NETAPI
NETAPI
Toggle sidebar

Dokumenty prawne

Umowa powierzenia przetwarzania danych osobowych (DPA)

zawarta pomiędzy:

Administratorem danych – użytkownikiem systemu BON24 będącym przedsiębiorcą w rozumieniu art. 43¹ Kodeksu cywilnego, który wprowadza dane osobowe do systemu,

a

Netapi Sławomir Sztuba
ul. Epokowa 10
86-005 Białe Błota
NIP: 6652218047
Firma wpisana do Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG), weryfikacja możliwa pod adresem: ceidg.gov.pl (NIP: 6652218047)
Kontakt w sprawach DPA: biuro@netapi.pl

zwanym dalej Procesorem.

Umowa zostaje zawarta w związku z korzystaniem z systemu BON24 udostępnianego w modelu SaaS i stanowi integralną część Regulaminu świadczenia usług drogą elektroniczną BON24. Zaakceptowanie Regulaminu jest równoznaczne z zawarciem niniejszej Umowy.

§1 Przedmiot i podstawa prawna umowy

Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie niezbędnym do świadczenia usługi BON24.

Umowa jest zawierana na podstawie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO).

Procesor zobowiązuje się przetwarzać dane zgodnie z:

  • Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO),
  • ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych,
  • niniejszą umową,
  • udokumentowanymi poleceniami Administratora.

§2 Zakres przetwarzania danych

Powierzone dane mogą obejmować w szczególności:

  • imię i nazwisko,
  • adres e-mail,
  • numer telefonu,
  • dane kontaktowe klientów Administratora,
  • inne dane wprowadzone przez Administratora do systemu.

Kategorie osób, których dane dotyczą:

  • klienci Administratora,
  • pracownicy Administratora,
  • kontrahenci Administratora.

Administrator oświadcza, że posiada podstawę prawną do przetwarzania powierzanych danych oraz jest odpowiedzialny za jej weryfikację zgodnie z RODO.

§3 Cel przetwarzania

Dane będą przetwarzane wyłącznie w celu:

  • świadczenia usług systemu BON24,
  • utrzymania i obsługi technicznej systemu,
  • zapewnienia bezpieczeństwa systemu,
  • wykonywania kopii zapasowych.

Procesor nie wykorzystuje danych do własnych celów marketingowych ani nie udostępnia ich podmiotom trzecim poza przypadkami określonymi w §6 niniejszej Umowy.

§4 Obowiązki Procesora

Procesor zobowiązuje się:

  • przetwarzać dane wyłącznie na udokumentowane polecenie Administratora,
  • zapewnić poufność danych osobowych – osoby upoważnione do przetwarzania danych są zobowiązane do zachowania tajemnicy,
  • stosować odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo danych (art. 32 RODO),
  • zapewnić dostęp do danych tylko osobom upoważnionym,
  • prowadzić ewidencję osób upoważnionych do przetwarzania danych,
  • po zakończeniu świadczenia usług – zgodnie z decyzją Administratora – usunąć lub zwrócić wszelkie dane osobowe.

§5 Bezpieczeństwo danych

Procesor stosuje środki bezpieczeństwa, w szczególności:

  • zabezpieczenie systemów informatycznych,
  • szyfrowanie transmisji danych (HTTPS/TLS),
  • kontrolę dostępu do systemów opartą na zasadzie minimalnych uprawnień,
  • regularne wykonywanie kopii zapasowych,
  • monitorowanie dostępu i aktywności w systemie.

§6 Podpowierzenie przetwarzania danych

Procesor może korzystać z usług podwykonawców (dalszych podmiotów przetwarzających) wyłącznie w celu realizacji usługi BON24.

Aktualna lista podprocessorów, z których korzysta Procesor, obejmuje w szczególności dostawców infrastruktury serwerowej (hosting, kopie zapasowe). Lista jest dostępna na żądanie pod adresem biuro@netapi.pl.

Procesor informuje Administratora o planowanych zmianach dotyczących podprocessorów, dając mu możliwość zgłoszenia sprzeciwu w terminie 14 dni od powiadomienia.

Procesor zapewnia, że podwykonawcy spełniają wymagania RODO i zawiera z nimi umowy powierzenia przetwarzania danych na warunkach nie mniej rygorystycznych niż niniejsza Umowa.

