Umowa Powierzenia Przetwarzania Danych Osobowych

Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (dalej: „Umowa" lub „DPA") zostaje zawarta pomiędzy:

a

łącznie zwanymi „Stronami".

§1. Przedmiot i cel Umowy

1. Administrator Danych powierza Procesorowi, w trybie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (dalej: „RODO"), przetwarzanie danych osobowych.

2. Celem przetwarzania jest umożliwienie Administratorowi Danych korzystania z funkcjonalności Aplikacji Feldi, w szczególności zarządzania zleceniami, pracownikami i klientami, zgodnie z Umową Główną.

3. Procesor zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą Umową, RODO oraz innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.

§2. Czas trwania, charakter, zakres i kategorie danych

1. Czas trwania: Umowa zostaje zawarta na czas obowiązywania Umowy Głównej.

2. Charakter i cel przetwarzania: Przetwarzanie ma charakter zautomatyzowany i ciągły. Polega na operacjach takich jak zbieranie, utrwalanie, przechowywanie, pobieranie, przeglądanie, wykorzystywanie i usuwanie danych w systemach informatycznych Procesora w celu świadczenia usługi SaaS opisanej w Umowie Głównej.

3. Rodzaj i zakres powierzanych danych osobowych:

• a) Dane klientów Administratora Danych: imię, nazwisko, adres (np. instalacji), numer telefonu, adres e-mail, dane dotyczące zlecenia (w tym opisy, zdjęcia i inne załączniki).
• b) Dane pracowników Administratora Danych: imię, nazwisko, adres e-mail, numer telefonu (jeśli dotyczy).

4. Kategorie osób, których dane dotyczą:

• a) Klienci (osoby fizyczne) Administratora Danych.
• b) Pracownicy i współpracownicy Administratora Danych.

§3. Obowiązki Podmiotu Przetwarzającego (Procesora)

Procesor oświadcza i zobowiązuje się, że:

1. Przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora Danych, którym jest korzystanie z Aplikacji Feldi zgodnie z jej przeznaczeniem i Umową Główną.

2. Zapewnia, aby osoby upoważnione przez niego do przetwarzania danych osobowych (np. pracownicy, współpracownicy) zobowiązały się do zachowania tajemnicy lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.

3. Wdraża i stosuje odpowiednie środki techniczne i organizacyjne wymagane przez art. 32 RODO, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych. Środki te obejmują w szczególności:

• a) Szyfrowanie połączeń (protokół HTTPS).
• b) Zabezpieczenie haseł za pomocą funkcji skrótu (hashowanie).
• c) Regularne tworzenie kopii zapasowych.
• d) Kontrolę dostępu do danych na poziomie fizycznym i logicznym.
• e) Zapewnienie zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania.

4. Biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga Administratorowi Danych poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO (np. poprzez udostępnienie w Aplikacji funkcji do edycji i usuwania danych).

5. Pomaga Administratorowi Danych wywiązać się z obowiązków określonych w art. 32–36 RODO, w tym zgłasza Administratorowi Danych każde naruszenie ochrony danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 48 godzin od jego stwierdzenia.

6. Po zakończeniu świadczenia usług związanych z przetwarzaniem, w zależności od decyzji Administratora Danych, usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. Domyślnie, jeśli Administrator Danych nie postanowi inaczej, dane zostaną bezpowrotnie usunięte w terminie 60 dni od dnia rozwiązania Umowy Głównej.

7. Udostępnia Administratorowi Danych wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwia Administratorowi Danych lub audytorowi upoważnionemu przez Administratora Danych przeprowadzanie audytów, w tym inspekcji. Strony ustalają, że audyty będą realizowane w pierwszej kolejności poprzez udostępnienie przez Procesora odpowiednich certyfikatów, raportów lub odpowiedzi na kwestionariusz bezpieczeństwa. Audyt w formie inspekcji jest możliwy w przypadku uzasadnionego podejrzenia istotnego naruszenia bezpieczeństwa, w terminie uzgodnionym przez Strony, a jego koszty pokrywa Administrator Danych.

§4. Dalsze powierzenie przetwarzania (Podprocesory)

1. Administrator Danych wyraża ogólną zgodę na korzystanie przez Procesora z usług innych podmiotów przetwarzających („Dalsi Procesorzy") w celu świadczenia usługi.

2. Lista Dalszych Procesorów oraz cel ich wykorzystania jest dostępna w Polityce Prywatności Aplikacji Feldi. Na dzień zawarcia niniejszej Umowy są to m.in.:

• a) Google Firebase / Supabase: Infrastruktura hostingowa, baza danych.
• b) MailerSend: Wysyłka powiadomień e-mail.
• c) Stripe: Obsługa płatności.

3. Procesor poinformuje Administratora Danych o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia Dalszych Procesorów, co najmniej 7 dni przed planowaną zmianą, dając Administratorowi Danych możliwość wyrażenia sprzeciwu. Sprzeciw powinien być uzasadniony i może stanowić podstawę do rozwiązania Umowy Głównej.

4. Procesor zapewnia, że Dalsi Procesorzy, którym powierzy przetwarzanie danych, zostaną zobowiązani do przestrzegania co najmniej tych samych gwarancji i obowiązków ochrony danych, jakie zostały nałożone na Procesora w niniejszej Umowie.

5. Jeżeli Dalszy Procesor ma siedzibę poza Europejskim Obszarem Gospodarczym (EOG), Procesor zapewni odpowiedni mechanizm legalizujący transfer danych, taki jak Standardowe Klauzule Umowne lub decyzja Komisji Europejskiej o odpowiednim stopniu ochrony (np. Data Privacy Framework).

§5. Odpowiedzialność Stron

1. Procesor ponosi odpowiedzialność za przetwarzanie danych niezgodnie z niniejszą Umową.

2. Procesor jest odpowiedzialny za działania i zaniechania Dalszych Procesorów jak za własne.

3. Odpowiedzialność odszkodowawcza Procesora z tytułu niewykonania lub nienależytego wykonania niniejszej Umowy jest ograniczona do wysokości ostatniego abonamentu zapłaconego przez Klienta, zgodnie z postanowieniami Regulaminu. Ograniczenie to nie dotyczy szkód wyrządzonych z winy umyślnej.

4. Administrator Danych jest w pełni odpowiedzialny za legalność przetwarzania danych osobowych, które powierza Procesorowi, w tym za posiadanie odpowiedniej podstawy prawnej oraz realizację obowiązku informacyjnego wobec osób, których dane dotyczą.

§6. Postanowienia końcowe

1. W sprawach nieuregulowanych niniejszą Umową zastosowanie mają przepisy RODO oraz prawa polskiego.

2. Sądem właściwym do rozstrzygania sporów wynikających z Umowy jest sąd właściwy miejscowo dla siedziby Procesora.

3. Umowa stanowi całość porozumienia Stron w zakresie powierzenia przetwarzania danych i zastępuje wszelkie wcześniejsze ustalenia w tym przedmiocie.

4. Umowa wchodzi w życie z chwilą akceptacji Regulaminu przez Administratora Danych.