anonimizacji Danych Osobowych.
§13 Postanowienia końcowe
1. W sprawach nieuregulowanych w Umowie Powierzenia stosuje się odpowiednie postanowienia Umowy o Dostęp Testowy, a w dalszej kolejności przepisy prawa polskiego, w szczególności przepisy Kodeksu cywilnego oraz aktów prawnych regulujących zasady ochrony danych osobowych, jak również przepisy RODO.
2. W przypadku rozbieżności pomiędzy postanowieniami Umowy Powierzenia a postanowieniami Umowy o Dostęp Testowy, zastosowanie mają postanowienia Umowy o Dostęp Testowy.
ZAŁĄCZNIKI:
Załącznik nr 1 | Lista środków technicznych i organizacyjnych (zgodnie z §5 ust. 2 Umowy Powierzenia). |
Załącznik nr 2 | Lista Dalszych Podmiotów Przetwarzających (zgodnie z §7 ust. 2 Umowy Powierzenia). |
Załącznik nr 1
I. BEZPIECZEŃSTWO DANYCH OSOBOWYCH
1. Zabezpieczenia organizacyjne:
a) Usługodawca posiada Politykę Bezpieczeństwa Informacji, która reguluje zasady ochrony danych osobowych przez Usługodawcę, w tym politykę zarządzania incydentami;
b) Usługodawca przeprowadza szkolenia wstępne i okresowe z ochrony danych osobowych i bezpieczeństwa informacji dla pracowników;
c) Usługodawca nadaje pracownikom imienne upoważnienia do przetwarzania danych osobowych. Upoważnienia są cyklicznie weryfikowane.
2. Zabezpieczenia dotyczące bezpieczeństwa fizycznego:
a) Usługodawca wydzielił obszary bezpieczne, w których przetwarzane są Dane Osobowe;
b) Usługodawca zastosował odpowiednie środki bezpieczeństwa tj. kontrolę dostępu, ochronę fizyczną.
3. Zabezpieczenia dotyczące kontroli dostępu:
a) każdy pracownik Usługodawcy posiada odrębne, unikalne konto dostępowe do systemów informatycznych, w których przetwarzane są Dane Osobowe;
b) Usługodawca stosuje politykę silnych haseł, zmiany haseł i blokowania kont;
c) Usługodawca wprowadził szyfrowanie urządzeń mobilnych przetwarzających Dane Osobowe;
d) dostęp zdalny do Danych Osobowych jest centralnie zarządzany i kontrolowany.
4. Zabezpieczenia dotyczące bezpieczeństwa operacyjnego:
a) systemy informatyczne i aplikacje Usługodawcy służące do przetwarzania Danych Osobowych są regularnie aktualizowane, weryfikowane pod kątem podatności oraz zabezpieczone przez systemy antywirusowe;
b) Usługodawca stosuje ochronę przed nieuprawnionym dostępem do systemów i sieci przez zaporę ogniową (firewall);
c) zastosowano filtrowanie dostępów do stron internetowych. Zostały wdrożone systemy monitorujące ruch sieciowy, wykryte anomalie są logowane i raportowane.
II. BEZPIECZEŃSTWO APLIKACJI
Zabezpieczenia Platformy emplo zostały wyselekcjonowane w oparciu o standard OWASP ASVS oraz najlepsze praktyki bezpieczeństwa aplikacji.
Na Platformie emplo stosowane są następujące zabezpieczenia:
1. Zabezpieczenia dotyczące architektury:
a) architektura aplikacji gwarantuje wielowarstwowość aplikacji;
b) aplikacja jest cyklicznie testowana przy pomocy testów penetracyjnych;
c) komponenty architektury aplikacji są monitorowane pod kątem podatności;
d) stosowane są zabezpieczenia sieciowe na styku z siecią Internet.
2. Zabezpieczenia dotyczące uwierzytelniania: jest stosowana weryfikacja tożsamości nadawcy w trakcie komunikacji zapewniająca, że tylko upoważnione podmioty mogą być uwierzytelnione, a dane uwierzytelniające są przechowywane i transportowane w sposób bezpieczny.
3. Zabezpieczenia dotyczące zarządzania sesją: zostały wdrożone mechanizmy zarządzania sesją, przy pomocy której interakcja aplikacji z użytkownikiem jest nadzorowana i bezpieczna. Sesje są unikalne dla każdego użytkownika i nie mogą zostać odgadnięte lub współdzielone.
