Dodatek dotyczący
realizacji
zleceń
Niniejsze zasady realizacji zleceń stanowią uzupełnienie Ogólnych Warunków Handlowych firmy Jungherz GmbH, będącej operatorem marki AppConfector (zwanej dalej „Wykonawcą”). Zawierając stałą umowę z Wykonawcą, klient (zwany dalej „Zleceniodawcą”) automatycznie wyraża zgodę na niniejsze zasady w ramach stosunku handlowego. W przypadku sprzeczności między niniejszymi przepisami a ogólnymi warunkami handlowymi, niniejsze przepisy mają pierwszeństwo w zakresie realizacji zamówień.
Wykonawca i Klient są dalej określani wspólnym terminem „Strony”.
Strony uzgadniają, że wraz z wejściem w życie niniejszej Umowy o przetwarzaniu danych na zlecenie, dotychczasowa Umowa o przetwarzaniu danych na zlecenie zawarta między Stronami zgodnie z § 11 niemieckiej federalnej ustawy o ochronie danych oraz wszelkie inne umowy o przetwarzaniu danych na zlecenie zostają rozwiązane za porozumieniem stron i zastąpione niniejszą nową Umową o przetwarzaniu danych na zlecenie.
1. Postanowienia ogólne
(1) Podmiot przetwarzający przetwarza dane osobowe w imieniu Klienta w rozumieniu art. 4 nr 8 i art. 28 rozporządzenia (UE) 2016/679 – ogólnego rozporządzenia o ochronie danych (RODO). Niniejsza umowa reguluje prawa i obowiązki stron w związku z przetwarzaniem danych osobowych.
(2) O ile w niniejszej umowie używane jest pojęcie „przetwarzanie danych” lub „przetwarzanie” (danych), zastosowanie ma definicja „przetwarzania” w rozumieniu art. 4 nr 2 RODO.
(3) Wszelkie odniesienia w niniejszej umowie do RODO (rozporządzenie (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych oraz uchylające dyrektywę 95/46/WE (ogólne rozporządzenie o ochronie danych)) odnoszą się do RODO w jego aktualnej wersji.
2. Przedmiot zlecenia
Przedmiot przetwarzania, rodzaj i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, określono w załączniku 1 do niniejszej umowy.
3. Prawa i obowiązki zleceniodawcy
(1) Zleceniodawca jest podmiotem odpowiedzialnym w rozumieniu art. 4 nr 7 RODO za przetwarzanie danych w imieniu podmiotów przetwarzających. Zgodnie z art. 4 ust. 5 niniejszej umowy podmiot przetwarzający ma prawo poinformować zleceniodawcę, jeżeli przedmiotem zlecenia i/lub polecenia jest przetwarzanie danych, które jego zdaniem jest niezgodne z prawem.
(2) Klient jest odpowiedzialny za ochronę praw osób, których dane dotyczą.
Podmiot przetwarzający
niezwłocznie poinformuje klienta, jeżeli osoby, których dane dotyczą, dochodzą swoich praw wobec podmiotu przetwarzającego.
(3) Klient ma prawo w dowolnym momencie wydawać podmiotowi przetwarzającemu dodatkowe instrukcje dotyczące rodzaju, zakresu i procedury przetwarzania danych. Instrukcje mogą być przekazywane w formie tekstowej (np. e-mail).
(4) Przepisy dotyczące ewentualnego wynagrodzenia za dodatkowe koszty poniesione przez podmiot przetwarzający w wyniku dodatkowych instrukcji przekazanych przez zleceniodawcę pozostają nienaruszone.
5. Zleceniodawca niezwłocznie poinformuje podmiot przetwarzający, jeśli wykryje błędy lub nieprawidłowości w związku z przetwarzaniem danych osobowych przez podmiot przetwarzający.
(6) W przypadku istnienia obowiązku poinformowania osób trzecich zgodnie z art. 33, 34 RODO lub jakiegokolwiek innego obowiązku informacyjnego mającego zastosowanie do zleceniodawcy, zleceniodawca jest odpowiedzialny za wypełnienie tego obowiązku.
