Umowa o przetwarzaniu danych osobowych

zawarta na podstawie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95 /46 / WE (zwane dalej Rozporządzeniem), względnie na podstawie postanowień § 34 ustawy nr 18, Dziennik Ustaw z roku 2018 Sb., o ochronie danych osobowych, w pełnym brzmieniu (zwana dalej “Ustawą”) pomiędzy Operatorem a Pośriednikiem.

Niniejsza Umowa o Przetwarzaniu Danych Osobowych jest załącznikiem i stanowi część Umowy pomiędzy Luigi’s Box („Luigi’s Box” i „Pośrednik”) a stroną wskazaną jako Klient („Klient” lub „Operator”). Niniejsza Umowa określa warunki, które mają zastosowanie do stron podczas przetwarzania danych osobowych w związku z Umową o świadczenie usług.

1. PREAMBUŁA

1.1 Niniejsza Umowa o przetwarzaniu danych osobowych (zwana dalej “Umowa”) określa warunki przetwarzania danych osobowych przez Pośrednika w imieniu Operatora, podczas realizacji zobowiązań wynikających z Umowy o Świadczeniu Usług, zawartej pomiędzy Stronami umowy (zwana dalej “Umową o usługach“).

1.2 Przedmiotem Umowy jest zobowiązanie Pośrednika do świadczenia Operatorowi usług dotyczących elektronicznych technologii marketingowych, których zakres został uzgodniony w Umowie o usługach. Podczas świadczenia wyżej wymienionych usług, na podstawie polecenia Operatora może dojść do przetwarzania danych osobowych osób fizycznych oraz do powstania zobowiązania Operatora do zapłacenia Pośrednikowi uzgodnionego wynagrodzenia za takie usługi.

2. PRZEDMIOT UMOWY

2.1 Przedmiotem niniejszej Umowy jest powierzenie Pośrednikowi zadania przetwarzania danych osobowych osób fizycznych w imieniu Operatora, jednak wyłącznie w związku świadczeniem przez Pośrednika usług, które zostały zdefiniowane w Umowie o usługach i / lub w poszczególnych zleceniach składanych przez Operatora.

2.2 Pośrednik jest upoważniony do przetwarzania danych osobowych dla Operatora wyłącznie w zakresie, na warunkach i w celu uzgodnionym z Operatorem oraz w sposób określony przez Rozporządzenia, Ustawy oraz inne powszechnie obowiązujące przepisy prawa (zwane dalej “Przepisami dotyczącymi ochrony danych osobowych “).

3. CEL I ZAKRES PRZETWARZANIA DANYCH OSOBOWYCH

3.1 Celem przetwarzania danych osobowych przez Pośrednika jest prawidłowa realizacja uzgodnionych usług, świadczonych na podstawie Umowy o usługach i/lub poszczególnych zleceń na realizację usługi. (zwany dalej “Celem“).

3.2 Kategorie osób, których dotyczą dane osobowe przetwarzane na podstawie niniejszej Umowy, zostały określone w Załączniku nr 1 do Umowy.

3.3 Przedmiot przetwarzania obejmuje dane osobowe osób, których przetwarzanie jest niezbędne do realizacji Celu, przy czym dokładny zakres tych danych uzależniony jest od charakteru usługi, świadczonej zgodnie z Umową o usługach (zwane dalej “Danymi osobowymi“); przedmiotem przetwarzania nie jest odrębna kategoria danych osobowych, określona w art. 9 Rozporządzenia. Typy danych osobowych zostały określone w Załączniku nr 1 do Umowy.

3.4 Pośrednik jest uprawniony do przetwarzania Danych Osobowych wyłącznie w celu realizacji określonego Celu oraz do dokonywania dla Operatora wyłącznie takich operacji, które są niezbędne dla świadczenia usług zgodnie z Umową o usługach albo dla realizacji konkretnego zamówienia. Podczas przetwarzania Danych osobowych w określonym Celu Pośrednik powinien postępować zgodnie z udokumentowanymi poleceniami i instrukcjami Operatora.

