Niniejsze Warunki Powierzenia Przetwarzania Danych Osobowych stanowią integralną część Umów o Świadczenie Usług Marketingowych w Agencji Social Media YOME.
1. PRZEDMIOT UMOWY
- Administrator i Procesor zawierają umowę powierzenia przetwarzania danych osobowych, na zasadach opisanych w Umowie Powierzenia Przetwarzania Danych Osobowych, na mocy której Administrator powierza Procesorowi przetwarzanie danych osobowych, rozumianych jako informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”), w zakresie wskazanym w Załączniku nr 1.
- Powierzenie danych osobowych Procesorowi następuje w celu wykonania Umowy o Świadczenie Usług Marketingowych zawartej pomiędzy Stronami w dniu wskazanym w części komparycyjnej Umowy o Świadczenie Usług Marketingowych.
- Zakres powierzenia, wskazany w Załączniku nr 1, może zostać w każdym momencie rozszerzony albo ograniczony przez Administratora. Ograniczenie albo rozszerzenie może być dokonane poprzez przesłanie przez Administratora do Procesora nowej wersji Załącznika nr 1 w formie elektronicznej (na adres e-mail wskazany w Umowie o Świadczenie Usług Marketingowych). W przypadku braku reakcji Procesora w ciągu 5 Dni Roboczych (na potrzeby Umowy „Dni Robocze” należy rozumieć dni od poniedziałku do piątku, poza dniami ustawowymi wolnymi od pracy) od daty wysłania wiadomości przez Administratora przyjmuje się, że Procesor zaakceptował zmianę zakresu powierzenia.
- Procesor może przetwarzać powierzone mu dane osobowe wyłącznie w zakresie i celu określonym w niniejszej Umowie oraz w celu i zakresie niezbędnym do świadczenia usług określonych w Umowie o Świadczenie Usług Marketingowych.
2. OŚWIADCZENIE I OBOWIĄZKI PROCESORA
- Procesor niniejszym oświadcza, że posiada zasoby infrastrukturalne, doświadczenie, wiedzę oraz wykwalifikowany personel, w zakresie umożliwiającym należyte wykonanie niniejszej Umowy, w zgodzie z obowiązującymi przepisami prawa. W szczególności Procesor oświadcza, że znane mu są zasady przetwarzania i zabezpieczenia danych osobowych wynikające z:
- rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej jako: „RODO”);
- ustawy o ochronie danych osobowych z dnia 10 maja 2018 r.
- Procesor jest zobowiązany:
- przetwarzać powierzone dane osobowe wyłącznie na postawie Umowy oraz na udokumentowane polecenie Administratora (tj. przekazane w formie instrukcji, o których mowa w pkt 2 ust. 2 pkt 2 lub w innym pisemnym lub elektronicznym dokumencie dostarczonym Procesorowi przez Administratora), chyba że obowiązek taki nakłada na niego obowiązujące prawo krajowe lub unijne. W sytuacji, gdy obowiązek przetwarzania danych osobowych przez Procesora wynika z przepisów prawa, informuje on Administratora drogą elektroniczną – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
- przetwarzać powierzone dane osobowe zgodnie z RODO, polskimi przepisami przyjętymi w celu umożliwienia stosowania RODO, innymi obowiązującymi przepisami prawa, niniejszą Umową oraz instrukcjami Administratora. Instrukcje (polecenia) są przekazywane przez Administratora drogą elektroniczną (przesyłane na adres e-mail Procesora wskazany w Umowie o Świadczenie Usług Marketingowych); z zastrzeżeniem pkt 3 ust. 5 Procesor powinien wdrożyć instrukcje niezwłocznie, jednak nie później niż w terminie 7 Dni Roboczych od ich otrzymania; jeżeli w ocenie Procesora termin 7-dniowy jest zbyt krótki na realizację instrukcji, powinien poinformować o tym fakcie Administratora drogą elektroniczną (przesyłając informację na adres e-mail Administratora wskazany w Umowie o Świadczenie Usług Marketingowych) wskazując uzasadnienie dla takiej oceny; w takim przypadku Strony wspólnie ustalą późniejszy termin wdrożenia instrukcji Administratora;
