Załącznik – Umowa o ochronie danych Polityka easySales

Strony przyjmują do wiadomości i postanawiają, że Dostawca administruje Platformą easySales (ES) oraz świadczy na rzecz Użytkownika pośrednictwo w świadczeniu usług zlecanych przez Użytkownika, związanych ze sprzedażą Produktów Użytkownika. W tym celu Użytkownik określa i wskazuje poprzez niniejszą Umowę Dostawcy dane osobowe, które będą przetwarzane przez Dostawcę w celu realizacji procesu sprzedaży za pośrednictwem Platformy easySales. Przetwarzanie tych danych osobowych będzie odbywać się w okresie obowiązywania Regulaminu ES oraz w celu realizacji przedmiotu Regulaminu ES. Strony oświadczają i gwarantują, że w odniesieniu do danych osobowych Klientów, Użytkownik będzie miał rangę ADMINISTRATORA DANYCH, natomiast Dostawca zostanie zakwalifikowany jako PODMIOT PRZETWARZAJĄCY DANE, zgodnie z obowiązującymi przepisami prawa, w szczególności z RODO tj. Rozporządzeniem (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólna ochrona danych Rozporządzenie). Definicje zawarte w RODO stosuje się odpowiednio.

1 Art. 28 (3) S.1 of RODO Przedmiot i czas trwania, rodzaj i cel przetwarzania danych, rodzaje danych osobowych oraz kategorie osób, których dane dotyczą
  1. Administrator Danych upoważnia i wymaga od Przetwarzającego Dane:
    • przetwarzania danych osobowych we wszystkich uzasadnionych i istotnych celach związanych ze świadczeniem Usług przez Podmiot przetwarzający upoważniony przez administratora danych;
    • przetwarzania danych osobowych w zakresie niezbędnym do wypełnienia obowiązków prawnych ciążących na Administratorze Danych lub osobie upoważnionej przez Administratora Danych, w tym ujawnienia Danych Osobowych właściwym organom lokalnym, niniejszym;
    • przekazywania danych osobowych podwykonawcom zgodnie z powyższym.
  2. Przedmiot Umowy, charakter i cel przetwarzania danych, rodzaje danych osobowych oraz kategorie osób, których dane dotyczą, są określone w Załączniku A, stanowiącym integralną część niniejszej Umowy.
  3. O ile nie uzgodniono inaczej, niniejsza Umowa wchodzi w życie z Dniem Podpisania, zgodnie z definicją zawartą w Regulaminie ES i będzie obowiązywać tak długo, jak długo Podmiot przetwarzający dane będzie przetwarzał dane osobowe w imieniu i na rzecz Administratora danych. W celu uniknięcia wątpliwości, rozwiązanie Umowy (z dowolnego powodu) spowoduje automatyczne rozwiązanie niniejszej Umowy.
2 Art. 28 (3) a), S.3 of RODO Przetwarzanie danych na podstawie instrukcji; Obowiązek informowania
  1. Podmiot przetwarzający będzie przetwarzał dane osobowe wyłącznie na podstawie pisemnych instrukcji Administratora danych, w tym w odniesieniu do przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (zgodnie z Załącznikiem B), chyba że prawo UE lub prawo państwa członkowskiego mające zastosowanie do Podmiotu Przetwarzającego wymaga inaczej. W takim przypadku Podmiot przetwarzający powiadomi Administratora danych o tym wymogu prawnym przed rozpoczęciem przetwarzania, pod warunkiem, że takie powiadomienie nie jest zabronione przez prawo z ważnych względów interesu publicznego. W Dniu Podpisania wszystkie te instrukcje są zawarte w dokumencie ES Regulamin.
  2. Podmiot przetwarzający niezwłocznie poinformuje Administratora Danych, jeżeli jego zdaniem polecenie wydane przez Administratora narusza przepisy RODO lub inne obowiązujące przepisy z zakresu ochrony danych.
  3. W celu uniknięcia wątpliwości, Podmiot Przetwarzający Dane nie ponosi odpowiedzialności za udzielanie Administratorowi Danych porad prawnych lub dotyczących zgodności z przepisami ani za jakiekolwiek inne rodzaje porad prawnych, ani za przeprowadzanie analiz prawnych / zgodności / analiz lub opinii jakiegokolwiek rodzaju na rzecz Administratora Danych.
  4. Strony niniejszym nie uznają przetwarzania danych o szczególnym charakterze lub w celach identyfikacyjnych, które są wyłączone z kategorii danych osobowych podlegających niniejszej umowie.
