Zaloguj się
Załóż konto

Przetwarzanie danych

UMOWA  POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

§ 1. Definicje

  1. Wyrażenia używane w niniejszej umowie oznaczają:
  1. Administrator – w rozumieniu art. 4 pkt 7) Rozporządzenia;
  2. Dane osobowe – w rozumieniu art. 4 pkt 1) Rozporządzenia;
  3. CertifyHub – aplikacja internetowa dostępna w Serwisie, przeznaczona dla przedsiębiorców, służąca do generowania i wystawiania poświadczeń, w szczególności odznak i certyfikatów, jak również sporządzania szablonów wiadomości e-mail i udostępniania poświadczeń zewnętrznym Odbiorcom;
  4. Naruszenie ochrony danych osobowych – naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO;
  5. Podmiot przetwarzający – podmiot, któremu powierzono przetwarzanie danych osobowych na mocy Umowy zawartej z Administratorem;
  6. Podwykonawca –  podmiot, któremu Podmiot przetwarzający w imieniu Administratora powierzył w całości lub częściowo przetwarzanie Danych osobowych;
  7. Przetwarzanie danych – przetwarzanie w rozumieniu art. 4 pkt 2) Rozporządzenia;
  8. Regulamin – regulamin strony internetowej www.certifyhub.net/regulamin;
  9. Rozporządzenie/RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
  10. Umowa – niniejsza umowa o powierzeniu przetwarzania danych osobowych;
  11. Umowa Główna – umowa o świadczenie na podstawie Regulaminu usługi w zakresie dostępu do aplikacji CertifyHub.
  12. Pozostałe użyte w Umowie powierzenia terminy pisane z wielkiej litery mają takie znaczenie, jakie nadano im w Regulaminie.

§ 2. Przedmiot Umowy

  1. Przedmiotem Umowy jest powierzenie przez Administratora Danych osobowych do Przetwarzania przez Podmiot przetwarzający w celu realizacji Umowy Głównej.
  2. Podmiot przetwarzający przetwarza Dane osobowe wyłącznie na udokumentowane polecenie Administratora – co dotyczy też przekazywania Danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo UE lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny, przy czym za takie udokumentowane polecenia uważa się postanowienia Umowy i  Regulaminu. Po zawarciu Umowy głównej Administrator może kierować do Podmiotu przetwarzającego polecenia dotyczące przetwarzania Danych osobowych przynajmniej w formie, który można odtworzyć w formie pisemnej na adres CertifyHub OÜ, Tartu maakond, Kambja vald, Pangodi küla, Karl-Eeriku, 62017, or by email to rodo@certifyhub.net. Polecenia przekazane w innej formie nie są wiążące do momentu ich przesłania w uzgodnionej formie. Termin realizacji każdego polecenia powinien być uzgodniony przez Administratora i Podmiot przetwarzający.
  3. Podmiot przetwarzający informuje Administratora, jeśli jego zdaniem polecenie wydane przez Administratora narusza Rozporządzenie lub obowiązujące przepisy o ochronie danych.
  4. Przetwarzanie obejmuje:
  1. rodzaj Danych osobowych: dane zwykłe, wprowadzone do aplikacji CertifyHub przez Administratora, w szczególności dane identyfikacyjne (imię, nazwisko) i kontaktowe (adres e-mail);
  2. kategorie osób, których Dane osobowe dotyczą: Odbiorcy poświadczeń, osoby upoważnione do zarządzania Kontem;
  3. charakter Przetwarzania danych: Przetwarzanie Danych osobowych w formie elektronicznej;
  4. Przetwarzanie Danych osobowych obejmuje m. in. wykonywanie następujących czynności na danych:
  1. przechowywanie Danych osobowych w aplikacji CertifyHub;
  2. usuwanie Danych osobowych po ustaniu celu ich dalszego przetwarzania.
  3. zapewnienie funkcjonalności usług wynikających z Umowy Głównej.
  4. Dane osobowe będą przetwarzane przez okres obowiązywania Umowy Głównej.

