Najnowszy webinar
24 kwietnia, 11:00 zapraszamy na bezpłatny panel o Marketing Automation i pracy z bazą klientów — z perspektywy marki Kazar, Yetiz i ExpertSender!
Zapisz się już teraz!

Warunki Przetwarzania Danych Osobowych

WARUNKI PRZETWARZANIA DANYCH OSOBOWYCH

 

Niniejszy dokument reguluje przetwarzanie danych osobowych, które ExpertSender

przetwarza w imieniu Klienta (Administratora Danych) i stanowi integralną część Umowy.

ExpertSender S.A. z siedzibą w Gdańsku (80-280) ul: Gdańsk (80-280) ul. C.K. Norwida 1, Polska, NIP: PL 5862237116, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy Gdańsk – Północ w Gdańsku, VIII Wydział Gospodarczy Krajowego Rejestru Sądowego („KRS”) pod numerem KRS: 0000916101, o kapitale zakładowym w wysokości 108 760,00 zł,

zwana dalej „Podmiotem przetwarzającym”.

§1 Definicje

 

Strony Umowy jednomyślnie postanawiają nadać poniższym terminom następujące znaczenie:

  1. Umowa Główna – łącznie Formularz Zamówienia złożony przez Klienta wraz z Załącznikami i Regulaminem, które stanowią Umowę o świadczenie usług zawartą pomiędzy Administratorem a Podmiotem przetwarzającym;
  2. Umowa powierzenia przetwarzania danych osobowych – niniejsze warunki przetwarzania danych osobowych w imieniu Administratora (zwane dalej „Umową”);
  3. Dane osobowe – informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, przetwarzane przez Podmiot przetwarzający na podstawie Umowy powierzenia przetwarzania danych osobowych;
  4. Naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych przekazywanych, przechowywanych lub przetwarzanych w inny sposób;
  5. Formularz Zamówienia – odrębny dokument zawierający podstawową charakterystykę świadczenia Usług na rzecz Administratora, składany przez Administratora Procesorowi, który wraz z załącznikami i Regulaminem stanowi podstawę zobowiązań Stron, czyli Umowę o świadczenie usług zawieraną pomiędzy Klientem a Procesorem. Formularz Zamówienia może zostać złożony w formie pisemnej lub dokumentowej – poprzez wymianę wiadomości e-mail pomiędzy Stronami;
  6. Podprzetwarzający – podmiot, którego usługi świadczone są na rzecz Przetwarzającego w celu wykonania określonych czynności przetwarzania danych w imieniu Administratora;
  7. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
  8. EOG – Europejski Obszar Gospodarczy.

