Regulamin przetwarzania powierzonych danych osobowych

Pobierz dokument w pdf

Niniejszy Regulamin przetwarzania powierzonych danych osobowych określa warunki na jakich Klienci aplikacji CONTsup powierzają do przetwarzania dane osobowe.

§ 1 DEFINICJE

  1. Użyte w niniejszym Regulaminie terminy oznaczają:
    • Regulamin – niniejszy Regulamin przetwarzania powierzonych danych osobowych będący załącznikiem do Regulaminu korzystania z aplikacji CONTsup, dostępnego na Stronie Internetowej Informacyjnej, w oknie Regulaminu korzystania z aplikacji CONTsup,
    • RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE,
    • EOG – Europejski Obszar Gospodarczy zdefiniowany w Porozumieniu o Europejskim Obszarze Gospodarczym (Dz. U. UE L z dnia 3 stycznia 1994 r. z późn. zm.) czyli państwa należące do Unii Europejskiej oraz Norwegia, Islandia i Lichtenstein,
    • Umowa Główna – Umowa o udostępnianie Konta w Aplikacji, łącznie z dodatkowymi, zawartymi w ramach tego samego Konta Umowami o udostępnianie funkcjonalności Aplikacji,
    • Dane Osobowe – oznacza dane osobowe, powierzone Usługodawcy przez Klienta do przetwarzania w celu realizacji Umowy Głównej:
Kategoria osób, których dane dotycząRodzaj danych osobowych
Klient lub Podmiot Użytkujący  imię, nazwisko, firma, adres e-mail, numer telefonu, miejsce prowadzenia działalności gospodarczej, numery PESEL, REGON, NIP, informacje o dochodach i kosztach prowadzonej działalności gospodarczej, informacje o saldach rachunków bankowych i innych źródeł płatności, numery rachunków bankowych oraz kart kredytowych, informacje o kontraktach lub zamówieniach, a także wszelkie inne dane o ile zostały one wprowadzone przez Klienta do Aplikacji, a ich przetwarzanie przez Usługodawcę jest niezbędne w celu realizacji zawartej z Klientem Umowy Głównej
pracownicy i współpracownicy Klienta lub Podmiotu Użytkującegoimię, nazwisko, firma, wiek i data urodzenia, adres e-mail, numer telefonu, miejsce prowadzenia działalności gospodarczej i/lub adres zamieszkania, numery PESEL, REGON, NIP, numery rachunków bankowych oraz kart kredytowych, zakres przydzielonych uprawnień, przypisany dział firmy, a także wszelkie inne dane o ile zostały one wprowadzone przez Klienta do Aplikacji, a ich przetwarzanie przez Usługodawcę jest niezbędne w celu realizacji zawartej z Klientem Umowy Głównej
kontrahenci Klienta lub Podmiotu Użytkującego oraz ich przedstawiciele  imię, nazwisko, firma, PESEL, REGON, NIP, stanowisko, adres, adres do korespondencji, numer rachunku bankowego, dane osób kontaktowych, adres email, numer telefonu, a także wszelkie inne dane o ile zostały one wprowadzone przez Klienta do Aplikacji, a ich przetwarzanie przez Usługodawcę jest niezbędne w celu realizacji zawartej z Klientem Umowy Głównej
  1. Pojęcia pisane wielką literą, niezdefiniowane w ust. 1 powyżej, mają znaczenie nadane im w Regulaminie korzystania z aplikacji CONTsup.

