Umowa powierzenia przetwarzania danych

Załącznik do Umowy Członkowskiej Trusted Shops

Umowa powierzenia przetwarzania danych osobowych

zawarta pomiędzy wymienionym w umowie członkowskiej członkiem (Administrator danych)

- zwany dalej Zleceniodawcą -

a Trusted Shops GmbH, Subbelrather Str. 15C, 50823 Kolonia, Niemcy (Podmiot przetwarzający)

- zwany dalej Zleceniobiorcą -

- zwanymi łącznie w dalszej treści Stronami -

Strony zawarły Umowę o Członkostwo w Trusted Shops (zwaną dalej umową główną), w ramach której celem realizacji umownych świadczeń Zleceniobiorca będzie na zlecenie Zleceniodawcy przetwarzać dane osobowe (powierzenie przetwarzania danych). Niniejszy załącznik konkretyzuje zobowiązania stron w zakresie ochrony danych osobowych wynikające z powierzenia przetwarzania danych w ramach realizacji umowy członkostwa. Znajduje on zastosowanie do wszystkich wymienionych niżej czynności, które pozostają w związku z umową członkostwa i w przypadku których pracownicy Zleceniobiorcy lub osoby trzecie upoważnione przez Zleceniobiorcę przetwarzają powierzone dane osobowe Zleceniodawcy (zwane dalej danymi):

  • Graficzna prezentacja Trustbadge, jako treści podmiotu trzeciego w ramach strony internetowej członka objętej umową członkostwa (pliki dziennika, tzw. „logfiles”);
  • Gromadzenie adresów e-mail i wysyłanie drogą mailową przypomnień o możliwości wyrażenia opinii o zakupie (dotyczy przede wszystkim stosowania opcjonalnych funkcji „Review Collector“ i „AutoCollection“ oraz „Trusted Shops API“), o ile kwestie te nie zostały uregulowane osobnym umownym porozumieniem pomiędzy Trusted Shops a osobą, której dane dotyczą (członkostwo Trusted Shops dla kupujących);
  • Gromadzenie danych kontaktowych (np. imię i nazwisko, adres e-mail, adres pocztowy i numer telefonu) w przypadku korzystania z usługi Regulamin e-sklepu.

Dodatkowe załączniki („Appendices“) do niniejszej umowy powierzenia przetwarzania danych osobowych znajdują się pod adresem: https://support.trustedshops.com/lp/en/legal_order_processing_appendices

Zgodnie z postanowieniami niniejszej umowy sklep członkowski będzie informowany o zmianach.   

Definicje

W przypadku użycia w niniejszej umowie powierzenia przetwarzania danych pojęć, które zdefiniowane zostały w art. 4 Rozporządzania UE 2016/679 o ochronie danych (zwanym dalej RODO) – definicje tam zawarte obowiązują również w zakresie niniejszej umowy powierzenia.

A Przedmiot i czas trwania powierzenia

A1 Przedmiot i czas trwania powierzenia przetwarzania danych oraz rodzaj i cel przetwarzania wynikają z umowy głównej oraz jej załączników.

A2 Dane objęte powierzeniem przetwarzania oraz kategorie osób, których dane dotyczą zostały określone w Załączniku nr 1 („Appendix 1”) do niniejszej umowy powierzenia przetwarzania danych.

A3 Czas trwania umowy powierzenia przetwarzania danych zależy od czasu trwania umowy głównej, o ile z postanowień niniejszego załącznika nie wynikają zobowiązania wykraczające poza ten zakres czasu.

B Obowiązki Zleceniobiorcy

B1. Zleceniobiorca i każda podlegająca mu osoba, która ma dostęp do danych osobowych mogą przetwarzać dane wyłącznie w ramach niniejszej umowy powierzenia przetwarzania danych i w zakresie zgodnym z udokumentowanymi poleceniami Zleceniodawcy, chyba że zachodzi przypadek wyjątkowy określony w art. 28 ust. 3 a) RODO.

