Umowa Przetwarzania Danych Osobowych (z dnia 19 listopada 2024)

Umowa Przetwarzania Danych Osobowych (dalej jako “Umowa”)

Niniejsza umowa zostaje zawarta pomiędzy spółką z grupy IDH Media, wskazaną w Umowie Ramowej (dalej „Podmiot Przetwarzający”), a Klientem wymienionym w Umowie Ramowej (dalej „Administrator”).

1. DEFINICJE

Na potrzeby niniejszej umowy Administrator i Podmiot Przetwarzający zgadzają się, że terminy wymienione poniżej będą miały następujące znaczenie:

1. Dane osobowe – oznaczają dane w rozumieniu art. 4 ust. (1) Rozporządzenia 2016/679, tj. wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

2. Przetwarzanie Danych Osobowych – oznacza każdą operację lub zestaw operacji wykonywanych na Danych Osobowych lub zestawach Danych Osobowych, niezależnie od tego, czy w sposób zautomatyzowany, takie jak zbieranie, rejestrowanie, organizowanie, strukturyzacja, przechowywanie, adaptacja lub modyfikacja, pobieranie, konsultowanie, wykorzystywanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie w rozumieniu art. 4 ust. (2) rozporządzenia 2016/679;

3. Umowa – oznacza niniejszą umowę;

4. Umowa ramowa – oznacza umowę na realizację usług przez Podmiot Przetwarzający

5. Rozporządzenie 2016/679 – oznacza rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119 z 4.05.2016, s. 1).

Mając na uwadze, że:

1. Strony są podmiotami prowadzącymi działalność gospodarczą;

2. Strony współpracują w ramach prowadzonej działalności gospodarczej w oparciu o zawartą Umowę Ramową;

3. Strony mają na celu zapewnienie zgodności prowadzonej przez siebie działalności gospodarczej z wymogami przepisów o ochronie danych osobowych;

4. Z charakteru działalności prowadzonej przez Strony wynika konieczność przetwarzania danych osobowych;

2. OŚWIADCZENIA STRON

Strony oświadczają, co następuje:

1. Strony oświadczają, że niniejsza Umowa została podpisana w celu wypełnienia obowiązków, o których mowa w art. 28 rozporządzenia 2016/679 w związku z podpisaniem Umowy ramowej;

2. Administrator oświadcza, że ​​jest administratorem Danych Osobowych w rozumieniu art. 4 ust. (7) Rozporządzenia 2016/679, tj. podmiotem, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania Danych Osobowych przekazywanych Podmiotowi Przetwarzającemu w celu realizacji jego usług.

3. Podmiot Przetwarzający oświadcza, że ​​jest Podmiotem Przetwarzającym w rozumieniu art. 4 ust. (8) Rozporządzenia 2016/679 na mocy Umowy, co oznacza, że Podmiot ​​Przetwarzający ma przetwarzać Dane Osobowe w imieniu Administratora.

3. PRZEDMIOT I CZAS PRZETWARZANIA

1. Administrator powierza Dane Osobowe Podmiotowi Przetwarzającemu do przetwarzania, a Podmiot Przetwarzający zobowiązuje się przetwarzać je zgodnie z prawem i postanowieniami niniejszej Umowy.

2. Niniejsza Umowa zostaje zawarta na czas trwania Umowy Ramowej i wykonania wszystkich zobowiązań wynikających z niniejszej Umowy.

4. CEL I PODSTAWOWE ZASADY PRZETWARZANIA

1. Podmiot Przetwarzający może przetwarzać Dane osobowe wyłącznie w zakresie i celu przewidzianym w Umowie ramowej.

2. Celem powierzenia przetwarzania Danych osobowych jest przetwarzanie danych na rzecz Administratora w celu realizacji usług określonych w Umowie ramowej. Charakter powierzonego przetwarzania Danych osobowych stanowią operacje lub zestawy operacji, tj.

  • Pozyskiwanie:

    • danych osobowych (imię, nazwisko, nazwa użytkownika/link do profilu na platformach socialowych);
    • danych kontaktowych od osób rejestrujących się do platformy/usługi SaaS (głównie e mail, telefon);
    • danych adresowych od osób rejestrujących się do platformy/usługi SaaS
    • niezbędnych danych do realizacji płatności za wykonaną usługę;

  • Wyszukiwanie danych osobowych, kontaktowych i adresowych kreatorów;
  • Komunikacja z użytkownikami w oparciu o dane kontaktowe w celu zaproszenia do i/lub realizacji kampanii influencer marketingowej;
  • Organizacja wysyłek produktowych do kreatorów przy użyciu danych adresowych
  • Realizacja płatności za usługę;
  • Przetwarzanie danych statystycznych kreatora z platform socialowych oraz danych statystycznych jego publikacji w oparciu o nazwę użytkownika na platformach socialowych.

