ДОГОВІР ПРО ДОРУЧЕННЯ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ

ℹ️ Цей документ є перекладом українською мовою для зручності користувачів. Юридично зобов'язальною є польськомовна версія Договору. У разі будь-яких розбіжностей між версіями переважну силу має польський текст.

укладений у день початку користування послугою GabinetOnline між:

Rybczak i Wspólnicy spółka z ograniczoną odpowiedzialnością
з осідком: ul. Przyjemna 4, 44-264 Jankowice
KRS: 0000520491
NIP: 642-318-72-10
далі „Суб'єкт обробки" або „Оператор"

та

Користувачем Сервісу GabinetOnline
далі „Контролер" або „Користувач"

§ 1. Предмет договору та визначення

1. Цей договір регулює умови та обсяг доручення обробки персональних даних Контролером Суб'єктові обробки у зв'язку з наданням послуг за допомогою Сервісу GabinetOnline (gabinetonline.com.pl).

2. Договір укладено на виконання ст. 28 Регламенту Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 р. про захист фізичних осіб у зв'язку з обробкою персональних даних і про вільний рух таких даних та про скасування директиви 95/46/WE (GDPR).

3. Щоразу, коли в Договорі йдеться про:

a) Персональні дані – розуміється будь-яка інформація про ідентифіковану чи таку, яку можна ідентифікувати, фізичну особу в розумінні ст. 4 п. 1 GDPR;

b) Обробка – розуміється операція або набір операцій, що виконуються над персональними даними в розумінні ст. 4 п. 2 GDPR;

c) Контролер – розуміється Користувач Сервісу, який є контролером персональних даних у розумінні ст. 4 п. 7 GDPR, самостійно визначаючи цілі та способи обробки персональних даних;

d) Суб'єкт обробки (Процесор) – розуміється Оператор Сервісу, який обробляє персональні дані від імені Контролера;

e) Сервіс – розуміється інформаційна система GabinetOnline, доступна за адресою gabinetonline.com.pl;

f) GDPR – розуміється Регламент Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 р.;

g) Порушення захисту персональних даних – розуміється порушення безпеки, що призводить до випадкового чи незаконного знищення, втрати, зміни, несанкціонованого розголошення чи несанкціонованого доступу до персональних даних, що передаються, зберігаються чи в інший спосіб обробляються;

h) Суб'єкт даних – розуміється ідентифікована чи така, яку можна ідентифікувати, фізична особа, дані якої обробляються.

§ 2. Обсяг доручення

1. Контролер доручає, а Суб'єкт обробки приймає до обробки від імені Контролера персональні дані таких категорій суб'єктів даних:

  1. контрагентів Контролера (клієнтів перукарні, косметичного чи іншого салону, що його веде Контролер),
  2. працівників Контролера,
  3. інших осіб, дані яких Контролер введе до Сервісу у зв'язку з господарською діяльністю.

2. Доручені персональні дані можуть охоплювати такі категорії даних:

  1. ідентифікаційні дані (ім'я, прізвище),
  2. контактні дані (адреса e-mail, номер телефону, адреса проживання),
  3. дані щодо наданих послуг та історії візитів,
  4. дані щодо фінансових розрахунків,
  5. дані, введені Контролером у формі нотаток і коментарів,
  6. інші дані, введені Контролером до Сервісу.

3. Суб'єкт обробки обробляє персональні дані виключно з метою надання послуг Сервісу, визначених в Умовах користування, зокрема:

  1. зберігання та надання даних Контролеру,
  2. надання можливості керувати базою контрагентів, послуг, матеріалів і працівників,
  3. надсилання сповіщень контрагентам на доручення Контролера (SMS, e-mail),
  4. генерування звітів і документів,
  5. забезпечення функціоналу системи онлайн-бронювання.

4. Обробка персональних даних Суб'єктом обробки відбувається протягом строку дії Договору про надання послуг та протягом 5 років від завершення надання послуг, відповідно до § 8 п. 8 Умов користування.

§ 3. Обов'язки Суб'єкта обробки

1. Суб'єкт обробки зобов'язується:

  1. Обробляти персональні дані виключно на задокументоване доручення Контролера, зокрема щодо передачі персональних даних до третьої країни чи міжнародної організації, окрім випадків, коли такий обов'язок покладає на Суб'єкта обробки право Союзу чи право держави-члена, якому підпорядкований Суб'єкт обробки; у такому разі перед початком обробки Суб'єкт обробки інформує Контролера про цей правовий обов'язок, якщо це право не забороняє надання такої інформації з огляду на важливий публічний інтерес;
  2. Забезпечити, щоб особи, уповноважені на обробку персональних даних, зобов'язалися зберігати таємницю або щоб вони підлягали відповідному законному обов'язку зберігати таємницю;
  3. Впровадити та підтримувати всі засоби, що вимагаються на підставі ст. 32 GDPR, зокрема:
    1. шифрування передачі даних за допомогою протоколу SSL із щонайменше 128-бітним ключем,
    2. застосування механізмів контролю доступу, що забезпечують доступ до даних виключно Контролеру через індивідуальний пароль,
    3. виконання регулярних резервних копій даних,
    4. підтримання фізичної безпеки обчислювального центру (моніторинг, протипожежний захист),
    5. регулярне оновлення програмного забезпечення в частині виправлень безпеки;
  4. Враховувати під час вибору технічних та організаційних засобів характер, обсяг, контекст і цілі обробки, а також ризик порушення прав чи свобод фізичних осіб різної ймовірності настання та тяжкості загрози;
  5. Надавати Контролеру допомогу в необхідному обсязі при виконанні Контролером обов'язку відповідати на вимоги суб'єкта даних щодо реалізації його прав, визначених у розділі III GDPR;
  6. Надавати Контролеру допомогу в забезпеченні виконання обов'язків, визначених у ст. 32-36 GDPR, враховуючи характер обробки та інформацію, доступну Суб'єктові обробки;
  7. За вибором Контролера видалити або повернути Контролеру всі персональні дані після завершення надання послуг, пов'язаних з обробкою, та видалити всі їх наявні копії, окрім випадків, коли право Союзу чи право держави-члена приписують зберігання персональних даних;
  8. Надавати Контролеру всю інформацію, необхідну для підтвердження виконання обов'язків, визначених у ст. 28 GDPR, та надавати Контролеру можливість проводити аудити, зокрема інспекції, і сприяти їм;
  9. Негайно інформувати Контролера, якщо, на його думку, видане Контролером доручення становить порушення GDPR чи інших норм Союзу або держав-членів про захист даних.

§ 4. Подальше доручення обробки (субпроцесори)

1. Контролер надає загальну згоду на користування Суб'єктом обробки послугами субпроцесорів.

2. Суб'єкт обробки може доручити обробку персональних даних таким категоріям субпроцесорів:

  1. постачальникам послуг хостингу та IT-інфраструктури,
  2. постачальникам послуг надсилання SMS та e-mail,
  3. постачальникам платіжних послуг (в обсязі, необхідному для реалізації платежів),
  4. постачальникам послуг резервного копіювання та відновлення даних.

3. Суб'єкт обробки зобов'язується:

  1. покладати на субпроцесорів шляхом договору чи іншого правового акту ті самі обов'язки захисту даних, що визначені в цьому Договорі, зокрема обов'язок забезпечити достатні гарантії впровадження відповідних технічних та організаційних засобів, щоб обробка відповідала вимогам GDPR;
  2. інформувати Контролера про всі заплановані зміни щодо додавання чи заміни інших процесорів шляхом розміщення інформації на видному місці в Сервісі щонайменше за 14 днів, надаючи тим самим Контролеру можливість висловити заперечення проти таких змін;
  3. нести повну відповідальність перед Контролером за виконання обов'язків, доручених субпроцесору, якщо субпроцесор не виконає своїх обов'язків у частині захисту даних.

4. У разі висловлення Контролером заперечення проти змін щодо субпроцесорів Контролер має право розірвати Договір з негайним ефектом.

§ 5. Порушення захисту персональних даних

1. Суб'єкт обробки зобов'язується негайно, не пізніше ніж протягом 24 годин від отримання відомостей, повідомити Контролера про кожне порушення захисту персональних даних.

2. Повідомлення, зазначене в ч. 1, має містити щонайменше:

  1. опис характеру порушення захисту персональних даних, зокрема за можливості категорії та приблизну кількість суб'єктів даних, а також категорії та приблизну кількість записів персональних даних, яких стосується порушення;
  2. ім'я та прізвище та контактні дані інспектора захисту даних чи іншого контактного пункту, від якого можна отримати більше інформації;
  3. опис ймовірних наслідків порушення захисту персональних даних;
  4. опис засобів, застосованих чи запропонованих Суб'єктом обробки з метою усунення порушення захисту персональних даних, зокрема у відповідних випадках засобів для мінімізації його можливих негативних наслідків.

3. Суб'єкт обробки зобов'язується співпрацювати з Контролером у частині з'ясування обставин порушення та вжиття коригувальних дій.

4. Повідомлення про порушення має бути здійснене на адресу e-mail Контролера, вказану під час реєстрації в Сервісі.

§ 6. Аудит і контроль

1. Контролер має право проводити аудит у Суб'єкта обробки з метою перевірки відповідності обробки персональних даних цьому Договору та вимогам GDPR.

2. Аудит може проводитися Контролером особисто або уповноваженим аудитором.

