UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH („Umowa”)
Zawarta 25 maja 2018 roku pomiędzy:
Firma EFFEKT Agnieszka Rajczak-Kucińska adres: ul. Wólczańska 125, 90-521 Łódź, NIP: 728-185-29-21 prowadząca Serwis Tikecik
a
Użytkownikiem (będącym Użytkownikiem w rozumieniu Regulaminu udostępnienia oprogramowania Indywidualnego Serwisu Biletowego Tikecik.pl), zwanym dalej ADO.
W związku z zawarciem przez Strony Umowy na podstawie Regulaminu udostępnienia oprogramowania Indywidualnego Serwisu Biletowego Tikecik.pl świadczonych przez Procesora („Umowa Główna”) Strony zawierają niniejszą umowę powierzenia przetwarzania danych osobowych.
ADO przekazuje Procesorowi do przetwarzania dane („Dane”), w stosunku do których to danych ADO pełni rolę administratora danych osobowych, a Procesor zobowiązuje się do ich przetwarzania w granicach określonych Umową oraz powszechnie obowiązującymi przepisami prawa.
Przetwarzanie Danych przez Procesora odbywa się na zlecenie ADO, co oznacza, że każde przetwarzanie Danych odbywa się wyłącznie na udokumentowane polecenia ADO, w szczególności zawarte w Umowie Głównej, a także wyrażone przez zamówienie kolejnych usług.
Dane przetwarzane są celu realizacji Umowy Głównej i w zakresie niezbędnym do jej prawidłowego wykonania.
ADO oświadcza i zapewnia, że:
– jest administratorem danych osobowych – w stosunku do Danych – w rozumieniu przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ( „RODO”);
– posiada podstawy prawne przetwarzania Danych, a powierzenie Procesorowi danych do przetwarzania nie naruszy praw podmiotów tych danych, przepisów prawa (w szczególności RODO) czy jakichkolwiek praw osób trzecich;
– dane udostępniane będą przez ADO wyłącznie w celu realizacji Umowy Głównej;
– powiadomi Procesora o wszelkich działaniach właściwych organów administracji publicznej, związanych z przetwarzaniem Danych przez ADO.
Procesor oświadcza i zapewnia, że:
– dane przetwarzane będą przez niego zgodnie z niniejszą Umową i przepisami prawa;
– przetwarzanie danych dokonywane będzie wyłącznie w celu prawidłowego wykonania Umowy Głównej;
– posiada stosowne polityki ochrony danych osobowych w zakresie dotyczącym powierzenia mu danych przez ADO;
– osoby upoważnione przez niego do przetwarzania danych zobowiązane zostały do prawidłowej ochrony tych danych – zgodnie z politykami ochrony danych Procesora oraz przepisami RODO, a także zostały zobowiązane do zachowania Danych w tajemnicy lub podlegają prawnemu obowiązkowi dochowania takiej tajemnicy;
– podejmuje wszelkie środki wymagane przez właściwe przepisy prawa, zwłaszcza przez art. 32 RODO, zgodnie z którym Przetwarzający wdraża odpowiednie środki techniczne oraz organizacyjne uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
W oparciu o niniejszą Umowę przetwarzane będą;
– dane zwykłe;
– dane dzieci, tj. dane osób, które nie uzyskały pełnoletności (w tym kupujących poniżej 18. roku życia);
W oparciu o niniejszą Umowę przetwarzane będą Dane następujących kategorii osób:
– Klienci ADO;
– Użytkownicy serwisu biletowego ADO;
– Pracownicy i współpracownicy, w tym kontrahenci ADO, posiadający konta w Serwisie Biletowym administrowanym przez ADO..
Przetwarzanie Danych odbywać się będzie w okresie obowiązywania Umowy Głównej.
Procesor wdroży wszelkie środki wymagane przez przepisy prawa, w szczególności – z uwzględnieniem dokonanej przez Procesora oceny ryzyka przetwarzania Danych – odpowiednie środki techniczne i organizacyjne, zapewniające właściwy i dostosowany do ryzyka naruszenia praw i wolności podmiotów Danych poziom bezpieczeństwa Danych.
Procesor – wdrażając mechanizmy, o których mowa w ust. 1 – zobowiązany jest uwzględnić stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania Danych.