- przetwarzać powierzone mu dane osobowe wyłączenie w miejscu ustalonym w Załączniku nr 1 oraz na urządzeniach zarządzanych przez Procesora i jego personel lub Administratora, z zachowaniem najwyższych zasad bezpieczeństwa i ochrony danych osobowych wymaganych przez obowiązujące przepisy prawa;
- udzielać dostępu do powierzonych danych osobowych wyłącznie osobom, które ze względu na zakres wykonywanych zadań otrzymały od Procesora upoważnienie do ich przetwarzania oraz wyłącznie w celu wykonywania obowiązków wynikających z Umowy;
- wdrożyć, zgodnie z wytycznymi wskazanymi w § 3 Umowy, odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których dane osobowe będą przetwarzane na podstawie Umowy oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych (określonych w art. 25 RODO);
- wspierać Administratora (poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. Współpraca Procesora z Administratorem, w zakresie wskazanym w zdaniu poprzednim, powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków przez Administratora; w związku z realizacją tego obowiązku Procesor jest w szczególności zobowiązany do udzielania informacji oraz udostępniania powierzonych danych osobowych (lub ich kopii) na żądanie Administratora w terminie 5 Dni Roboczych w formie określonej przez Administratora w żądaniu; Procesor powinien również niezwłocznie, jednak nie później niż w terminie 2 Dni Roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której dane dotyczą, złożonym u Procesora; Procesor nie będzie jednak odpowiadał na taki wniosek bez uprzedniej zgody lub wyraźnego polecenia Administratora;
- pomagać Administratorowi wywiązać się z obowiązków określonych w RODO (w tym w art. 32–36 RODO), tj. w szczególności w zakresie:
- zapewnienia bezpieczeństwa przetwarzania danych osobowych poprzez wdrożenie stosownych środków technicznych oraz organizacyjnych (wykaz środków, które zobowiązany jest wdrożyć Procesor został określony w Załączniku nr 2);
- dokonywania zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu oraz zawiadamiania osób, których dane dotyczą o takim naruszeniu (obowiązki Procesora w odniesieniu do zgłaszania naruszeń zostały określone w § 7 Umowy);
- dokonywania przez Administratora oceny skutków dla ochrony danych oraz przeprowadzania konsultacji Administratora z organem nadzorczym, w tym, w szczególności, jest zobowiązany dostarczać Administratorowi informacji niezbędnych do opisu planowanych operacji przetwarzania oraz celu przetwarzania, a także jest zobowiązany do uczestniczenia w dokonywaniu oceny, czy te operacje są niezbędne oraz proporcjonalne do celu przetwarzania oraz oceny ryzyka naruszenia praw i wolności osób, których dane dotyczą;
- prowadzić, w formie pisemnej (w tym elektronicznej), rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora, zawierający informacje o:
- nazwie oraz danych kontaktowych Procesora oraz innych podmiotów przetwarzających (w przypadku podpowierzenia danych osobowych, o którym mowa w § 4 Umowy) oraz Administratora, a także inspektora ochrony danych, gdy ma to zastosowanie;
- kategoriach przetwarzań dokonywanych w imieniu Administratora;
- gdy ma to zastosowanie – przekazywaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwie tego państwa trzeciego lub organizacji międzynarodowej;
- ogólnym opisie technicznych i organizacyjnych środków bezpieczeństwa, służących do zabezpieczenia powierzonych danych osobowych.
