UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

§ 1. POSTANOWIENIA OGÓLNE

1. Niniejsza umowa (dalej „Umowa powierzenia") zawarta zostaje w związku ze świadczeniem usług przez Usługodawcę zgodnie z Regulaminem Platformy BusinessReels.
2. Świadczenie usługi określa umowa zawarta pomiędzy Użytkownikiem (dalej "Administratorem") a Usługodawcą (dalej "Przetwarzającym") poprzez akceptację przez Administratora Regulaminu platformy BusinessReels, (dalej "Umowa").
3. Do znaczenia pojęć użytych w Umowie powierzenia stosuje się znaczenie określone w Regulaminie.
4. Przetwarzanie danych osobowych odbywać się będzie w zgodzie i w oparciu o Rozporządzenie Parlamentu Europejskiego Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) zwanego dalej „RODO".

§ 2. CZAS TRWANIA UMOWY POWIERZENIA

Umowa powierzenia obowiązuje od daty zawarcia Umowy do dnia jej rozwiązania. Tryb zmian niniejszej umowy zgodny jest z trybem zmian Regulaminu.

§ 3. PRZEDMIOT, ZAKRES, RODZAJ I CEL POWIERZENIA

1. Przedmiotem niniejszej umowy jest powierzenie Przetwarzającemu przetwarzania danych osobowych w imieniu i na rzecz Administratora.
2. Administrator powierza Przetwarzającemu do przetwarzania dane osobowe przez okres trwania Umowy wyłącznie na potrzeby realizacji świadczenia Umowy i Usług zgodne z Regulaminem.
3. Przetwarzający zobowiązuje się do przetwarzania powierzonych danych osobowych wyłącznie w celach związanych z realizacją Umowy i wyłącznie w zakresie, jaki jest niezbędny do realizacji tych celów, tj. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie, lub innego rodzaju udostępnianie, usuwanie. Dane osobowe mogą być zapisywane na serwerach Przetwarzającego.

§ 4. KATEGORIE OSÓB, KTÓRYCH DANE DOTYCZĄ I KATEGORIE DANYCH OSOBOWYCH

1. Przetwarzający przetwarzać będzie dane osobowe Administratora.
2. Zakres i rodzaj danych osobowych obejmuje dane widoczne po zalogowaniu do Konta. Dane te mogą zostać wprowadzone przez Właściciela Konta lub upoważnionego przez niego Użytkownika i widoczne są tylko w obrębie danego Konta. Dane osobowe to dane w zakresie imienia, nazwiska, adresu mailowego, numeru telefonu, zdjęcia, każdorazowo podanych przez ww. osoby.

§ 5. OŚWIADCZENIA

1. Administrator oświadcza, że w stosunku do danych wyszczególnionych w par. 4 jest administratorem w rozumieniu art. 4 pkt 7 RODO lub podmiotem przetwarzającym w rozumieniu art. 4 pkt 8 RODO.
2. Administrator oświadcza ponadto, że dodani w ramach jego Konta Użytkownicy są upoważnieni przez niego do przetwarzania danych osobowych.
3. Przetwarzający oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
4. Przetwarzający oświadcza, że dysponuje środkami umożliwiającymi prawidłowe przetwarzanie danych osobowych powierzonych przez Administratora danych, w zakresie i celu określonym Umową.
5. Przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy powierzonych danych osobowych, nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.
6. Przetwarzający oświadcza również, że osobom zatrudnionym przy przetwarzaniu powierzonych danych osobowych nadane zostały upoważnienia do przetwarzania danych osobowych, o których mowa w art. 29 RODO oraz że osoby te zostały zapoznane z przepisami o ochronie danych osobowych oraz z odpowiedzialnością za ich nieprzestrzeganie, zobowiązały się do ich przestrzegania oraz do bezterminowego zachowania w tajemnicy przetwarzanych danych osobowych i sposobów ich zabezpieczenia.
7. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych osobowych gwarantowały zabezpieczenie przed dostępem do nich osób trzecich, nieupoważnionych do zapoznania się z ich treścią.

