§ 1.
Postanowienia ogólne
- Niniejszy regulamin powierzenia przetwarzania danych osobowych (dalej: „Regulamin powierzenia”) określa zasady i warunki powierzenia przetwarzania danych osobowych zapisanych przez Usługobiorcę na Koncie oraz przekazanych Podmiotowi przetwarzającemu na potrzeby świadczenia Usług.
- W zakresie nieregulowanym w Regulaminie powierzenia, zastosowanie znajdują postanowienia Regulaminu korzystania z systemu TILLIO (dalej: „Regulamin korzystania z Systemu”).
- Wszelkie terminy pisane wielką literą, które nie zostały zdefiniowane inaczej w Regulaminie powierzenia mają znaczenie nadane im w Regulaminie korzystania z Systemu.
- Regulamin powierzenia stanowi wzorzec umowy, o której mowa w art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: „RODO”).
§ 2.
Powierzenie przetwarzania danych osobowych
- Usługobiorca (dalej także: „Administrator”) powierza Usługodawcy (dalej także: „Podmiot przetwarzający”) przetwarzanie danych osobowych w trybie art. 28 RODO, w zakresie określonym w § 3 Regulaminu powierzenia.
-
Administrator oświadcza, że:
- jest administratorem danych osobowych powierzanych Podmiotowi przetwarzającemu na mocy Regulaminu powierzenia;
- powierzone Podmiotowi przetwarzającemu do przetwarzania dane osobowe gromadzi i przetwarza zgodnie z RODO i innymi przepisami prawa powszechnie obowiązującego.
- Podmiot przetwarzający zobowiązuje się do przetwarzania danych osobowych w zakresie i na warunkach określonych w Regulaminie powierzenia, RODO oraz innych przepisach prawa powszechnie obowiązującego.
- Świadczenia określone w Regulaminie powierzenia Podmiot przetwarzający wykonuje w ramach wynagrodzenia określonego w Regulaminie korzystania z Systemu oraz w Cenniku.
§ 3.
Przedmiot, charakter, cel i czas przetwarzania danych
- Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie na udokumentowane polecenie Administratora oraz wyłącznie w celu wykonywania usług wskazanych w Regulaminie Systemu. Za „udokumentowane polecenie” uznaje się w szczególności zawarcie przez Administratora Umowy o korzystanie z Systemu (dalej także: „Umowa główna”).
-
Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych następujących kategorii (dalej: „powierzone dane osobowe”):
- dane osobowe pracowników i współpracowników Usługobiorcy: imię, nazwisko, stanowisko, dział, płeć, adres e-mail, numer telefonu,
- dane osobowe klientów/kontrahentów/partnerów biznesowych Usługobiorcy: firma (imię i nazwisko), adres korespondencyjny, numer KRS, NIP, REGON, adres e-mail, nr telefonu.
- Dane osobowe powierzane przez Administratora na podstawie Regulaminu powierzenia nie stanowią danych szczególnej kategorii, o których mowa w art. 9 RODO, ani danych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 RODO.
- Przetwarzanie powierzonych danych osobowych będzie odbywało się przy wykorzystaniu systemów informatycznych (w sposób zautomatyzowany).
§ 4.
Obowiązki, prawa i oświadczenia Podmiotu przetwarzającego
- Podmiot przetwarzający zobowiązuje się do zabezpieczenia powierzonych danych osobowych poprzez wdrożenie (jeszcze przed przystąpieniem do przetwarzania) oraz utrzymywanie, środków technicznych i organizacyjnych odpowiednich do charakteru, zakresu, kontekstu i celu przetwarzania powierzonych danych, w tym środków wymaganych przez odpowiednie przepisy powszechnie obowiązującego prawa, by przetwarzanie powierzonych danych osobowych spełniało wymogi RODO.
- Podmiot przetwarzający zobowiązuje się zapewnić, aby osoby upoważnione do przetwarzania danych osobowych powierzonych na podstawie Regulaminu powierzenia zobowiązane były do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
- Podmiot przetwarzający zobowiązuje się, w zakresie uzasadnionym przedmiotem Umowy głównej, w miarę możliwości, pomagać Administratorowi w wywiązywaniu się przez niego z obowiązku odpowiedzi na żądania osób, których dane dotyczą, w zakresie wykonywania przez te osoby praw wynikających z przepisów prawa powszechnie obowiązującego, w tym w rozdziale III RODO.