3. W ramach operacji przetwarzania danych przetwarzane będą następujące rodzaje danych osobowych: Imię i Nazwisko, nazwa użytkownika na platformach socialowych, email, telefon, adres, dane niezbędne do realizacji płatności za wykonaną usługę.

Rodzaj Danych osobowych przetwarzanych na mocy niniejszej Umowy nie mieści się w szczególnych kategoriach danych osobowych, o których mowa w art. 9 ust. (1) Rozporządzenia 2016/679 / mieści się również w szczególnych kategoriach danych osobowych, o których mowa w art. 9 ust. (1) Rozporządzenia 2016/679.

4. Zakres Danych Osobowych przetwarzanych przez Podmiot Przetwarzający na mocy niniejszej Umowy obejmuje następujące kategorie osób, których dane dotyczą: pracownicy Administratora, współpracownicy Administratora oraz dane osobowe osób wpływowych (inflencerów) przekazywanych przez Administratora.

5. Podmiot Przetwarzający będzie przetwarzał Dane Osobowe wyłącznie na podstawie udokumentowanych instrukcji od Administratora.

6. Podmiot Przetwarzający Dane Osobowe, będzie przestrzegał zasad określonych w niniejszej Umowie oraz w Rozporządzeniu 2016/679.

7. Podwykonawca może przetwarzać dane osobowe zarówno w formie papierowej, jak i elektronicznej, przy zachowaniu środków bezpieczeństwa obowiązujących u Administratora.

5. SZCZEGÓŁOWE ZASADY POWIERZANIA PRZETWARZANIA

1. Przed rozpoczęciem przetwarzania Danych Osobowych Podmiot Przetwarzający musi podjąć środki zabezpieczające Dane Osobowe, o których mowa w artykule 32 RODO, w szczególności:

  1. biorąc pod uwagę stan wiedzy technicznej, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, Podmiot przetwarzający wdraża środki techniczne i organizacyjne gwarantujące ochronę przetwarzanych Danych Osobowych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka. Podmiot przetwarzający odpowiednio dokumentuje wdrożenie tych środków, a także aktualizuje te środki w porozumieniu z administratorem;
  2. zapewnia, że ​​każda osoba fizyczna działająca z upoważnienia Podmiotu Przetwarzającego, która ma dostęp do danych osobowych, nie przetwarza ich inaczej niż na polecenie administratora w celach i zakresie przewidzianym w Umowie;
  3. prowadzi rejestr wszystkich kategorii czynności przetwarzania wykonywanych w imieniu Administratora, o których mowa w art. 30 ust. (2) Rozporządzenia 2016/679, i udostępnia rejestr Administratorowi na żądanie, chyba że Podmiot Przetwarzający jest zwolniony z tego obowiązku na mocy art. 30 ust. (5) Rozporządzenia 2016/679. 2. Podmiot Przetwarzający zapewni, że osoby mające dostęp do przetwarzania Danych Osobowych zachowają w tajemnicy Dane Osobowe i metody zabezpieczania Danych Osobowych, przy czym obowiązek zachowania poufności będzie obowiązywał do zakończenia realizacji Umowy i rozwiązania stosunku pracy z Podmiotem Przetwarzającym. W tym celu Podmiot Przetwarzający zezwoli na przetwarzanie danych wyłącznie osobom, które podpisały umowę o zachowaniu w tajemnicy Danych Osobowych i metod zabezpieczania Danych Osobowych. / Podmiot Przetwarzający zobowiązuje się zachować w tajemnicy przetwarzane Dane Osobowe i metody zabezpieczania przetwarzanych Danych Osobowych, przy czym obowiązek zachowania poufności będzie obowiązywał do zakończenia realizacji Umowy.

2. Obowiązki Administratora

  1. Administrator zobowiązuje się do zapewniania należytych standardów ochrony danych osobowych. W szczególności Administrator zobowiązuje się do pełnej współpracy z organami nadzoru właściwymi do spraw ochrony danych osobowych.
  2. Administrator zapewnia, że posiada należyte, wymagane przez prawo podstawy przetwarzania powierzanych Podwykonawcy danych osobowych.
  3. IndaHash zapewnia, że działając w roli podmiotu przetwarzającego posiada należyte upoważnienie administratora danych do przekazania danych Podwykonawcy.
  4. Administrator zobowiązuje się wspierać Podwykonawcę w sprawach związanych z realizacją uprawnień osób, których dane dotyczą.