4. PRAWA I OBOWIĄZKI OPERATORA

4.1 Operator:

4.1.1 ma obowiązek przetwarzania danych osobowych zgodnie z przepisami o Ochronie danych osobowych;

4.1.2 est uprawniony do powierzenia Pośrednikowi przetwarzania wyłącznie takich Danych osobowych, które zostały przez Operatora pozyskane i przetworzone zgodnie z przepisami o Ochronie danych osobowych;

4.1.3 jest uprawniony do przekazywania Pośrednikowi pisemnych (w formie papierowej albo elektronicznej) poleceń dotyczących przetwarzania Danych osobowych dla zrealizowania Celu. Tego typu polecenia są dla Pośrednika wiążące pod warunkiem, że ich wykonanie wymaga świadczenia usług zgodnie z Umową o usługach lub odrębnym zleceniem na wykonanie usługi lub jeśli wykonanie tych poleceń wiąże się z dodatkowymi kosztami po stronie Pośrednika w związku z ich realizacją, przy czym Operator zobowiąże się do pokrycia wszystkich dodatkowych kosztów, poniesionych przez Pośrednika w związku z realizacją powyższych poleceń. Pośrednik nie będzie wykonywał poleceń Operatora, jeżeli okażą się one sprzeczne z jakimkolwiek postanowieniem niniejszej Umowy lub z Przepisami o ochronie danych osobowych.

4.1.4 zawsze ponosi odpowiedzialność za przetwarzanie Danych osobowych. Jeżeli osoba, której dotyczy przetwarzanie jej danych osobowych złoży wniosek o przekazanie jej informacji na temat przetwarzania danych osobowych, poprawienia lub usunięcia danych osobowych, kwestionuje zgodność z prawem przetwarzania jej danych osobowych lub w inny sposób domaga się zaprzestania przetwarzania danych osobowych czy zablokowania danych osobowych, Operator zobowiązany jest do niezwłocznego przekazania Pośrednikowi pisemnego (w formie papierowej lub elektronicznej) polecenia podjęcia niezbędnych działań w tej kwestii;

5. PRAWA I OBOWIĄZKI POŚREDNIKA

5.1 Pośrednik ma obowiązek:

5.1.1 przetwarzania Danych osobowych wyłącznie zgodnie z pisemnymi (w formie papierowej lub elektronicznej) poleceniami Operatora, zmierzającymi do realizacji Celu i Umowy o usługach, przy czym powyższe polecenia są dla Pośrednika zobowiązujące, o ile w Umowie nie zostało określone inaczej;

5.1.2 niewykorzystywania Danych osobowych do celów innych od określonych w niniejszej Umowie o usługach. Ponadto bez uprzedniego pisemnego polecenia Operatora nie powinien zespalać Danych osobowych z innymi danymi osobowymi uzyskanymi, zarejestrowanymi lub w inny sposób przetworzonymi przez Pośrednika, nawet jeśli tego typu działanie byłoby ukierunkowane na osiągnięcie tego samego celu (np. przyporządkowywanie danych pochodzących z własnych/publicznych baz danych itp.) ;

5.1.3 przetwarzać wyłącznie takie Dane osobowe, które pod względem zakresu oraz treści odpowiadają określonemu Celowi i są niezbędne do jego realizacji;

5.1.4 przetwarzać Dane osobowe zgodnie z przyjętymi dobrymi praktykami dotyczącymi przetwarzania danych osobowych i obowiązującymi standardami w zakresie zarządzania informacjami oraz zgodnie z przepisami o Ochronie danych osobowych;

5.1.5 jeżeli pozyskuje Dane osobowe w imieniu Operatora, powinien informować o tym fakcie osoby, których dotyczą te dane, zgodnie z art. 13 i 14 Rozporządzenia; jeżeli Operator zażąda wykorzystania własnych materiałów informacyjnych w celu wywiązania się z obowiązku informacyjnego, bez zbędnej zwłoki dostarczy te materiały Pośrednikowi po zawarciu niniejszej Umowy lub po otrzymaniu polecenia pozyskiwania Danych osobowych w jego imieniu ;

