Powierzenie przetwarzania danych osobowych

Zasady powierzenia przetwarzania danych osobowych w związku z umową użytkowania systemu CityInfo.io

Celem Umowy jest ustalenie warunków na jakich procesor wykonuje operacje przetwarzania danych osobowych w imieniu Administratora. Strony zawierając umowę dążą do takiego uregulowania zasad przetwarzania danych osobowych, aby odpowiadały one w pełni postanowieniom Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych

1. Warunki i charakter przetwarzania danych

1.1 Na warunkach określonych niniejszą Umową oraz Umową Podstawową (Użytkowania Systemu CityInfo.io) Administrator powierza Procesorowi przetwarzanie (w rozumieniu rozporządzenia) danych osobowych zgromadzonych w systemie CityInfo.io.

1.2. Przetwarzanie będzie wykonywane w okresie obowiązywania Umowy Podstawowej.

1.3. Charakter i cel przetwarzania wynika z Umowy Podstawowej i dotyczy realizowanej przez Procesora na rzecz Administratora usługi rezerwacji produktów i usług oferowanych przez Administratora w ramach użytkowania systemu CityInfo.io

1.4. Przetwarzanie obejmować będzie następujące rodzaje i kategorie danych osobowych:

1. imię
2. nazwisko
3. adres mailowy
4. telefon

2. Obowiązki Procesora

2.1. Procesor wdroży i będzie utrzymywać środki techniczne i organizacyjne w celu ochrony danych przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, zmianą, nieuprawnionym ujawnieniem lub dostępem. Środki bezpieczeństwa obejmują środki służące do szyfrowania danych osobowych; pomoc w zapewnianiu ciągłej poufności, integralności, dostępności i odporności systemów i usług Procesora.

2.2. Procesor zobowiązany jest przetwarzać powierzone dane wyłącznie zgodnie z charakterem określonym w niniejszej Umowie oraz Umowie Podstawowej. Przetwarzanie przez Procesora powierzonych danych osobowych wykraczające poza ramy polecenia zawartego w Umowie wymaga dodatkowego polecenia Administratora wyrażonego w formie pisemnej. Procesor zapewnia przestrzeganie tego obowiązku także przez wszystkie osoby, które są przez niego upoważnione do przetwarzania danych osobowych, których przetwarzanie zostało powierzone na podstawie niniejszej Umowy i jednocześnie Procesor zobowiązuje się zapewnić przetwarzanie tych danych wyłącznie przez osoby, którym nadał upoważnienia do ich przetwarzania.

2.3. Procesor zobowiązuje się do ograniczenia dostępu do danych wyłącznie do osób, których dostęp do danych jest niezbędny do realizacji Umowy.

2.4. Procesor zapewnia, że każda osoba upoważniona przez niego do przetwarzania danych osobowych, których przetwarzanie zostało powierzone Procesorowi na podstawie Umowy, przed przystąpieniem do pierwszej czynności przetwarzania powyższych danych, zobowiąże się do zachowania w tajemnicy wszelkich danych osobowych, materiałów oraz informacji uzyskanych od Administratora w związku z realizacją Umowy lub będzie podlegała odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.

2.5. Procesor może powierzyć konkretne operacje przetwarzania danych osobowych innemu podmiotowi (sub-procesorowi). Procesor ma obowiązek zawarcia z sub-procesorem umowy powierzenia danych osobowych zgodnie z rozporządzeniem. Dokonując powierzenia Procesor ma obowiązek zobowiązać sub-procesora do realizacji wszystkich obowiązków Procesora wynikających z niniejszej umowy i przyjmuje pełną odpowiedzialność w stosunku do Administratora za ich należyte wypełnienie.

2.6. Procesor zobowiązuje się w razie potrzeby udzielić pomocy Administratorowi w wywiązaniu się z obowiązku udzielenia odpowiedzi na żądanie osób, których dane osobowe są przetwarzane na podstawie Umowy, w zakresie wykonania ich praw określonych w rozdziale III (art. 12-23) RODO oraz obowiązków określonych w art. 32-36 RODO.

2.7. Procesor zobowiązuje się do niezwłocznego informowania Administratora o wszelkich postępowaniach administracyjnych lub sądowych, decyzjach administracyjnych, orzeczeniach, zapowiedzianych oraz niezapowiedzianych kontrolach i inspekcjach, jeśli dotyczą one danych osobowych powierzonych Procesorowi przez Administratora, zwłaszcza kontrolach prowadzonych przez organ nadzorczy.

2.8. Planując dokonanie zmian w sposobie przetwarzania danych Procesor ma obowiązek zastosować się do wymogu projektowania prywatności, o którym mowa w rozporządzeniu, i ma obowiązek z wyprzedzeniem informować Administratora o planowanych zmianach w taki sposób i w takich terminach, aby zapewnić Administratorowi realną możliwość reagowania.

2.9. Procesor zobowiązuje się do prowadzenia dokumentacji opisującej sposób przetwarzania danych, w tym rejestru czynności przetwarzania danych osobowych, wskazanego w rozporządzeniu. Procesor udostępnia na żądanie Administratora prowadzony rejestr czynności przetwarzania danych osobowych.

2.10 Procesor zobowiązuje się do powiadomienia Administratora danych o każdym podejrzeniu naruszenia danych osobowych nie później w ciągu 24 godzin liczone od pierwszego zgłoszenia, umożliwia Administratorowi uczestnictwo w czynnościach wyjaśniających i informuje Administratora o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia lub jego braku. Procesor przekazuje Administratorowi zgłoszenie o stwierdzeniu naruszenia wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, aby umożliwić Administratorowi spełnienie obowiązku powiadomienia organu nadzorczego. Zgłoszenie, powinno zawierać co najmniej:

a) opis charakteru naruszenia ochrony danych osobowych, w tym kategorie i przybliżoną liczbę osób, których dane dotyczą, a także kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,

b) imię i nazwisko wraz z danymi kontaktowymi osoby wyznaczonej przez Procesora do kontaktów z Administratorem w celu uzyskania informacji na temat naruszenia,

c) opis możliwych konsekwencji naruszenia ochrony danych osobowych,

d) opis zastosowanych lub proponowanych przez Procesora środków w celu zaradzenia naruszeniu ochrony danych osobowych i zminimalizowania ewentualnych negatywnych skutków tego naruszenia,

e) w razie niedotrzymania terminu, opis przyczyn opóźnienia.

3. Postanowienia końcowe

3.1. Procesor odpowiada za szkody spowodowane swoim działaniem w związku z niedopełnieniem obowiązków, które rozporządzenia nakładają bezpośrednio na Procesora, lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom. Procesor odpowiada za szkody spowodowane zastosowaniem lub niezastosowaniem właściwym środków bezpieczeństwa.

3.2 Wszelkie zmiany Umowy powinny być dokonane w formie pisemnej pod rygorem nieważności.

3.3 W sprawach nieuregulowanych Umową, zastosowanie znajdują przepisy prawa obowiązującego na terytorium Rzeczpospolitej Polskiej, w tym w szczególności rozporządzenia, przepisy Ustawy o ochronie danych osobowych oraz przepisy kodeksu cywilnego.