6. DALSZE OBOWIĄZKI PODMIOTU PRZETWARZAJĄCEGO

1. Administrator pomoże Podmiotowi Przetwarzającemu w wypełnianiu obowiązków określonych w artykułach 32–36 Rozporządzenia 2016/679; w szczególności Podmiot przetwarzający zobowiązuje się powiadomić Administratora i wykonać polecenia Administratora dotyczące zastosowanych zabezpieczeń Danych Osobowych i naruszeń Danych Osobowych w ciągu 24 godzin od momentu dowiedzenia się o naruszeniu danych osobowych.

2. Podmiot Przetwarzający zobowiązuje się do pomocy Administratorowi, poprzez odpowiednie środki techniczne i organizacyjne, w wypełnianiu obowiązku odpowiadania na żądania osób, których dane dotyczą, dotyczące wykonywania ich praw określonych w artykułach 15–22 Rozporządzenia 2016/679, a w szczególności Podmiot Przetwarzający zobowiązuje się do powiadomienia Administratora o żądaniu złożonym przez osobę, której dane dotyczą, w terminie 3 dni od otrzymania żądania.

3. Podmiot Przetwarzający w momencie uzyskania Danych osobowych przekazuje osobie, której dane dotyczą, wszystkie informacje, o których mowa w artykule 13 Rozporządzenia 2016/679 w imieniu Administrator. Treść i forma klauzuli informacyjnej przekazanej przez Podmiot Przetwarzający w imieniu Podmiotu Przetwarzającego zostaną ustalone między Stronami przed zebraniem Danych Osobowych.

4. Podmiot Przetwarzający zobowiązuje się do przestrzegania wszelkich instrukcji lub zaleceń wydanych przez organ nadzorczy lub organ doradczy UE zajmujący się ochroną danych osobowych w związku z przetwarzaniem danych osobowych, w szczególności w zakresie stosowania Rozporządzenia 2016/679.

5. Podmiot Przetwarzający zobowiązuje się do niezwłocznego powiadomienia Podmiotu Przetwarzającego o wszelkich postępowaniach, w szczególności postępowaniach administracyjnych lub sądowych dotyczących przetwarzania powierzonych Danych Osobowych przez Podmiot Przetwarzający lub o wszelkich decyzjach administracyjnych lub orzeczeniach dotyczących przetwarzania powierzonych Danych Osobowych skierowanych do Podmiotu Przetwarzającego, a także o wszelkich audytach i kontrolach dotyczących przetwarzania powierzonych Danych Osobowych przez Podmiot Przetwarzający, w szczególności przeprowadzanych przez organ nadzorczy.

6. Podwykonawca zobowiązuje się przestrzegać wskazanego przez Administratora zakresu przetwarzania powierzonych danych, w szczególności zachowania celu przetwarzania, sposobu oraz zasad przetwarzania.

7. Podwykonawca zobowiązuje się dołożyć najwyższej staranności przy przetwarzaniu powierzonych danych osobowych, w szczególności zobowiązuje się do zachowania wysokich technicznych standardów bezpieczeństwa IT, przy pomocy metod takich jak szyfrowanie, pseudonimizacja, czy uwierzytelnianie wielopoziomowe.

8. Podwykonawca zobowiązuje się wspomagać w niezbędnym zakresie Administratora w wywiązywaniu się przez Administratora z obowiązku odpowiadania na żądania osób, których dane dotyczą, jak również w wywiązywaniu z obowiązków wynikających w art. 32-36 RODO.

9. Podwykonawca zobowiązuje się do przestrzegania postanowień niniejszej Umowy dotyczących dalszego powierzania przetwarzania danych osobowych.

10. Podwykonawca zobowiązuje się do nadania odpowiednich upoważnień do przetwarzania danych osobowych wszystkim osobom działającym z upoważnienia Podwykonawcy, które będą miały dostęp do powierzonych danych w związku z realizacją niniejszej Umowy.

11. Podwykonawca oświadcza i zapewnia, że osoby, o których mowa w punkcie 10 powyżej, zostaną należycie zobowiązane lub zobowiążą się do zachowania w tajemnicy wszelkich danych osobowych, do których uzyskają dostęp, zarówno w czasie trwania stosunku zatrudnienia u Podwykonawcy lub świadczenia usług na jego rzecz, jak również po jego wygaśnięciu.