Uwzględniając charakter przetwarzania Procesor zapewni wsparcie ADO („Wsparcie”), tj.:
– w miarę możliwości pomoże ADO, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której Dane dotyczą, w zakresie wykonywania jej praw, określonych w rozdziale III RODO – jeśli w danym przypadku ciążą one na ADO;
– pomoże ADO wywiązać się z ciążących na ADO obowiązków określonych w art. 32 – 36 RODO – z uwzględnieniem dostępnych mu informacji.
Procesor zobowiązany jest do udostępnienia ADO wszelkich informacji niezbędnych do wykazania obowiązków określonych w art. 28 RODO oraz umożliwienia ADO lub upoważnionemu przez ADO audytorowi przeprowadzenia audytów, w tym inspekcji („Audyt”) i przyczynienia się do nich.
W przypadku gdy wydane przez ADO polecenia w ocenie Procesora stanowią naruszenie przepisów RODO lub innych przepisów prawa Unii lub prawa polskiego – Procesor niezwłocznie poinformuje o tym ADO.
Procesor może odmówić przekazania ADO informacji objętych tajemnicą prawnie chronioną, w tym tajemnicą przedsiębiorstwa Procesora lub podmiotów trzecich, a także informacji stanowiących dane osobowe nie będące Danymi, jeśli informacje te mogą zostać zastąpione innymi informacjami (w tym oświadczeniami ADO), zaś w przypadku gdy nie będzie to możliwe – informacje te zostaną udostępnione ADO (lub wyznaczonym przez niego osobom) wyłącznie w siedzibie Procesora, po uprzednim zawarciu przez ADO i wszystkie osoby, którymi ADO się posługuje, przedstawionej przez Procesora umowy zobowiązującej do należytej ochrony tych informacji.
Przeprowadzenie Audytu jest możliwe po uprzednim pisemnym poinformowaniu Procesora przez ADO o zamiarze jego przeprowadzenia z co najmniej dwudziestojednodniowym wyprzedzeniem, wraz ze wskazaniem listy osób zaangażowanych w przeprowadzenie Audytu po stronie ADO. Zawiadomienie powinno ponadto określać czas trwania Audytu oraz jego zakres.
W przypadku gdy Audyt nie jest bezpośrednio związany z działaniami uprawnionych organów administracji publicznej kierowanymi wobec ADO w związku z przetwarzaniem danych bądź stwierdzonym i udokumentowanym naruszeniem przetwarzania Danych przez Procesora – łączny czas trwania prowadzonych przez ADO Audytów nie może przekroczyć trzech dni w roku kalendarzowym.
Audyt może być przeprowadzony wyłącznie po uprzednim zawarciu przez ADO i wszystkie osoby, którymi ADO się posługuje, przedstawionej przez Procesora umowy zobowiązującej do należytej ochrony wszelkich informacji uzyskanych w związku z Audytem.
Audyty przeprowadzane są na koszt ADO. Koszty sprawowania Wsparcia oraz nadzoru nad Procesorem przez ADO obciążają wyłącznie ADO. Za koszty wsparcia bądź nadzoru uznaje się w szczególności koszty ponoszone przez Procesora w związku z dokonywaniem kontroli, audytów, czy przygotowania dokumentów, udzielenia informacji lub pomocy ADO. W przypadku gdy koszty, o których mowa w niniejszym ustępie zostały poniesione przez Procesora – ADO niezwłocznie zwróci je Procesorowi. Szczegółowe zasady zwrotu kosztów Procesorowi określają w szczególności cenniki Procesora lub Umowa Główna.
Audyt przeprowadzany jest w godzinach pracy Procesora i nie może w żaden sposób zakłócać ani negatywnie wpływać na bieżącą działalność Procesora.
Procesor współpracuje z organami właściwymi do spraw ochrony danych osobowych, w zakresie wykonywanych przez nie zadań.
Jeśli z przepisów prawa lub niniejszej Umowy nie wynika inny termin – wszelkie informacje udzielane przez Procesora ADO, a także wykonywane przez niego czynności wykonywane będą niezwłocznie, nie później niż w terminie 30 dni od otrzymania stosownego żądania.
Postanowienia niniejszego paragrafu w stosunku do działań ADO względem Podprocesorów, o których mowa w § 5, stosuje się odpowiednio.