4. Ogólne obowiązki podmiotu przetwarzającego
(1) Podmiot przetwarzający przetwarza dane osobowe wyłącznie w zakresie zawartych umów i/lub zgodnie z wszelkimi dodatkowymi instrukcjami wydanymi przez zleceniodawcę. Wyjątek stanowią przepisy prawne, które mogą zobowiązywać podmiot przetwarzający do przetwarzania danych w inny sposób. W takim przypadku podmiot przetwarzający powiadamia zleceniodawcę o tych wymogach prawnych przed rozpoczęciem przetwarzania, chyba że dane prawo zabrania takiego powiadomienia ze względu na ważny interes publiczny. Cel, charakter i zakres przetwarzania danych podlegają w pozostałym zakresie wyłącznie niniejszej Umowie i/lub instrukcjom zleceniodawcy. Wszelkie przetwarzanie danych odbiegające od powyższego jest zabronione dla podmiotu przetwarzającego, chyba że podmiot przetwarzający wyraził na to pisemną zgodę.
(2) Podmiot przetwarzający zobowiązuje się do przeprowadzania przetwarzania danych w imieniu Klienta wyłącznie na terenie Europejskiego Obszaru Gospodarczego, o ile nie jest to technicznie wymagane.
(3) W zakresie przetwarzania danych osobowych zgodnie z zleceniem podmiot przetwarzający gwarantuje wykonanie wszystkich uzgodnionych środków.
(4) Podmiot przetwarzający jest zobowiązany do zorganizowania swojej firmy i procedur operacyjnych w taki sposób, aby dane przetwarzane przez niego w imieniu zleceniodawcy były zabezpieczone w zakresie niezbędnym w każdym przypadku i chronione przed nieuprawnionym dostępem osób trzecich.
Zleceniobiorca
uzgadnia z zleceniodawcą z wyprzedzeniem zmiany w organizacji przetwarzania danych na zlecenie zleceniodawcy, które mają istotne znaczenie dla bezpieczeństwa danych.
(5) Zleceniobiorca niezwłocznie informuje zleceniodawcę, jeżeli jego zdaniem wydane przez zleceniodawcę polecenie narusza przepisy ustawowe. Zleceniobiorca ma prawo wstrzymać wykonanie danego polecenia do czasu jego potwierdzenia lub zmiany przez zleceniodawcę. Jeżeli zleceniobiorca jest w stanie wykazać, że przetwarzanie zgodnie z poleceniami klienta może prowadzić do ponoszenia przez niego odpowiedzialności zgodnie z art. 82 RODO, zleceniobiorca ma prawo wstrzymać dalsze przetwarzanie w tym zakresie do czasu wyjaśnienia kwestii odpowiedzialności między stronami.
(6) Przetwarzanie
danych na zlecenie
Klienta poza siedzibą
podmiotu przetwarzającego
lub podwykonawcy jest dozwolone wyłącznie za zgodą Klienta wyrażoną w formie pisemnej lub tekstowej. Przetwarzanie danych na
zlecenie
Klienta w domach prywatnych jest dozwolone wyłącznie za zgodą Klienta wyrażoną w formie pisemnej lub tekstowej w indywidualnych przypadkach.
(7) Podmiot przetwarzający będzie przetwarzał dane, które przetwarza na zlecenie Klienta, oddzielnie od innych danych. Fizyczne oddzielenie nie jest obowiązkowe.
5.
Inspektor
ochrony danych podmiotu przetwarzającego
(1) Podmiot przetwarzający potwierdza, że wyznaczył inspektora ochrony danych zgodnie z art. 37 RODO. Podmiot przetwarzający zapewni, że inspektor ochrony danych posiada niezbędne kwalifikacje i wiedzę specjalistyczną. Podmiot przetwarzający poinformuje zleceniodawcę oddzielnie w formie tekstowej o nazwisku i danych kontaktowych swojego inspektora ochrony danych.
(2) Od zobowiązania do wyznaczenia inspektora ochrony danych zgodnie z ust. 1 można odstąpić według uznania zleceniodawcy, jeżeli podmiot przetwarzający wykaże, że nie ma prawnego obowiązku wyznaczenia inspektora ochrony danych, oraz wykaże, że istnieją rozwiązania operacyjne zapewniające przetwarzanie danych osobowych zgodnie z przepisami prawa, postanowieniami niniejszej umowy oraz wszelkimi dalszymi instrukcjami zleceniodawcy.
6. Obowiązki sprawozdawcze podmiotu przetwarzającego
(1) Podmiot przetwarzający jest zobowiązany do niezwłocznego powiadomienia zleceniodawcy o każdym naruszeniu przepisów o ochronie danych lub uzgodnień umownych i/lub instrukcji wydanych przez zleceniodawcę, które miało miejsce w trakcie przetwarzania danych przez niego lub inne osoby zaangażowane w przetwarzanie. To samo dotyczy każdego naruszenia ochrony danych osobowych przetwarzanych przez podmiot przetwarzający w imieniu zleceniodawcy.