12. Podwykonawca zobowiązuje się wspomagać Administratora w realizacji uprawnień osób, których dane dotyczą.

13. Podwykonawca udziela wsparcia Administratorowi w przypadku wystąpienia urzędowej kontroli, w szczególności w zakresie umożliwienia sprawnego przeprowadzenia postępowania administracyjnego i udostępnienia informacji niezbędnych do wyjaśnienia pytań i wykazania należytej staranności w ochronie danych osobowych przez Administratora (w tym także zespół stałych podwykonawców Administratora) i Podwykonawcę.

14. Podwykonawca udziela Administratorowi wsparcia, informacji i dokumentów niezbędnych do obrony przed roszczeniami osób trzecich (w tym osób, których dane dotyczą) lub potencjalnych kar mogących obciążać Administratora z tytułu naruszenia zasad ochrony danych osobowych.

15. Podwykonawca zobowiązuje się wspierać Administratora w niezbędnym zakresie w realizowaniu poleceń Administratora danych osobowych, w sytuacji, w której Indahash występuje w roli Podmiotu Przetwarzającego.

16. W przypadku wykrycia lub wystąpienia podejrzenia naruszenia lub wykrytego naruszenia bezpieczeństwa danych osobowych Podwykonawca niezwłocznie, lecz nie później niż w terminie [12] godzin informuje Podmiot Przetwarzający o takiej okoliczności. Podwykonawca w szczególności wskazuje, o ile to możliwe, na rodzaj i zakres naruszenia, jego lokalizację, kategorie i zakres danych dotkniętych naruszeniem oraz kategorie osób, których dotyczyły dane, których bezpieczeństwo zostało naruszone.

17. Podwykonawca zobowiązuje się do zachowania poufności wszelkich informacji przekazanych przez Administratora w związku z niniejszą Umową, w szczególności w odniesieniu do danych osobowych powierzonych mu do przetwarzania. Przekazanie lub ujawnienie tych informacji może nastąpić jedynie za pisemną zgodą lub na pisemne polecenie Administratora, chyba że obowiązek taki wynika z przepisów prawa. Podwykonawca niezwłocznie poinformuje Administratora o okolicznościach wynikających z przepisów prawa, na podstawie których uchylony zostaje obowiązek dochowania poufności informacji.

18. Podwykonawca ma obowiązek realizować polecenia Administratora odnośnie do przetwarzania danych osobowych, w szczególności polecenia zwrotu, usunięcia i modyfikacji danych.

7. PODZLECANIE PRZETWARZANIA

1. Podmiot Przetwarzający nie angażuje innego podmiotu przetwarzającego (podpodmiotu przetwarzającego). / Administrator przewiduje możliwość powierzenia przetwarzania powierzonych Danych Osobowych podwykonawcom Podmiotowi Przetwarzającego. W przypadku gdy Podmiot Przetwarzający zamierza powierzyć przetwarzanie Danych Osobowych podwykonawcom Podmiotu Przetwarzającego, musi on uprzednio powiadomić Administratora o zamiarze powierzenia oraz o tożsamości (nazwie) podmiotu, któremu Podmiot Przetwarzający zamierza powierzyć Przetwarzanie Danych Osobowych, a także o charakterze podwykonawstwa, zakresie danych i czasie trwania podwykonawstwa. O ile Administrator nie sprzeciwi się podwykonawstwu przetwarzania danych osobowych w ciągu 7 dni od otrzymania powiadomienia, Podmiot Przetwarzający będzie uprawniony do kontynuowania takiego podwykonawstwa.

2. W przypadku podwykonawstwa przetwarzania Danych Osobowych, podwykonawstwo przetwarzania będzie oparte na umowie, na mocy której podwykonawca zobowiązuje się do wypełnienia tych samych obowiązków, które są obecnie nałożone na Podmiot Przetwarzający na mocy niniejszej Umowy. Umowa zostanie podpisana w tej samej formie, co niniejsza Umowa.

3. Kontroler będzie posiadał uprawnienia wynikające z umowy podwykonawczej bezpośrednio w odniesieniu do podprocesora. Podmiot Przetwarzający powiadomi Kontrolera o rozwiązaniu umowy podwykonawczej w ciągu 3 dni od takiego rozwiązania.

4. Podmiot Przetwarzający zapewni, że podprocesorzy, którym zlecono przetwarzanie danych, stosują co najmniej poziom ochrony Danych Osobowych równoważny temu stosowanemu przez Przetwarzającego.