3. Контролер повідомляє про намір провести аудит щонайменше за 14 днів, зазначаючи запропонований термін та обсяг аудиту.

4. Аудит може відбуватися не частіше ніж раз на 12 місяців, окрім випадків, коли виникли обґрунтовані підстави, що вказують на порушення положень Договору чи норм GDPR.

5. Суб'єкт обробки зобов'язується надати Контролеру або аудитору всю інформацію та документи, необхідні для проведення аудиту.

6. Аудит не може порушувати нормальне функціонування діяльності Суб'єкта обробки та має проводитися з дотриманням комерційної таємниці та даних інших клієнтів Суб'єкта обробки.

§ 7. Відповідальність і відшкодування

1. Суб'єкт обробки несе відповідальність за збитки, заподіяні у зв'язку з обробкою персональних даних, коли він не виконав обов'язків, що випливають із GDPR і які особливо спрямовані до суб'єктів обробки, або коли діяв поза законними інструкціями Контролера чи всупереч цим інструкціям.

2. Сукупна відповідальність Суб'єкта обробки перед Контролером за цим Договором у відповідному календарному році не може перевищувати суму, що відповідає річній вартості оплат, здійснених Контролером за користування Сервісом.

3. Суб'єкт обробки не несе відповідальності за збитки, що виникли внаслідок:

  1. дій чи бездіяльності Контролера,
  2. розголошення Контролером пароля доступу третім особам,
  3. неналежного користування Сервісом Контролером,
  4. обставин, за які Суб'єкт обробки не несе відповідальності відповідно до Умов користування Сервісом.

§ 8. Обов'язки Контролера

1. Контролер заявляє, що:

  1. є контролером персональних даних у розумінні GDPR і уповноважений доручати їх обробку Суб'єктові обробки,
  2. має відповідну правову підставу для обробки персональних даних,
  3. персональні дані були зібрані законним способом,
  4. поінформував суб'єктів даних про доручення обробки їхніх персональних даних Суб'єктові обробки або зробить це негайно.

2. Контролер зобов'язується:

  1. надавати Суб'єктові обробки виключно законні доручення щодо обробки персональних даних,
  2. самостійно виконувати інформаційні обов'язки щодо суб'єктів даних,
  3. самостійно розглядати вимоги суб'єктів даних щодо реалізації їхніх прав, що випливають із GDPR,
  4. негайно інформувати Суб'єкта обробки про всі випадки, що можуть вплинути на обробку персональних даних.

§ 9. Строк дії та розірвання договору

1. Договір набуває чинності з дня початку користування Сервісом Контролером і діє протягом строку надання послуг, визначеного в Умовах користування.

2. Договір розривається з моменту розірвання Договору про надання послуг відповідно до Умов користування.

3. У разі розірвання Договору Суб'єкт обробки за вибором Контролера:

  1. видалить усі персональні дані та всі їх наявні копії, якщо право не вимагає їх зберігання, або
  2. поверне Контролеру всі персональні дані в узгодженому форматі.

4. Незалежно від положень ч. 3, Суб'єкт обробки має право зберігати персональні дані протягом 5 років від завершення надання послуг відповідно до § 8 п. 8 Умов користування, виключно з архівними цілями та в обсязі, необхідному для підтвердження належності надання послуг.

5. Після видалення даних, зазначеного в ч. 3 п. a), Суб'єкт обробки надає Контролеру письмове підтвердження їх видалення.

§ 10. Прикінцеві положення

1. Цей Договір становить невід'ємну частину Умов користування Сервісу GabinetOnline.

2. У питаннях, не врегульованих у цьому Договорі, застосовуються положення GDPR та норми польського права, зокрема закону від 10 травня 2018 р. про захист персональних даних.

3. Усі зміни Договору вимагають письмової форми під загрозою недійсності, із застереженням положень щодо зміни Умов користування.

4. У разі суперечності між положеннями цього Договору та Умовами користування перевагу мають положення цього Договору в частині, що стосується захисту персональних даних.

5. Сторони прагнутимуть мирного вирішення всіх спорів, що виникли у зв'язку з виконанням цього Договору. У разі недосягнення згоди спори вирішуватимуться судом за місцем осідку Суб'єкта обробки.

6. Договір складено польською мовою.

7. Приймаючи Умови користування Сервісу GabinetOnline, Контролер одночасно приймає положення цього Договору про доручення обробки персональних даних.

§ 11. Контактні дані з питань захисту персональних даних

Суб'єкт обробки (Оператор):
Rybczak i Wspólnicy Sp. z o.o.
ul. Przyjemna 4, 44-264 Jankowice
E-mail: biuro@gabinetonline.com.pl
Телефон: 514 14 55 65

Контролер:
Контактні дані, вказані під час реєстрації в Сервісі