(2) Ponadto podmiot przetwarzający niezwłocznie poinformuje klienta, jeżeli organ nadzorczy zgodnie z art. 58 RODO podejmie działania przeciwko podmiotowi przetwarzającemu, a może to również dotyczyć kontroli przetwarzania, które podmiot przetwarzający wykonuje w imieniu klienta.
(3) Podmiot przetwarzający ma świadomość, że na zleceniodawcy może spoczywać obowiązek powiadomienia zgodnie z art. 33, 34 RODO, który przewiduje powiadomienie organu nadzorczego w ciągu 72 godzin od wykrycia naruszenia. Podmiot przetwarzający wspiera klienta w wypełnianiu obowiązków powiadamiania. W szczególności podmiot przetwarzający niezwłocznie powiadamia klienta o każdym nieuprawnionym dostępie do danych osobowych przetwarzanych w imieniu klienta, najpóźniej jednak w ciągu 48 godzin od stwierdzenia takiego dostępu. Powiadomienie podmiotu przetwarzającego skierowane do klienta musi w szczególności zawierać następujące informacje:
- opis charakteru naruszenia ochrony danych osobowych, w miarę możliwości ze wskazaniem kategorii i przybliżonej liczby osób, których to dotyczy, oraz kategorii i przybliżonej liczby rekordów danych osobowych, których to dotyczy;
- opis środków podjętych lub zaproponowanych przez podmiot przetwarzający w celu usunięcia naruszenia ochrony danych osobowych oraz, w stosownych przypadkach, środków mających na celu złagodzenie jego ewentualnych negatywnych skutków.
7. Obowiązki podmiotu przetwarzającego w zakresie współpracy
(1) Podmiot przetwarzający wspiera Klienta w wypełnianiu obowiązku odpowiadania na wnioski o wykonanie praw osób, których dane dotyczą, zgodnie z art. 12–23 RODO. Zastosowanie mają postanowienia § 11 niniejszej Umowy.
(2) Podmiot przetwarzający uczestniczy w sporządzaniu przez zleceniodawcę wykazów czynności przetwarzania. Podmiot przetwarzający przekazuje zleceniodawcy niezbędne informacje w odpowiedni sposób.
(3) Biorąc pod uwagę rodzaj przetwarzania oraz informacje, którymi dysponuje, podmiot przetwarzający wspiera zleceniodawcę w wypełnianiu obowiązków określonych w art. 32–36 RODO.
(4) Podmiot przetwarzający ma prawo żądać od zleceniodawcy odpowiedniego wynagrodzenia za te usługi, proporcjonalnego do poniesionych kosztów.
8. Uprawnienia kontrolne
(1) Klient ma prawo w dowolnym momencie sprawdzić w niezbędnym zakresie, czy podmiot przetwarzający przestrzega przepisów ustawowych dotyczących ochrony danych i/lub czy przestrzega postanowień umownych uzgodnionych między stronami, a także czy podmiot przetwarzający postępuje zgodnie z instrukcjami klienta.
Dowód wypełnienia obowiązków spoczywających na podmiocie przetwarzającym zgodnie z RODO powinien być dostarczony przede wszystkim w postaci niezależnych raportów z badań i certyfikatów.
Jeżeli klient, na podstawie dowodów faktycznych, ma uzasadnione wątpliwości, że raporty z badań lub certyfikaty są niewystarczające lub nieprawidłowe, lub jeżeli uzasadniają to szczególne zdarzenia w rozumieniu art. 33 ust. 1 RODO w związku z realizacją zlecenia klienta, klient może przeprowadzić kontrole zgodnie z sekcją 8. (2).
(2) Aby umożliwić Klientowi przeprowadzenie kontroli zlecenia, a w szczególności sprawdzenie środków technicznych i organizacyjnych podjętych u zleceniobiorcy przed rozpoczęciem i regularnie w trakcie przetwarzania danych, zleceniobiorca zezwala na kontrolę przeprowadzoną przez neutralną stronę trzecią (biegłego rewidenta) wyznaczoną przez Klienta. Zleceniobiorca ma prawo wyznaczyć terminy kontroli zgodnie z możliwościami operacyjnymi. Kontrola musi być umożliwiona w rozsądnym terminie od złożenia wniosku. Alternatywnie,
podmiot przetwarzający
może również zaspokoić prawo klienta do kontroli, dostarczając raport z kontroli sporządzony przez niezależnego, zaprzysiężonego biegłego rewidenta w imieniu podmiotu przetwarzającego. Korzystanie z prawa do kontroli nie może nadmiernie zakłócać działalności operacyjnej podmiotu przetwarzającego ani mieć charakteru nadużycia.
