UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

zawarta w dniu rozpoczęcia korzystania z usługi GabinetOnline pomiędzy:

Rybczak i Wspólnicy spółka z ograniczoną odpowiedzialnością
z siedzibą: ul. Przyjemna 4, 44-264 Jankowice
KRS: 0000361541
NIP: 642-318-72-10
zwaną dalej „Podmiotem Przetwarzającym" lub „Operatorem"

a

Użytkownikiem Serwisu GabinetOnline
zwanym dalej „Administratorem" lub „Użytkownikiem"

§ 1. Przedmiot umowy i definicje

1. Niniejsza umowa reguluje warunki i zakres powierzenia przetwarzania danych osobowych przez Administratora Podmiotowi Przetwarzającemu w związku ze świadczeniem usług za pomocą Serwisu GabinetOnline (gabinetonline.com.pl).

2. Umowa została zawarta w wykonaniu art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

3. Ilekroć w Umowie jest mowa o:

a) Danych osobowych – rozumie się przez to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej w rozumieniu art. 4 pkt 1 RODO;

b) Przetwarzaniu – rozumie się przez to operację lub zestaw operacji wykonywanych na danych osobowych w rozumieniu art. 4 pkt 2 RODO;

c) Administratorze – rozumie się przez to Użytkownika Serwisu, który jest administratorem danych osobowych w rozumieniu art. 4 pkt 7 RODO, samodzielnie ustalającym cele i sposoby przetwarzania danych osobowych;

d) Podmiocie Przetwarzającym (Procesorze) – rozumie się przez to Operatora Serwisu, który przetwarza dane osobowe w imieniu Administratora;

e) Serwisie – rozumie się przez to system informatyczny GabinetOnline dostępny pod adresem gabinetonline.com.pl;

f) RODO – rozumie się przez to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.;

g) Naruszeniu ochrony danych osobowych – rozumie się przez to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

h) Osobie, której dane dotyczą – rozumie się przez to zidentyfikowaną lub możliwą do zidentyfikowania osobę fizyczną, której dane są przetwarzane.

§ 2. Zakres powierzenia

1. Administrator powierza, a Podmiot Przetwarzający przyjmuje do przetwarzania w imieniu Administratora dane osobowe następujących kategorii osób, których dane dotyczą:

  1. kontrahentów Administratora (klientów salonu fryzjerskiego, kosmetycznego lub innego prowadzonego przez Administratora),
  2. pracowników Administratora,
  3. innych osób, których dane Administrator wprowadzi do Serwisu w związku z prowadzoną działalnością gospodarczą.

2. Powierzone dane osobowe mogą obejmować następujące kategorie danych:

  1. dane identyfikacyjne (imię, nazwisko),
  2. dane kontaktowe (adres e-mail, numer telefonu, adres zamieszkania),
  3. dane dotyczące świadczonych usług i historii wizyt,
  4. dane dotyczące rozliczeń finansowych,
  5. dane wprowadzone przez Administratora w formie notatek i komentarzy,
  6. inne dane wprowadzone przez Administratora do Serwisu.

3. Podmiot Przetwarzający przetwarza dane osobowe wyłącznie w celu realizacji usług Serwisu określonych w Regulaminie, w szczególności:

  1. przechowywania i udostępniania danych Administratorowi,
  2. umożliwienia zarządzania bazą kontrahentów, usług, materiałów i pracowników,
  3. wysyłania powiadomień kontrahentom na polecenie Administratora (wiadomości SMS, e-mail),
  4. generowania raportów i dokumentów,
  5. zapewnienia funkcjonalności systemu rezerwacji online.

4. Przetwarzanie danych osobowych przez Podmiot Przetwarzający odbywa się przez okres obowiązywania Umowy o świadczenie usług oraz przez okres 5 lat od zakończenia świadczenia usług, zgodnie z § 8 pkt 8 Regulaminu.