Procesor może korzystać z usług innych podmiotów przetwarzających (Podprocesor), tylko za uprzednią szczegółową zgodą lub ogólną pisemną zgodą ADO.
ADO wyraża zgodę na korzystanie przez Procesora z Podprocesorów wskazanych w Załączniku nr 1 do niniejszej Umowy. Zmiana załącznika nie stanowi zmiany Umowy i postanowienia ust. 3-4 niniejszego paragrafu stosuje się do niej odpowiednio. Szczegółowe dane podmiotów wymienionych w Załączniku nr 1 mogą zostać udostępnione ADO na jego wyraźne żądanie, z zastrzeżeniem, że Procesor może odmówić podania danych osobowych osób fizycznych, jeśli naruszałoby to ich prawa lub wolności.
Powierzenie przetwarzania Danych Podporcesorom niewskazanym w Załączniku nr 1 wymaga uprzedniego zgłoszenia tego faktu ADO – w celu umożliwienia mu sprzeciwu, dokonanego nie później niż na pięć dni przed rozpoczęciem podpowierzenia. Zgłoszenie może zostać dokonane w szczególności w formie elektronicznej.
W przypadku braku sprzeciwu ADO przyjmuje się, że wyraził on zgodę na korzystanie z Podporcesora. W przypadku zgłoszenia sprzeciwu Procesor nie może powierzyć danych Podprocesorowi, którego sprzeciw dotyczy – jednocześnie Procesor będzie uprawniony do rozwiązania w takim przypadku Umowy Głównej, ze skutkiem natychmiastowym, a ADO nie będzie przysługiwać z tego tytułu jakiekolwiek odszkodowanie.
Procesor nałoży na każdego z Podprocesorów, w szczególności za pośrednictwem umowy, te same obowiązki ochrony Danych jak wynikające z Umowy, w szczególności obowiązek wdrożenia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO.
W przypadku niewywiązania się przez Podprocesora z ciążących na nim obowiązków w stosunku do Danych pełna odpowiedzialność wobec ADO za spełnienie obowiązków Podprocesora spoczywa na Procesorze.
Procesor, po zakończeniu świadczenia usług związanych z przetwarzaniem Danych na rzecz ADO, w szczególności w przypadku rozwiązania niniejszej Umowy lub Umowy Głównej, w zależności od decyzji ADO:
– usuwa Dane;
– zwraca ADO wszelkie Dane oraz usuwa wszelkie ich istniejące kopie (chyba że prawo Unii Europejskiej lub polskie przepisy prawa powszechnie obowiązującego nakazują przechowywanie danych osobowych).
W przypadku wypowiedzenia Umowy Głównej ADO powinien przekazać Procesorowi decyzję, o której mowa w ust. 1, nie później niż w ostatnim dniu obowiązywania Umowy. W przypadku braku przekazania takiej decyzji w tym terminie – przyjmuje się, że ADO nakazał Procesorowi usunięcie Danych (zgodnie z ust. 1 lit. a) i wszelkie związane z tym konsekwencje obciążają wyłącznie ADO.
Umowa ulega rozwiązaniu z chwilą rozwiązania Umowy Głównej.
W sprawach nieuregulowanych, w tym w zakresie zmiany Umowy, zastosowania mają postanowienia Umowy Głównej.
W razie sprzeczności postanowień niniejszej Umowy z Umową Główną – pierwszeństwo mają postanowienia niniejszej Umowy.
Niniejsza Umowa zastępuje wszelkie wcześniejsze umowy, ustalenia i porozumienia Stron w zakresie powierzenia przetwarzania danych osobowych regulowanym w Umowie.
ADO wyraża zgodę na korzystanie przez Procesora z następujących Podprocesorów:
– Podwykonawcy Procesora, będący osobami fizycznymi, świadczący osobiście na rzecz Procesora usługi, w szczególności świadczący usługi w oparciu o umowę zlecenie, umowę o dzieło lub inną umowę cywilnoprawną;
– Członkowie organów Procesora, a także jego prokurenci lub pełnomocnicy;
– Podmioty prowadzące obsługę księgową i rachunkową Procesora;
– Podmioty dostarczające Procesorowi usługi hostingu;