- udostępniać Administratorowi, na każde jego żądanie, nie później niż w terminie 3 Dni Roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Administratora obowiązków wynikających z właściwych przepisów prawa, w szczególności z RODO, w tym przekazywać informacje o stosowanych zabezpieczeniach, zidentyfikowanych zagrożeniach i incydentach w obszarze ochrony danych osobowych;
- umożliwić Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów na zasadach określonych w § 6 Umowy;
- niezwłocznie informować Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych; informacja w tym przedmiocie przekazana powinna zostać Administratorowi w formie elektronicznej (na adres e-mail wskazany w Umowie o Świadczenie Usług Marketingowych) oraz powinna zawierać stosowne uzasadnienie i wskazanie przepisu prawa, który zdaniem Procesora został naruszony;
- niezwłocznie, jednak nie później niż w ciągu 2 Dni Roboczych, informować (o ile nie doprowadzi to do naruszenia przepisów obowiązującego prawa) Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania danych osobowych przez Procesora, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych, skierowanej do Procesora, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania danych osobowych przez Procesora, w szczególności prowadzonych przez organ nadzoru, a także o wszelkich skargach osób, których dane dotyczą związanych z przetwarzaniem ich danych osobowych;
- przechowywać dane osobowe tylko tak długo, jak to określił Administrator, a także, bez zbędnej zwłoki, aktualizować, poprawiać, zmieniać, anonimizować, ograniczać przetwarzanie lub usuwać wskazane dane osobowe zgodnie z wytycznymi Administratora (jeśli takie działanie mogłoby powodować brak możliwości dalszego realizowania czynności przetwarzania, Procesor poinformuje Administratora przed jego podjęciem, a następnie zastosuje się do polecenia Administratora).
3. ŚRODKI ORGANIZACYJNE I TECHNICZNE
- Procesor wdraża i stosuje adekwatne środki techniczne i organizacyjne, w celu zapewnienia stopnia bezpieczeństwa odpowiedniego do ryzyka naruszenia praw lub wolności osób fizycznych, których dane osobowe są przetwarzane na podstawie Umowy. Procesor powinien w szczególności wdrożyć – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – odpowiednie środki zaprojektowane w celu skutecznej realizacji zasad ochrony danych określonych w RODO oraz w celu ochrony praw osób, których dane dotyczą (zasada ochrony danych osobowych w fazie projektowania określona w art. 25 ust. 1 RODO), a także aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania określonego w Załączniku nr 1 (zasada domyślnej ochrony danych określona w art. 25 ust. 2 RODO). Wykaz środków, które zobowiązany jest wdrożyć Procesor został określony w Załączniku nr 2.
- Oceniając, czy stopień bezpieczeństwa, o którym mowa w ust. 1, jest odpowiedni, Procesor jest zobowiązany uwzględnić ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
- Wdrażając środki organizacyjne i techniczne, o których mowa w ust. 1 i 2, Procesor:
- przestrzega wytycznych Administratora w zakresie sposobu zabezpieczenia procesów przetwarzania danych osobowych zgodnie z przepisami obowiązującego prawa, o których mowa w pkt 2 ust. 1 pkt 1 oraz 2;
- powinien uwzględnić stan wiedzy technicznej oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, których dane osobowe będzie przetwarzał na podstawie niniejszej Umowy.
- W przypadku stwierdzenia, że stosowane środki mogą być nieadekwatne do rozpoznanych zagrożeń, Procesor informuje o tym Administratora i w porozumieniu z Administratorem dostosowuje odpowiednio zabezpieczenia przetwarzania danych osobowych.
- Administrator ma prawo wydawać Procesorowi wiążące instrukcje dotyczące wdrożenia dodatkowych środków zabezpieczających. Procesor powinien wdrożyć takie środki w terminie uzgodnionym z Administratorem.
- Na każde żądanie Administratora, Procesor jest zobowiązany do udostępniania dokumentacji (procedur) dotyczącej przetwarzania danych osobowych nie później niż w terminie 2 Dni Roboczych od dnia złożenia takiego żądania.