5.1.6 zapewnienia Operatorowi współpracy podczas realizacji jego obowiązków związanych z wnioskami osób, których dotyczą przetwarzane Dane osobowe oraz udzielenia Operatorowi pomocy w realizowaniu obowiązków wynikających z art. 32-36 Rozporządzenia, z uwzględnieniem charakteru przetwarzania i informacji posiadanych przez Pośrednika ;

5.1.7 niezwłocznego powiadomienia Operatora o każdym wniosku lub skorzystaniu z praw osoby, której dotyczy przetwarzanie Danych osobowych, a równocześnie niezwłocznego przekazania Operatorowi stosownego wniosku złożonego przez wyżej wspomnianą osobę, osoby, której dotyczy przetwarzanie Danych osobowych, wraz ze związaną z nim dokumentację;

5.1.8 w przypadku naruszenia ochrony Danych osobowych tj. w przypadku naruszenia środków bezpieczeństwa, skutkującego przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, zmianą, nieuprawnionym opublikowaniem albo udostępnieniem Danych osobowych, Pośrednik zobowiązany jest do niezwłocznego powiadomienia Operatora o każdym przypadku naruszenia ochrony Danych osobowych, natychmiast po tym, gdy dotarła do niego informacja o fakcie naruszenia. Pisemne zawiadomienie złożone na podstawie niniejszego punktu powinno zawierać opis charakteru naruszenia ochrony Danych osobowych, kategorię i przybliżoną liczbę osób i rejestrów Danych osobowych, których dotyczyło zaistniałe naruszenie, wraz z opisem prawdopodobnych konsekwencji naruszenia ochrony Danych osobowych oraz opisem środków, jakie zostały podjęte w celu usunięcia naruszenia ochrony Danych osobowych. W przypadku braku możliwości zbiorczego przekazania wszystkich powyższych informacji, mogą one być przekazywane etapami, bez dalszej nieuzasadnionej zwłoki.

5.1.9 niezwłocznego poinformowania Operatora o kontrolach i środkach podejmowanych przez organ nadzorczy wobec Pośrednika, jak również o prowadzeniu wobec Pośrednika postępowań cywilnych, karnych lub administracyjnych, jeżeli dotyczą one wynikających z Umowy stosunków pomiędzy Operatorem a Pośrednikiem i/lub przetwarzania Danych osobowych na podstawie Umowy;

5.1.10 regularnego monitorowania procesów wewnętrznych oraz środków technicznych i organizacyjnych, w celu zapewnienia, że przetwarzanie w zakresie odpowiedzialności Pośrednika jest zgodne z wymogami określonymi w przepisach o Ochronie danych osobowych;

5.1.11 przetwarzania Danych osobowych wyłącznie w okresie obowiązywania niniejszej Umowy.

5.2 Pośrednik jest uprawniony do przetwarzania Danych osobowych również w celach wynikających ze szczególnych przepisów prawa lub w przypadku, gdy tego typu przetwarzania wymaga właściwy sąd lub organ administracyjny. W przypadku, gdy sąd lub organ administracyjny nakaże Pośrednikowi jakikolwiek środek lub operację na Danych osobowych, Pośrednik zobowiązany jest do niezwłocznego poinformowania Operatora o doręczeniu mu jakiegokolwiek tego typu wniosku jeszcze przed udzieleniem odpowiedzi na taki wniosek lub wykonaniem innej czynności dotyczącej przetwarzanych Danych osobowych, lub w najszybszym oczekiwanym terminie w przypadku, gdy Pośrednik zostanie zobowiązany do udzielenia właściwemu sądowi lub organowi administracyjnemu odpowiedzi w trybie natychmiastowym, z wyjątkiem przypadków, gdy powiadomienie Operatora byłoby sprzeczne z przepisami szczególnymi lub orzeczeniem sądu albo organu administracyjnego.