  5. Administrator Danych ponosi odpowiedzialność za zgodność z prawem gromadzenia danych osobowych (w tym za weryfikację ważności i celu) oraz ich przekazanie Podmiotowi przetwarzającemu na podstawie umowy, w tym za zgodność i uzyskanie wszelkich upoważnień/zezwoleń, w tym uprzednich, które mogą zostać nałożone. (konieczne) w drodze aktu normatywnego lub korporacyjnego w tym zakresie.
3 Art. 28 (3) b) of RODO Zobowiązanie do zachowania poufności
  1. Wykonując niniejszą umowę, Podmiot Przetwarzający zapewnia, że jako osoby upoważnione do przetwarzania danych osobowych będą w niej zaangażowane wyłącznie osoby, które są związane umową o zachowaniu poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania poufności.
  2. Podmiot przetwarzający dane dołoży należytej staranności, aby zapewnić, że jego pracownicy/kontrahenci upoważnieni do przetwarzania danych osobowych znają wszystkie wymogi prawne, mające zastosowanie do Umowy o ochronie danych oraz że nie ujawnia przetwarzanych danych osobowych nieupoważnionym osobom trzecim, a mianowicie, że dane te nie są wykorzystywane / obsługiwane przez Podmiot przetwarzający w sposób inny niż dozwolony na mocy niniejszej Umowy.
4 Art. 28 (3) c) of RODO Bezpieczeństwo przetwarzania / Środki techniczne i organizacyjne zgodnie z art. 32 RODO
  1. Podmiot przetwarzający podejmuje wszelkie niezbędne środki techniczne i organizacyjne zgodnie z art. 32 RODO. Środki te zostały szczegółowo wyszczególnione w załączniku 3.
  2. Środki techniczno-organizacyjne (TOM) są uwarunkowane postępem i rozwojem technologicznym. W czasie obowiązywania niniejszej Umowy Podmiot Przetwarzający będzie zawsze dostosowywał TOM zgodnie z wymogami niniejszej Umowy oraz zgodnie z postępem technologicznym. Poziom bezpieczeństwa TOM, określony w niniejszej Umowie i załączniku C, nie ulega obniżeniu w niniejszej Umowie w porównaniu z wersjami istniejącymi w dniu wprowadzenia zmian.
  3. Podmiot Przetwarzający zobowiązuje się do:
    • dokumentowania na piśmie, w tym w formie elektronicznej, dostosowań/modyfikacji dokonanych w środkach technicznych i organizacyjnych, które mogłyby mieć istotny wpływ na gwarantowany poziom bezpieczeństwa, oraz
    • do poinformowania Administratora Danych o tych korektach/modyfikacjach bez zbędnej zwłoki.
    Po wprowadzeniu takich zmian, załącznik 3 zostanie uznany za zaktualizowany.
  4. Na uprzednie żądanie Administratora Danych Podmiot Przetwarzający przyczyni się do stworzenia i/lub aktualizowania rejestrów dotyczących czynności przetwarzania Administratora Danych, w zakresie, w jakim dotyczą one wszelkich czynności przetwarzania danych prowadzonych za pośrednictwem Podmiotu Przetwarzającego. Na żądanie Administratora Danych Podmiot Przetwarzający dostarczy niezbędne informacje i dokumentację.
5 Art. 28 (3) d) of RODO Przyznanie innym uprawnionym osobom (Podwykonawcom przetwarzania)
  1. Niniejszym Administrator Danych potwierdza ogólną zgodę, zgodnie z art. 28 ust. 2 RODO, udzieloną Podmiotowi Przetwarzającemu, na zawieranie umów z innymi osobami upoważnionymi do całkowitego lub częściowego wykonania operacji przetwarzania zgodnie z niniejszą Umową; Podmiot przetwarzający poinformuje Administratora danych o wszelkich planowanych zmianach związanych z dodaniem lub zastąpieniem innych podwykonawców przetwarzania. Powiadomienie zostanie dokonane w formie pisemnej, w tym w formie elektronicznej. Administrator danych będzie mógł wnieść sprzeciw w ciągu 1 (jednego) tygodnia od otrzymania informacji o tych zmianach, podając uzasadnienie.
  2. W momencie zawierania Umowy podwykonawcami wskazanymi przez Podmiot Przetwarzający, w świetle postanowień art. 5.1, działającymi jako pełnomocnicy Podmiotu Przetwarzającego w odniesieniu do niniejszej Umowy, są podwykonawcy wymienieni na liście w Załączniku nr 2, stanowiącym integralną część niniejszej Umowy. Podpisując niniejszą Umowę, Administrator Danych wyraża zgodę na zawieranie umów z tymi upoważnionymi osobami (podwykonawcami) przez Podmiot Przetwarzający, z takim samym rygorem, jaki stosuje się przy zawieraniu umów z podmiotami wymienionymi w Załączniku nr 2.