4. POWIERZENIE
- Administrator wyraża zgodę na dalsze powierzenie przez Procesora przetwarzania danych osobowych innym podmiotom przetwarzającym wskazanym w Załączniku nr 3 do Umowy w zakresie oraz celu zgodnym z niniejszą Umową. Procesor jest zobowiązany do informowania o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia dalszych podmiotów przetwarzających. Administrator może sprzeciwić się dalszemu powierzeniu przez Procesora danych osobowych, w terminie 5 Dni Roboczych od otrzymania informacji, o której mowa w zdaniu poprzednim. W przypadku wyrażenia sprzeciwu przez Administratora, Procesor nie jest uprawniony do zawarcia umowy z dalszym podmiotem przetwarzającym, którego dotyczy sprzeciw.
- Procesor zapewnia, że będzie korzystał wyłącznie z usług takich dalszych podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO oraz przepisów obowiązującego prawa z zakresu ochrony danych osobowych, wskazanych w pkt 2 ust. 1 pkt 2a także chroniło prawa osób, których dane dotyczą.
- Procesor zapewni w umowie z dalszym podmiotem przetwarzającym, że na podmiot ten zostaną nałożone obowiązki odpowiadające obowiązkom Procesora określonym w Umowie, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO.
- Procesor zapewni również w umowie z dalszym podmiotem przetwarzającym możliwość realizacji przez Administratora bezpośredniej kontroli względem dalszego podmiotu przetwarzającego (w tym możliwość przeprowadzania audytów, o których mowa w § 6 Umowy). Procesor jest zobowiązany poinformować dalszy podmiot przetwarzający, że informacje, w tym dane osobowe, na temat tego podmiotu przetwarzającego mogą być udostępnione Administratorowi w celu wykonania przez niego uprawnień, o których mowa w zdaniu poprzedzającym.
- Procesor jest w pełni odpowiedzialny przed Administratorem za spełnienie obowiązków wynikających z umowy powierzenia zawartej pomiędzy Procesorem a dalszym podmiotem przetwarzającym. Jeżeli dalszy podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków tego dalszego podmiotu przetwarzającego spoczywa na Procesorze.
5. TRANSFER DANYCH OSOBOWYCH
- Procesor nie może przekazywać (transferować) danych osobowych do państwa trzeciego, które znajduje się poza Europejskim Obszarem Gospodarczym („EOG”), chyba że Administrator udzieli mu uprzedniej, pisemnej pod rygorem nieważności, zgody zezwalającej na taki transfer.
- Jeśli Administrator udzieli Procesorowi uprzedniej zgody na przekazanie danych osobowych do państwa trzeciego, Procesor może dokonać transferu tych danych osobowych tylko wtedy, gdy:
- państwo docelowe zapewnia adekwatny poziom ochrony danych osobowych do tego, który obowiązuje w Unii Europejskiej lub
- Administrator i Procesor lub dalszy podmiot przetwarzający zawarli umowę w oparciu o standardowe klauzule umowne lub wdrożyli inny mechanizm, który zgodnie z przepisami prawa legalizuje transfer danych do państwa trzeciego.
6. AUDYT
- Administrator jest w każdym momencie upoważniony do przeprowadzenia audytu zgodności przetwarzania danych osobowych przez Procesora z Umową oraz obowiązującymi przepisami prawa, w szczególności Administrator może przeprowadzić weryfikację zgodności i adekwatności środków technicznych i organizacyjnych zabezpieczających przetwarzanie danych osobowych wdrożonych przez Procesora.
- Administrator poinformuje Procesora co najmniej 3 Dni Robocze przed planowaną datą audytu o zamiarze jego przeprowadzenia. Jeżeli z ważnych powodów, w ocenie Procesora, audyt nie może zostać przeprowadzony we wskazanym terminie, Procesor powinien poinformować o tym fakcie Administratora drogą elektroniczną (przesyłając informację na adres e-mail Administratora wskazany w Umowie o Świadczenie Usług Marketingowych) wskazując uzasadnienie dla takiej oceny. W takim przypadku Strony wspólnie ustalą późniejszy termin audytu.