6. BEZPIECZEŃSTWO DANYCH OSOBOWYCH

6.1 Pośrednik zapewnia ochronę Danych Osobowych poprzez wdrażanie i dokumentowanie środków bezpieczeństwa, zgodnie z art. 28 ust. 3 lit. a). c) oraz art. 32 Rozporządzenia w związku z art. 5 ust. 1 i 2 Rozporządzenia. Środki bezpieczeństwa, które należy podjąć, powinny zapewniać ochronę Danych osobowych na poziomie bezpieczeństwa proporcjonalnym do zagrożenia, jakie przetwarzania stwarza dla osób, których dotyczą te dane, oraz przy uwzględnieniu zapewnienia nieprzerwanej poufności, integralności, dostępności i odporności systemów przetwarzania, w celu zapobiegania przypadkowemu lub nieuprawnionemu zniszczeniu, utracie, nieuprawnionemu przekazaniu, opublikowaniu Danych osobowych, nieuprawnionemu dostępowi do nich lub innym nieuprawnionym operacjom obejmującym ich przetwarzanie.

6.2 Pośrednik zobowiązany jest do zastosowania w swoim przedsiębiorstwie polityki zarządzania ryzykiem, przy uwzględnieniu osób, których dotyczą przetwarzane Dane osobowe, w rozumieniu Rozporządzenia, jak również do zarządzania ryzykiem bezpieczeństwa informacji w zakresie środków technicznych, w ramach których przetwarzane są Dane osobowe. Operator ma prawo zażądać udostępnienia dokumentacji dotyczącej podjętych środków technicznych i organizacyjnych, w terminie do 30 dni od momentu wysłania Operatorowi stosownego wniosku w tej kwestii.

6.3 Pośrednik, jego pracownicy oraz inne osoby, które mają kontakt z Danymi osobowymi za pośrednictwem Pośrednika, są zobowiązani do zachowania poufności; obowiązek zachowania poufności trwa również po zakończeniu przetwarzania Danych osobowych. Pośrednik jest uprawniony do udostępniania Danych osobowych pracownikom lub innym osobom, z którymi łączy go stosunek prawny, wyłącznie w celu zapewnienia swoich zobowiązań zmierzających do zrealizowania Celu i na warunkach określonych w niniejszej Umowie.

6.4 W przypadku udostępnienia Danych osobowych pracownikom lub innym osobom, z którymi Pośrednik pozostaje w stosunku prawnym, Pośrednik zobowiązany jest do poinformowania tych osób o obowiązku przestrzegania postanowień niniejszego artykułu Umowy oraz do tego, by wyżej wymienione osoby podlegały obowiązkowi zachowania poufności w takim samym zakresie, w jakim jest do tego zobowiązany sam Pośrednik, przy czym wyżej wymieniony obowiązek będzie wiążący również po ustaniu stosunku prawnego z tą osobą.

6.5 Pośrednik nie będzie udostępniać Danych osobowych jakimkolwiek osobom trzecim, za wyjątkiem sytuacji, kiedy tego typu udostępnienie będzie niezbędne dla:

6.5.1 pracownika Pośrednika,

6.5.2 podwykonawcy, zgodnie z art., 8 Umowy,

6.5.3 soby trzeciej, jeżeli takie udostępnienie jest wymagane zgodnie z przepisami prawa albo z prawomocną i opatrzoną klauzulą wykonalności decyzją sądu albo innego organu władz Republiki Słowackiej.

7. POZOSTAŁE ZOBOWIĄZANIA STRON UMOWY

7.1 Strony Umowy zobowiązują się do wzajemnej współpracy, niezbędnej do realizacji postanowień Umowy oraz do zapewnienia zgodności z Przepisami o ochronie danych osobowych.

7.2 Jeżeli w związku z naruszeniem przez Operatora obowiązków wynikających z Umowy i/lub Przepisów o ochronie danych osobowych Pośrednik poniesie jakąkolwiek szkodę lub innego rodzaju uszczerbek, Operator jest zobowiązany do zrekompensowania Pośrednikowi tej szkody lub innego rodzaju uszczerbku, w pełnej wysokości.