B1.1 Zleceniobiorca niezwłocznie poinformuje Zleceniodawcę jeśli uzna, że dane polecenie narusza stosowane przepisy. Zleceniobiorca może w takim przypadku nie wykonać polecenia do czasu, aż zostanie ono potwierdzone lub zmienione przez Zleceniodawcę.

B1.2 Polecenia dot. przetwarzania danych są pierwotnie określone w umowie głównej i mogą następnie zostać przez Zleceniodawcę uzupełnione lub zastąpione innymi poleceniami skierowanymi w formie pisemnej lub elektronicznej (forma tekstowa) do wskazanego przez Zleceniobiorcę adresata. Polecenia ustne należy niezwłocznie potwierdzać w formie pisemnej lub tekstowej.

B1.3 Polecenia wykraczające poza uzgodnione w umowie głównej świadczenia będą traktowane jako wnioski o zmianę zakresu przetwarzania danych w ramach ich powierzenia. Ewentualne powstałe z tego tytułu uzasadnione koszty ponosi Zleceniodawca.

B2 Zleceniobiorca zobowiązany jest w swoim zakresie odpowiedzialności tak planować wewnętrzną organizację w przedsiębiorstwie, aby sprostać szczególnym wymogom ochrony danych. Podejmie on działania techniczne i organizacyjne celem zapewnienia odpowiedniej ochrony danych powierzonych mu przez Zleceniodawcę. Działania te będą odpowiadać wymogom Rozporządzenia o ochronie danych osobowych (art. 32 RODO). W związku z powierzeniem przetwarzania danych Zleceniobiorca podejmie działania techniczne i organizacyjne, trwale zapewniające poufność, integralność, dostępność i wytrzymałość systemów i usług.

B2.1 Przed rozpoczęciem przetwarzania Zleceniobiorca winien udokumentować wdrożenie stosownych środków technicznych i organizacyjnych odpowiednich dla charakteru i zakresu danych przetwarzanych w ramach powierzenia i w razie takiej woli – przekazać je Zleceniodawcy do sprawdzenia.

B2.2 Uzgodnione i udokumentowane środki techniczne i organizacyjne, zostały dołączone jako załącznik nr 2 („Appendix 2”) i stanowią integralną część niniejszej umowy powierzenia danych. Środki te są znane Zleceniodawcy i ponosi on odpowiedzialność za to, żeby zapewniały one odpowiedni poziom ochrony w odniesieniu do ryzyka związanego z przetwarzaniem danych.

B2.3 Wdrożone środki techniczne i organizacyjne podlegają ciągłym ulepszeniom technicznym i aktualizacjom. W tym zakresie Zleceniobiorca może realizować alternatywne, adekwatne działania mające na celu zapewnienie odpowiedniego poziomu bezpieczeństwa danych. Istotne zmiany należy dokumentować.

B3 Zleceniobiorca nie może powierzonych mu danych samowolnie poprawiać, usuwać lub ograniczać ich przetwarzania. Może to uczynić jedynie na udokumentowane polecenie Zleceniodawcy.

B3.1 Nie dotyczy to sytuacji, kiedy osoba, której dane dotyczą – w odniesieniu do swoich praw zwróci się bezpośrednio do Zleceniobiorcy. W takim przypadku Zleceniobiorca skontaktuje się z Zleceniodawcą w celu wyjaśnienia, kto z nich powinien podjąć obowiązkowe działania informacyjne lub inne czynności zmierzające do poszanowania uprawnień przysługujących osobie, której dane dotyczą. W przypadku zezwolenia udzielonego przez Zleceniodawcę, Zleceniobiorca – w ramach swoich możliwości będzie uprawniony do podjęcia wszelkich niezbędnych działań zmierzających do poszanowania praw osoby, której dane dotyczą.

B3.2 Zleceniobiorca będzie w miarę możliwości poprzez odpowiednie działania techniczne i organizacyjne wspierał Zleceniodawcę w opracowywaniu i odpowiadaniu na wnioski osób, których dane dotyczą. Powstałe w wyniku tego uzasadnione koszty ponosi Zleceniodawca.