(3) Podmiot przetwarzający zlecenie ma prawo żądać od klienta rozsądnego wynagrodzenia za kontrole w rozumieniu pkt 8 ust. 2.
9. Wskaźniki podwykonawstwa
(1) Zlecanie podwykonawców przez podmiot przetwarzający jest dozwolone wyłącznie za zgodą klienta wyrażoną w formie pisemnej. Podmiot przetwarzający zlecenie określi wszystkie stosunki podwykonawcze istniejące już w momencie zawarcia umowy w załączniku 2 do niniejszej umowy.
(2) Podmiot przetwarzający dane dokona starannego wyboru podwykonawcy i przed złożeniem zlecenia sprawdzi, czy podwykonawca jest w stanie wywiązać się z ustaleń poczynionych między zleceniodawcą a podmiotem przetwarzającym dane. W szczególności podmiot przetwarzający dane sprawdzi z wyprzedzeniem oraz regularnie w trakcie trwania umowy, czy podwykonawca podjął środki techniczne i organizacyjne wymagane na mocy art. 32 RODO w celu ochrony danych osobowych. Wynik kontroli zostanie udokumentowany przez podwykonawcę i udostępniony klientowi na jego żądanie.
(3) Podmiot przetwarzający jest zobowiązany do uzyskania od podwykonawcy potwierdzenia, że wyznaczył on inspektora ochrony danych zgodnie z art. 37 RODO. W przypadku, gdy podwykonawca nie wyznaczył inspektora ochrony danych, podmiot przetwarzający poinformuje o tym fakcie zleceniodawcę i przedstawi informacje wskazujące, że podwykonawca nie ma prawnego obowiązku wyznaczenia inspektora ochrony danych.
(4)
Podmiot przetwarzający
zapewni, że postanowienia uzgodnione w niniejszej umowie oraz ewentualne dodatkowe instrukcje klienta mają również zastosowanie do podwykonawcy.
(5) Podmiot przetwarzający zawrze z podwykonawcą umowę zgodną z wymogami art. 28 RODO. Ponadto podmiot przetwarzający nałoży na podwykonawcę takie same obowiązki w zakresie ochrony danych osobowych, jakie zostały ustalone między zleceniodawcą a podmiotem przetwarzającym.
(6) W szczególności strona przetwarzająca zlecenie jest zobowiązana do zapewnienia w postanowieniach umownych, że uprawnienia kontrolne (punkt 8 niniejszej umowy) zleceniodawcy i organów nadzorczych mają również zastosowanie do podwykonawcy oraz że odpowiednie uprawnienia kontrolne są uzgodnione przez zleceniodawcę i organy nadzorcze. Ponadto należy umownie uzgodnić, że podwykonawca będzie tolerował te środki kontroli oraz wszelkie kontrole na miejscu.
(7) Stosunki podwykonawcze w rozumieniu ust. 1–6 nie są uznawane za usługi, które podmiot przetwarzający uzyskuje od osób trzecich jako usługi czysto pomocnicze w celu prowadzenia działalności gospodarczej. Usługi takie obejmują na przykład usługi sprzątania, czyste usługi telekomunikacyjne bez konkretnego odniesienia do usług, które podmiot przetwarzający świadczy na rzecz zleceniodawcy, usługi pocztowe i kurierskie, usługi transportowe, usługi ochroniarskie. Podmiot przetwarzający jest jednak zobowiązany do zapewnienia, również w przypadku usług pomocniczych świadczonych przez osoby trzecie, że podjęto odpowiednie środki ostrożności oraz środki techniczne i organizacyjne w celu zapewnienia ochrony danych osobowych. Konserwacja i serwisowanie systemów informatycznych lub aplikacji stanowi stosunek podwykonawstwa i przetwarzanie na zlecenie w rozumieniu art. 28 RODO, co wymaga zgody, jeżeli konserwacja i testowanie dotyczą takich systemów informatycznych, które są również wykorzystywane w związku ze świadczeniem usług na rzecz zleceniodawcy oraz jeżeli podczas konserwacji można uzyskać dostęp do danych osobowych przetwarzanych w
imieniu
zleceniodawcy.
10. Obowiązek
zachowania
poufności
(1) Podczas przetwarzania danych w imieniu zleceniodawcy podmiot przetwarzający jest zobowiązany do zachowania poufności danych, które otrzymuje lub o których dowiaduje się w związku z zleceniem. Zleceniobiorca zobowiązuje się przestrzegać tych samych zasad
ochrony
tajemnicy, jakie obowiązują zleceniodawcę. Zleceniodawca jest zobowiązany do poinformowania zleceniobiorcy o wszelkich szczególnych zasadach
ochrony
tajemnicy.