7.3 Jeżeli w związku z naruszeniem przez Pośrednik obowiązków wynikających z Umowy i/lub Przepisów o ochronie danych osobowych Operator poniesie jakąkolwiek szkodę lub innego rodzaju uszczerbek, Pośrednik jest zobowiązany do zrekompensowania Operatorowi tej szkody lub innego rodzaju uszczerbku, w pełnej wysokości .

8. PODWYKONAWCY

8.1 Operator wyraża zgodę na to, by w ramach świadczenia usług na podstawie Umowy usługach lub na podstawie odrębnego polecenia, Pośrednik włączył do działań związanych z przetwarzaniem Danych osobowych wykonywanych dla Operatora również innych pośredników (zwanych dalej “Podwykonawcami”).

8.2 Pośrednik jest uprawniony do włączenia Podwykonawcy w wykonywanie czynności związanych z przetwarzaniem Danych osobowych zgodnie z pkt 8.1 Umowy, pod warunkiem zawarcia z nim pisemnej umowy, która nakłada na Podwykonawcę takie same obowiązki w zakresie ochrony Danych osobowych jakie Pośrednik ma wobec Operatora na podstawie niniejszej Umowy. Jeżeli Podwykonawca nie wywiąże się z obowiązków wynikających z niniejszej Umowy w zakresie ochrony Danych osobowych, Pośrednik ponosi wobec Operatora pełną odpowiedzialność za niewywiązanie się przez Podwykonawcę tych obowiązków.

8.3 Pośrednik powinien z odpowiednim wyprzedzeniem powiadomić Operatora o wszelkich zmianach, które zaistniały w związku z dołączeniem lub zastąpieniem kolejnych Podwykonawców. W przypadku, gdy Operator nie wyrazi sprzeciwu na piśmie w terminie 15 dni kalendarzowych od momentu otrzymania informacji o zmianie, Pośrednik może skorzystać z usług nowego Podwykonawcy. W przypadku gdy Operator wyraził sprzeciw w wyznaczonym terminie, Pośrednik dołoży odpowiednich starań, aby zmienić Podwykonawcę. Jeżeli Pośrednik nie będzie w sranie dokonać takiej zmiany w terminie do 60 dni kalendarzowych, Operator w terminie do 30 dni od otrzymania informacji o niedokonaniu zmiany Podwykonawcy (bądź też od dnia, w którym upłynął termin na poinformowanie o zmianie Podwykonawcy, jeżeli Pośrednik nie poinformował Operatora o zapewnieniu zastępczego Podwykonawcy), Operator może rozwiązać niniejszą Umowę poprzez złożenie pisemnego wypowiedzenia, z miesięcznym okresem wypowiedzenia rozpoczynającym się od dnia doręczenia wypowiedzenia. Jeżeli Operator w ustalonym terminie nie poinformuje Pośrednika o rozwiązaniu Umowy, przyjmuje się, że wyraża zgodę na korzystanie z usług pierwotnie zaproponowanego Podwykonawcy.

9. UPRAWNIENIA KONTROLNE OPERATORA

9.1 Na wniosek Operatora Pośrednik umożliwi Operatorowi lub niezależnemu audytorowi zewnętrznemu upoważnionemu przez Operatora przeprowadzenie kontroli w systemach Przetwarzania danych osobowych; kontrola ta jest ograniczona wyłącznie do oceny przestrzegania zobowiązań wynikających z niniejszej Umowy i w żadnym wypadku nie może dotyczyć dostępu do jakichkolwiek danych innych klientów Pośrednika. Termin kontroli powinien być zawsze uzgodniony z wyprzedzeniem wynoszącym co najmniej dziesięć (10) dni roboczych przed planowanym przeprowadzeniem kontroli.

9.2 Jeżeli w odczuciu Pośrednika polecenia wydane mu przez Operatora stanowią naruszenie Przepisów o ochronie danych osobowych, Pośrednik przekaże Operatorowi informacje o tym fakcie. Jeżeli mimo to Operator nalega na wykonanie przez Pośrednika polecenia, które w odczuciu Pośrednika narusza Przepisy o ochronie danych osobowych, Pośrednik rezerwuje sobie prawo do niewykonania takiego polecenia, jak również odstąpienia od Umowy.