4. Zabezpieczenia dotyczące kontroli dostępu: jest zapewniony dostęp jedynie do tych zasobów, na które wyrażono zgodę. Osoby uzyskujące dostęp posiadają ważne dane uwierzytelniające, a użytkownicy są powiązani ze zdefiniowanymi zestawami ról i uprawnień.
5. Zabezpieczenia dotyczące obsługi złośliwych danych wejściowych: jest stosowana walidacja danych wejściowych zapewniająca poprawność i dostosowanie do zamierzonych celów.
6. Zabezpieczenia dotyczące nieaktywnych mechanizmów kryptograficznych: jest zapewnione, że wszystkie moduły kryptograficzne kończące pracę niepowodzeniem robią to w sposób bezpieczny. Dostęp do kluczy jest zarządzany w bezpieczny sposób.
7. Zabezpieczenia dotyczące obsługi i logowania błędów: stosowane są mechanizmy logowania zdarzeń bezpieczeństwa, a wszystkie logowane informacje są obsługiwane i przechowywane w sposób bezpieczny.
8. Zabezpieczenia dotyczące mechanizmów ochrony danych: jest zapewniona ochrona danych przed nieautoryzowanym podglądem lub ujawnieniem, zarówno podczas transmisji jak i podczas przechowywania. Dane chronione są przed złośliwym tworzeniem, zmianą lub usuwaniem przez nieupoważnione osoby oraz dostępne są tylko dla autoryzowanych użytkowników gdy tylko są potrzebne.
9. Zabezpieczenia dotyczące komunikacji:
a) stosowane jest bezpieczne połączenie we wszystkich połączeniach (zewnętrznych i wewnętrznych), które są uwierzytelniane lub związane są z wrażliwymi danymi lub funkcjami;
b) zapewnione są mechanizmy uniemożliwiające pogorszenie parametrów bezpieczeństwa połączenia;
c) stosowany jest najsilniejszy dostępny algorytm szyfrowania.
10.Zabezpieczenia dotyczące konfiguracji http: są zapewnione bezpieczne zestawy znaków w nagłówkach oraz nie są ujawniane informacje o wersjach komponentu systemów.
11.Zabezpieczenia dotyczące bezpieczeństwa plików i zasobów: jest zapewnione, że niezaufane dane z plików obsługiwane są w sposób bezpieczny, a pliki źródłowe otrzymane z niezaufanych źródeł są przechowywane poza katalogiem głównym aplikacji z ograniczonymi uprawnieniami.
12.Zabezpieczenia dotyczące bezpieczeństwa procesu konfiguracji: jest zapewnione bezpieczeństwo podczas zmian w oprogramowaniu i wykorzystywanie aktualnych bibliotek, platform, a komunikacja pomiędzy komponentami jest szyfrowana i uwierzytelniana.
13.Zabezpieczenie dla dostępności aplikacji: jest zapewnione przez cyklicznie wykonywane kopie zapasowe danych oraz procedury odtworzeniowe.
Załącznik nr 2
Dalsze Podmioty Przetwarzające – DPP
Lp. | Nazwa DPP | Adres DPP | Miejsce przetwarzania przez DPP | Cel dalszego powierzenia DPP |
1. | Microsoft Ireland Operations Limited | Xxxxx X, Xxxxxx Xxxxxxxx Xxxxxxxxx Xxxxxxxxxx Xxxxxx Xxxxxxxxxx Xx, Xxxxxx 00 Xxxxxxxx | EOG (główne centra danych: Xxxxxxxx, Xxxxxx Xxxxxxxx, Xxxxxxx, Xxxxxx, Xxxxxxxx) | Hosting w postaci prywatnej chmury obliczeniowej (Microsoft Azure) |
2. | ComVision sp. z o.o. | xx. Xxxxxxxx 000 00-000 Xxxxxxx, Xxxxxx | EOG (główne centrum hostingowe: Polska) | Zapewnienie funkcjonalności automatycznej wysyłki i odbioru wiadomości SMS dla Użytkowników |
3. | Epicode sp. z o.o. | xx. Xxxxxxx 00 00-000 Xxxxxxxx, Xxxxxx | EOG (Polska) | Obsługa techniczna i rozwój Platformy emplo |