  3. Wszelkie transfery do państw trzecich (w tym udzielanie dostępu do danych osobowych przetwarzanych w imieniu i na rzecz Administratora Danych) dokonywane przez samego Podmiot Przetwarzający lub przez kolejnego podwykonawcę wymagają uprzedniej pisemnej zgody, w tym w formie elektronicznej, przez Administratora Danych. Podpisując niniejszą Umowę, Administrator Danych wyraża zgodę na przekazywanie danych do państw trzecich, przez podwykonawców, o których mowa w art. 5.2.
6 Art. 28 (3) e) of RODO Obowiązki w zakresie współpracy i pomocy
  1. Podmiot przetwarzający będzie pomagał Administratorowi Danych wszelkimi dostępnymi środkami i uzasadnionymi z ekonomicznego punktu widzenia oraz odpowiednimi środkami technicznymi i organizacyjnymi, aby Administrator Danych mógł wywiązać się z obowiązku odpowiadania na wnioski o skorzystanie z praw osób, których dane dotyczą, zgodnie z rozdziałem III RODO (art. 12 - 23 RODO). Administrator Danych ponosi koszty udzielenia Administratorowi Danych pomocy przez Podmiot Przetwarzający w sytuacjach objętych niniejszym artykułem.
  2. Bezpośrednia komunikacja Podmiotu Przetwarzającego z osobą, której dane dotyczą, będzie odbywać się wyłącznie za uprzednią pisemną zgodą Administratora Danych. Podmiot przetwarzający przesyła do Administratora wszelkie pisemne wnioski dotyczące praw osób, których dane dotyczą, bez nieuzasadnionej zwłoki.
6 Art. 28 (3) f) of RODO Pomoc w zapewnieniu zgodności z obowiązkami Administratora Danych
  1. Podmiot przetwarzający udziela Administratorowi Danych pomocy w celu zapewnienia zgodności z obowiązkami zgodnie z art. 32 - 36 RODO, biorąc pod uwagę charakter przetwarzania i informacje dostępne Podmiotowi Przetwarzającemu. Administrator Danych ponosi koszty udzielenia Administratorowi Danych pomocy przez Podmiot Przetwarzający w sytuacjach objętych niniejszym artykułem.
  2. Z zastrzeżeniem art. 28 ust. 3 lit. f) RODO, Podmiot przetwarzający pomaga Administratorowi w przeprowadzeniu oceny wpływu na ochronę danych zgodnie z art. 35 RODO oraz, w stosownych przypadkach, również w czasie konsultacji z organem nadzorczym zgodnie z art. 36 RODO. Na pisemne żądanie Administratora Danych Podmiot Przetwarzający dostarczy wszelkie niezbędne i wymagane informacje i dokumentację, biorąc pod uwagę charakter przetwarzania i informacje dostępne Podmiotowi Przetwarzającemu.
  3. Podmiot przetwarzający poinformuje Administratora danych o każdym naruszeniu bezpieczeństwa danych osobowych, w ciągu maksymalnie 24 (dwudziestu czterech) godzin od momentu, w którym dowie się o takiej sytuacji i przekaże Administratorowi co najmniej następujące informacje:
    1. charakter naruszenia ochrony danych osobowych, w tym, w miarę możliwości, kategorie i przybliżoną liczbę osób, których dane dotyczą, w tej sytuacji, a także kategorie i przybliżoną liczbę rekordów danych osobowych, których dotyczy naruszenie;
    2. nazwę i dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, w którym można uzyskać więcej informacji;
    3. prawdopodobne konsekwencje naruszenia bezpieczeństwa danych osobowych, zgodnie z oceną Podmiotu Przetwarzającego;
    4. środki podjęte przez Podmiot Przetwarzający lub zaproponowane przez Podmiot Przetwarzający do podjęcia przez Podmiot Zbierający Dane w celu zaradzenia naruszeniu bezpieczeństwa danych osobowych, w tym, w stosownych przypadkach, środki mające na celu złagodzenie jego ewentualnych negatywnych skutków.
  4. W przypadku, gdy i w zakresie, w jakim nie jest możliwe przekazanie wszystkich informacji w tym samym czasie, mogą one zostać przekazane w kilku etapach bez zbędnej zwłoki.
  5. W przypadku szczególnych zmian dokonanych przez Podmiot Przetwarzający na żądanie Administratora Danych w zakresie systemów/aplikacji wykorzystywanych do przetwarzania danych osobowych, Podmiot Przetwarzający zapewni Administratorowi pomoc i wsparcie w celu zapewnienia zgodności z obowiązkiem przewidzianym w art. 25 RODO (Ochrona danych od momentu poczęcia, a następnie dorozumiana). Podmiot przetwarzający bierze pod uwagę w szczególności swoje instrumenty, produkty, aplikacje lub usługi, zasady mające zastosowanie do ochrony danych od momentu powstania i w sposób dorozumiany. Odpowiednie koszty zostaną pokryte przez Administratora Danych.