§Przedmiot Umowy Przetwarzania i oświadczenia Stron

  1. Na mocy niniejszej Umowy Administrator powierza Dane Osobowe do przetwarzania Podmiotowi Przetwarzającemu. Przedmiot i czas przetwarzania, zdolność i cel przetwarzania, rodzaje Danych Osobowych oraz kategorie osób, których dane dotyczą, obejmują (ale nie wyłącznie)  zgodnie z opisem poniżej:
  2. a)Dane osobowe obejmują następujące:
  • imię i nazwisko;
  • zawód;
  • datę urodzenia;
  • płeć;
  • adres protokołu internetowego (IP);
  • adres zamieszkania: ulica, numer domu, numer mieszkania, kod pocztowy, miejscowość;
  • adres korespondencyjny: ulica, numer domu, numer mieszkania, kod pocztowy, miejscowość;
  • miejsce zameldowania: ulica, numer domu, numer mieszkania, kod pocztowy, miejscowość;
  • adres e-mail;
  • numer telefonu;
  • identyfikator urządzenia mobilnego;
  • identyfikator Web Push;
  • Numer Identyfikacji Podatkowej (NIP) lub jego zagraniczny odpowiednik;
  • Numer identyfikacyjny pracodawcy (EIN) lub jego zagraniczny odpowiednik;
  • numer rejestru handlowego (jeśli dotyczy osoby, której dane dotyczą);
  • dowód tożsamości;
  • numer i seria dowodu tożsamości;
  • paszport/karta pobytu/dokument tożsamości (w przypadku cudzoziemca);
  • konto bankowe;
  • imię i nazwisko właściciela rachunku bankowego;
  • adres właściciela konta bankowego: ulica, numer domu, numer mieszkania, kod pocztowy, miejscowość;
  • szczegóły dotyczące zadłużenia;
  • historia przeglądania stron internetowych i zdarzeń online;
  • anonimowa historia odwiedzin, która jest dołączana do Danych Osobowych po wyrażeniu zgody przez Administratora;
  • historia interakcji i zdarzeń w aplikacjach mobilnych
  • dane dotyczące zakupów (produkty, cena, ilość, wartość)
  • dane obliczone przez Podmiot Przetwarzający na podstawie danych dostarczonych przez Administratora, takie jak Średnia Wartość Zamówienia lub Życiowa Wartość Klienta i inne.
  1. b)Procesy – dane osobowe podlegają procesom określonym w Umowie Głównej.
  2. c)Dane osobowe mogą być przetwarzane w okresie obowiązywania Umowy głównej i Umowy
  3. Administrator oświadcza, że przetwarzanie danych odbywa się na podstawie art. 6 ust. 1 lit. a) RODO.
  4. Przetwarzający oświadcza, że zapewnia wystarczające zasoby, doświadczenie, profesjonalną wiedzę w zakresie bezpieczeństwa danych osobowych oraz wykwalifikowany personel, które umożliwiają Przetwarzającemu należyte wykonanie Umowy głównej i Umowy powierzenia przetwarzania danych osobowych, a także wdrożył odpowiednie środki techniczne i organizacyjne opisane w Załączniku nr 1 w taki sposób, aby przetwarzanie spełniało wymogi określone w art. 32 RODO.
  5. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu do przetwarzania Dane osobowe wyłącznie w zakresie możliwości, celów i terminów określonych w punkcie 1 powyżej.
  6. Podmiot Przetwarzający oświadcza, że przetwarza Dane Osobowe zgodnie z niniejszą Umową, RODO i innymi przepisami prawa w zakresie bezpieczeństwa danych osobowych.

 

 

§3 Obowiązki Podmiotu Przetwarzajacego

  1. Przetwarzający zobowiązuje się do przetwarzania Danych Osobowych w terminie wyznaczonym przez Administratora oraz do anonimizacji, zwrotu lub usunięcia wszelkich wskazanych Danych Osobowych wyłącznie na polecenie Administratora, które zostanie wydane w formie pisemnej pod rygorem nieważności lub w formie elektronicznej, a także zgodnie z wytycznymi Administratora, w zakresie tych wytycznych i poleceń.
  2. Przetwarzający zobowiązuje się przetwarzać Dane Osobowe wyłącznie na udokumentowane polecenie Administratora, chyba że wymagają tego przepisy prawa Unii lub prawa polskiego; w takim przypadku w terminie 1 (słownie: jednego) dnia przed rozpoczęciem przetwarzania Przetwarzający poinformuje Administratora o tym wymogu prawnym przed rozpoczęciem przetwarzania, chyba że prawo to zabrania udzielania takiej informacji z uwagi na ważny interes publiczny. Niniejsza Umowa stanowi takie pisemne pouczenie, zgodnie z niniejszym ustępem.
  3. Podmiot przetwarzający zapewnia, że osoby upoważnione do przetwarzania Danych osobowych zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania poufności.
  4. Podmiot przetwarzający, uwzględniając charakter przetwarzania oraz swoje możliwości, pomaga Administratorowi wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III, poprzez:
  5. a)Przetwarzający powiadamia Administratora o otrzymanym żądaniu osoby, której dane dotyczą. Powiadomienie powinno nastąpić w terminie 5 (słownie: pięciu) dni roboczych od dnia otrzymania żądania przez Przetwarzającego. W celu uniknięcia wątpliwości Strony zgodnie postanawiają, że Przetwarzający nie jest uprawniony ani zobowiązany do wykonywania jakichkolwiek czynności w celu samodzielnej realizacji żądania osoby, której dane dotyczą;
  6. b)w przypadku, gdy dla realizacji żądania osoby, której dane dotyczą, niezbędne będzie uzyskanie od Przetwarzającego określonych informacji lub dokumentów, Przetwarzający dostarczy je Administratorowi w terminie 7 (słownie: siedmiu) dni od dnia otrzymania żądania Administratora w formie pisemnej lub elektronicznej.
  7. Podmiot przetwarzający wspiera Administratora w zapewnieniu wykonania obowiązków wynikających z art. 32-36 poprzez:
  8. a)powiadomienie Administratora o Naruszeniu Danych Osobowych zgodnie z postanowieniami § 4 Umowy;
  9. b)wdrożenie odpowiednich środków technicznych i organizacyjnych opisanych w Załączniku nr 1 do Umowy.
  10. Podmiot przetwarzający jest zobowiązany, na pisemne polecenie Administratora, do sprostowania, uaktualnienia, ograniczenia przetwarzania lub usunięcia Danych osobowych wskazanych przez Administratora. Wykonanie powyższego obowiązku następuje w terminie 7 dni roboczych od dnia otrzymania polecenia.
  11. W przypadku, gdy – w ocenie Podmiotu przetwarzającego – polecenie Administratora narusza RODO lub inne przepisy prawa unijnego lub polskiego dotyczące bezpieczeństwa danych osobowych, Podmiot przetwarzający poinformuje Administratora o tym naruszeniu w terminie do 5 (słownie: pięciu) dni roboczych od dnia, w którym Podmiot przetwarzający otrzymał polecenie.