§ 3. Obowiązki Podmiotu Przetwarzającego

1. Podmiot Przetwarzający zobowiązuje się do:

  1. Przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Administratora, w tym w odniesieniu do przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek taki nakłada na Podmiot Przetwarzający prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot Przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania Podmiot Przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
  2. Zapewnienia, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub aby podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
  3. Wdrożenia i utrzymywania wszystkich środków wymaganych na mocy art. 32 RODO, w szczególności:
    1. szyfrowania transmisji danych za pomocą protokołu SSL z co najmniej 128-bitowym kluczem,
    2. stosowania mechanizmów kontroli dostępu zapewniających, że dostęp do danych ma wyłącznie Administrator poprzez indywidualne hasło,
    3. wykonywania regularnych kopii zapasowych danych,
    4. utrzymywania fizycznego bezpieczeństwa centrum obliczeniowego (monitoring, zabezpieczenia przeciwpożarowe),
    5. regularnej aktualizacji oprogramowania w zakresie poprawek bezpieczeństwa;
  4. Uwzględniania przy wyborze środków technicznych i organizacyjnych charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia;
  5. Udzielania Administratorowi pomocy w niezbędnym zakresie przy wywiązywaniu się przez Administratora z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO;
  6. Udzielania Administratorowi pomocy w zapewnieniu wypełnienia obowiązków określonych w art. 32-36 RODO, uwzględniając charakter przetwarzania oraz informacje dostępne Podmiotowi Przetwarzającemu;
  7. Według wyboru Administratora, usunięcia lub zwrócenia Administratorowi wszystkich danych osobowych po zakończeniu świadczenia usług związanych z przetwarzaniem oraz usunięcia wszelkich ich istniejących kopii, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
  8. Udostępniania Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwienia Administratorowi przeprowadzania audytów, w tym inspekcji, i przyczyniania się do nich;
  9. Niezwłocznego informowania Administratora, jeżeli jego zdaniem wydane przez Administratora polecenie stanowi naruszenie RODO lub innych przepisów Unii lub państw członkowskich o ochronie danych.

§ 4. Dalsze powierzenie przetwarzania (podprocesorzy)

1. Administrator wyraża ogólną zgodę na korzystanie przez Podmiot Przetwarzający z usług podprocesorów.

2. Podmiot Przetwarzający może powierzyć przetwarzanie danych osobowych następującym kategoriom podprocesorów:

  1. dostawcom usług hostingowych i infrastruktury IT,
  2. dostawcom usług wysyłki wiadomości SMS i e-mail,
  3. dostawcom usług płatniczych (w zakresie niezbędnym do realizacji płatności),
  4. dostawcom usług kopii zapasowych i odzyskiwania danych.

3. Podmiot Przetwarzający zobowiązuje się do:

  1. nakładania na podprocesorów, w drodze umowy lub innego aktu prawnego, tych samych obowiązków ochrony danych, jakie zostały określone w niniejszej Umowie, w szczególności obowiązku zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO;
  2. informowania Administratora o wszelkich planowanych zmianach dotyczących dodania lub zastąpienia innych procesorów poprzez umieszczenie informacji w widocznym miejscu w Serwisie z co najmniej 14-dniowym wyprzedzeniem, dając tym samym Administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian;
  3. ponoszenia pełnej odpowiedzialności wobec Administratora za wypełnienie obowiązków powierzonych podprocesorowi, jeżeli podprocesor nie wypełni swoich obowiązków w zakresie ochrony danych.

4. W przypadku wyrażenia przez Administratora sprzeciwu wobec zmian dotyczących podprocesorów, Administrator ma prawo rozwiązać Umowę ze skutkiem natychmiastowym.

§ 5. Naruszenie ochrony danych osobowych

1. Podmiot Przetwarzający zobowiązuje się niezwłocznie, nie później niż w ciągu 24 godzin od powzięcia wiadomości, zgłosić Administratorowi każde naruszenie ochrony danych osobowych.

2. Zgłoszenie, o którym mowa w ust. 1, powinno zawierać co najmniej:

  1. opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
  2. imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, od którego można uzyskać więcej informacji;
  3. opis prawdopodobnych konsekwencji naruszenia ochrony danych osobowych;
  4. opis środków zastosowanych lub proponowanych przez Podmiot Przetwarzający w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w odpowiednich przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

3. Podmiot Przetwarzający zobowiązuje się do współpracy z Administratorem w zakresie wyjaśnienia okoliczności naruszenia oraz podjęcia działań naprawczych.

4. Zgłoszenie naruszenia powinno zostać dokonane na adres e-mail Administratora podany podczas rejestracji w Serwisie.

§ 6. Audyt i kontrola

1. Administrator ma prawo do przeprowadzania audytu u Podmiotu Przetwarzającego w celu weryfikacji zgodności przetwarzania danych osobowych z niniejszą Umową oraz wymogami RODO.

2. Audyt może być przeprowadzony przez Administratora osobiście lub przez upoważnionego audytora.

3. Administrator zgłasza zamiar przeprowadzenia audytu z co najmniej 14-dniowym wyprzedzeniem, wskazując proponowany termin i zakres audytu.

4. Audyt może odbywać się nie częściej niż raz na 12 miesięcy, chyba że wystąpiły uzasadnione przesłanki wskazujące na naruszenie postanowień Umowy lub przepisów RODO.

5. Podmiot Przetwarzający zobowiązuje się do udostępnienia Administratorowi lub audytorowi wszystkich informacji i dokumentów niezbędnych do przeprowadzenia audytu.

6. Audyt nie może zakłócać normalnego funkcjonowania działalności Podmiotu Przetwarzającego i musi być przeprowadzony z poszanowaniem tajemnicy przedsiębiorstwa oraz danych innych klientów Podmiotu Przetwarzającego.

§ 7. Odpowiedzialność i odszkodowanie

1. Podmiot Przetwarzający ponosi odpowiedzialność za szkody wyrządzone w związku z przetwarzaniem danych osobowych, gdy nie wypełnił obowiązków wynikających z RODO, które są szczególnie skierowane do podmiotów przetwarzających, lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom.