8 Art. 28 (3) g) of RODO Usuwanie i odzyskiwanie danych osobowych
  1. W zakresie przewidzianym przez bezwzględnie obowiązujące przepisy prawa lub na pisemne żądanie Administratora danych, po rozwiązaniu Umowy Podmiot Przetwarzający zwróci Administratorowi dane osobowe (w tym istniejące kopie), chyba że obowiązujące przepisy prawa zezwalają/nakazują przechowywanie/przetwarzanie tych danych przez Podmiot przetwarzający (z zastrzeżeniem zasady minimalizacji przetwarzania danych) lub jeżeli Podmiot przetwarzający przedstawi Administratorowi dane uzasadnienie przechowywania (np. w celu ochrony określonych praw Podmiotu przetwarzającego).
9 Art. 28 (3) h) of RODO Wykazanie zgodności z obowiązkami i wkład w realizację audytów
  1. Na wyraźne żądanie Administratora Danych i zgodnie ze wszystkimi zasadami określonymi w art. 7 ust. 1 powyżej, Podmiot Zbierający Dane udostępni Administratorowi Danych wszelkie informacje, którymi dysponuje, uznane przez Podmiot Przetwarzający za uzasadnione, aby wesprzeć Administratora Danych w wykazaniu zgodności z obowiązkami przewidzianymi w art. 28 RODO. Podmiot przetwarzający dane umożliwi i przyczyni się do audytów, w tym inspekcji, przeprowadzanych przez Administratora danych lub innego audytora upoważnionego przez Administratora danych. Audyty, w tym inspekcje, będą przeprowadzane bez wpływu w jakikolwiek sposób na działalność Podmiotu Przetwarzającego i bez utrudniania w jakikolwiek sposób przestrzegania i wypełniania zobowiązań w zakresie bezpieczeństwa i poufności, które przyjął on na siebie w swoich stosunkach z innymi osobami fizycznymi i prawnymi lub które uważa za zgodne z prawem. Administrator Danych przedkłada wniosek o audyt i plan audytu co najmniej 30 dni przed jego przeprowadzeniem, a Strony wspólnie uzgadniają planowanie audytu/inspekcji. Koszty ewentualnego audytu/inspekcji będą w całości ponoszone przez Administratora Danych.
  2. Administrator danych dostarczy Podmiotowi przetwarzającemu kopię każdego sprawozdania z audytu/inspekcji sporządzonego na podstawie niniejszej Umowy, niezwłocznie po zakończeniu takiego raportu/audytu.
  3. Administrator zobowiązuje się nie zlecać audytu/inspekcji konkurentowi Podmiotu Przetwarzającego, w przeciwnym razie Podmiot Przetwarzający może skutecznie odmówić przeprowadzenia audytu/inspekcji.
10 Dodatkowe obowiązki
  1. W przypadku naruszeń bezpieczeństwa danych lub skarg złożonych do organu nadzorczego (a także przekazanych Podmiotowi Przetwarzającemu) dotyczących przetwarzania danych osobowych, których to dotyczy, lub środków/sankcji nałożonych na Podmiot Przetwarzający w wyniku kontroli lub innych środków podjętych przez organy nadzorcze w odniesieniu do danych objętych tym przepisem, Administrator Danych zostanie niezwłocznie powiadomiony. Administrator danych zaoferuje Podmiotowi przetwarzającemu wszelkie wsparcie w rozwiązywaniu tych zdarzeń w ciągu 24 godzin na żądanie Podmiotu przetwarzającego.
  2. Tam, gdzie jest to wymagane przez prawo, Podmiot przetwarzający wyznacza na piśmie osobę odpowiedzialną za ochronę danych zgodnie z art. 37 RODO oraz, w stosownych przypadkach, przedstawiciela, zgodnie z art. 27 RODO. Dane kontaktowe osoby wyznaczonej jako odpowiedzialna za ochronę danych zostaną przekazane Administratorowi Danych.
  3. Zgodnie z art. 30 Podmiot przetwarzający dane ma obowiązek prowadzenia dokumentacji dotyczącej wszystkich kategorii czynności przetwarzania przeprowadzanych w imieniu i na rzecz Administratora danych.
  4. Administrator Danych nie ujawni (w żadnych mediach online lub offline) i nie przekaże żadnej osobie trzeciej żadnych ogłoszeń / komunikatów / wiadomości dotyczących wykonania niniejszej Umowy, w tym wszelkich incydentów / zdarzeń związanych (np. incydent bezpieczeństwa) bez uprzedniego skonsultowania się Stron i uzgodnienia tekstu, treści komunikatu i wszelkich innych szczegółów dotyczących takiej komunikacji.