§ 3. Prawa i obowiązku Podmiotu przetwarzającego

  1. Uwzględniając charakter przetwarzania oraz dostępne mu informacje, Podmiot przetwarzający zobowiązuje się pomagać Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO.
  2. Biorąc pod uwagę charakter przetwarzania, Podmiot przetwarzający zobowiązuje się, w miarę możliwości, poprzez odpowiednie środki techniczne i organizacyjne i na żądanie Administratora, pomagać Administratorowi wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO. 
  3. Podmiot przetwarzający ma prawo wstrzymać lub ograniczyć przetwarzanie Danych osobowych w ramach Umowy, jeżeli Administrator nie przekaże mu niezbędnych informacji na temat sposobu, zakresu i charakteru przetwarzanych Danych osobowych lub gdy opóźnia się z ich przekazaniem.
  4. W zakresie pomocy dla Administratora przy realizacji obowiązku dokonywania zgłoszenia Naruszenia ochrony danych osobowych do organu nadzorczego oraz zawiadamiania o Naruszeniu ochrony danych osobowych osób, których dane dotyczą, o której mowa art. 28 ust. 3 pkt f) RODO, uwzględniając charakter Przetwarzania danych oraz dostępne mu informacje Podmiot przetwarzający zobowiązany jest do: 
  1. zgłoszenia Administratorowi w ciągu 48 godzin od stwierdzenia, na podany przez Podmiot przetwarzający adres e-mail podczas rejestracji Konta, Naruszenia ochrony danych osobowych stwierdzonego przez Podmiot przetwarzający w związku z wykonywaniem Umowy;
  2. udzielenia Administratorowi w miarę możliwości dodatkowych informacji dotyczących stwierdzonego przez Administratora lub zgłoszonego przez Podmiot przetwarzający Naruszenia ochrony danych osobowych w zakresie niezbędnym do ustalenia przez Administratora prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności osób, których Dane osobowe są objęte tym naruszeniem, oraz w zakresie niezbędnym do dokonania przez Administratora zgodnie z art. 33 i 34 RODO zgłoszenia Naruszenia ochrony danych osobowych do organu nadzorczego lub zawiadamiania o Naruszeniu ochrony danych osobowych osób, których dane dotyczą – na zapytanie Administratora.
  1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i Danych osobowych otrzymanych od Administratora i od współpracujących z nim osób, które na podstawie nadanego upoważnienia mają dostęp do aplikacji CertifyHub.
  2. Administrator jest uprawniony do składania zapytań o informacje dotyczące Naruszenia ochrony danych osobowych, o którym mowa w ust. 4 na adres e-mail: rodo@certifyhub.net. 

§ 4. Środki techniczne i organizacyjne

  1. Podmiot przetwarzający gwarantuje, że każda osoba realizująca Umowę zobowiązana jest do zapewnienia poufności Danych osobowych przetwarzanych w związku z wykonywaniem Umowy, a w szczególności do tego, że nie będzie przekazywać, ujawniać i udostępniać tych danych osobom nieuprawnionym. Jednocześnie każda osoba realizująca Umowę zobowiązana jest do zachowania w tajemnicy sposobów zabezpieczenia Danych osobowych.
  2. Podmiot przetwarzający deklaruje stosowanie środków technicznych i organizacyjnych określonych w art. 32 Rozporządzenia, adekwatnych do zidentyfikowanego ryzyka naruszenia praw lub wolności powierzonych Danych. 
  3. Podmiot przetwarzający zobowiązuje się stosować ochronę powierzonych Danych osobowych przed niedozwolonym lub niezgodnym z prawem przetwarzaniem (zniszczeniem, utratą, zmodyfikowaniem, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do Danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych) oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
  4. Każda osoba realizująca Umowę zobowiązana jest do przetwarzania Danych osobowych do których uzyskała dostęp wyłącznie w zakresie i celu przewidzianym w Umowie.