B3.3 O ile jest to objęte zakresem świadczenia, Zleceniobiorca winien po udokumentowanym poleceniu Zleceniodawcy niezwłocznie zapewnić przedstawienie koncepcji w zakresie usuwania danych, realizowania prawa do bycia zapomnianym, poprawienia danych lub ich przeniesienia.

B4 Niezależnie od obowiązków określonych postanowieniami niniejszej umowy powierzenia przetwarzania danych Zleceniobiorca winien ponadto przestrzegać ustawowych obowiązków określonych w art. 28 do art. 33 RODO. W tym kontekście zapewnia on w szczególności przestrzeganie następujących wytycznych:

B4.1 Zleceniobiorca przekazuje Zleceniodawcy dane kontaktowe wewnętrznego inspektora ochrony danych, o ile należy go powołać zgodnie z art. 37 RODO. Wewnętrzny inspektor ochrony danych wykonuje swoje czynności w oparciu o art. 38 i nast. RODO. Jeśli Zleceniobiorca nie jest zobowiązany do powołania inspektora ochrony danych, wtedy wskazuje Zleceniodawcy osobę kontaktową do spraw związanych z przetwarzaniem danych osobowych.

B4.2 Celem zachowania zasad poufności zgodnie z art. 28 ust. 3 zdanie 2 lit. b, a także art. 29, 32 ust. 4 RODO, Zleceniobiorca wykorzystuje do wykonania prac tylko takich pracowników, których zobowiązano do zachowania poufności i którzy zostali zapoznani z istotnymi postanowieniami w zakresie ochrony danych osobowych. Zleceniobiorca zapewnia, że pracownikom zajmującym się przetwarzaniem powierzonych danych oraz innym osobom działającym na rzecz Zleceniobiorcy nie wolno przetwarzać danych poza ramami niniejszego powierzenia przetwarzania danych.

B4.3 Zleceniobiorca wspiera Zleceniodawcę w miarę swoich możliwości przy odpowiadaniu na zapytania organów kontrolnych lub zapytania i roszczenia osób, których dane dotyczą, zgodnie z rozdziałem III RODO, art. 82 RODO oraz w zakresie przestrzegania obowiązków określonych w art. 32 do 36 RODO. Powstałe w wyniku tego uzasadnione koszty ponosi Zleceniodawca, chyba że to Zleceniobiorca jest odpowiedzialny za powstanie roszczeń, zapytań i obowiązku zgłoszenia naruszenia. Zobowiązanie Zleceniodawcy do ponoszenia kosztów nie dotyczy ponadto udostępnienia przez Zleceniodawcę informacji i dokumentów służących zapewnieniu transparentności i przejrzystości.  

B4.4 Zleceniobiorca niezwłocznie powiadomi Zleceniodawcę w przypadku poważnych zakłóceń istotnych procesów w przedsiębiorstwie lub w przypadku poważnych naruszeń dot. bezpieczeństwa powierzonych danych spowodowanych ze strony Zleceniobiorcy lub osób zatrudnionych u niego. Zleceniobiorca zawiadamia również o przypadkach naruszeń ustaleń podjętych na podstawie niniejszej umowy powierzenia, a także w przypadku zaistnienia innych nieprawidłowości w zakresie przetwarzania powierzonych danych. Zleceniobiorca podejmie niezbędne działania celem zabezpieczenia danych i zmniejszenia możliwych negatywnych skutków dla osób, których dane dotyczą.

B4.5.Zleceniobiorca poinformuje niezwłocznie Zleceniodawcę o czynnościach kontrolnych i działaniach organu nadzorującego, o ile dotyczą one niniejszego powierzenia przetwarzania danych. Powyższe obowiązuje również wtedy, gdy właściwy organ prowadzi wobec Zleceniobiorcy dochodzenie w ramach postępowania o wykroczenie lub postępowania karnego i ma ono związek z przetwarzaniem powierzonych danych osobowych.