§ 2 POWIERZENIE I JEGO PODSTAWA

  1. Niniejszy Regulamin stanowi inny instrument prawny, o którym mowa w art. 28 ust. 3 RODO i tym samym jest samoistną podstawą powierzenia Usługodawcy przetwarzania Danych Osobowych przez Klienta w okresie obowiązywania Umowy Głównej, na zasadach opisanych poniżej.
  2. Klient oświadcza, że jest uprawniony do powierzenia przetwarzania Danych Osobowych do jakich Usługodawca będzie mieć dostęp w związku z realizacją Umowa Głównej i na zasadach wskazanych w niniejszym Regulaminie powierza Usługodawcy do przetwarzania Dane Osobowe, a ich powierzenie do przetwarzania Usługodawcy nie narusza jakichkolwiek praw osób trzecich. Dla uniknięcia wszelkich wątpliwości przyjmuje się, iż zawarcie Umowy Głównej i korzystanie z Aplikacji, a w szczególności wprowadzanie Danych Osobowych do Aplikacji, stanowi wyraźne polecenie przetwarzania tych danych wydane przez Klienta.
  3. Dane osobowe przetwarzane są w celu realizacji Umowy Głównej. Usługodawca zobowiązuje się do przetwarzania powierzonych mu Danych Osobowych wyłącznie w zakresie i celu niezbędnym do realizacji obowiązków wynikających z Umowy Głównej.
  4. Zakres powierzanych do przetwarzania Danych Osobowych wynika z funkcjonalności Aplikacji, wykonywanych przez Klienta w ramach Umowy Głównej. Zmiana zakresu powierzanych Usługodawcy Danych Osobowych nie wpływa na obowiązywanie zasad przetwarzania, wynikających z niniejszego Regulaminu.
  5. Usługodawca uprawniony jest do przetwarzania Danych Osobowych w ramach wszelkich czynności przetwarzania, o których mowa w art. 4 pkt 2) RODO, które są niezbędne do prawidłowej realizacji Umowy Głównej. Przetwarzanie Danych Osobowych przez Usługodawcę odbywa się wyłącznie za pośrednictwem systemów informatycznych.
  6. Z tytułu przetwarzania Danych Osobowych Usługodawcy nie przysługuje prawo do odrębnego wynagrodzenia poza wskazanym w Umowie Głównej (w tym również na wypadek zmiany zakresu przetwarzania).

§ 3 OBOWIĄZKI I ODPOWIEDZIALNOŚĆ STRON

  1. Usługodawca zobowiązany jest:
    • przetwarzać powierzone mu Dane Osobowe zgodnie z niniejszym Regulaminem, RODO oraz przepisami prawa powszechnie obowiązującego, chroniącymi prawa osób, których Dane dotyczą,
    • przetwarzać dane osobowe wyłącznie na udokumentowane polecenie Klienta, przy czym za takie udokumentowane polecenia uważa się niniejszy Regulamin,
    • dołożyć należytej staranności przy przetwarzaniu powierzonych Danych Osobowych,
    • wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający istniejącym ryzykom, z uwzględnieniem aktualnego stanu wiedzy technicznej, kosztu wdrażania zabezpieczeń oraz charakteru i prawdopodobieństwa wystąpienia ryzyk,
    • dopuszczać do przetwarzania Danych Osobowych wyłącznie osoby upoważnione do tego przez niego,
    • dopuszczać do przetwarzania Danych Osobowych wyłącznie osoby, które zobowiązały się do zachowania tajemnicy lub które podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
  2. W przypadku stwierdzenia naruszenia ochrony Danych Osobowych Usługodawca bez zbędnej zwłoki zgłasza ten fakt Klientowi, wskazując w zgłoszeniu:
    • opis charakteru naruszenia ochrony Danych Osobowych, w tym w miarę możliwości kategorie oraz przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,
    • imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji.
  3. Zgłoszenie naruszenia ochrony danych osobowych następuje elektronicznie na adres e-mail Klienta do kontaktów, zapisany w danych Klienta w Aplikacji lub na adres e-mail Superadministratora Konta Klienta.
  4. Klient wyraża zgodę na dokonanie dalszego powierzenia (podpowierzenie) przetwarzania Danych Osobowych innym podmiotom, których lista stanowi Załącznik nr 1 do niniejszego Regulaminu. Zmiana Załącznika nr 1 stanowi zmianę niniejszego Regulaminu i odbywa się na warunkach określonych w Regulaminie korzystania z aplikacji CONTsup.
  5. Jeśli celem wykonania, w imieniu Klienta, konkretnych czynności przetwarzania, Usługodawca dokona dalszego powierzenia (podpowierzenia) przetwarzania Danych Osobowych podwykonawcy, to Usługodawca zapewnia, iż podwykonawca wypełni te same obowiązki ochrony Danych Osobowych, jakie zostały nałożone na Usługodawcę w niniejszym Regulaminie, w szczególności obowiązek zapewnienia wdrożenia odpowiednich środków technicznych i organizacyjnych, tak aby przetwarzanie przez niego Danych Osobowych było zgodne z wymogami RODO. Usługodawca ponosi wobec Klienta pełną odpowiedzialność za wypełnienie obowiązków ochrony Danych Osobowych przez podwykonawcę.
  6. Usługodawca może przekazać Dane Osobowe do państwa trzeciego, znajdującego się poza EOG pod warunkiem spełnienia wymogów, o których mowa w rozdziale V RODO.
  7. Usługodawca będzie przetwarzać Dane Osobowe przez okres niezbędny do realizacji Umowy Głównej. Po zakończeniu obowiązywania Umowy Głównej Usługodawca usunie powierzone Dane Osobowe oraz wszelkie ich istniejące kopie, chyba że prawo Unii Europejskiej lub prawo polskie nakazują przechowywanie Danych.
  8. Usługodawca odpowiada za niewykonanie lub nienależyte wykonanie postanowień niniejszego Regulaminu na zasadach wskazanych w Regulaminie korzystania z aplikacji CONTsup. Odpowiedzialność Usługodawcy za wykonanie polecenia i zaleceń pokontrolnych Klienta, które są niezgodne z RODO lub innymi przepisami prawa powszechnie obowiązującego jest wyłączona.
  9. Usługodawca nie odpowiada w przypadku gdy naruszenie ochrony Danych Osobowych, zawartych w plikach zapisanych w Aplikacji, jest wynikiem sytuacji, w której Klient korzystając z ustawień Aplikacji, wskazał inne niż domyślne miejsce przechowywania plików. W takim przypadku uznaje się, że za ochronę Danych Osobowych zawartych w plikach odpowiada wyłącznie Klient lub podmiot trzeci, będący właścicielem wskazanego przez Klienta serwera.