11 Pozostałe postanowienia
  1. Jeżeli realizacja celu Umowy, o którym mowa w ust. 1 niniejszej Umowy, przez Podmiot przetwarzający jest zagrożona w wyniku złożenia wniosku o ogłoszenie upadłości lub w przypadku jego upadłości; lub jeżeli powinni korzystać z prawa upadłościowego jakiegokolwiek państwa lub kraju; lub jeśli dokona cesji na rzecz swoich wierzycieli; lub w przypadku gdy w odniesieniu do jego majątku ustanowiono zarządcę sądowego, kuratora lub innego przedstawiciela sądowego; lub w wyniku innych zdarzeń lub środków podjętych przez osoby trzecie, Podmiot Przetwarzający niezwłocznie powiadomi o tym Administratora Danych. Podmiot przetwarzający niezwłocznie poinformuje wszystkie zaangażowane strony, że prawo do dysponowania danymi przysługuje wyłącznie Administratorowi danych.
  2. Strony zachowają poufność wszystkich tajemnic handlowych i środków bezpieczeństwa danych, o których dowiedziały się w ramach stosunku umownego (w tym w ramach realizacji niniejszej Umowy). Tajemnice przedsiębiorstwa to wszystkie (ale nie wyłącznie) aspekty, okoliczności i działania związane z działalnością gospodarczą, które nie są ogólnie dostępne, ale są dostępne dla ograniczonej grupy osób. Środki bezpieczeństwa danych stanowią wszelkie środki techniczne i organizacyjne podjęte przez Umawiającą się Stronę zgodnie z załącznikiem 3. Niniejsze zobowiązanie do zachowania poufności pozostaje w mocy przez 2 (dwa) lata po rozwiązaniu niniejszej Umowy.
  3. Odpowiedzialność Stron za naruszenia obowiązków w zakresie ochrony danych osobowych reguluje art. 82 RODO.
  4. W przypadku jakiejkolwiek sprzeczności lub rozbieżności między niniejszą Umową a Regulaminem ES, postanowienia niniejszej Umowy mają pierwszeństwo. Ponadto, w stosownych przypadkach, pierwszeństwo mają postanowienia standardowych klauzul umownych / standardowych klauzul ochrony danych.
  5. Jeśli którekolwiek z postanowień niniejszej Umowy jest lub stanie się nieważne, pozostałe postanowienia pozostaną w mocy i nie będą miały na nie wpływu.
  6. O ile nie określono inaczej, wszelkie zmiany niniejszej Umowy, w tym jej wypowiedzenie i niniejsza klauzula, wymagają formy pisemnej za porozumieniem Stron. Wyjątkowo, jeżeli Podmiot przetwarzający uzna w dowolnym momencie, że istnieją argumenty przemawiające za tym, że stosunek między Stronami, w odniesieniu do przetwarzania Danych, jest stosunkiem, w którym Strony mają cechy inne niż określone w niniejszej Umowie, Strony zobowiązują się do odzwierciedlenia takiej sytuacji poprzez zawarcie aneksu do niniejszej Umowy, które powinny odzwierciedlać na poziomie umownym stan faktyczny, zgodnie z przepisami RODO.
  7. Strony wyraźnie uzgadniają, że Podmiot Przetwarzający będzie uprawniony do przetwarzania Danych Klienta w celach i na warunkach wymienionych w nocie informacyjnej easy-sales.com.
  8. Każda ze Stron ma prawo do jednostronnego rozwiązania Umowy z ważnego powodu, w przypadku powtarzających się poważnych naruszeń któregokolwiek z postanowień niniejszej Umowy dotyczących ochrony danych, bez eliminowania lub ograniczania w jakikolwiek sposób odpowiedzialności Strony, która naruszyła swoje zobowiązania wynikające z niniejszej Umowy lub nałożone przez wymogi i postanowienia RODO.
  9. Niniejsza Umowa podlega i będzie interpretowana we wszystkich aspektach zgodnie z prawem materialnym państwa, w którym Podmiot przetwarzający dane ma siedzibę, z wyłączeniem wszelkich kolizji praw, które mogą przewidywać, że zastosowanie ma prawo innej jurysdykcji. Właściwe sądy w Bukareszcie mają wyłączną jurysdykcję do rozstrzygania wszelkich sporów wynikających z niniejszej Umowy lub z nią związanych.
  10. Wszystkie umowy o przetwarzaniu danych / podobne akty / umowy - jeśli takie istnieją - które istnieją między Stronami w tym dniu (w tym wszelkie szczególne klauzule dotyczące przetwarzania danych w Umowie Głównej) automatycznie przestaną obowiązywać i zostaną zastąpione niniejszą Umową z dniem Podpisania.