- Audyt, o których mowa w pkt 6 ust. 1, mogą być wykonywane przez Administratora (osoby przez niego wyznaczone) lub podmioty zewnętrzne, którym Administrator zleci wykonanie audytu, w miejscu przetwarzania danych osobowych objętych powierzeniem w Dni Robocze w godzinach od 8:00 do 16:00.
- Procesor ma obowiązek współpracować z Administratorem i upoważnionymi przez niego audytorami, w szczególności zapewniać im dostęp do pomieszczeń i dokumentów obejmujących dane osobowe oraz informacje o sposobie przetwarzania danych osobowych, infrastrukturze teleinformatycznej oraz systemach IT, a także do osób mających wiedzę na temat procesów przetwarzania danych osobowych realizowanych przez Procesora.
- Po przeprowadzonym audycie przedstawiciel Administratora sporządza protokół pokontrolny, który podpisują przedstawiciele obu Stron. Procesor zobowiązuje się w terminie uzgodnionym z Administratorem, dostosować do zaleceń pokontrolnych zawartych w protokole, mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania danych osobowych.
- Administrator ma także prawo żądać od Procesora składania pisemnych wyjaśnień dotyczących realizacji Umowy. Procesor zobowiązuje się odpowiedzieć niezwłocznie, jednak nie później niż w terminie 3 Dni Roboczych, na każde pytanie Administratora dotyczące przetwarzania powierzonych mu na podstawie Umowy danych osobowych.
- Procesor jest zobowiązany zapewnić w umowie z dalszym podmiotem przetwarzającym możliwość przeprowadzania przez Administratora (lub podmiot zewnętrzny, któremu Administrator zleci wykonanie audytu) audytu zgodności przetwarzania danych osobowych przez dalszy podmiot przetwarzający z Umową na zasadach określonych w pkt 6 ust. 1 – 5.
- Koszty związane z przeprowadzeniem audytu ponosi podmiot, który zlecił przeprowadzenie audytu, bez prawa do żądania zwrotu takich kosztów ani zapłaty dodatkowego wynagrodzenia.
7. ZGŁASZANIE NARUSZEŃ
- Procesor jest zobowiązany do wdrożenia i stosowania procedur służących wykrywaniu naruszeń ochrony danych osobowych oraz wdrażaniu właściwych środków naprawczych. Procesor jest zobowiązany do udostępniania procedur, o których mowa w zdaniu poprzedzającym, na każde żądanie Administratora, nie później niż w terminie 2 Dni Roboczych od dnia złożenia takiego żądania.
- Po stwierdzeniu naruszenia ochrony powierzonych mu przez Administratora danych osobowych Procesor, bez zbędnej zwłoki, jednak w miarę możliwości nie później niż w ciągu 24 godzin od wykrycia naruszenia, zgłasza je Administratorowi. Zgłoszenie powinno zawierać co najmniej informacje o:
- dacie, czasie trwania oraz lokalizacji naruszenia ochrony danych osobowych;
- charakterze i skali naruszenia, tj. w szczególności o kategoriach i przybliżonej liczbie osób, których dane dotyczą, oraz kategoriach i przybliżonej liczbie wpisów danych osobowych, których dotyczy naruszenie, a w razie możliwości, także wskazania podmiotów danych, których dotyczyło naruszenie;
- systemie informatycznym, w którym wystąpiło naruszenie (jeżeli naruszenie nastąpiło w związku z przetwarzaniem danych w systemie informatycznym);
- przewidywanym czasie potrzebnym do naprawienia szkody spowodowanej naruszeniem;
- charakterze i zakresie danych osobowych objętych naruszeniem;
- możliwych konsekwencjach naruszenia, z uwzględnieniem konsekwencji dla osób, których dane dotyczą;
- środkach podjętych w celu zminimalizowania konsekwencji naruszenia oraz proponowanych działaniach zapobiegawczych i naprawczych;
- danych kontaktowych osoby mogącej udzielić dalszych informacji o naruszeniu.