(2) Zleceniobiorca zapewnia, że zna obowiązujące przepisy dotyczące ochrony danych oraz że jest zaznajomiony z ich stosowaniem. Zleceniobiorca gwarantuje ponadto, że zapoznał swoich pracowników z przepisami dotyczącymi ochrony danych, które ich dotyczą, oraz zobowiązał ich do zachowania poufności. Zleceniobiorca gwarantuje ponadto, że w szczególności zobowiązał swoich pracowników zaangażowanych w wykonywanie prac do zachowania poufności oraz poinformował ich o wytycznych zleceniodawcy.
(3) Obowiązek pracowników zgodnie z ust. 2 musi zostać udowodniony zleceniodawcy na jego żądanie.
11. Ochrona praw osób, których dane dotyczą
(1) Klient ponosi wyłączną odpowiedzialność za ochronę praw osób, których dane dotyczą. Podmiot przetwarzający jest zobowiązany do wspierania klienta w wypełnianiu jego obowiązku rozpatrywania wniosków osób, których dane dotyczą, zgodnie z art. 12–23 RODO. W szczególności podmiot przetwarzający zapewni, aby informacje wymagane w tym zakresie były niezwłocznie przekazywane zleceniodawcy, tak aby zleceniodawca mógł wypełnić swoje obowiązki wynikające z art. 12 ust. 3 RODO.
(2) O ile współpraca z podmiotem przetwarzającym jest niezbędna do ochrony praw osób, których dane dotyczą – w szczególności do informacji, sprostowania, zablokowania lub usunięcia – przez zleceniodawcę, podmiot przetwarzający podejmuje odpowiednie niezbędne środki zgodnie z instrukcjami zleceniodawcy. W miarę możliwości podmiot przetwarzający wspiera zleceniodawcę odpowiednimi środkami technicznymi i organizacyjnymi w celu wypełnienia jego obowiązku udzielenia odpowiedzi na wnioski o wykonanie praw osób, których dane dotyczą. Podmiot przetwarzający ma prawo żądać od zleceniodawcy rozsądnego wynagrodzenia za te usługi.
(3) Nie narusza to żadnych postanowień dotyczących ewentualnego wynagrodzenia za dodatkowe koszty poniesione przez podmiot przetwarzający w wyniku świadczenia usług współpracy w związku z dochodzeniem praw osób, których dane dotyczą, wobec zleceniodawcy.
12. Obowiązki zachowania poufności
(1) Obie strony zobowiązują się traktować wszystkie informacje otrzymane w związku z realizacją niniejszej umowy jako poufne przez czas nieograniczony i wykorzystywać je wyłącznie do realizacji umowy. Żadna ze stron nie jest uprawniona do wykorzystywania tych informacji w całości lub w części do celów innych niż właśnie wymienione ani do udostępniania tych informacji osobom trzecim.
(2) Powyższe zobowiązanie nie ma zastosowania do informacji, które jedna ze stron w sposób dający się udowodnić otrzymała od osób trzecich bez obowiązku zachowania poufności lub które są powszechnie znane.
13. Przetwarzanie
Podmiot przetwarzający nie otrzyma oddzielnego wynagrodzenia z tytułu niniejszej umowy.
14. Środki techniczne i organizacyjne w zakresie bezpieczeństwa danych
(1) Podmiot przetwarzający zobowiązuje się wobec zleceniodawcy do stosowania środków technicznych i organizacyjnych wymaganych do przestrzegania obowiązujących przepisów o ochronie danych. Obejmuje to w szczególności wymogi art. 32 RODO.
(2) Stan środków technicznych i organizacyjnych istniejących w momencie zawarcia umowy stanowi załącznik nr 3 do niniejszej umowy. Strony uzgadniają, że zmiany środków technicznych i organizacyjnych mogą być konieczne w celu dostosowania się do warunków technicznych i prawnych. Istotne zmiany, które mogą wpłynąć na integralność, poufność lub dostępność danych osobowych, będą uzgadniane z wyprzedzeniem przez podmiot przetwarzający z klientem. Środki, które wiążą się jedynie z niewielkimi zmianami technicznymi lub organizacyjnymi i nie mają negatywnego wpływu na integralność, poufność i dostępność danych osobowych, mogą być wdrażane przez podmiot przetwarzający bez konsultacji z klientem. Klient może w dowolnym momencie zażądać aktualnej wersji środków technicznych i
organizacyjnych podjętych
przez podmiot przetwarzający.