§ 5. Korzystanie z usług Podwykonawcy

  1. Administrator wyraża zgodę na dalsze powierzenie Przetwarzania Danych osobowych Administratora w ramach usług zlecanych przez Podmiot przetwarzający innym podmiotom po uprzednim powiadomieniu Administratora o takim Podwykonawcy z co najmniej 14-dniowym wyprzedzeniem poprzez wiadomość e-mail wysłaną na adres e-mail wskazany podczas rejestracji Konta i pod warunkiem, że Administrator nie zgłosi sprzeciwu wobec takiego Podwykonawcy w terminie 7 dni od powiadomienia przez Podmiot przetwarzający. Sprzeciw Administratora powinien zostać wysłany drogą mailową na adres e-mail: rodo@certifyhub.net.
  2. Podmiot przetwarzający zobowiązuje się współpracować z takimi Podwykonawcami, którzy zapewniają wdrożenie takich środków technicznych i organizacyjnych, aby Przetwarzanie danych odpowiadało wymogom RODO.
  3. Podmiot przetwarzający zawrze z każdym Podwykonawcą, który będzie przetwarzał Dane osobowe Administratora stosowną umowę, nakładającą na Podwykonawcę odpowiednie obowiązki ochrony Danych osobowych.
  4. Administrator wyraża niniejszym zgodę na podpowierzenie przetwarzania Danych osobowych personelowi Podmiotu przetwarzającego współpracującemu z nim na podstawie umowy cywilnoprawnej, na zasadach określonych niniejszą Umową. 
  5. Jeżeli Podwykonawca nie wywiąże się ze spoczywających na nim obowiązków ochrony Danych osobowych Administratora, Podmiot przetwarzający ponosi wobec Administratora odpowiedzialność za niewypełnienie obowiązków przez Podwykonawcę, tak jak za własne działania i zaniechania. 

§ 6. Obowiązki i prawa Administratora

  1. Na żądanie Administratora Podmiot przetwarzający udostępni mu wszelkie informacje niezbędne do wykazania spełnienia obowiązków spoczywających na Podmiocie przetwarzającym.
  2. Administrator jest upoważniony do przeprowadzenia audytu w celu weryfikacji przestrzegania Umowy przez Podmiot przetwarzający, bezpośrednio lub za pośrednictwem upoważnionego audytora, z zastrzeżeniem następujących warunków:
  1. audytorem Administratora nie może być podmiot prowadzący działalność konkurencyjną wobec Podmiotu przetwarzającego ani podmiot z nim powiązany lub jego pracownik lub podmiot/osoba z nim współpracująca, bez względu na podstawę zatrudnienia lub współpracy;
  2. audyt może obejmować wysyłanie zapytań, analizę dokumentów, rozmowy z pracownikami/współpracownikami Podmiotu przetwarzającego lub Podwykonawców oraz wizytację lokali Podmiotu przetwarzającego, wgląd do pomieszczeń i systemów lub inny sposób uzgodniony przez Strony o ile mają bezpośredni związek w wykonywaniem Umowy; 
  3. audyt nie może obejmować informacji lub dokumentów dotyczących innych klientów Podmiotu przetwarzającego, ani zmierzać lub skutkować uzyskaniem dostępu Administratora do Danych osobowych innych niż Dane osobowe Administratora lub do danych poufnych Podmiotu przetwarzającego lub innych podmiotów;
  4. Podmiot przetwarzający może uzależnić udział audytora lub wyznaczonego pracownika Administratora w audycie od uprzedniego zawarcia odpowiedniej umowy poufności z Podmiotem przetwarzającym lub Podwykonawcą;
  5. w czasie audytu Administrator i audytor mają obowiązek przestrzegania wewnętrznych procedur i polityk Podmiotu przetwarzającego dotyczących bezpieczeństwa i poufności;
  6. audyt nie powinien być przeprowadzany częściej niż raz w roku kalendarzowym i nie powinien trwać dłużej niż 14 dni;
  7. termin audytu powinien być uzgodniony przez Strony, przy czym Administrator powinien zgłosić zamiar przeprowadzenia audytu co najmniej 30 dni przed jego proponowanym terminem, wysyłając wiadomość email na adres rodo@certifyhub.net; 
  8. Podmiot przetwarzający zobowiązany jest do udziału w audycie i odpowiedniej współpracy z Administratorem i audytorem;
  9. każda ze Stron pokrywa własne koszty związane z przeprowadzeniem audytu, przy czym Administrator pokrywa każdorazowo wszystkie koszty audytora.
  1. Administrator powinien korzystać z uprawnień określonych w niniejszej Umowie w taki sposób by nie zakłócić wykonywania Umowy głównej oraz prowadzenia bieżącej działalności przez Podmiot przetwarzający.
  2. Po wygaśnięciu usług, lub w sytuacji, gdy dalsze przetwarzanie nie jest wymagane, Przetwarzający, według wyboru Kontrolera, usunie, zanonimizuje lub zwróci wszystkie Dane osobowe, pod warunkiem, że nie ma prawnego obowiązku przechowywania danych przez okresy przechowywania określone przez jakiekolwiek obowiązujące prawo. W tym ostatnim przypadku Przetwarzający zapewni poufność i bezpieczeństwo Danych osobowych.