Załącznik A do Umowy o przetwarzaniu danych osobowych:

Przedmiot (niniejszej Umowy)
  • Przedmiot (niniejszej Umowy)
 Autoryzowany sprzedawca
  • Podmiot przetwarzający dane
 Świadczenie usług pośrednictwa internetowego przez ES na rzecz Sprzedawcy; ES działa jako przedstawiciel handlowy Sprzedającego.
Rodzaj/Kategorie danych osobowych
  • Kategorie danych osobowych
 Dane osobowe:
  • nazwisko i imię,
  • telefon komórkowy,
  • Adres dostawy,
  • e-mail
  • Historia zakupów
  • Listy przewozowe
  • Faktury
  • Szczególne kategorie danych osobowych
 NIE DOTYCZY
Osoby Nabywcy produktów (klienci)
Charakter i cel przetwarzania
  • Operacje przetwarzania
  • Wsparcie techniczne przy składaniu i realizacji zamówień wynikających z zakupu Produktów;
  • Wsparcie techniczne w zakresie realizacji/statusu Zamówień;
  • Wsparcie techniczne w generowaniu listu przewozowego;
  • Wsparcie techniczne w generowaniu faktur za Produkty;
  • Wsparcie techniczne w zakresie pobierania cen Produktów;
  • Wsparcie techniczne operacji na zrealizowanych zamówieniach - anulowanie, wymiana (modyfikacja), zwrot
  • Wsparcie techniczne w zakresie odpowiadania na pytania i reklamacje od klientów;
  • Wsparcie techniczne w dokumentowaniu opinii Klientów,
  • Wsparcie i utrzymanie.
  • Charakter przetwarzania
Poniższe formy/rodzaje przetwarzania danych osobowych mają zastosowanie i są przedmiotem umowy łączącej Strony (art. 4 nr 2 RODO)
  • Adaptacja lub modyfikacja,
  • Odzyskiwanie,
  • konsultacja,
  • Używanie,
  • Ujawnianie informacji poprzez przekazanie,
  • upowszechnianie lub dostarczanie,
  • Wyrównanie lub łączenie,
  • restrykcja,
  • Usunięcie lub zniszczenie,
  • Inny rodzaj przetwarzania:

Załącznik B do umowy powierzenia przetwarzania danych – Lista podwykonawców, z którymi zawarto umowę

Podwykonawca
 Miejsce przetwarzania Data zawarcia umowy o przetwarzanie danych Opis środków bezpieczeństwa wdrożonych w odniesieniu do przekazywania danych do państw trzecich (art. 44 RODO) Link do noty informacyjnej o przetwarzaniu danych osobowych
Usługi archiwizacji/przechowywania dokumentów (w tym dostawcy usług przechowywania w chmurze), Amazon Web Services Inc, 410 Terry Avenue North, Seattle, WA 98109-5210, DOOR. Frankfurt - https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf https://aws.amazon.com/agreement/
Zautomatyzowane usługi przekazywania wiadomości e-mail, Amazon Web Services Inc, 410 Terry Avenue North, Seattle, WA 98109-5210, USA. Frankfurt - https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf https://aws.amazon.com/agreement/
Usługi rozliczeniowe, Amazon Web Services Inc, 410 Terry Avenue North, Seattle, WA 98109-5210, USA. Frankfurt - https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf https://aws.amazon.com/agreement/

Załącznik C do umowy o przetwarzaniu danych: Środki techniczne i organizacyjne podmiotu przetwarzającego dane zgodnie z art. 32 RODO

Biorąc pod uwagę poniższe

  • Biorąc pod uwagę poniższe
  • Koszty wdrożenia
  • charakter, zakres, kontekst i
  • Cele przetwarzania i
  • zmieniające się prawdopodobieństwo i dotkliwość zagrożenia dla praw i wolności osób fizycznych.

Podmiot przetwarzający wdraża odpowiednie środki techniczne i organizacyjne w celu zapewnieniapoziomu bezpieczeństwa odpowiedniego do ryzyka.k.

Oceniając odpowiedni poziom bezpieczeństwa, szczególną uwagę zwraca się na ryzyko związane z przetwarzaniem dokonywanym w imieniu i na rzecz Administratora Danych (zgodnie z Załącznikiem 1). Wynika to w szczególności z ryzyka nieuprawnionego zniszczenia, utraty, zmiany lub ujawnienia lub nieuprawnionego dostępu, przypadkowo lub niezgodnie z prawem, do danych osobowych, które są przesyłane, przechowywane lub w inny sposób przetwarzane, zwłaszcza jeśli może to prowadzić do szkód fizycznych, materialnych lub niematerialnych.