§4 Powiadomienie o naruszeniu ochrony danych osobowych

  1. Podmiot Przetwarzający powiadomi Administratora w ciągu 48 godzin od powzięcia wiadomości o Naruszeniu Danych Osobowych. Powiadomienie wysyłane jest na następujący adres e-mail podany przez Administratora w Formularzu Zamówienia.
  2. Powiadomienie o Naruszeniu Danych Osobowych zawiera opis Naruszenia, jego przyczyny i ewentualne konsekwencje, o ile zostały one ustalone w terminie wskazanym w ust. 1 powyżej.

§5 Audyty

  1. Strony niniejszym oświadczają, że na podstawie art. 28 ust. 3 lit. h) RODO, Administrator jest uprawniony do:
  2. a)żądania od Podmiotu przetwarzającego informacji dotyczących realizacji Umowy, przy czym Przetwarzający zachowuje prawo do przekazania tych informacji według własnego uznania w formie pisemnej lub elektronicznej, w terminie 7 (słownie: siedmiu) dni roboczych od dnia otrzymania żądania Administratora danych;
  3. b)przeprowadzania audytów, o których mowa w niniejszym ustępie.
  4. Audyt w zakresie prawidłowości przetwarzania Danych Osobowych może być przeprowadzony przez Administratora lub innego audytora upoważnionego przez Administratora, po uprzednim zawiadomieniu Podmiotu przetwarzającego. Zawiadomienie, o którym mowa powyżej, powinno zostać wysłane na co najmniej 10 (słownie: dziesięć) dni roboczych przed planowanym terminem audytu i określać planowane miejsce przeprowadzenia audytu, zakres czynności oraz osoby upoważnione przez Administratora do przeprowadzenia audytu.
  5. Audyt może być przeprowadzony wyłącznie w dni robocze, w godzinach pracy Podmiotu przetwarzającego i w miejscach, w których dane są przetwarzane. Audyt nie może być przeprowadzany częściej niż 2 (słownie: dwa) razy w roku kalendarzowym, z zachowaniem co najmniej 3 (słownie: trzech) miesięcznej przerwy pomiędzy poszczególnymi audytami.
  6. Osoby upoważnione do przeprowadzenia audytu są uprawnione do wstępu do pomieszczeń i lokali, w których przetwarzane są dane, mają dostęp do dokumentacji przetwarzania danych oraz do systemów informatycznych, za pomocą których Podmiot przetwarzający zapewnił bezpieczeństwo i prawidłowość przetwarzania Danych osobowych.
  7. Podmiot przetwarzający nie jest zobowiązany do zapewnienia Administratorowi środków technicznych lub organizacyjnych niezbędnych do przeprowadzenia audytu wewnętrznego. Każda ze Stron ponosi własne koszty związane z przeprowadzeniem audytu.
  8. Podmiot przetwarzający niniejszym zobowiązuje się do usunięcia wszelkich nieprawidłowości stwierdzonych w trakcie audytu, w terminie wyznaczonym przez Administratora, nie krótszym niż 30 (słownie: trzydzieści) dni roboczych.