-
Podmiot przetwarzający zobowiązuje się niezwłocznie zawiadomić Administratora o:
- każdym naruszeniu ochrony powierzonych danych osobowych, przy czym przez „naruszenie ochrony powierzonych danych” należy rozumieć każde przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do powierzonych danych osobowych. Zawiadomienia, o którym mowa w niniejszym pkt 1 należy dokonać najpóźniej w ciągu 24 godzin od wykrycia naruszenia ochrony powierzonych danych;
- każdym żądaniu otrzymanym od osoby, której dane przetwarza, powstrzymując się jednocześnie od odpowiedzi na żądanie, do czasu otrzymania opinii Administratora. Zawiadomienia, o którym mowa w niniejszym pkt 2 należy dokonać najpóźniej w ciągu 24 godzin od otrzymania żądania;
- każdym prawnie umocowanym żądaniu udostępnienia danych osobowych właściwemu organowi państwa, chyba że zakaz zawiadomienia wynika z przepisów prawa, a szczególności przepisów postępowania karnego, gdy zakaz ma na celu zapewnienie poufności wszczętego dochodzenia;
- przeprowadzeniu przez Prezesa Urzędu Ochrony Danych Osobowych lub inny organ nadzorczy kontroli zgodności przetwarzania danych osobowych i jej wynikach oraz o innych czynnościach organów władzy publicznej dotyczących tych danych.
- Podmiot przetwarzający zobowiązuje się, w zakresie uzasadnionym przedmiotem Umowy głównej i dostępnymi mu informacjami, pomagać Administratorowi w wywiązywaniu się przez niego z obowiązków wynikających z przepisów prawa powszechnie obowiązującego, w tym z art. 32-36 Ogólnego rozporządzenia o ochronie danych i dotyczących bezpieczeństwa przetwarzania danych osobowych, zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu i osobie, której dane te dotyczą, oceny skutków dla ochrony danych i związanych z tą oceną konsultacji z organem nadzorczym.
-
Podmiot przetwarzający zobowiązuje się:
- udostępniać Administratorowi w terminie 14 dni od dnia otrzymania żądania, wszelkie informacje i dokumenty niezbędne do wykazania spełnienia przez Administratora ciążących na nim obowiązków określonych w przepisach prawa powszechnie obowiązującego;
- umożliwić Administratorowi lub upoważnionemu przez niego audytorowi przeprowadzanie audytów, w tym inspekcji, i przyczyniać się do nich, na zasadach każdorazowo określonych przez strony oraz z zastrzeżeniem postanowień niniejszego paragrafu.
-
Audyt, o którym mowa w ust. 6 pkt 2 powyżej może zostać przeprowadzony:
- nie wcześniej niż 14 dni od dnia otrzymania przez Podmiot przetwarzający zapowiedzi jego przeprowadzenia, w terminie ustalonym przez Strony oraz
- po zawarciu pomiędzy Podmiot przetwarzający a Administratorem lub upoważnionym przez niego audytorem umowy o zachowaniu poufności.
- Po zakończeniu audytu, Strony sporządzą protokół w 2 egzemplarzach, które podpiszą upoważnieni przedstawiciele obu Stron. Podmiot przetwarzający może wnieść zastrzeżenia do protokołu w ciągu 5 Dni roboczych od dnia jego podpisania przez przedstawicieli Stron.
- W razie stwierdzenia w toku audytu uchybień mających wpływ na bezpieczeństwo przetwarzania powierzonych danych osobowych Podmiot przetwarzający zobowiązuje się dostosować do zaleceń sformułowanych przez Administratora lub upoważnionego przez niego audytora.
§ 5.
Obowiązki Administratora
- Administrator zobowiązany jest zapewnić, aby przez cały okres obowiązywania Umowy głównej dysponował prawną podstawą przetwarzania powierzanych danych osobowych i aby przysługiwały mu odpowiednie uprawnienia umożliwiające ich powierzenie na rzecz Podmiotu przetwarzającego. W razie utraty ww. podstawy prawnej lub uprawnień wobec określonych powierzanych danych osobowych, Administrator zobowiązany jest niezwłocznie przedsięwziąć kroki niezbędne do zaprzestania ich powierzania, w szczególności zawiadomić o tym Podmiot przetwarzający.