- Jeżeli Procesor nie jest w stanie w tym samym czasie przekazać Administratorowi wszystkich informacji, o których mowa w pkt 2, powinien je udzielać sukcesywnie, bez zbędnej zwłoki.
- Do czasu uzyskania instrukcji od Administratora, Procesor bez zbędnej zwłoki podejmuje wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków naruszenia.
- Procesor jest zobowiązany do dokumentowania wszelkich naruszeń ochrony powierzonych mu danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutków oraz podjętych działań zaradczych. Procesor jest zobowiązany na każde żądanie Administratora niezwłocznie udostępnić mu dokumentację, o której mowa w zdaniu poprzedzającym.
- Procesor nie będzie bez wyraźnej instrukcji Administratora powiadamiał o naruszeniu:
- osób, których dane dotyczą ani;
- organu nadzorczego.
8. CZAS TRWANIA UMOWY ORAZ ZASADY ODPOWIEDZIALNOŚCI
- Niniejsza Umowa zostaje zawarta na czas określony, obowiązuje od dnia jej zawarcia i przestaje obowiązywać wraz z zakończeniem obowiązywania Umowy głównej.
- Administrator może rozwiązać Umowę z zachowaniem 1-miesięcznego okresu wypowiedzenia.
- Administrator uprawniony jest do wypowiedzenia Umowy ze skutkiem natychmiastowym w przypadku zaistnienia ważnych powodów, w tym także w razie naruszenia przez Procesora lub dalszy podmiot przetwarzający przepisów RODO, innych obowiązujących przepisów prawa lub niniejszej Umowy, a w szczególności, gdy:
- organ nadzoru nad przestrzeganiem zasad przetwarzania danych osobowych stwierdzi, że Procesor lub dalszy podmiot przetwarzający nie przestrzega zasad przetwarzania danych osobowych;
- prawomocne orzeczenie sądu powszechnego wykaże, że Procesor lub dalszy podmiot przetwarzający nie przestrzega zasad przetwarzania danych osobowych;
- Administrator, w wyniku przeprowadzenia audytu, o którym mowa w pkt 6 Umowy stwierdzi, że Procesor lub dalszy podmiot przetwarzający nie przestrzega zasad przetwarzania danych osobowych wynikających z Umowy lub obowiązujących przepisów prawa lub Procesor nie zastosuje się do zaleceń pokontrolnych, o których mowa w pkt 6 ust. 5.
- Naruszenie przez Procesora postanowień niniejszej Umowy, RODO lub innych obowiązujących przepisów prawa z zakresu ochrony danych osobowych stanowi podstawę do wypowiedzenia Umowy głównej.
- Po zakończeniu obowiązywania Umowy Procesor powinien zgodnie z dyspozycją Administratora zwrócić lub zniszczyć, w sposób i w terminie odrębnie ustalonym z Administratorem, wszelkie dane osobowe i ich kopie, chyba że właściwe przepisy prawa krajowego lub unijnego nakazują przechowywanie tych danych osobowych. Koszty zwrotu lub zniszczenia danych osobowych oraz ich kopii ponosi Procesor.
- Procesor przesyła pisemne potwierdzenie zniszczenia danych osobowych w sposób i w terminie uzgodnionym z Administratorem.
- W przypadku ograniczenia zakresu powierzenia przetwarzania przez Administratora, w trybie określonym w Umowie, postanowienia o rozwiązaniu Umowy stosuje się odpowiednio do danych, które wskutek ograniczenia zakresu nie mogą już być przetwarzane przez Procesora.
