Umowa powierzenia przetwarzania danych

Niniejsza umowa powierzenia przetwarzania danych („Umowa”) stanowi część regulaminu i ma zastosowanie w zakresie, w jakim Seviranta — nazwa handlowa 1Star BV, Zonnehorst 5, 7207 BT Zutphen, KvK 65195876 („Podmiot przetwarzający”) — przetwarza dane osobowe na zlecenie Klienta („Administrator”) w ramach usługi płatnej. Pojęcia mają znaczenie nadane im w ogólnym rozporządzeniu o ochronie danych („RODO”).

1. Przedmiot, charakter i czas trwania

Podmiot przetwarzający przetwarza dane osobowe wyłącznie w celu świadczenia uzgodnionej usługi: testowania i ciągłego monitorowania witryny (witryn) Klienta pod kątem dostępności, przechowywania powiązanych Raportów/Dossier oraz zarządzania kontem i fakturowaniem. Umowa obowiązuje tak długo, jak długo Podmiot przetwarzający przetwarza dane osobowe dla Klienta.

2. Rodzaje danych osobowych i osoby, których dane dotyczą

• Dane: dane konta i dane kontaktowe (imię i nazwisko, adres e-mail, nazwa firmy), dane rozliczeniowe (adres na fakturze, numer VAT) oraz dane o użytkowaniu/subskrypcji. Skanowane strony internetowe są publiczne i są testowane wyłącznie technicznie pod kątem dostępności.
• Osoby, których dane dotyczą: osoby kontaktowe i użytkownicy Klienta.
• Nie są przetwarzane szczególne kategorie danych osobowych.

3. Polecenia

Podmiot przetwarzający przetwarza dane osobowe wyłącznie na podstawie udokumentowanych poleceń Klienta — w tym niniejszej Umowy i korzystania z usługi — chyba że obowiązek prawny stanowi inaczej. Jeżeli Podmiot przetwarzający uzna, że polecenie narusza RODO, zgłasza to.

4. Poufność

Podmiot przetwarzający zapewnia, że osoby przetwarzające dane osobowe są zobowiązane do zachowania poufności.

5. Bezpieczeństwo

Podmiot przetwarzający stosuje odpowiednie środki techniczne i organizacyjne (art. 32 RODO), w tym szyfrowanie podczas transmisji (TLS), szyfrowane przechowywanie haseł, dostęp na zasadzie niezbędnej potrzeby (least privilege), kontrolę dostępu na poziomie wierszy w bazie danych oraz przetwarzanie preferencyjnie w UE.

6. Podprocesorzy

Klient udziela ogólnej zgody na angażowanie podprocesorów (dalszych podmiotów przetwarzających). Podmiot przetwarzający nakłada na każdego podprocesora co najmniej te same obowiązki co w niniejszej Umowie i wybiera przede wszystkim partnerów przechowujących dane w UE. Funkcjonalnie obejmuje to m.in.: partnera ds. bazy danych/uwierzytelniania/przechowywania, infrastrukturę skanowania i monitoringu, hosting strony internetowej, dostawcę płatności, dostawcę transakcyjnej poczty e-mail oraz partnera ds. infrastruktury/bezpieczeństwa.

Aktualna lista konkretnych podprocesorów (z nazwą, funkcją i lokalizacją) jest dostępna dla Klienta na żądanie. O zamierzonej zmianie podprocesorów Podmiot przetwarzający informuje Klienta z wyprzedzeniem, aby ten mógł wnieść sprzeciw.

7. Wsparcie

Uwzględniając charakter przetwarzania, Podmiot przetwarzający udziela Klientowi rozsądnej pomocy w odpowiadaniu na żądania osób, których dane dotyczą (dostęp, sprostowanie, usunięcie itd.), oraz w wypełnianiu obowiązków wynikających z art. 32–36 RODO (bezpieczeństwo, naruszenia ochrony danych, ocena skutków dla ochrony danych).

8. Naruszenia ochrony danych

Podmiot przetwarzający informuje Klienta bez zbędnej zwłoki po powzięciu wiadomości o naruszeniu ochrony danych osobowych, przekazując dostępne istotne informacje, aby Klient mógł wypełnić swój obowiązek zgłoszenia.

9. Zwrot i usunięcie

Po zakończeniu współpracy Podmiot przetwarzający usuwa dane osobowe lub je zwraca, według wyboru Klienta, z wyjątkiem danych, które Podmiot przetwarzający musi przechowywać na mocy prawa (jak faktury w ramach podatkowego obowiązku przechowywania). Klient może przed zakończeniem samodzielnie wyeksportować Dossier.

10. Audyty

Podmiot przetwarzający udostępnia Klientowi informacje niezbędne do wykazania zgodności z niniejszą Umową i współpracuje przy rozsądnych audytach, po uzgodnieniu terminu oraz z poszanowaniem poufności i ciągłości usługi.

11. Przekazywanie poza EOG

Jeżeli podprocesor przetwarza dane poza Europejskim Obszarem Gospodarczym, odbywa się to z odpowiednimi zabezpieczeniami wymaganymi przez RODO (na przykład standardowymi klauzulami umownymi Komisji Europejskiej).

12. Właściwe prawo ochrony danych (reżimy międzynarodowe)

Niniejsza Umowa została sporządzona z RODO (GDPR) jako najwyższym standardem. W zakresie, w jakim do danego przetwarzania ma zastosowanie inne prawo ochrony danych, postanowienia niniejszej Umowy stosuje się odpowiednio także na gruncie tego prawa — w tym UK GDPR (Zjednoczone Królestwo), ustawy szwajcarskiej (nFADP) i właściwych przepisów stanowych USA (takich jak CCPA/CPRA). Do przekazywania międzynarodowego stosuje się odpowiednie uznane mechanizmy, o ile mają zastosowanie: standardowe klauzule umowne UE (SCC), UK International Data Transfer Addendum (IDTA) oraz addendum szwajcarskie. Podmiot przetwarzający preferuje przechowywanie danych w UE.

13. Kalifornia (CCPA/CPRA)

W zakresie, w jakim Podmiot przetwarzający przetwarza dane osobowe objęte California Consumer Privacy Act (CCPA), zmienioną przez CPRA, działa on jako „service provider”. Podmiot przetwarzający: (a) nie sprzedaje ani nie udostępnia tych danych (brak „sale” lub „share” w rozumieniu CCPA); (b) przetwarza je wyłącznie w celach biznesowych opisanych w niniejszej Umowie, a nie we własnych celach komercyjnych; (c) nie przechowuje, nie wykorzystuje ani nie ujawnia ich poza bezpośrednią relacją biznesową z Klientem; oraz (d) udziela Klientowi rozsądnej pomocy przy żądaniach osób, których dane dotyczą, na podstawie CCPA.

14. Postanowienia końcowe

W razie sprzeczności między niniejszą Umową a regulaminem pierwszeństwo w zakresie przetwarzania danych osobowych ma niniejsza Umowa. Niniejsza Umowa podlega prawu niderlandzkiemu. Pytania lub podpisany egzemplarz? info@seviranta.com.