B4.6 Jeśli Zleceniodawca podlega kontroli organu nadzorującego, jest objęty postępowaniem o wykroczenie lub postępowaniem karnym, zgłoszono wobec niego roszczenie osoby, której dane dotyczą lub osoby trzeciej lub inne roszczenie w związku z przetwarzaniem przez Zleceniobiorcę powierzonych danych, wówczas Zleceniobiorca winien go wspierać w miarę swoich najlepszych możliwości. Powstałe w wyniku tego uzasadnione koszty ponosi Zleceniodawca.

B4.7 Zleceniobiorca kontroluje regularnie wewnętrzne procesy oraz działania techniczne i organizacyjne, aby zapewnić, że przetwarzanie w zakresie jego odpowiedzialności odbywa się zgodnie z wymogami obowiązującego prawa o ochronie danych osobowych i zapewniona jest ochrona praw osób, których dane dotyczą.

C Obowiązki Zleceniodawcy

C1 Zleceniodawca („administrator danych“ w rozumieniu Art. 4 pkt. 7 RODO) odpowiada w ramach niniejszej umowy za przestrzeganie ustawowych regulacji dot. ochrony danych, w szczególności za zgodność z prawem przekazywania danych do Zleceniobiorcy i przetwarzania danych. Zleceniodawca jest w szczególności odpowiedzialny za skuteczne pozyskiwanie wymaganych zgód osób, których dane dotyczą, w ramach realizacji powierzonych czynności.

C2 Zleceniodawca winien niezwłocznie poinformować Zleceniobiorcę, jeśli w wynikach zlecenia stwierdzi błędy lub nieprawidłowości w zakresie postanowień o ochronie danych osobowych.

C3 Zleceniodawca wyznaczy i poinformuje Zleceniobiorcę o osobie kontaktowej w zakresie opracowywania pytań dot. ochrony danych w ramach niniejszej umowy powierzenia.

D Podwykonawcy i podpowierzenie danych

D1 Usługi podwykonawcze to takie usługi, do których wykonania Zleceniobiorca angażuje dalszych zleceniobiorców (podwykonawców) celem realizacji całości lub części świadczeń uzgodnionych w umowie głównej.

D1.1 Nie należą do nich dodatkowe, poboczne świadczenia, z których korzysta Zleceniobiorca jak np. usługi telekomunikacyjne, pocztowe, transportowe, konserwacja i serwis oraz utylizacja nośników danych i inne działania zapewniające poufność, integralność, dostępność i możliwość użytkowania sprzętu i oprogramowania służącego do przetwarzania danych – chyba że podwykonawca w toku tych czynności może uzyskać dostęp do danych osobowych. Jednakże także wtedy, gdy podwykonawcy nie uzyskują dostępu do danych osobowych, Zleceniobiorca – w celu zagwarantowania ochrony i bezpieczeństwa zgromadzonych danych – zobowiązany jest do zawarcia odpowiednich i zgodnych z prawem porozumień, a także do podjęcia odpowiednich działań kontrolnych.

D2 Zleceniobiorca może udzielać zleceń podwykonawcom („podpowierzenie danych”) tylko po uprzednim wyraźnym udzieleniu pisemnej, względnie udokumentowanej zgody przez Zleceniodawcę.

D2.1 Zleceniodawca wyraża zgodę na dalsze powierzenie danych (tzw. podpowierzenie) podwykonawcom wymienionym w załączniku nr 3 („Appendix 3”) – pod warunkiem zawarcia między Zleceniobiorcą, a danym podwykonawcą umowy podpowierzenia przetwarzania danych, która nakłada na podwykonawcę na podstawie umowy lub innego instrumentu prawnego, podlegającego prawu Unii lub prawu danego państwa członkowskiego – takie same obowiązki w zakresie ochrony danych jak te, które na podstawie umowy lub innego instrumentu prawnego (art. 28 ust. 3 RODO) wiążą podmiot przetwarzający i administratora danych.

D2.2 Przeniesienie dalszego powierzenia (podpowierzenia) na kolejne podmioty lub zmiana aktualnych podwykonawców są dopuszczalne wyłącznie, jeśli:

  • Zleceniobiorca pisemnie lub w formie tekstowej zgłosi Zleceniodawcy takie przeniesienie na podwykonawcę z 30 dniowym wyprzedzeniem;
  • Zleceniodawca do momentu przekazania danych nie zgłosi wobec Zleceniobiorcy pisemnie lub w formie tekstowej sprzeciwu odnośnie planowanego przeniesienia oraz;
  • Zostanie zawarte umowne porozumienie zgodnie z art. 28 ust. 2-4 RODO. Odpowiednio zastosowanie znajduje pkt. D2.1.