- Administrator zobowiązuje się nie wydawać Podmiotowi przetwarzającemu poleceń dotyczących przetwarzania powierzanych danych osobowych, które byłyby niezgodne z przepisami prawa powszechnie obowiązującego, postanowieniami Regulaminu powierzenia lub innymi zobowiązaniami umownymi.
§ 6.
Dalsze powierzenie danych osobowych
- Administrator wyraża ogólną zgodę na dokonywanie przez Podmiot przetwarzający dalszego powierzania przetwarzania danych osobowych (dalej: „podpowierzenie”) wybranym przez siebie podwykonawcom.
- Wykaz podwykonawców, którym Podmiot przetwarzający podpowierzył przetwarzanie danych osobowych, znajduje się w dyspozycji Podmiotu przetwarzającego i może zostać udostępniony Administratorowi na jego wniosek.
-
Podmiot przetwarzający zobowiązuje się zapewnić, aby:
- podmiot, wobec których dokonuje podpowierzenia, stosował odpowiednie środki techniczne i organizacyjne w celu zagwarantowania przetwarzania powierzonych danych osobowych zgodnie z przepisami RODO;
- zakres obowiązków dalszego podmiotu przetwarzającego w zakresie ochrony danych odpowiadał obowiązkom Podmiotu przetwarzającego przewidzianych w Umowie powierzenia.
- W przypadku zamiaru podpowierzenia przetwarzania danych osobowych danemu podwykonawcy, Podmiot przetwarzający zobowiązany jest zawiadomić o tym Administratora nie później, niż na 7 (siedem) dni przed dokonaniem podpowierzenia za pomocą poczty elektronicznej. Administrator może sprzeciwić się dokonaniu podpowierzenia, o którym mowa w zdaniu poprzedzającym, poprzez zgłoszenie sprzeciwu za pomocą poczty elektronicznej, w terminie 7 (siedmiu) dni od dnia otrzymania zawiadomienia o podpowierzeniu.
- Po bezskutecznym upływie terminu na zgłoszenie sprzeciwu, o którym mowa w ust. 4 powyżej, Podmiot przetwarzający może dokonać podpowierzenia przetwarzanych danych osobowych wybranemu podwykonawcy.
- W przypadku zgłoszenia sprzeciwu, o którym mowa w ust. 4 powyżej, Podmiot przetwarzający może odstąpić od Umowy głównej ze skutkiem natychmiastowym.
- Podpowierzenie, o którym mowa w ust. 4 powyżej, nie stanowi zmiany Regulaminu powierzenia.
§ 7.
Czas obowiązywania Regulaminu powierzenia
Postanowienia Regulaminu powierzenia obowiązują przez czas obowiązywania Umowy głównej.
§ 8.
Skutki rozwiązania Umowy głównej
W przypadku rozwiązania Umowy głównej, Podmiot przetwarzający, niezwłocznie, nie później niż w terminie 14 Dni roboczych od dnia rozwiązania Umowy głównej, zobowiązuje się zwrócić Administratorowi oraz usunąć z własnych nośników wszelkie dane osobowe, których przetwarzanie zostało mu powierzone, w tym skutecznie usunąć je również z nośników elektronicznych pozostających w jego dyspozycji. Postanowienia zdania poprzedzającego nie dotyczą tych danych osobowych, których przechowywanie przez Podmiot przetwarzający, zgodnie z przepisami powszechnie obowiązującego prawa, wymagane jest przez czas dłuższy niż okres obowiązywania Umowy głównej.
§ 9.
Odpowiedzialność
W przypadku naruszenia przez którąkolwiek ze stron Umowy głównej postanowień Regulaminu powierzenia, przepisów RODO lub innych przepisów prawa powszechnie obowiązującego, czego skutkiem będzie poniesienie szkody przez drugą stronę, strona odpowiedzialna za naruszenie jest zobowiązana do naprawienia wyłącznie szkody rzeczywistej i nie ponosi odpowiedzialności za korzyści utracone przez drugą stronę na skutek naruszenia.
§ 10.
Zmiana Regulaminu powierzenia
Do zmian Regulaminu powierzenia stosuje się odpowiednio postanowienia § 18 Regulaminu Systemu.
§ 11.
Postanowienia końcowe
Aktualna wersja Regulaminu obowiązuje od dnia 01.02.2024 r.