 

§6 Podprzetwarzający

  1. Administrator niniejszym udziela Podmiotowi przetwarzającemu ogólnego upoważnienia do korzystania z usług świadczonych przez innych Podprzetwarzających w zakresie objętym niniejszą Umową. Lista Podprzetwarzających aktualna na dzień podpisania Umowy stanowi Załącznik nr 2.
  2. Podmiot przetwarzający poinformuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania nowego Podprzetwarzającego, podając jego dane. Administrator ma prawo do zgłoszenia uzasadnionego sprzeciwu wobec takiego Podprzetwarzającego w terminie 3 (słownie: trzech) dni roboczych od dnia otrzymania informacji przez Administratora.
  3. W przypadku korzystania z usług Podmiotu przetwarzającego, Podmiot przetwarzający zapewnia nałożenie na Podmiot przetwarzający takich samych obowiązków w zakresie ochrony danych, jak określone w niniejszej Umowie.
  4. Na pisemne żądanie Administratora, Podmiot przetwarzający niezwłocznie dostarczy Administratorowi kopię takiej umowy z Podprzetwarzającym oraz wszelkich późniejszych zmian. Podmiot przetwarzający może zredagować tekst umowy przed udostępnieniem kopii w zakresie niezbędnym do ochrony tajemnicy przedsiębiorstwa lub innych informacji poufnych, w tym danych osobowych.

§7 Przekazywanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej

  1. Podmiot przetwarzający niniejszym oświadcza, że Dane osobowe nie są i nie będą przekazywane do państwa trzeciego spoza EOG lub organizacji międzynarodowej.
  2. Wyjątkiem od zasady, o której mowa w ust. 1 powyżej jest sytuacja, w której Administrator upoważni Podmiot przetwarzający a priori na piśmie, zezwalając na przekazanie Danych osobowych poza EOG lub do organizacji międzynarodowej, przy czym upoważnienie dotyczyć będzie pojedynczego podmiotu lub obszaru poza EOG lub gdy przekazanie takie nastąpi z uwagi na bezwarunkowo obowiązujące przepisy prawa, wówczas przed dokonaniem przekazania Podmiot przetwarzający powiadomi Administratora o takim obowiązku, chyba że obowiązujące przepisy prawa wyraźnie zabraniają takiego powiadomienia.

§8 Okres trwania Umowy

  1. Umowa obowiązuje w okresie obowiązywania Umowy Głównej.
  2. Rozwiązanie lub wygaśnięcie Umowy Głównej oznacza rozwiązanie niniejszej Umowy, chyba że postanowienia Umowy Głównej stanowią, że świadczone usługi są aktualnie wykonywane i będą wykonywane do ich zakończenia. W takim przypadku niniejsza Umowa pozostaje w mocy tak długo, jak długo usługi te są świadczone.
  3. Niezależnie od uprawnień Administratora określonych w § 3 ust. 1 Umowy, nie później niż w terminie 30 dni od dnia rozwiązania Umowy, Podmiot przetwarzający zwróci Administratorowi wszystkie Dane osobowe i usunie wszystkie istniejące kopie Danych osobowych (w tym dane w systemach Podmiotu przetwarzającego).
  4. Podmiot przetwarzający jest uprawniony do rozwiązania Umowy po poinformowaniu Administratora, że jego instrukcje naruszają obowiązujące wymogi prawne i gdy Administrator nalega na dalsze stosowanie się do instrukcji.