(3) Wykonawca regularnie oraz w razie potrzeby sprawdza skuteczność podjętych przez siebie środków technicznych i organizacyjnych. W przypadku konieczności optymalizacji i/lub modyfikacji zleceniobiorca poinformuje o tym klienta.
15. Czas trwania zlecenia
(1) Umowa wchodzi w życie z chwilą zlecenia i zostaje zawarta na czas nieokreślony.
(2) Umowa wygasa wraz z wygaśnięciem umowy głównej (pakietu aplikacji lub dowolnej usługi) bez konieczności oddzielnego wypowiedzenia.
Wszelkie obowiązki
dotyczące
usunięcia i zwrotu po wygaśnięciu niniejszej umowy reguluje § 16.
(3) Zleceniodawca może wypowiedzieć umowę w dowolnym momencie bez zachowania terminu wypowiedzenia, jeżeli nastąpi poważne naruszenie przepisów o ochronie danych mających zastosowanie do podmiotu przetwarzającego lub obowiązków wynikających z niniejszej umowy, jeżeli podmiot przetwarzający nie jest w stanie lub nie chce wykonać polecenia zleceniodawcy lub jeżeli podmiot przetwarzający odmówi dostępu zleceniodawcy lub właściwemu organowi nadzorczemu z naruszeniem umowy.
16. Wypowiedzenie
(1) Po wypowiedzeniu umowy zleceniobiorca zwróci zleceniodawcy lub usunie wszystkie dokumenty, dane oraz wyniki przetwarzania lub użytkowania, które weszły w jego posiadanie w związku ze stosunkiem umownym, zgodnie z wyborem zleceniodawcy. Usunięcie danych należy odpowiednio udokumentować. Nie ma to wpływu na ustawowe obowiązki przechowywania danych ani inne obowiązki związane z ich przechowywaniem. W przypadku nośników danych należy je zniszczyć w przypadku usunięcia na żądanie zleceniodawcy, przy czym należy zachować co najmniej poziom bezpieczeństwa 3 zgodnie z normą DIN 66399; zleceniodawca musi przedstawić dowód zniszczenia z odniesieniem do poziomu bezpieczeństwa zgodnie z normą DIN 66399.
(2) Zleceniodawca ma prawo do kontroli całkowitego i zgodnego z umową zwrotu oraz usunięcia danych u podmiotu przetwarzającego. Można to również zrobić poprzez kontrolę sprzętu do przetwarzania danych w siedzibie podmiotu przetwarzającego. Kontrola na miejscu powinna zostać zgłoszona przez klienta z zachowaniem rozsądnego terminu.
17. Prawo zatrzymania
Strony uzgadniają, że wyklucza się podniesienie przez podmiot przetwarzający zarzutu prawa zatrzymania w rozumieniu § 273 BGB (niemieckiego kodeksu cywilnego) w odniesieniu do przetwarzanych danych i związanych z nimi nośników danych.
18. Postanowienia końcowe
(1) Jeżeli mienie klienta jest zagrożone w siedzibie podmiotu przetwarzającego w wyniku działań osób trzecich (takich jak zajęcie lub konfiskata), postępowania upadłościowego lub innych zdarzeń, podmiot przetwarzający niezwłocznie poinformuje o tym klienta. Podmiot przetwarzający niezwłocznie poinformuje wierzycieli o fakcie, że dane są przetwarzane na zlecenie.
(2) Umowy dodatkowe wymagają formy pisemnej.
(3) Jeżeli poszczególne części niniejszej umowy są nieważne, nie ma to wpływu na ważność pozostałych postanowień umowy.
Załącznik 1 – Przedmiot zlecenia
1. Przedmiot i cel przetwarzania
Zlecenie klienta skierowane do podmiotu przetwarzającego obejmuje następujące prace i/lub usługi: Dostarczanie aplikacji mobilnych (opisanych bardziej szczegółowo w odpowiednim aktualnym opisie usługi), a także stron internetowych o podobnej treści. Obejmuje to gromadzenie, przetwarzanie i przekazywanie zarejestrowanych danych.
2. Rodzaj(-e) danych osobowych
Regularnie przetwarzane są następujące rodzaje danych: Dane o ruchu, dane dotyczące treści, dane kontaktowe, dane osobowe oraz dane dotyczące komunikacji (imię i nazwisko, adres, numer telefonu, numer faksu, adres e-mail).