§ 6. DALSZE PODMIOTY PRZETWARZAJĄCE

1. Administrator wyraża zgodę na podpowierzanie danych osobowych przez Przetwarzającego do dalszego przetwarzania podwykonawcom jedynie w celu zgodnym z Umową firmom dostarczającym rozwiązania IT jedynie w celu niezbędnym do realizacji Umowy. Przetwarzający przed podpowierzeniem danych informuje Administratora i przekaże mu dane podmiotu, któremu powierza dane. Lista podwykonawców, z których korzysta Podmiot przetwarzający stanowi Załącznik nr 1 do Umowy powierzenia.
2. W ramach podpowierzania występuje przekazywanie danych osobowych do państw trzecich.
3. Przetwarzający może przekazać powierzone dane do państwa trzeciego gdy obowiązek taki nakłada na Przetwarzającego prawo Unii lub prawo państwa członkowskiego, któremu podlega Przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Przetwarzający informuje Administratora danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
4. O planowanych zmianach dalszych podmiotów Przetwarzający powiadomi Administratora z przynajmniej 14-dniowym wyprzedzeniem.
5. Podwykonawca Umowy spełnia te same gwarancje i obowiązki jakie zostały nałożone na Przetwarzającego w niniejszej Umowie.
6. Przetwarzający ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się ze spoczywających na podwykonawcy obowiązków ochrony danych.
7. Zważywszy na fakt, że Platforma jest utrzymywana przy współpracy z podwykonawcami Przetwarzającego, stanowiącymi dalsze podmioty przetwarzające, oraz że Przetwarzający nie jest w stanie utrzymywać jej bez współpracy z tymi podmiotami, jeżeli Administrator wyrazi sprzeciw wobec podpowierzania danych osobowych dowolnemu dalszemu podmiotowi przetwarzającemu, to realizacja tego sprzeciwu będzie mogła być zrealizowana wyłącznie poprzez rezygnację z korzystania z Platformy przez Administratora.

§ 7. OBOWIĄZKI I PRAWA ADMINISTRATORA

1. Administrator zgodnie z art. 28 ust. 3 pkt h) Rozporządzenia ma prawo kontroli, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia Umowy. W związku z tym Podmiot przetwarzający umożliwi Administratorowi (bezpośrednio lub za pośrednictwem zewnętrznego audytora podlegającego pisemnym zobowiązaniom do zachowania poufności) przeprowadzenie audytu procedur Podmiotu przetwarzającego istotnych dla ochrony danych osobowych Administratora w celu weryfikacji przestrzegania przez Podmiot przetwarzający zobowiązań wynikających z niniejszej Umowy.
2. W takim przypadku:
   • Zawiadomi Podmiot przetwarzający o zamiarze przeprowadzenia audytu w formie pisemnej co najmniej 14 dni kalendarzowych przed każdym zamiarem przeprowadzenia audytu,
   • Administrator przeprowadzi audyt nie częściej niż raz w ciągu 12-miesięcznego okresu, z wyjątkiem sytuacji, kiedy wymaga tego właściwy organ nadzorczy lub jeśli audyt jest wymagany z powodu naruszenia danych Administratora,
   • Przeprowadzi każdy audyt w sposób mający na celu zminimalizowanie zakłócenia normalnego trybu prowadzenia działalności przez Podmiot przetwarzający.
3. Ewentualne koszty przeprowadzenia audytu pokrywa Administrator.
4. Audytorem wyznaczonym przez Administratora nie może być podmiot prowadzący działalność konkurencyjną wobec Podmiotu przetwarzającego, ani podmiot z nim powiązany, pracownik lub podmiot współpracujący, bez względu na podstawę zatrudnienia lub współpracy. Audytor przed przystąpieniem do czynności sprawdzających jest zobowiązany do złożenia zapewnienia zachowania pozyskanych informacji w poufności w formie pisemnej do Podmiotu przetwarzającego.
5. Kontrola przetwarzania, w zakresie dotyczącym obszarów przetwarzania danych osobowych, nie może trwać dłużej niż 3 dni robocze.
6. Kontrola przetwarzania zostanie zakończona podpisaniem przez obie Strony protokołu z kontroli przetwarzania. Protokół będzie zawierał wnioski z kontroli przetwarzania oraz uzgodniony przez obie Strony zakres ewentualnych zmian w zakresie przetwarzania Danych Osobowych przez Podmiot przetwarzający.
7. Podmiot przetwarzający zobowiązuje się do zastosowania się do zaleceń Administratora lub podmiotu przez niego upoważnionego, dotyczących poprawy jakości zabezpieczania danych osobowych oraz sposobu ich przetwarzania lub usunięcia uchybień stwierdzonych podczas kontroli lub audytu w terminie wskazanym przez Administratora nie krótszym niż 30 dni kalendarzowych.