§9 Poufność

  1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, zasobów, dokumentów i Danych osobowych uzyskanych od Administratora danych, a także współpracowników Administratora danych oraz wszelkich danych uzyskanych w inny sposób, celowo lub niecelowo, w formie ustnej, pisemnej lub elektronicznej.
  2. 2.Podmiot przetwarzający oświadcza, że z uwagi na zobowiązania do zachowania w tajemnicy wszystkich informacji wskazanych w ust. 1 powyżej, dane te nie będą wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora, chyba że takie ujawnienie jest podyktowane obowiązującymi przepisami prawa, Umową Główną i niniejszą Umową.

§10 Odpowiedzialność

Strony zgodnie postanawiają, że odpowiedzialność Podmiotu przetwarzającego ograniczona jest do wysokości sumy ubezpieczenia potwierdzonej aktualną polisą ubezpieczenia odpowiedzialności cywilnej w zakresie objętym polisą. Podmiot przetwarzający zobowiązuje się do utrzymywania przez cały okres obowiązywania niniejszej Umowy ubezpieczenia od odpowiedzialności cywilnej w zakresie prowadzonej działalności gospodarczej sumę ubezpieczenia nie mniejszą niż 1.000.000 (jeden milion) złotych.

W odniesieniu do działań i zdarzeń nieobjętych powyższymi warunkami, odpowiedzialność

Podmiotu przetwarzającego jest ograniczona do kwoty stanowiącej sumę wynagrodzenia zapłaconego przez Klienta w ciągu ostatnich sześciu (6) miesięcy poprzedzających datę wykrycia naruszenia.

Podmiot przetwarzający oświadcza, że na dzień zawarcia Umowy posiada aktualną polisę ubezpieczeniową od odpowiedzialności cywilnej, która obejmuje również ubezpieczenie od ryzyk cybernetycznych i ryzyk związanych z RODO, a także certyfikat ISO/IEC 27001:2022.

 

§11 Postanowienia końcowe

  1. Niniejsza Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
  2. Załączniki wymienione w Umowie stanowią integralną część Umowy.
  3. Wszelkie spory wynikające z niniejszej Umowy lub z Umowy Głównej będą kierowane do rozpatrzenia przez sąd powszechny określony w Umowie Głównej.
  4. Wszelkie uzupełnienia lub zmiany niniejszej Umowy pozostają nieważne bez zachowania formy pisemnej.
  5. Niniejsza Umowa zastępuje wszelkie inne ustne lub pisemne umowy, porozumienia, ugody i kontrakty w zakresie uregulowanym postanowieniami Umowy, które tracą moc z dniem podpisania Umowy.

 

 

Załącznik nr 1

Techniczne i organizacyjne środki bezpieczeństwa

 

 

  1. Poufność

 

1.1. Kontrola dostępu fizycznego

 

1.1.1. Budynki należące lub wykorzystywane jako składnik przedsiębiorstwa Podmiotu Przetwarzającego są zabezpieczone systemami alarmowymi.

 

1.1.2. Drzwi wejściowe do któregokolwiek z ww. budynków są wyposażone w następujące systemy zamykania: systemy kontroli dostępu z wykorzystaniem kart chipowych lub system zamków zamykanych manualnie.

 

1.1.3.   Uprawnienia dostępu w ramach ww. systemu zamykania są dokumentowane z podaniem nazwisk osób uprawnionych.

 

1.1.4.   Wejścia osób spoza przedsiębiorstwa Podmiotu Przetwarzającego, w tym gości, do któregokolwiek z ww. budynków są dokumentowane z podaniem nazwisk tych osób lub dostęp i przebywanie tych osób odbywają się wyłącznie w towarzystwie pracowników Podmiotu Przetwarzającego.

