Zalacznik do Regulaminu – Umowa Powierzenia Przetwarzania Danych Ososbowych
wersja: 01.07.2021
§ 1
1. Klient oświadcza, że jest administratorem danych osobowych pochodzących od osób będących użytkownikami Serwisu, zawierających umowy w celu nabycia towarów lub usług od Klienta za pośrednictwem Serwisu, , zwanych dalej łącznie („Danymi”).
2. Klient oświadcza, że przetwarza Dane zgodnie z powszechnie obowiązującymi przepisami prawa, a w szczególności, że zgromadził je zgodnie z powszechnie obowiązującymi przepisami prawa i w zakresie, w jakim jest to wymagane przepisami prawa uzyskał wymagane prawem zgody na przetwarzanie danych osobowych od każdej osoby, której Dane dotyczą, a także, że dysponuje podstawami prawnymi do powierzenia tych danych do Operator.
§ 2
1. Na podstawie niniejszej Umowy Klient powierza Operatorowi przetwarzanie Danych, w rozumieniu art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
(Ogólne rozporządzenie o ochronie danych) („RODO”).
2. Operator będzie przetwarzał Dane wyłącznie w celu prawidłowego wykonania Umowy, w niezbędnym do tego zakresie, na udokumentowane polecenie Administratora, przez które poczytuje się także niniejszą Umowę. Operator zobowiązuje się niezwłocznie informować Klienta, jeżeli jego zdaniem wydane polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych osobowych.
3. Strony postanawiają, że Dane powierzone Operatorowi do przetwarzania będą przetwarzane wyłącznie w celu prawidłowego wykonania Umowy.
4. Dane powierzone Operatorowi do przetwarzania obejmują następujące dane osobowe:
a) identy kator internetowy użytkownika Serwisu;
b) dane dotyczące nawigacji, wyszukiwania i historii zakupów użytkownika Serwisu.
5. Operator jest upoważniony do dokonywania następujących operacji na Danych: zbieranie, przechowywanie i opracowywanie – przy czym wyłącznie w celu prawidłowego wykonania Umowy. Czynności te mogą mieć charakter wielokrotny.
6. Strony postanawiają, że powierzone Operatorowi Dane mogą być przetwarzane wyłącznie przez okres obowiązywania Umowy, począwszy od dnia zawarcia Umowy, jednakże nie dłużej niż do dnia rozwiązania lub wygaśnięcia Umowy. Po wygaśnięciu Umowy Operator zobowiązany jest do niezwłocznego trwałego usunięcia Danych oraz usunięcia wszelkich kopii Danych.
7. Z zastrzeżeniem § 3 ust. 2, Operator nie może, bez zgody Klienta wyrażonej na piśmie, dokonać dalszego powierzenia przetwarzania Danych do innego podmiotu przetwarzającego. Ponadto Operator nie może przenieść powierzonych danych osobowych do państwa trzeciego lub organizacji międzynarodowej w rozumieniu RODO.
§ 3
1. Operator oświadcza, że dysponuje odpowiednimi środkami dla zapewnienia należytego poziomu ochrony Danych.
2. Operator nie może powierzyć czynności przetwarzania Danych innym podmiotom bez uprzedniej pisemnej zgody Klienta, zprzez Operatora wyłączeniem następujących podmiotów świadczących usługi dla Operator, którym przekazywanie Danych nie wymaga oddzielnej zgody Klienta:
a) Amazon Web Services EMEA SARL 38 avenue John F. Kennedy, L-1855 Luxembourg
3. Operator oświadcza, że stosuje, w zakresie przewidzianym w art. 32 RODO, środki organizacyjne i techniczne
gwarantujące odpowiedni stopień zabezpieczenia danych osobowych przed niepożądanym ujawnieniem, zniszczeniem lub modyfikacją. Ponadto Operator oświadcza, że podmioty wymienione w ustępie 2 przedmiotowego paragrafu stosują równorzędny poziom ochrony Danych, do tego określonego niniejszą Umową oraz że za wszelkie uchybienia czy zaniechania tychże podmiotów Operator ponosi odpowiedzialność jak za działania własne.
4. Operator będzie prowadził rejestr kategorii czynności w zakresie przetwarzania Danych, dokonywanych w imieniu Klienta, zawierający informacje wskazane w art. 30 RODO i na zasadach tam określonych. Operator zobowiązuje się do udostępniania rejestru na żądanie Klienta oraz organu nadzorczego.
5. Operator będzie prowadził ewidencję osób zatrudnionych przez Operatora przy przetwarzaniu Danych. Osoby te zostaną zobowiązane przez Operatora do zachowania poufności i ochrony Danych przed niepożądanym ujawnieniem.
6. Operator powiadomi Klienta o każdej kontroli wszczętej przez organ nadzoru, która ma co najmniej pośredni związek z przetwarzaniem Danych oraz o każdym wystąpieniu organu nadzoru dotyczącym złożenia wyjaśnień w powyższych zakresie. Obowiązek ten istnieje także po wygaśnięciu lub rozwiązaniu Umowy.
7. Operator zobowiązuje się współpracować z Klientem w toku prowadzonego wobec Klienta postępowania dotyczącego prawidłowości przetwarzania Danych.
