POROZUMIENIE DOTYCZĄCE UZGODNIEŃ OKREŚLAJĄCYCH ZAKRES ODPOWIEDZIALNOŚCI WYNIKAJĄCEJ Z PRZEPISÓW O OCHRONIE DANYCH OSOBOWYCH

POROZUMIENIE DOTYCZĄCE UZGODNIEŃ OKREŚLAJĄCYCH ZAKRES ODPOWIEDZIALNOŚCI WYNIKAJĄCEJ Z PRZEPISÓW O OCHRONIE DANYCH OSOBOWYCH

zawarte w dniu 14 maja 2018 w Warszawie, pomiędzy:

TUI Poland sp. z o.o., spółką utworzoną i działającą zgodnie z prawem Rzeczypospolitej Polskiej, z siedzibą w Warszawie (02-675) przy ulicy Wołoskiej 22a, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla x.xx. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem 83435,posługującą się NIP:

000-000-00-00 oraz numerem identyfikacyjnym REGON 639552348, kapitał zakładowy w wysokości 200.000,00 zł (dwieście tysięcy złotych) zwaną dalej

„Administratorem 1", reprezentowaną przez:

Xxxxxxx Xxxxxxxxxxx - Prezesa Zarządu,

Xxxxxxx Xxxxxxx- członka Zarządu a

TUI Poland Dystrybucja sp. z o.o., spółką utworzoną i działającą zgodnie z prawem Rzeczypospolitej Polskiej, z siedzibą w Warszawie (02-675) przy ulicy Wołoskiej 22a, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla x.xx. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem 361999, posługującą się NIP: 521 -35- 74-503 oraz numerem identyfikacyjnym REGON 142512402, kapitał zakładowy w wysokości 579.800,00 zł (pięćset siedemdziesiąt dziewięć tysięcy osiemset złotych), zwaną dalej „Administratorem 2", reprezentowaną przez:

Xxxxxxx Xxxxxxxxxxx - Prezesa Zarządu

Xxxxx Xxxxxxxxxxxxx - Prokurenta

zwane dalej łącznie „Administratorami", a każda z osobną „Administratorem".

1. DEFINICJE

Terminom używanym w niniejszym porozumieniu nadaje się następujące znaczenie:

1) Podmiot Danych - osoba, której dane dotyczą, której dane osobowe są przetwarzane przez Administratorów w ramach Wspólnych Czynności Przetwarzania;

2) Porozumienie - niniejsze porozumienie dotyczące uzgodnień określających zakres odpowiedzialności wynikającej z przepisów o ochronie danych osobowych;

3) RODO - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);

4) System CRM - system informatyczny służący do przetwarzania danych osobowych Podmiotów Danych;

1

podejmują decyzję co do ograniczenia przetwarzania danych Podmiotu Danych oraz ustalają treść odpowiedzi do Podmiotu Danych. Decyzja co do ograniczenia albo braku ograniczenia przetwarzania danych oraz co do treści odpowiedzi musi być podjęta w terminie 21 dni od otrzymania żądania od Podmiotu Danych.

7.8. W przypadku zgłoszenia przez Podmiot Danych żądania związanego ze zautomatyzowanym podejmowaniem decyzji, w tym żądania uzyskania interwencji ludzkiej, na podstawie art. 22 RODO, Administratorzy wspólnie podejmują decyzję w tym zakresie oraz ustalają treść odpowiedzi do Podmiotu Danych. Decyzja w zakresie zautomatyzowanego podejmowania decyzji, w tym żądania uzyskania interwencji ludzkiej, oraz co do treści odpowiedzi musi być podjęta w terminie 21 dni od otrzymania żądania od Podmiotu Danych.

7.9. Jeżeli żądanie Podmiotu Danych na podstawie art. 17, art. 18 lub art. 22 RODO odnosi się do przetwarzania jego danych wyłącznie przez jednego z Administratorów, Administrator, do którego odnosi się żądanie samodzielnie podejmuje decyzję w zakresie tego żądania oraz odpowiedzi dla Podmiotu Danych. Administrator, do którego odnosi się żądanie, informuje drugiego Administratora o wysłanej odpowiedzi, w terminie 3 dni od dnia wysłania odpowiedzi do Podmiotu Danych.

7.10. W przypadku wycofania przez Podmiot Danych zgody na przetwarzanie danych osobowych, Administrator otrzymujący oświadczenie o wycofaniu zgody niezwłocznie, ale nie później niż w terminie 1 dnia od otrzymania oświadczenia, informuje drugiego Administratora. Administrator otrzymujący oświadczenie o wycofaniu zgody usuwa z Systemu CRM dane osobowe Podmiotu Danych, których przetwarzanie oparte jest o zgodę Podmiotu Danych.

8. PUNKT KONTAKTOWY DLA PODMIOTÓW DANYCH

8.1. Administratorzy ustalają punkty kontaktowe dla Podmiotów Danych: formularz kontaktowy na stronie internetowej xxx.xxxxxxxxxx-xxxxxxxxxxx.xxx.xx, adres e-mail xxxxxxxxxxxx@xxx.xx, adres pocztowy TUI Poland Sp. z o.o., 00-000 Xxxxxxxx, xx. Xxxxxxx 00x. Informacje o punktach kontaktowych dla Podmiotów Danych będą znajdować się w klauzuli informacyjnej oraz na stronie internetowej xxx.xx. Administrator 1 zobowiązuje się do obsługi wyżej wymienionych punktów kontaktowych, co nie wyłącza prawa Podmiotu Danych do kontaktowania się z Administratorem 2.

8.2. Wszelkie żądania Podmiotów Danych zgłoszone za pośrednictwem punktów kontaktowych są rejestrowane i widoczne dla obu Administratorów.

9. ZAKRES POROZUMIENIA UDOSTĘPNIANY PODMIOTOM DANYCH

Zgodnie z dyspozycją art. 26 ust. 2 RODO, Podmiotom Danych udostępniany jest wyciąg z niniejszego Porozumienia w zakresie: komparycja, pkt 1, pkt 2, pkt 3, pkt 5, pkt 6, pkt 7, pkt 8 oraz pkt 14.

10. OBOWIĄZKI ZWIĄZANE Z ZABEZPIECZANIEM DANYCH

10.1. Jako że zgodnie z pkt 4.2 powyżej, Administrator 2 zarządza Systemem CRM, Administrator 2 zobowiązuje się do stosowania środków technicznych i organizacyjnych, aby zapewnić odpowiedni stopień bezpieczeństwa danych

4