2. Łączna odpowiedzialność Podmiotu Przetwarzającego wobec Administratora z tytułu niniejszej Umowy w danym roku kalendarzowym nie może przekroczyć kwoty odpowiadającej rocznej wartości opłat uiszczonych przez Administratora za korzystanie z Serwisu.

3. Podmiot Przetwarzający nie ponosi odpowiedzialności za szkody wynikające z:

  1. działań lub zaniechań Administratora,
  2. ujawnienia przez Administratora hasła dostępu osobom trzecim,
  3. nieprawidłowego korzystania z Serwisu przez Administratora,
  4. okoliczności, za które Podmiot Przetwarzający nie ponosi odpowiedzialności zgodnie z Regulaminem Serwisu.

§ 8. Obowiązki Administratora

1. Administrator oświadcza, że:

  1. jest administratorem danych osobowych w rozumieniu RODO i uprawniony jest do powierzenia ich przetwarzania Podmiotowi Przetwarzającemu,
  2. posiada odpowiednią podstawę prawną do przetwarzania danych osobowych,
  3. dane osobowe zostały zebrane w sposób zgodny z prawem,
  4. poinformował osoby, których dane dotyczą, o powierzeniu przetwarzania ich danych osobowych Podmiotowi Przetwarzającemu lub uczyni to niezwłocznie.

2. Administrator zobowiązuje się do:

  1. udzielania Podmiotowi Przetwarzającemu wyłącznie zgodnych z prawem poleceń dotyczących przetwarzania danych osobowych,
  2. samodzielnego wywiązywania się z obowiązków informacyjnych wobec osób, których dane dotyczą,
  3. samodzielnego rozpatrywania żądań osób, których dane dotyczą, dotyczących realizacji ich praw wynikających z RODO,
  4. niezwłocznego informowania Podmiotu Przetwarzającego o wszelkich przypadkach, które mogą mieć wpływ na przetwarzanie danych osobowych.

§ 9. Okres obowiązywania i rozwiązanie umowy

1. Umowa wchodzi w życie z dniem rozpoczęcia korzystania z Serwisu przez Administratora i obowiązuje przez okres świadczenia usług określony w Regulaminie.

2. Umowa ulega rozwiązaniu z chwilą rozwiązania Umowy o świadczenie usług zgodnie z Regulaminem.

3. W przypadku rozwiązania Umowy, Podmiot Przetwarzający według wyboru Administratora:

  1. usunie wszystkie dane osobowe oraz wszelkie ich istniejące kopie, o ile prawo nie wymaga ich przechowywania, lub
  2. zwróci Administratorowi wszystkie dane osobowe w uzgodnionym formacie.

4. Niezależnie od postanowień ust. 3, Podmiot Przetwarzający ma prawo przechowywać dane osobowe przez okres 5 lat od zakończenia świadczenia usług zgodnie z § 8 pkt 8 Regulaminu, wyłącznie w celach archiwalnych i w zakresie niezbędnym do wykazania prawidłowości świadczenia usług.

5. Po usunięciu danych, o którym mowa w ust. 3 lit. a), Podmiot Przetwarzający dostarcza Administratorowi pisemne potwierdzenie ich usunięcia.

§ 10. Postanowienia końcowe

1. Niniejsza Umowa stanowi integralną część Regulaminu Serwisu GabinetOnline.

2. W sprawach nieuregulowanych w niniejszej Umowie mają zastosowanie przepisy RODO oraz przepisy prawa polskiego, w szczególności ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

3. Wszelkie zmiany Umowy wymagają formy pisemnej pod rygorem nieważności, z zastrzeżeniem postanowień dotyczących zmiany Regulaminu.

4. W przypadku sprzeczności między postanowieniami niniejszej Umowy a Regulaminem, pierwszeństwo mają postanowienia niniejszej Umowy w zakresie dotyczącym ochrony danych osobowych.

5. Strony będą dążyć do polubownego rozstrzygania wszelkich sporów wynikłych w związku z wykonywaniem niniejszej Umowy. W przypadku braku porozumienia, spory będą rozstrzygane przez sąd właściwy dla siedziby Podmiotu Przetwarzającego.

6. Umowa została sporządzona w języku polskim.

7. Akceptując Regulamin Serwisu GabinetOnline, Administrator jednocześnie akceptuje postanowienia niniejszej Umowy powierzenia przetwarzania danych osobowych.

§ 11. Dane kontaktowe w sprawach ochrony danych osobowych

Podmiot Przetwarzający (Operator):
Rybczak i Wspólnicy Sp. z o.o.
ul. Przyjemna 4, 44-264 Jankowice
E-mail: biuro@gabinetonline.com.pl
Telefon: 514 14 55 65

Administrator:
Dane kontaktowe podane podczas rejestracji w Serwisie