§ 8. ZOBOWIĄZANIA PRZETWARZAJĄCEGO

Przetwarzający zobowiązuje się, że:

1. przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora (niniejszą umowę powierzenia oraz czynności podejmowane przez Platformę) dotyczy to też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega Przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania Przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny,
2. zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,
3. podejmuje wszelkie środki wymagane na mocy art. 32 RODO,
4. przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w art. 28 ust. 2 i 4 RODO,
5. biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO – funkcjonalność w Aplikacji,
6. uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO – funkcjonalności w Aplikacji,
7. po zakończeniu świadczenia usług związanych z przetwarzaniem usuwa wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, które dotyczą kategorii osób, o których mowa w §4 umowy powierzenia.
8. udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwia Administratorowi przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich na zasadach określonych w §7 ust. 2 Umowy powierzenia.

Przetwarzający zobowiązuje się poinformować Administratora bez zbędnej zwłoki (najpóźniej w ciągu 24 godzin) od wykrycia naruszenia – zgodnie z art. 33 RODO.

Przetwarzający niezwłocznie informuje Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów Unii lub państwa członkowskiego, o ochronie danych, z uwagi na siedzibę Przetwarzającego.

Przetwarzający zobowiązuje się, że przez czas trwania Umowy powierzenia, w ramach swojej organizacji, będzie przetwarzać powierzone mu dane osobowe zgodnie z przepisami prawa o ochronie danych osobowych (RODO oraz przepisami państwa członkowskiego z uwagi na swoją siedzibę), w tym między innymi przetwarzać je będzie poprzez zastosowanie odpowiednich środków technicznych i organizacyjnych zapewniających ochronę przetwarzania danych osobowych adekwatną do zagrożeń oraz kategorii danych objętych ochroną oraz przed ich udostępnieniem osobom nieupoważnionym.

§ 9. ODPOWIEDZIALNOŚĆ PRZETWARZAJĄCEGO I KARA UMOWNA

1. Przetwarzający ponosi odpowiedzialność za przetwarzanie danych osobowych niezgodnie z Umową, a w szczególności za udostępnienie danych osobowych osobom nieupoważnionym.
2. Przetwarzający odpowiada za wszelkie zawinione szkody, jakie powstaną u Administratora lub osób trzecich w wyniku niezgodnego z Umową przetwarzania przez Przetwarzającego danych osobowych.
3. Całkowita odpowiedzialność Przetwarzającego jest ograniczona do wysokości Płatności wniesionych przez Administratora.

§ 10. POSTANOWIENIA KOŃCOWE

1. Osobą kontaktową po stronie Przetwarzającego w zakresie realizacji Umowy powierzenia oraz przetwarzania danych zgodnie z Regulaminem, w tym realizacji Polityki Prywatności jest inspektor ochrony danych. Dane kontaktowe: dpo@businessreels.com.
2. Powierzenie jest niezbędne do prawidłowej realizacji Umowy i nie jest traktowane jako odrębna Usługa. Administrator nie ponosi żadnych opłat z tytułu zawarcia Umowy powierzenia.
3. Jeżeli jakiekolwiek postanowienia Umowy powierzenia okażą się nieważne nie uchybia to mocy pozostałym, a Strony będą dążyć do zastąpienia nieważnego postanowienia ważnym zapisem odzwierciedlającym pierwotną wolę Stron.
4. W sprawach nieuregulowanych mają zastosowanie odpowiednie przepisy prawa polskiego.
5. Załączniki stanowią integralną część Umowy.