UMOWA POWIERZENIA DANYCH

1. Odpowiedzialność i instrukcje

Rodzaj danych oraz kategorie osób, których dane dotyczą, przetwarzanych na podstawie niniejszej Umowy Przetwarzania przez Podmiot Przetwarzający w związku ze świadczeniem przez niego usługi Trustlinks, a także cel, charakter, czas trwania i przedmiot przetwarzania zostały opisane w sekcji 5. Klient zapewnia, że Podmiot Przetwarzający nie będzie przetwarzał innych kategorii danych niż te określone w sekcji 5.

Klient jest świadomy, że Trustlinks jest platformą udostępnianą dużej liczbie klientów, w związku z czym Podmiot Przetwarzający nie zawsze będzie w stanie realizować instrukcje, które nie wynikają bezpośrednio z obowiązku Klienta przestrzegania Przepisów o Ochronie Danych. W przypadku przekazania przez Klienta takich instrukcji, których realizacja nie jest możliwa, Klient zobowiązuje się do zaprzestania wprowadzania oraz eksportowania wszelkich Danych Klienta, których dotyczą te instrukcje. Powyższe nie będzie stanowiło naruszenia umowy ani ograniczenia dostępności Trustlinks.

Klient jest administratorem wszystkich danych osobowych przetwarzanych przez Podmiot Przetwarzający w imieniu Klienta na podstawie niniejszej Umowy Przetwarzania. Klient ponosi zatem odpowiedzialność za zgodność z obowiązującymi Przepisami o Ochronie Danych oraz zobowiązuje się do przestrzegania aktualnych wytycznych dotyczących korzystania z Trustlinks.

Zawierając niniejszą Umowę, Klient akceptuje środki bezpieczeństwa określone w aktualnych organizacyjnych i technicznych środkach Trustlinks jako wystarczające dla zamierzonego przez Klienta sposobu korzystania z Trustlinks.

2. Zobowiązania Podmiotu Przetwarzającego

Podmiot Przetwarzający zobowiązuje się do:

1. a) posiadania odpowiednich technicznych i organizacyjnych środków bezpieczeństwa oraz stosowania środków bezpieczeństwa określonych w aktualnych organizacyjnych i technicznych środkach Trustlinks (Trustlinks.com/measures) oraz w art. 32 GDPR, w celu ochrony danych przetwarzanych na podstawie niniejszej Umowy, w tym do nałożenia odpowiedniego obowiązku zachowania poufności na osoby upoważnione do przetwarzania tych danych;
2. b) wspierania Klienta w realizacji wymogów bezpieczeństwa określonych w art. 32–36 GDPR (takich jak środki techniczne i organizacyjne, zgłaszanie naruszeń ochrony danych osobowych oraz przekazywanie informacji Klientowi bez zbędnej zwłoki, ocena skutków dla ochrony danych oraz uprzednie konsultacje), jak również w realizacji obowiązków Klienta dotyczących praw osób, których dane dotyczą, określonych w rozdziale III GDPR (takich jak prawo do informacji, dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, sprzeciwu wobec przetwarzania oraz zautomatyzowanego podejmowania decyzji);
3. c) zapewnienia Klientowi prawa do uzyskania informacji od Podmiotu Przetwarzającego w celu sprawdzenia i weryfikacji środków stosowanych zgodnie z niniejszą Umową; Podmiot Przetwarzający umożliwi i będzie współpracować przy kontrolach (w tym audytach) prowadzonych przez Klienta lub audytora działającego w imieniu Klienta; Podmiot Przetwarzający będzie ponadto odsyłał do Klienta osoby, organy nadzorcze lub inne podmioty trzecie, które zwrócą się do niego z żądaniem informacji dotyczących przetwarzania danych osobowych, a także niezwłocznie poinformuje Klienta o wszelkich kontaktach z organem nadzorczym, które dotyczą lub mogą mieć znaczenie dla przetwarzania danych osobowych;
4. d) – w zależności od wyboru Klienta – usunięcia, anonimizacji lub zwrotu wszystkich danych osobowych Klientowi po rozwiązaniu Umowy, niezależnie od przyczyny jej rozwiązania, w tym usunięcia wszystkich kopii danych, które zgodnie z Przepisami o Ochronie Danych nie mogą być dalej przechowywane;
5. e) zapewnienia Klientowi dostępu do informacji niezbędnych do realizacji jego obowiązków jako administratora wobec organu nadzorczego i/lub osób, których dane dotyczą;
6. f) nieprzekazywania danych do państw trzecich ani organizacji międzynarodowych, chyba że jest to wymagane przez Przepisy o Ochronie Danych, przy czym Podmiot Przetwarzający niezwłocznie poinformuje Klienta o takim obowiązku, o ile przekazanie takiej informacji nie jest prawnie zabronione.
   