§7 Pomoc Administratorowi

Procesor zobowiązuje się wspierać Administratora w zakresie:

  • realizacji praw osób, których dane dotyczą (dostęp, sprostowanie, usunięcie, ograniczenie, przenoszalność),
  • zgłaszania naruszeń danych osobowych do organu nadzorczego (UODO),
  • oceny skutków dla ochrony danych (DPIA), jeśli będzie wymagana,
  • uprzednich konsultacji z organem nadzorczym, jeśli DPIA wykaże wysokie ryzyko.

Wsparcie świadczone jest w zakresie, w jakim jest technicznie możliwe po stronie Procesora, i może być odpłatne, jeśli wymaga nakładu pracy przekraczającego standardowy zakres usługi.

§8 Naruszenia danych

Procesor zobowiązuje się niezwłocznie, nie później niż w ciągu 72 godzin od wykrycia, poinformować Administratora o naruszeniu ochrony danych osobowych.

Informacja powinna zawierać w szczególności:

  • charakter naruszenia i kategorię danych,
  • przybliżoną liczbę osób i rekordów, których dotyczy naruszenie,
  • możliwe konsekwencje naruszenia,
  • działania podjęte lub planowane w celu ograniczenia skutków naruszenia.

Jeśli nie wszystkie informacje są dostępne w chwili zgłoszenia, Procesor przekazuje je sukcesywnie bez zbędnej zwłoki.

§9 Czas przetwarzania i retencja danych

Dane będą przetwarzane przez okres obowiązywania umowy o korzystanie z systemu BON24.

W przypadku zawieszenia dostępu z powodu braku płatności dane są przechowywane przez 30 dni, zgodnie z §6 Regulaminu.

Przed zakończeniem umowy lub w ciągu 14 dni od zawieszenia dostępu Administrator ma prawo do eksportu swoich danych z systemu.

Po upływie okresu retencji Procesor:

  • trwale usuwa dane z systemu produkcyjnego,
  • usuwa dane z kopii zapasowych w terminie do 90 dni (zgodnie z cyklem rotacji backupów),
  • na żądanie Administratora potwierdza fakt usunięcia danych.

§10 Kontrola i audyt

Administrator ma prawo do weryfikacji zgodności przetwarzania danych z niniejszą umową, w tym poprzez:

  • żądanie udostępnienia dokumentacji dotyczącej stosowanych zabezpieczeń,
  • przeprowadzenie audytu – po uprzednim powiadomieniu Procesora z co najmniej 14-dniowym wyprzedzeniem.

Audyt nie może naruszać bezpieczeństwa systemu, poufności danych innych klientów Procesora ani zakłócać normalnego świadczenia usługi.

Koszty audytu ponosi Administrator, chyba że audyt wykaże naruszenie umowy po stronie Procesora.

§11 Odpowiedzialność

Każda ze stron odpowiada za szkody wynikające z naruszenia przepisów RODO lub niniejszej Umowy, zgodnie z obowiązującymi przepisami prawa.

Strony potwierdzają, że Umowa jest zawierana wyłącznie w relacji B2B. Odpowiedzialność Procesora jest ograniczona do szkód rzeczywistych i nie obejmuje utraconych korzyści, zgodnie z §7 Regulaminu.

Administrator ponosi wyłączną odpowiedzialność za legalność danych powierzanych Procesorowi, w szczególności za posiadanie właściwej podstawy prawnej przetwarzania.

§12 Postanowienia końcowe

Umowa obowiązuje przez cały okres świadczenia usług BON24 i wygasa z chwilą rozwiązania umowy głównej.

Umowa zostaje zawarta w formie elektronicznej poprzez akceptację Regulaminu systemu BON24, co jest zgodne z art. 28 ust. 9 RODO dopuszczającym zawarcie umowy powierzenia w formie elektronicznej.

Procesor może zmienić niniejszą Umowę z zachowaniem co najmniej 14-dniowego okresu wyprzedzenia, informując Administratora na adres e-mail podany podczas rejestracji. Dalsze korzystanie z systemu po tym terminie oznacza akceptację zmian.

W sprawach nieuregulowanych zastosowanie mają przepisy RODO, ustawy o ochronie danych osobowych oraz prawa polskiego.

Właściwym sądem do rozstrzygania sporów wynikających z niniejszej Umowy jest sąd powszechny właściwy dla siedziby Procesora.