3. Krąg osób, których to
dotyczy Krąg osób, których dotyczy przetwarzanie danych: Użytkownicy Państwa konta, osoby dzwoniące i odbierające połączenia lub nadawcy/odbiorcy SMS-ów/faksów, pracownicy, klienci, partnerzy biznesowi, zainteresowane strony oraz usługodawcy klienta.
Jeśli klient jest partnerem podmiotu przetwarzającego: Dane kontaktowe, dane osobowe podstawowe oraz dane dotyczące komunikacji (imię i nazwisko, adres, numer telefonu, numer faksu, adres e-mail) wykonawców/firm poleconych przez partnera, który złożył zamówienie.
Klient jest zobowiązany do poinformowania użytkowników konta oraz – w razie potrzeby – rady zakładowej lub porównywalnych przedstawicieli o przetwarzaniu danych wymienionych w pkt 2.
4. Miejsce przetwarzania danych:
Wszystkie dane są przetwarzane na serwerach znajdujących się w Europejskim Obszarze Gospodarczym.
Załącznik 2 – Podwykonawca
W celu przetwarzania danych w imieniu zleceniodawcy podmiot przetwarzający korzysta z usług stron trzecich, które przetwarzają dane w jego imieniu („podwykonawcy”).
Podmiot przetwarzający korzysta z usług różnych podwykonawców w celu świadczenia swoich usług.
Podwykonawcami tymi są początkowo następujące firmy podmiotu przetwarzającego, które wykonują prace przygotowawcze do realizacji usług podmiotu przetwarzającego. Pomiędzy firmami tymi zawarto niezbędne umowy dotyczące przetwarzania tych danych.
Są to następujące firmy:
Jungherz LLC, 1621 Central Ave, Cheyenne, WY 82001
Mailjet GmbH, c/o Mindspace, Friedrichstraße 68, 10117 Berlin,
netcup GmbH, Daimlerstraße 25, D-76185 Karlsruhe
OVH Groupe SAS, 2 Rue Kellermann Roubaix, 59100 Francja
Digistore24 GmbH, St.-Godehard-Str. 32, 31139 Hildesheim
CopeCart GmbH, Ufnaustrasse 10, 10553 Berlin
Stripe Payments Europe, Limited (SPEL), 1 Grand Canal Street Lower, Dublin, D02 H210, Irlandia
Załącznik 3 – Środki techniczne i organizacyjne stosowane przez podmiot przetwarzający dane
Podmiot przetwarzający dane podejmuje następujące środki techniczne i organizacyjne w zakresie bezpieczeństwa danych w rozumieniu art. 32 RODO.
1. Poufność
Kontrola dostępu
W celu zapobiegania nieuprawnionemu dostępowi do systemów przetwarzania danych, za pomocą których dane są przetwarzane lub wykorzystywane, podmiot przetwarzający oraz jego podwykonawcy, tacy jak Netcup i Google Cloud Division, wdrożyli rozbudowane formalne procesy kontroli dostępu.
Wykorzystywane lokalizacje obejmują serwerownie oraz pomieszczenie z infrastrukturą serwerową. W celu uzyskania dostępu wybranym pracownikom podwykonawcy wydawane są klucze elektroniczne. Klucze uprawniają danego pracownika podwykonawcy wyłącznie do otwierania/zamykania poszczególnych drzwi, które zostały zatwierdzone do tego celu. Wszystkie operacje otwierania i zamykania za pomocą klucza są rejestrowane elektronicznie wraz z unikalnym identyfikatorem klucza. Za zarządzanie kluczami odpowiedzialni są wyłącznie pracownicy podwykonawcy bezpośrednio upoważnieni przez kierownictwo.
Serwerownia jest przez cały czas zamknięta i dostęp do niej mają wyłącznie wybrani pracownicy
podwykonawcy
.
W obrębie budynku danej lokalizacji prawa dostępu pracowników podwykonawcy – nawet tych posiadających klucz – są ograniczone do zakresu niezbędnego do wykonania konkretnego zadania.
W godzinach pracy kontrola osób wchodzących do budynku odbywa się w stale obsadzonej recepcji. Poza godzinami pracy wszystkie wejścia do budynku są zamknięte i zabezpieczone systemem alarmowym. Budynek jest dodatkowo chroniony przez firmę ochroniarską. Wszystkie sygnały alarmowe z systemu alarmowego są przekazywane bezpośrednio do firmy ochroniarskiej.