SZCZEGÓŁOWE INFORMACJE NA TEMAT ZAGROŻEŃ I, CO ZA TYM IDZIE, ŚRODKÓW BEZPIECZEŃSTWA ZOSTANĄ WYSZCZEGÓLNIONE

W związku z tym Podmiot przetwarzający podejmie w szczególności następujące działania:

I. Środki zapewniające poufność * (art. 32 ust. 1 lit. b) RODO)

  1. Zapewnienie kontroli dostępu do pomieszczeń, w których przetwarzane są dane osobowe
    • Osoby nieupoważnione nie mają fizycznego dostępu do otoczenia, budynków, biur, w których znajdują się systemy przetwarzania danych osobowych
    • Wyjątki obejmują osoby trzecie, których przedmiotem działalności jest audyt obiektów, podczas gdy osoby trzecie są nadzorowane.
  2. Zapewnienie kontroli dostępu do systemu, w którym przetwarzane są dane osobowe Administratora
    • Wszystkie systemy przetwarzania danych osobowych są zabezpieczone hasłem, w tym w celu zdalnego dostępu, aby zapobiec nieuprawnionemu dostępowi do tych systemów,
    • Istnieje system zarządzania użytkownikami, który można uwierzytelnić na podstawie unikalnego identyfikatora
    • Każdy użytkownik ma przypisane hasło do uwierzytelnienia,
    • Wdrożony jest system zarządzania w celu zapewnienia użytkownikom praw do przetwarzania danych osobowych,
    • System jest skonfigurowany w taki sposób, aby zapewnić minimalną kontrolę personelowi, który ma dostęp do wykonywania swoich obowiązków,
    • Zaimplementowano rozwiązanie do rejestrowania dostępu do krytycznych systemów
    • Procedura dezaktywacji dostępu jest wdrażana w momencie odejścia pracownika z firmy
  3. Zapewnienie kontroli dostępu do administrowania systemem, w którym przetwarzane są dane osobowe
    • Wszystkie systemy przetwarzania danych są zabezpieczone hasłem, w tym w celu zdalnego dostępu, aby zapobiec nieautoryzowanemu dostępowi do tych systemów,
    • Istnieje system zarządzania użytkownikami, który można uwierzytelniać na podstawie unikalnego identyfikatora
    • Każdy użytkownik ma przypisane hasło do uwierzytelnienia,
    • Wdrożony jest system zarządzania w celu zapewnienia użytkownikom praw do przetwarzania danych osobowych,
    • System jest skonfigurowany tak, aby przypisywać minimalną kontrolę pracownikom, którzy mają dostęp do wykonywania swoich obowiązków,
    • Wdrożono rozwiązanie do rejestrowania dostępu do krytycznych systemów
    • Procedura wyłączania dostępu jest wdrażana w momencie odejścia pracownika z firmy

II. Środki zapewniające integralność danych * (art. 32 ust. 1 lit. b) RODO)

  1. Środki zapewniające integralność danych * (art. 32 ust. 1 lit. b) RODO)
    • Dane przesyłane między systemami ES są przesyłane za pośrednictwem protokołu komunikacyjnego SSL
    • Przesyłane dane są szyfrowane podczas transmisji pomiędzy systemami ES
  2. Kontrola wprowadzania danych

    Środki zapewniające możliwość weryfikacji i ustalenia na późniejszym etapie, czy i przez kogo dane osobowe zostały wprowadzone, zmodyfikowane lub usunięte w/z systemów przetwarzania danych:

    • Logowanie działań podejmowanych przez użytkownika w interfejsie ES
    • Istnieje system rejestrowania wszystkich próśb o rejestrację i wysyłanie danych osobowych

III. Środki mające na celu zapewnienie dostępności i odporności danych * (art. 32 ust. 1 lit. b) lit. c) RODO)

  • Dane osobowe są zapisywane w kopiach zapasowych, aby można je było przywrócić w jak najkrótszym czasie
  • Opracowano procedury odzyskiwania danych na wypadek katastrofy
  • Procedury zostały zaprojektowane tak, aby nie dopuścić do usunięcia danych osobowych bez zgody upoważnionego personelu

IV. Środki mające na celu ograniczenie celu przetwarzania danych osobowych

  • Wdrożono metody kontroli, które pozwalają na modyfikację danych osobowych wyłącznie upoważnionemu personelowi