D2.3 Jeśli w powyższym okresie nie zostanie wniesiony sprzeciw, uznaje się, że zgoda na zmianę podwykonawcy została udzielona. Jeśli zostanie zgłoszony sprzeciw, a strony nie będą mogły dojść do porozumienia, wówczas stronom do momentu dalszego powierzenia danych podwykonawcy przyznane zostaje szczególne prawo do wypowiedzenia umowy głównej bez zachowania okresu wypowiedzenia.

D2.4 Przekazanie danych osobowych Zleceniodawcy do podwykonawcy i podjęcie przez niego pierwszych czynności możliwe są dopiero wtedy, gdy spełnione będą warunki udzielenia podzlecenia (dalszego powierzenia danych).

D3 Jeśli podwykonawca wykonuje uzgodnioną usługę poza terytorium Unii Europejskiej/ Europejskiego Obszaru Gospodarczego, wówczas obowiązują dodatkowe wymogi określone w ust. E. Wymogi te znajdują również zastosowanie w sytuacji, gdy w przetwarzanie danych zaangażowani mają zostać usługodawcy w rozumieniu ust. D1.1 zdanie 2.

E Miejsce przetwarzania

E1 Gromadzenie, przetwarzanie lub wykorzystywanie danych przez Zleceniobiorcę odbywa się wyłącznie w kraju członkowskim Unii Europejskiej lub innym państwie będącym stroną Porozumienia o Europejskim Obszarze Gospodarczym.

E2 W poszczególnych przypadkach Zleceniobiorca może od tego odstąpić, jeśli zapewnił, że przekazanie danych (ich podpowierzenie) do krajów trzecich odbywać będzie się z zapewnieniem niezbędnych środków ochrony określonych w art. 44 i kolejnych RODO. Postanowienia pkt. D2.1. i D2.2 znajdują odpowiednio zastosowanie.     

F Prawa Zleceniodawcy do kontroli

F1 Zleceniobiorca potwierdza Zleceniodawcy przestrzeganie obowiązków określonych w niniejszej umowie i stosowanie odpowiednich środków ochrony bezpieczeństwa danych.

F2 Środki ochrony, które nie dotyczą tylko procesów przetwarzania w ramach niniejszego powierzenia przetwarzania danych, mogą według wyboru Zleceniobiorcy zostać potwierdzone przez:

F2.1 Przeprowadzenie wewnętrznego audytu;

F2.2 Wewnątrzzakładowe zasady postępowania wraz z zewnętrznym potwierdzeniem ich przestrzegania;

F2.3 Przestrzeganie zatwierdzonych zasad postępowania zgodnie z art. 40 RODO;

F2.4 Certyfikacje zgodnie z zatwierdzoną procedurą certyfikowania na podstawie art. 42 RODO;

F2.5 Aktualną opinie, raporty lub wyciągi z raportów niezależnych podmiotów (np. biegłych rewidentów, inspektora ochrony danych, działu bezpieczeństwa IT, kontroli ksiąg, audytorów ochrony danych osobowych, audytorów jakości);

F2.6 Stosowny certyfikat uzyskany w wyniku audytu bezpieczeństwa informatycznego lub audytu bezpieczeństwa danych osobowych (np. zgodnie z zakresem ochrony podstawowej BSI [Federalnego Urzędu Bezpieczeństwa Techniki Informatycznej]).