§ 4 PRAWO KONTROLI

  1. Klient posiada prawo kontroli właściwego przetwarzania przez Usługodawcę powierzonych mu Danych Osobowych.
  2. Usługodawca umożliwia Klientowi lub upoważnionej przez Klienta osobie przeprowadzenie kontroli, i zobowiązuję się współpracować z Klientem w zakresie jego obowiązków wynikających w niniejszego Regulaminu, związanych z realizacją Umowy Głównej. Klient zobowiązuje się, że jako upoważniona osoba nie zostanie wyznaczony podmiot prowadzący pośrednio lub bezpośrednio działalność konkurencyjną w stosunku do Usługodawcy, ani też podmiot z takim podmiotem powiązany, ani też pracownicy lub współpracownicy takich podmiotów, bez względu na podstawę zatrudnienia lub współpracy.
  3. Ewentualna kontrolna będzie prowadzona na koszt i ryzyko Klienta, nie częściej niż raz w roku kalendarzowym oraz będzie trwała nie dłużej niż jeden dzień roboczy.
  4. Klient realizować będzie prawo kontroli wyłącznie w Dni Robocze, w godzinach pracy Usługodawcy (9:00 – 17:00) oraz w sposób możliwie najmniej zakłócający funkcjonowanie jego pracy.
  5. Klient przekazuje Usługodawcy żądanie przeprowadzenia kontroli, na co najmniej 30-dni przed proponowanym terminem kontroli, elektronicznie na adres e-mail iod@contsup.com. Usługodawca ma prawo odmówić przeprowadzenia kontroli we wskazanym przez Klienta terminie, w przypadku wystąpienia wysokiego prawdopodobieństwa, iż przeprowadzenie kontroli w tym terminie zakłóci bieżące funkcjonowanie przedsiębiorstwa Usługodawcy. W takim wypadku Usługodawca zaproponuje inny termin przeprowadzenia kontroli, nie późniejszy niż 5 dni roboczych po terminie wskazanym przez Klienta.
  6. Potwierdzając termin kontroli zaproponowany przez Klienta lub wskazując inny termin, zgodnie z ust. 5, Usługodawca poinformuje Klienta o formule przeprowadzenia kontroli, tj. stacjonarnej, we wskazanym biurze Usługodawcy lub też zdalnej, z użyciem środków komunikacji na odległość.
  7. Osoby biorące udział w kontroli, przed przystąpieniem do kontroli, zobowiązane są do podpisania umowy poufności lub oświadczenia o zachowaniu poufności, wedle wytycznych Usługodawcy. W trakcie kontroli osoby biorące udział w kontroli mają obowiązek przestrzegania wewnętrznych procedur i polityk Usługodawcy lub podwykonawcy Usługodawcy, dotyczących bezpieczeństwa i poufności.
  8. W celu przeprowadzenia kontroli Usługodawca będzie umożliwiał i współpracował w przeprowadzaniu czynności kontrolnych, o ile mają one bezpośredni związek z wykonywaniem Umowy Głównej, w szczególności poprzez udzielenie Klientowi pisemnych lub ustnych wyjaśnień dotyczących przetwarzania powierzonych Danych Osobowych – z wyłączeniem informacji lub czynności, które obejmują tajemnicę przedsiębiorstwa Usługodawcy. Kontrola nie może obejmować informacji lub dokumentów dotyczących innych Klientów Usługodawcy, ani zmierzać lub skutkować uzyskaniem dostępu Klienta do danych osobowych innych niż Dane Osobowe tego Klienta lub do danych poufnych Usługodawcy lub innych podmiotów.
  9. Po przeprowadzonej kontroli sporządzony zostanie protokół pokontrolny, który podpisują przedstawiciele obu Stron. W przypadku wykazania w protokole uchybień związanych z naruszeniem postanowień niniejszego Regulaminu, Klient uprawniony jest do przekazania Usługodawcy pisemnych zaleceń pokontrolnych, wskazując równocześnie termin ich realizacji. Termin ten musi być odpowiedni i nie krótszy niż 30 dni roboczych. Zalecenia pokontrolne nie mogą nakładać na Usługodawcę obowiązków wykraczających ponad wymogi wynikające z niniejszego Regulaminu lub z powszechnie obowiązujących przepisów prawa, w tym RODO, jak również powinny być obiektywnie zasadne i możliwe do zrealizowania bez zmiany organizacji lub naruszenia ciągłości działania przedsiębiorstwa Usługodawcy lub jego podwykonawcy.