   

Podmiot Przetwarzający zobowiązuje się ponadto do przetwarzania danych zawsze zgodnie z Przepisami o Ochronie Danych. Obejmuje to w szczególności prowadzenie rejestru wszystkich kategorii czynności przetwarzania, udostępnianie na żądanie Klienta wyciągu z rejestru zakończonych procesów przetwarzania oraz niezwłoczne informowanie Klienta, jeżeli Podmiot Przetwarzający podejrzewa ryzyko naruszenia praw lub wolności osób, których dane dotyczą.

3. Podmioty podprzetwarzające i przekazywanie danych do państw trzecich

Pod warunkiem, że Podmiot Przetwarzający (i) poinformuje Administratora z odpowiednim wyprzedzeniem o swoich planach, umożliwiając mu wniesienie sprzeciwu, Podmiot Przetwarzający posiada ogólne upoważnienie do korzystania z podmiotów podprzetwarzających w celu przetwarzania danych w imieniu Klienta, za których działania Podmiot Przetwarzający ponosi pełną odpowiedzialność wobec Klienta.

Pod warunkiem, że Podmiot Przetwarzający (i) poinformuje Administratora co najmniej 30 dni wcześniej o zamiarze przekazania danych, umożliwiając mu wniesienie sprzeciwu, oraz (ii) zastosuje odpowiednie, zgodne z Przepisami o Ochronie Danych zatwierdzone mechanizmy zabezpieczeń, Podmiot Przetwarzający może przekazywać dane osobowe poza UE/EOG.

Zawierając niniejszą Umowę, Klient zatwierdza podmioty podprzetwarzające wskazane w sekcji 5. W chwili zawarcia Umowy Podmiot Przetwarzający nie przekazuje danych osobowych do państw trzecich.

4. Postanowienia różne

Postanowienia Umowy mają również zastosowanie do niniejszej Umowy Przetwarzania. W przypadku sprzeczności pomiędzy Umową a niniejszą Umową Przetwarzania, pierwszeństwo ma Umowa Przetwarzania.

5. Instrukcje

Niniejsza sekcja 5 stanowi początkowe instrukcje Klienta dla Podmiotu Przetwarzającego i może — z zastrzeżeniem sekcji 1.2 – zostać uzupełniona w późniejszym terminie.

 Kategorie osób, których dane dotyczą:

Osoby korzystające z platformy zarządzania zgodnością Trustlinks lub objęte jej działaniem, w tym pracownicy, konsultanci, partnerzy oraz osoby ujęte w rejestrach lub korespondencji zarządzanej w systemie.

Cel, charakter i przedmiot przetwarzania oraz kategorie danych osobowych:

Przetwarzanie odbywa się w celu wspierania bezpiecznego zarządzania zgodnością, w tym dokumentowania polityk, rejestrów ryzyka, audytów wewnętrznych oraz mechanizmów raportowania. Operacje przetwarzania obejmują zbieranie, porządkowanie, przechowywanie, wyszukiwanie, ograniczanie, kontrolę dostępu, komunikację oraz usuwanie danych osobowych. Przetwarzane kategorie danych osobowych mogą obejmować imiona i nazwiska, stanowiska, dane kontaktowe, informacje o zatrudnieniu, zapisy komunikacji, notatki dotyczące spraw oraz inną dokumentację istotną z punktu widzenia zgodności. W zależności od konfiguracji Klienta, mogą być również przetwarzane szczególne kategorie danych (np. dane dotyczące zdrowia lub karalności), zgodnie z wymogami GDPR.

Przechowywanie danych:

Dane są przechowywane przez okres określony przez Klienta w ustawieniach retencji danych na platformie Trustlinks.

Podmioty podprzetwarzające:

Na dzień zawarcia niniejszej Umowy Podmiot Przetwarzający korzysta z następujących podmiotów podprzetwarzających, które mogą jednak ulec zmianie zgodnie z sekcją 3:

SMSAPI (Polska)

Brevo (Francja)

OPSWAT (Niemcy)

Glesys (Szwecja)

T-Systems International (Niemcy)

Przekazywanie danych do państw trzecich:

Na dzień zawarcia niniejszej Umowy Podmiot Przetwarzający nie przekazuje danych poza UE/EOG; zakres ten może jednak ulec zmianie zgodnie z sekcją 3:

1. a) Przekazywanie poza UE/EOG: brak.