5. W przypadku, gdy podprocesorzy, którym zlecono przetwarzanie Danych Osobowych, nie wywiążą się ze swoich obowiązków w zakresie ochrony danych, Podmiot Przetwarzający będzie ponosił pełną odpowiedzialność wobec Kontrolera za wykonanie obowiązków podprocesorów.

8. AUDYT PODMIOTU PRZETWARZAJĄCEGO

1. Kontroler ma prawo zweryfikować zgodność Podmiotu Przetwarzającego z zasadami przetwarzania Danych Osobowych wynikającymi z Rozporządzenia 2016/679 i niniejszej Umowy, korzystając ze swojego prawa do żądania dostarczenia wszelkich informacji dotyczących powierzonych Danych Osobowych.

2. Administrator ma również prawo przeprowadzać audyty lub inspekcje Podmiotu Przetwarzającego w zakresie zgodności operacji przetwarzania z prawem i Umową. Audyty lub inspekcje, o których mowa w zdaniu poprzednim, mogą być przeprowadzane przez osoby trzecie upoważnione przez Administratora.

3. Podmiot Przetwarzający zobowiązuje się do niezwłocznego powiadomienia Administratora, jeżeli, według jego opinii, jakiekolwiek polecenie wydane Podmiotowi Przetwarzającemu stanowi naruszenie Rozporządzenia 2016/679 lub innych przepisów regulujących ochronę danych.

4. Przeprowadzając kontrolę Administrator będzie dążył do ustalenia poziomu zgodności działań Podwykonawcy z przepisami prawa oraz postanowieniami niniejszej Umowy.

5. Administrator zobowiązany jest poinformować Podwykonawcę o zamiarze przeprowadzenia kontroli z [7-dniowym] wyprzedzeniem.

6. Administrator przeprowadza kontrolę w godzinach pracy Podwykonawcy.

7. Jeżeli kontrola wykaże uchybienia po stronie Podwykonawcy w zakresie ochrony danych osobowych, ma on obowiązek usunąć wspomniane uchybienia w terminie [7 dni] od powzięcia informacji o tym, na czym polega uchybienie. W szczególnie uzasadnionych przypadkach Podwykonawca może wnioskować do Administratora o wydłużenie terminu na usunięcie uchybienia. W razie niewywiązania się przez Podwykonawcę z obowiązku usunięcia uchybienia Administratorowi przysługuje prawo rozwiązania Umowy Głównej z Podwykonawcą bez zachowania wskazanego w Umowie Głównej okresu wypowiedzenia.

9. ODPOWIEDZIALNOŚĆ STRON

1. Podmiot Przetwarzający ponosi odpowiedzialność za wszelkie szkody poniesione przez Administratora lub osoby trzecie w wyniku przetwarzania Danych Osobowych przez Podmiot Przetwarzający z naruszeniem niniejszej Umowy.

2. W przypadku niewykonania lub nienależytego wykonania niniejszej Umowy przez Podmiot Przetwarzający, zobowiązuje się on do zapłaty odszkodowania na zasadach ogólnych prawa cywilnego.

10. ZAKOŃCZENIE POWIERZENIA PRZETWARZANIA

1. Na wniosek Kontrolera, Podmiot Przetwarzający usuwa lub zwraca Kontrolerowi wszystkie dane osobowe po zakończeniu świadczenia usług związanych z przetwarzaniem, a także usuwa ich istniejące kopie.

2. W momencie wygaśnięcia Umowy Głównej Podwykonawca zobowiązany jest przekazać Administratorowi wszelkie dane będące przedmiotem niniejszej Umowy oraz usunąć wszelkie ich kopie znajdujące się w jego posiadaniu, w tym kopie na urządzeniach elektronicznych, chyba że IndaHash poleci inaczej.

3. Podwykonawca zobowiązany jest do usunięcia wszystkich kont dostępu do internetowych baz danych, chyba że IndaHash poleci inaczej.

4. Podwykonawca jest zobowiązany odszyfrować wszelkie nośniki danych zwracane Administratorowi po usunięciu danych, chyba że Administrator poleci inaczej.

5. Polecenie, o którym mowa w punktach 1 – 3 Administrator wydaje na piśmie, najpóźniej do dnia poprzedzającego wygaśnięcie Umowy Głównej.

11. POSTANOWIENIA KOŃCOWE

1. Niniejsza Umowa wchodzi w życie z dniem jej podpisania.

2. Wszelkie zmiany niniejszej Umowy muszą być dokonane w formie pisemnej pod rygorem nieważności.

3. Spory powstałe w związku z wykonywaniem niniejszej Umowy rozstrzyga sąd właściwy dla siedziby Administratora.

4. Umowę sporządza się w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.