We wszystkich centrach danych stosowane są standardowe środki bezpieczeństwa. Odpowiadają one najnowszym osiągnięciom techniki oraz (najlepszym praktykom) branży IT. Obejmują one elektroniczne systemy kontroli dostępu z rejestracją, dzięki czemu do budynku mają wstęp wyłącznie osoby upoważnione, systemy alarmowe, monitoring wizyjny wewnątrz i na zewnątrz, całodobową ochronę, zabezpieczenie budynku drutem kolczastym oraz ochronę zapewnianą przez zewnętrzne firmy ochroniarskie, które w razie alarmu są automatycznie powiadamiane za pośrednictwem dedykowanej linii alarmowej.
Klucze do poszczególnych pomieszczeń i klatek w centrum danych należy zawsze odbierać od personelu ochrony.
Kontrola dostępu
Aby zapewnić, że osoby upoważnione do korzystania z systemu przetwarzania danych mają dostęp wyłącznie do danych objętych ich uprawnieniami dostępu oraz że przechowywane lub przetwarzane dane nie mogą być odczytywane, kopiowane, zmieniane ani usuwane przez osoby nieupoważnione, podmiot przetwarzający zlecony stosuje centralny system zarządzania uprawnieniami dostępu. Wszystkie dostępy są rejestrowane lokalnie oraz na centralnym serwerze logów. Uprawnienia administracyjne mogą być wykonywane wyłącznie za pośrednictwem centralnego programu administracyjnego.
Dostęp do wszystkich danych jest ograniczony w zakresie niezbędnym do wykonania konkretnych zadań przez wszystkie upoważnione osoby. Przestrzegane są ustawowe wymogi dotyczące ochrony danych, w szczególności te wynikające z ogólnego rozporządzenia o ochronie danych (RODO) oraz ustawy o telekomunikacji (TKG).
Segregacja
Podmiot przetwarzający przetwarza dane na systemach serwerowych, które są logicznie oddzielone za pomocą systemu logicznych i fizycznych kontroli dostępu w sieci.
2. Integralność
Kontrola wprowadzania
danych Aby zapewnić, że podmiot przetwarzający zamówienia może później sprawdzić i ustalić, czy oraz przez kogo dane zostały wprowadzone, zmienione lub usunięte w systemach przetwarzania danych, wszystkie dostępy do przechowywanych danych klienta są rejestrowane lokalnie oraz na centralnym serwerze logów.
Kontrola przekazywania
Aby zapewnić, że dane nie mogą być odczytywane, kopiowane, zmieniane lub usuwane przez osoby nieuprawnione podczas elektronicznej transmisji, transportu lub przechowywania oraz że możliwe jest zweryfikowanie, dokąd dane mają być przekazywane przez systemy transferu danych, dostęp do wszystkich systemów przetwarzających dane klientów podlega skutecznym mechanizmom kontroli dostępu. Mechanizmy kontroli dostępu zostały już szczegółowo opisane powyżej w punkcie 3.
3. Dostępność i odporność
Podmiot przetwarzający stosuje kombinację systemów redundantnych i rozwiązań backupowych we wszystkich systemach w celu ochrony przechowywanych danych oraz możliwości ich przywrócenia w razie potrzeby. Systemy te są eksploatowane wyłącznie w obiektach zabezpieczonych i wyposażonych zgodnie z aktualnym stanem techniki, które posiadają niezbędne systemy klimatyzacji, alarmowe oraz przeciwpożarowe i dla których istnieją szczegółowe plany awaryjne.
4. Procedury regularnego przeglądu, oceny i weryfikacji
Wszyscy nasi pracownicy oraz pracownicy podwykonawcy są regularnie szkoleni w zakresie ochrony danych. Szkolenia te są realizowane całkowicie wewnętrznie, co pozwala na dokładne dostosowanie ich do kwestii istotnych dla podmiotu przetwarzającego dane. Podczas tych szkoleń szczegółowo omawiane są również indywidualne kwestie.
Wszyscy pracownicy podmiotu
przetwarzającego
, którzy w ramach swojej pracy mają kontakt z przetwarzaniem danych osobowych, są zobowiązani do zachowania poufności danych osobowych. Odbywa się to regularnie przy zatrudnianiu nowych pracowników poprzez oświadczenie o zobowiązaniu zawarte w umowie, które każdy pracownik musi złożyć.
Podmiot przetwarzający wyznaczył inspektora ochrony danych. Wraz ze swoimi zastępcami inspektor ochrony danych zapewnia terminowe udzielanie odpowiedzi na zapytania osób, których dane dotyczą.
Podmiot przetwarzający prowadzi rejestr czynności przetwarzania w rozumieniu art. 30 ust. 1 i 2 RODO. Wykaz ten nie jest publiczny.
(stan na 16 lutego 2022 r.)