 

1.2.       Kontrola dostępu do zasobów IT

 

1.2.1.   Sieć Podmiotu Przetwarzającego jest chroniona od strony sieci publicznej przez brzegowe urządzenia sieciowe firewall z aktywnymi mechanizmami IDS i IPS.

 

1.2.2.   Pracownicy są zobowiązani do przestrzegania następujących zaleceń w odniesieniu do haseł:

  • Każdy pracownik ma indywidualne hasło do komputera i ma obowiązek utrzymywania go w tajemnicy;
  • Hasła muszą spełniać wymogi złożoności i długości 14 znaków;
  • Nie używa się haseł zbiorowych.

 

1.2.3.   Na serwerach używany jest system antywirusowy.

 

1.2.4.   Na wszystkich stacjach roboczych używany jest system antywirusowy.

 

1.2.5.   Aktualizacje oprogramowania związane z bezpieczeństwem są regularnie i automatycznie wgrywane do istniejącego oprogramowania.

 

1.3.       Kontrola dostępu użytkowników do danych

 

1.3.1.   Istnieje udokumentowana koncepcja ról i uprawnień.

 

1.3.2.   Proces przyznawania uprawnień jest dokumentowany z podaniem nazwisk osób uprawnionych.

 

1.3.3.   Jeśli istnieje możliwość zdalnej konserwacji/ zdalnego dostępu, to jest on realizowany w sposób bezpieczny.

 

1.4.       Kontrola oddzielenia danych

 

1.4.1.   Istnieje koncepcja uprawnień dla wyżej wymienionych klientów/segmentów sieci, co wyklucza możliwość odczytywania danych przez pracowników Podmiotu Przetwarzającego, którzy nie są upoważnieni do przetwarzania danych Administratora.

 

1.4.2.   Pracownicy są zobowiązani na piśmie do zachowania w poufności informacji pochodzących z baz danych Administratora oraz do

niewykorzystywania ich w  innych celach niż wskazane w Umowie Powierzenia.

 

  1. Integralność

 

2.1.       Kontrola przekazywania danych

 

2.1.1.   Używane jest obligatoryjne szyfrowanie dysków lokalnych na przenośnych stacjach roboczych w celu ochrony danych  Administratora.

 

2.2.       Kontrola wprowadzania danych

 

2.2.1.   W celu rejestracji usuwania lub modyfikacji danych Administratora dla każdego pracownika Podmiotu Przetwarzającego tworzone są pliki dziennika z wykorzystaniem nazwiska lub loginu.

 

  1. Dostępność

 

3.1.       Kontrola dostępności

 

1.1.1.   Kopie bezpieczeństwa danych Administratora są wykonywane co 24 godziny i przechowywane są 3 najnowsze kopie.

1.1.2.   Kopie zapasowe podlegają weryfikacji spójności po ich utworzeniu..

 

  1. Kontrola przetwarzania danych osobowych

 

4.1.       Kontrola zadań

 

4.1.1.   Pracownicy Podmiotu Przetwarzającego, którzy przetwarzają Dane Osobowe, których administratorem jest Administrator, w tym mają do nich dostęp, zobowiązali się na piśmie do zachowania poufności w zakresie obsługi Danych Osobowych.

 

4.1.2.   Odbywają się szkolenia pracowników Podmiotu Przetwarzającego w zakresie ochrony Danych Osobowych.

 

4.1.3.   Podmiot Przetwarzający stosuje procedury regularnej weryfikacji, oceny i ewaluacji skuteczności środków technicznych i organizacyjnych w celu zapewnienia bezpiecznego przetwarzania w rozumieniu artykułu 32 ust. 1 RODO.

 

4.2.2.   W przedsiębiorstwie Podmiotu Przetwarzającego istnieją uregulowania w sprawie postępowania w przypadku incydentów naruszających bezpieczeństwo, w tym bezpieczeństwo Danych Osobowych.

 

 

 

 

Załącznik nr 2

Podprzetwarzający

1. IQ PL Spółka z ograniczoną odpowiedzialnością z siedzibą w Gdańsku,

2. Microsoft Ireland Operations Limited