§ 5 WSPARCIE KLIENTA

  1. Zgodnie z art. 28 ust. 3 lit. e) RODO, biorąc pod uwagę charakter przetwarzania, Usługodawca w miarę możliwości pomaga Klientowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której Dane Osobowe dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.
  2. Na żądanie Klienta, w związku z żądaniem osoby, której Dane Osobowe dotyczą, Usługodawca w miarę możliwości pomaga Klientowi wywiązywać się z następujących obowiązków:
    • wypełniania obowiązków związanych z wdrożeniem odpowiednich środków technicznych i organizacyjnych dla zapewnienia bezpieczeństwa przetwarzania przez Usługodawcę, zgodnie z art. 32 RODO,
    • zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu zgodnie z art. 33 RODO,
    • zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych zgodnie z art. 34 RODO,
    • dokonania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych zgodnie z art. 35 RODO,
    • przeprowadzania konsultacji z organem nadzorczym zgodnie art. 36 RODO.
  3. Usługodawca udostępnia Klientowi wszelkie inne informacje, o ile są niezbędne do wykazania spełnienia przez niego obowiązków określonych w art. 28 RODO.

§ 6 POSTANOWIENIA KOŃCOWE

  1. Postanowienia niniejszego Regulaminu stanowią całość zobowiązań oraz warunków powierzenia przetwarzania Danych Osobowych w związku z realizacją Umowy Głównej.
  2. W sprawach nieuregulowanych niniejszym Regulaminem zastosowanie mają odpowiednie postanowienia Regulaminu korzystania z aplikacji CONTsup.
  3. W przypadku rozbieżności pomiędzy postanowieniami niniejszego Regulaminu oraz Regulaminu korzystania z aplikacji CONTsup, zastosowanie mają postanowienia niniejszego Regulaminu.
  4. Regulamin obowiązuje od dnia 1 grudnia 2024 roku.

ZAŁĄCZNIK NR 1 – LISTA PODWYKONAWCÓW

  1. Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luksemburg