F3 Jeżeli w konkretnym przypadku, konieczne byłoby przeprowadzenie inspekcji (kontroli) przez Zleceniodawcę lub wyznaczonego przez niego audytora, gdyż środki ochrony bezpieczeństwa danych wykazane na podstawie pkt. F1 i F2 nie byłyby wystarczające, kontrole takie powinny być przeprowadzane po uprzednim ich zapowiedzeniu, w normalnych godzinach pracy i bez zakłócania działalności gospodarczej Zleceniobiorcy. W przypadku, gdy audytor wyznaczony przez Zleceniodawcę pozostaje w stosunku konkurencyjnym z Zleceniobiorcą, Zleceniobiorcy przysługuje prawo sprzeciwienia się takiemu wyznaczeniu audytora.

G Usuwanie i zwrot danych osobowych

G1 Bez wiedzy Zleceniodawcy nie będą sporządzane kopie ani duplikaty danych. Nie dotyczy to kopii zapasowych, o ile są one niezbędne do zagwarantowania prawidłowego przetwarzania danych, a także danych, które są niezbędne do realizacji ustawowych obowiązków w zakresie przechowywania.

G2 Po rozwiązaniu lub zakończeniu okresu obowiązywania umowy głównej lub wcześniej na żądanie Zleceniodawcy – Zleceniobiorca powinien przekazać Zleceniodawcy będące w jego posiadaniu wszelkie dokumenty, wyniki dotyczące przetwarzania oraz związane z powierzeniem zbiory danych lub dokonać ich zniszczenia zgodnie z przepisami o ochronie danych – jeśli zgodnie z prawem unijnym lub stosowanym prawem państw członkowskich nie istnieje obowiązek sprawozdawczy wymagający przechowywania określonego rodzaju informacji (danych osobowych). Powyższe znajduje zastosowanie także w zakresie materiałów testowych. Protokół usunięcia należy okazać na żądanie. 

G3 Dokumentacje służące wykazaniu poprawności i zgodności z zasadami przetwarzania danych będą przechowywane przez Zleceniobiorcę zgodnie z obowiązującymi okresami przechowywania wykraczającymi poza czas trwania umowy głównej. W celu zwolnienia z tego obowiązku Zleceniobiorca może je przekazać Zleceniodawcy po zakończeniu obowiązywania umowy.

G4 Jeśli w wyniku odmiennych wytycznych Zleceniodawcy przy wydaniu lub usuwaniu danych powstaną dodatkowe koszty, wówczas ponosi je Zleceniodawca.

H Odpowiedzialność i odszkodowanie

H1 Zleceniodawca i Zleceniobiorca ponoszą odpowiedzialność wobec osoby, której dane dotyczą – zgodnie z zasadami określonymi w art. 82 RODO – również gdy stanowi to odstępstwo od uzgodnionych w umowie głównej zasad odpowiedzialności.

I Obowiązki informacyjne, forma pisemna i wybór prawa

I1 W przypadku zaistnienia dla danych powierzonych Zleceniobiorcy przez Zleceniodawcę zagrożeń lub ryzyk powstałych w wyniku dokonania zastawu lub zajęcia, postępowania upadłościowego lub ugodowego bądź w konsekwencji innych zdarzeń, czy działań osób trzecich, Zleceniobiorca niezwłocznie powinien zawiadomić o takich zagrożeniach Zleceniodawcę. W związku z powyższym Zleceniobiorca poinformuje również poszczególnych administratorów danych, że władztwo i prawo własności do danych przysługują wyłącznie Zleceniodawcy jako „administratorowi tych danych” w rozumieniu unijnego rozporządzenia o ochronie danych osobowych (RODO).

I2 Zmiany i uzupełnienia niniejszego załącznika i wszystkich jego części – wraz z ewentualnymi zapewnieniami Zleceniobiorcy – wymagają pisemnego porozumienia, które może zostać dokonane również w formie elektronicznej (tekstowej), a także wyraźnego wskazania na to, że chodzi o zmianę lub uzupełnienie niniejszych warunków. Dotyczy to również rezygnacji z wymogu zachowania tej formy.

I3 W przypadku sprzeczności – w kwestiach dotyczących ochrony danych regulacje niniejszego załącznika mają pierwszeństwo przed regulacjami umowy głównej.

 


 


Czy ten artykuł był pomocny?

Liczba użytkowników, którzy uważają ten artykuł za przydatny: 0 z 0