8. W razie powstania sytuacji stanowiącej naruszenie bezpieczeństwa Danych, Operator – po stwierdzeniu takiego naruszenia – niezwłocznie, lecz nie później niż w ciągu 36 godzin, ma obowiązek poinformować Klienta, podając wszelkie istotne informacje dotyczące naruszenia.
§ 4
1. Klient ponosi odpowiedzialność za przestrzeganie przepisów prawa w zakresie przetwarzania i ochrony danych osobowych, w tym w szczególności w zakresie przestrzegania przepisów RODO, co nie wyłącza ani nie ogranicza w jakikolwiek sposób odpowiedzialności Operatora za przetwarzanie zgodnie z przepisami prawa Danych, a także odpowiedzialności Operatora za
niewykonanie lub nienależyte wykonanie Umowy.
2. W przypadku, gdy za szkodę spowodowaną przetwarzaniem odpowiadają zarówno Klient, jak i Operator, ponoszą oni odpowiedzialność solidarną za całą szkodę. W przypadku, gdy Klient zapłacił odszkodowanie za całą wyrządzoną szkodę spowodowaną przetwarzaniem, ma prawo żądania od Operatora zwrotu części odszkodowania odpowiadającej części szkody, za którą ponosi on odpowiedzialność.
§ 5
W czasie obowiązywania Umowy, jak również w okresie 3 lat po jej rozwiązaniu lub wygaśnięciu, Operator zobowiązany jest do zachowania w poufności Danych powierzonych mu do przetwarzania na podstawie Umowy, w tym nieujawniania ich jakimkolwiek osobom trzecim. Postanowienia niniejszego paragrafu nie stosuje się, gdy ujawnienie takich Danych będzie wymagane na podstawie przepisów prawa lub na podstawie orzeczenia lub decyzji odpowiedniego organu lub sądu.
§ 6
1. Operator zobowiązuję się w niezbędnym zakresie do wsparcia Klienta w wywiązaniu się z odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 RODO.
2. Zgodnie z art. 28 ust. 3 lit. h) RODO Klient ma prawo audytu, w tym inspekcji czy środki zastosowane przy przetwarzaniu i zabezpieczeniu Danych osobowych przez Operatora spełniają postanowienia Umowy.
3. Klient jest uprawniony do żądania od Operatora udzielania potrzebnych informacji lub złożenia pisemnych wyjaśnień dotyczących przetwarzania przez Operatora Danych osobowych, co może obejmować przedstawienie sposobu działania systemów teleinformatycznych, niezbędnych do spełnienia obowiązków określonych w art. 28 RODO.
4. Audyt, w tym inspekcja przestrzegania zasad przetwarzania Danych osobowych może nastąpić wyłącznie po uprzednim uzgodnieniu przez Klienta z Operatorem zamiaru przeprowadzenia audytu, w tym inspekcji, terminu oraz czynności objętych audytem, w tym inspekcją, co najmniej 7 dni przed planowanym terminem rozpoczęcia audytu, w tym inspekcji ze wskazaniem na piśmie osób wyznaczonych przez Klienta do przeprowadzenia audytu, w tym inspekcji.
5. Uprawnienia audytowe, o których mowa powyżej mogą być wykonywane przez Klienta w miejscach przetwarzania Danych osobowych w dni robocze, w godzinach od 9.00 do 17.00 . Przez dni robocze w rozumieniu niniejszej Umowy przyjmuje się dni od poniedziałku do piątku z wyłączeniem dni ustawowo wolnych od pracy.
6. Operator zobowiązuje się do usunięcia uchybień stwierdzonych podczas audytu w tym inspekcji, w terminie wskazanym przez Klienta.
§ 7
1. Niniejsza Umowa zostaje zawarta na czas 6 miesięcy
2. Klient może wypowiedzieć niniejszą Umowę ze skutkiem natychmiastowym w przypadku naruszenia przez Operatora postanowień Umowy, RODO lub innych przepisów powszechnie obowiązującego prawa, które chronią prawa osób, których dane dotyczą, po bezskutecznym pisemnym wezwaniu Operatora do zaniechania naruszeń z wyznaczonym terminem przez
Klienta. W szczególności w przypadku udostępniania Danych osobowych osobom nieuprawnionym, a także w przypadku, gdy:
a) organy administracji odpowiedzialne za nadzór nad przestrzeganiem zasad przetwarzania Danych osobowych stwierdzą, że Operator nie przestrzega tych zasad,
b) Klient, w wyniku przeprowadzenia audytu w tym inspekcji, o której mowa w paragrafie 6 Umowy stwierdzi, że Operator nie przestrzega zasad przetwarzania Danych osobowych lub przepisów RODO;
c) Operator powierzy Dane osobowe innemu podmiotowi bez zgody Klienta.
§ 8
1. Wszelkie zmiany Umowy wymagają, pod rygorem nieważności, formy pisemnej.
2. W sprawach nieuregulowanych niniejszą Umową zastosowanie mają odpowiednie przepisy prawa polskiego.
3. Spory związane z wykonywaniem niniejszej Umowy rozstrzygane będą przez sąd właściwy dla siedziby Klienta.
4. Umowa wchodzi w życie w dniu podpisania.
5. Niniejsza Umowa została sporządzona w dwóch egzemplarzach w języku polskim, po jednym egzemplarzu dla każdej ze Stron.