- W przypadku dalszego powierzenia przetwarzania danych osobowych Procesor zobowiązuje się do zawarcia w umowach z dalszymi podmiotami przetwarzającymi postanowień, zgodnie z którymi umowy dalszego przetwarzania danych będą ulegały automatycznemu rozwiązaniu w razie zakończenia obowiązywania niniejszej Umowy.
- Procesor odpowiada za szkody, jakie powstaną u Administratora, osób, których dane dotyczą lub innych osób trzecich w wyniku niezgodnego z Umową lub przepisami prawa przetwarzania przez Procesora danych osobowych objętych powierzeniem na podstawie Umowy, a w szczególności w związku z udostępnianiem danych osobowych osobom nieupoważnionym.
9. ADRES STRONY I DANE OSÓB
- Wszelka korespondencja w sprawach związanych z Umową będzie kierowana na adresy Stron wskazane w Umowie o Świadczenie Usług Marketingowych.
- Procesora w kontaktach z Administratorem oraz Administratora w kontaktach z Procesorem w zakresie ustaleń Umowy reprezentować będą osoby wskazane w Umowie o Świadczenie Usług Marketingowych.
- Zmiana adresów i danych tych osób nie stanowi zmiany Umowy. O każdej zmianie danych, o których mowa w pkt 9 ust. 1 – 2, Strony powiadomią się na piśmie, za potwierdzeniem odbioru lub drogą elektroniczną.
9. POSTANOWIENIA KOŃCOWE
- Niniejsza Umowa podlega prawu polskiemu. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej Strony.
- W sprawach, które nie zostały uregulowane Umową, znajdują zastosowanie odpowiednie przepisy Kodeksu cywilnego, RODO oraz innych obowiązujących przepisów z zakresu ochrony danych osobowych.
- Zmiany Umowy są możliwe wyłącznie w formie pisemnej pod rygorem nieważności, z zastrzeżeniem sytuacji, w których Umowa wprost przewiduje inną formę dokonywania zmian.
- Procesor nie może przenieść praw lub obowiązków wynikających z niniejszej Umowy bez pisemnej zgody Administratora.
- O ile Umowa o Świadczenie Usług Marketingowych nie stanowi inaczej, wszelkie spory w związku z niniejszą Umową zostaną poddane pod rozstrzygnięcie sądu powszechnego miejscowo właściwego ze względu na siedzibę Administratora.
ZAŁĄCZNIK NR 1
ZAKRES POWIERZANIA DANYCH OSOBOWYCH
- Cele przetwarzania:
- Realizacja obowiązków Procesora wskazanych w Umowie o Świadczenie Usług Marketingowych.
- Kategorie osób, których dane dotyczą: osoby fizyczne (użytkownicy platformy internetowej Facebook, Instagram oraz Tik Tok) korzystający z formularza kontaktowego na platformie internetowej Facebook, Instagram oraz Tik Tok, przekazujący swoje dane osobowe w celu wyrażenia woli kontaktu z Administratorem oraz
- Rodzaje danych osobowych:
- Imię;
- Nazwisko;
- Nr telefonu;
- Adres e-mail.
ZAŁĄCZNIK NR 2
WYKAZ ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH, KTÓRE ZOBOWIĄZANY JEST WDROŻYĆ PROCESOR
- Opis czynności Procesora, determinując podjęcie środków technicznych i organizacyjnych jest opisany w Załączniku nr 1.
ZAŁĄCZNIK NR 3
WYKAZ DALSZYCH PODMIOTÓW PRZETWARZAJĄCYCH
- Zapier Inc. w celu automatycznego przesyłania danych opisanych w Załączniku nr 1 do dedykowanego arkusza kalkulacyjnego, do którego ma dostęp Administartor.
- Google LLC w celu przetrzymywania danych opisanych w Załączniku numer 1 i ich łatwego przetwarzania.
- Meta Platforms, Inc. w celu tworzenia podobnych grup odbiorców na podstawie wstępnej oceny przez Administratora.