10. PRZEKAZYWANIE DANYCH OSOBOWYCH DO PAŃSTW TRZECICH

10.1 Uzgodnione w Umowie przetwarzanie Danych osobowych jest przez Pośrednika realizowane w którymś z państw członkowskich Unii Europejskiej lub w państwie należącym do Europejskiego Obszaru Gospodarczego.

10.2 Przekazanie Danych Osobowych do państwa nie należącego do państw, o którym mowa w pkt. 10.1 Umowy, może nastąpić wyłącznie za uprzednią pisemną zgodą Operatora oraz z zastrzeżeniem szczególnych warunków określonych w art. 44 do 50 Rozporządzenia..

11. OKRES PRZETWARZANIA DANYCH OSOBOWYCH

11.1 Pośrednik jest uprawniony do rozpoczęcia przetwarzania Danych osobowych w rozumieniu Umowy najwcześniej od dnia wejścia w życie niniejszej Umowy, jak również Umowy o usługach, natomiast jego upoważnienie do przetwarzania obowiązuje przez cały okres obowiązywania niniejszej Umowy.

11.2 Niniejsza Umowa obowiązuje maksymalnie do zakończenia obowiązywania Umowy o usługach.

12. ZWROT LUB USUNIĘCIE DANYCH OSOBOWYCH

12.1 Na podstawie specjalnych poleceń Operatora, po zakończeniu obowiązywania Umowy Pośrednik zobowiązany jest do usunięcia lub zwrotu Operatorowi albo wskazanej przez Operatora osobie trzeciej wszelkich Danych Osobowych W przypadku, gdy Operator zażąda zwrotu Danych Osobowych, zobowiązany jest do zwrotu Pośrednikowi kosztów poniesionych w związku ze zwrotem Danych Osobowych. .

12.2 Jeżeli Operator nie przekaże Pośrednikowi żadnych dyspozycji związanych z usunięciem lub zwrotem Danych osobowych w terminie do 15 dni kalendarzowych od zakończenia obowiązywania Umowy, Operator prześle Pośrednikowi pisemny wniosek z prośbą o przesłanie dyspozycji dotyczących usunięcia lub zwrotu Danych Osobowych w terminie 15 dni kalendarzowych. Jeżeli Operator nie przekaże pisemnej dyspozycji w tym dodatkowym terminie i nie zwróci kosztów poniesionych w przypadku zwrotu Danych osobowych, przyjmuje się, że Pośrednik jest uprawniony do usunięcia wszystkich Danych osobowych.

12.3 Obowiązek zwrotu lub usunięcia danych osobowych nie wpływa na informacje, które na podstawie powszechnie obowiązujących przepisów prawa Pośrednik zobowiązany jest przechowywać również po zakończeniu obowiązywania Umowy o usługach oraz Umowy o przetwarzaniu danych osobowych.

12.4 Na wniosek Operatora Pośrednik w sposób pisemny usunięcie lub zwrot Danych Osobowych.

13. POSTANOWIENIA KOŃCOWE

13.1 Niniejsza Umowa zastępuje wszystkie wcześniejsze umowy dotyczące ochrony danych osobowych, zawarte pomiędzy Operatorem a Pośrednikiem.

13.2 Stosunki prawne Stron Umowy, które nie zostały szczegółowo uregulowane w niniejszej Umowie, kierują się postanowieniami odpowiednich Rozporządzeń, Ustaw oraz ustawy nr 513, Dziennik Ustaw z roku 1991, Kodeks handlowy, w obowiązującym brzmieniu, oraz innymi odpowiednimi przepisami obowiązującymi na terenie Republiki Słowacji.

13.3 Strony umowy deklarują, że zawarły niniejszą Umowę z własnej wolnej i poważnej woli, bez przymusu, nacisków lub na w oczywisty sposób niekorzystnych warunkach. Ponadto Strony umowy oświadczają, że dokładnie zapoznały się z jej zawartością i zrozumiały ją.