§ 7. Oświadczenia i obowiązki Administratora

  1. Administrator oświadcza, że jest Administratorem Danych osobowych wprowadzonych do aplikacji CertifyHub i gwarantuje, że są przez niego przetwarzane zgodnie z prawem.
  2. Administrator zobowiązuje do przestrzegania Umowy powierzenia oraz właściwych przepisów prawa mających zastosowanie do Przetwarzania Danych osobowych, w szczególności zobowiązuje się do przestrzegania obowiązków Administratora wynikających z RODO.

§ 8. Odpowiedzialność

  1. Administrator odpowiada za prawidłowe wykonywanie obowiązków Administratora zgodnie z RODO (art. 82), innymi właściwymi przepisami ochrony danych osobowych i niniejszą Umową. 
  2. W zakresie dozwolonym przepisami prawa, odpowiedzialność Podmiotu przetwarzającego względem Administratora z tytułu naruszenia RODO, innych właściwych przepisów ochrony danych osobowych lub Umowy powierzenia, podlega wyłączeniu.
  3. Odpowiedzialność Podmiotu przetwarzającego za wykonanie polecenia Administratora, które jest niezgodne z RODO lub innymi przepisami o ochronie danych osobowych oraz w związku z poleceniami Administratora, które nie zostały złożone zgodnie z §2 ust. 2, jest wyłączona.
  4. Ograniczenia odpowiedzialności, o których mowa w paragrafie niniejszym nie dotyczą Administratorów będących Konsumentami w zakresie, w jakim wynika to z bezwzględnie obowiązujących przepisów prawa.
  5. Postanowienia niniejszego paragrafu pozostają w mocy po rozwiązaniu lub wygaśnięciu Umowy.

§ 9. Postanowienia końcowe

  1. Sposób postępowania z danymi po zakończeniu Umowy głównej określa Regulamin.
  2. Umowa powierzenia wchodzi w życie ze skutkiem od dnia wejścia w życie Umowy głównej, stanowi integralną część Umowy głównej i zostaje zawarta na okres wykonywania Umowy głównej. 
  3. Rozwiązanie lub wygaśniecie Umowy głównej skutkuje odpowiednio rozwiązaniem lub wygaśnięciem niniejszej Umowy bez potrzeby składania dodatkowych oświadczeń. Rozwiązanie Umowy przed upływem okresu na jaki została zawarta Umowa główna bez jednoczesnego rozwiązania Umowy głównej jest wyłączone. 
  4. Strony uzgadniają, że właściwe dla Umowy będzie prawo obowiązujące w Polsce, zaś do rozstrzygania sporów właściwy będzie sąd powszechny miejscowo właściwy dla siedziby Podmiotu przetwarzającego.
  5. W sprawach nieuregulowanych w niniejszej Umowie powierzenia zastosowanie będzie miało RODO oraz właściwe przepisy prawa estońskiego.

CertifyHub

Narzędzie, które pozwala na szybkie wystawianie nawet setek certyfikatów i odznak. 

© 2022 Wszystkie prawa zastrzeżone CertifyHub OÜ