Umowa powierzenia przetwarzania danych osobowych

Data publikacji: XXXXXX

1. Strony i charakter dokumentu

  1. Niniejsza umowa powierzenia przetwarzania danych osobowych stanowi integralną część umowy o korzystanie z systemu Warigo.
  2. W zakresie danych osobowych wprowadzanych do systemu przez Warsztat:
    – Warsztat jest administratorem danych,
    – Warigo sp. z o.o., z siedzibą w Kielcach, z adresem do korespondencji: Malików 150d, 25-635 Kielce, e-mail: [email protected], jest podmiotem przetwarzającym.
  3. Dane rejestrowe Warigo: KRS: XXXXXX, NIP: XXXXXX, REGON: XXXXXX.

2. Przedmiot i czas trwania powierzenia

  1. Administrator powierza Procesorowi przetwarzanie danych osobowych wyłącznie w zakresie niezbędnym do świadczenia Usługi Warigo.
  2. Powierzenie obejmuje okres korzystania z Usługi oraz okres niezbędny do wykonania czynności związanych z zakończeniem usługi, usunięciem danych, obsługą backupów, dochodzeniem roszczeń i realizacją obowiązków prawnych.

3. Charakter i cel przetwarzania

  1. Przetwarzanie ma charakter ciągły, zautomatyzowany i incydentalnie manualny, zależnie od funkcji Usługi.
  2. Celem przetwarzania jest umożliwienie Administratorowi korzystania z Warigo jako systemu do prowadzenia warsztatu, w szczególności do:
    – obsługi klientów i kontaktów,
    – prowadzenia kartotek pojazdów,
    – obsługi wycen i zleceń naprawy,
    – prowadzenia dokumentów sprzedaży i rozrachunków,
    – obsługi magazynu, inwentaryzacji i przechowywania opon,
    – generowania raportów,
    – komunikacji z klientami przez funkcje udostępnione w systemie,
    – korzystania z integracji zewnętrznych, w tym KSeF.

4. Kategorie osób i danych

  1. Powierzenie może obejmować dane następujących kategorii osób:
    – klientów Administratora,
    – pracowników i współpracowników Administratora,
    – osób kontaktowych kontrahentów Administratora,
    – innych osób, których dane Administrator wprowadzi do systemu zgodnie z prawem.
  2. Powierzenie może obejmować w szczególności następujące kategorie danych:
    – dane identyfikacyjne,
    – dane kontaktowe,
    – dane pojazdów i historii obsługi,
    – dane związane z wycenami, zleceniami, dokumentami i rozrachunkami,
    – dane komunikacyjne,
    – inne dane wprowadzone przez Administratora w ramach korzystania z Usługi.
  3. Co do zasady system nie jest przeznaczony do rutynowego przetwarzania szczególnych kategorii danych osobowych. Administrator nie powinien wprowadzać takich danych do systemu, chyba że jest to niezbędne i zgodne z prawem.

5. Obowiązki Administratora

Administrator zobowiązuje się:

  • przetwarzać dane zgodnie z prawem,
  • posiadać odpowiednią podstawę prawną do przetwarzania danych i ich powierzenia,
  • realizować obowiązki informacyjne wobec osób, których dane dotyczą,
  • dbać o poprawność i aktualność danych wprowadzanych do systemu,
  • nadawać uprawnienia w systemie wyłącznie osobom upoważnionym,
  • nie przekazywać do systemu danych, których przetwarzanie nie jest niezbędne do korzystania z Usługi.

6. Obowiązki Procesora

Procesor zobowiązuje się:

  1. przetwarzać dane wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek przetwarzania wynika z prawa;
  2. zapewnić, aby osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności;
  3. stosować odpowiednie środki techniczne i organizacyjne wymagane przez art. 32 RODO;
  4. wspierać Administratora, w zakresie adekwatnym do charakteru Usługi, w realizacji obowiązków wynikających z RODO, w tym:
    – obsługi żądań osób, których dane dotyczą,
    – zapewnienia bezpieczeństwa przetwarzania,
    – zgłaszania naruszeń,
    – ocen skutków dla ochrony danych, jeżeli będą wymagane;
  5. po zakończeniu świadczenia Usługi usunąć albo zwrócić dane zgodnie z ustaleniami umownymi i możliwościami technicznymi systemu, z uwzględnieniem okresu retencji backupów oraz obowiązków prawnych;
  6. udostępnić Administratorowi informacje potrzebne do wykazania spełnienia obowiązków wynikających z niniejszej umowy, w rozsądnym i proporcjonalnym zakresie.

7. Środki techniczne i organizacyjne

Procesor stosuje środki bezpieczeństwa odpowiednie do ryzyka, obejmujące w szczególności:

  • uwierzytelnianie użytkowników,
  • zarządzanie rolami i uprawnieniami,
  • logiczne rozdzielenie danych poszczególnych tenantów,
  • rejestrowanie wybranych operacji i zdarzeń technicznych,
  • kopie zapasowe i procedury odtworzeniowe,
  • zabezpieczenia środowiska serwerowego i aplikacyjnego,
  • ograniczanie dostępu administracyjnego do danych.

8. Dalsze powierzenie

  1. Administrator wyraża ogólną zgodę na korzystanie przez Procesora z dalszych podmiotów przetwarzających, o ile jest to potrzebne do świadczenia Usługi.
  2. Procesor poinformuje Administratora o planowanej zmianie dalszych podmiotów przetwarzających, jeżeli zmiana może istotnie wpływać na przetwarzanie danych powierzonych, oraz umożliwi Administratorowi zgłoszenie uzasadnionego sprzeciwu.
  3. Aktualna kategoria dalszych podmiotów przetwarzających obejmuje w szczególności:
    – dostawców hostingu i infrastruktury,
    – dostawców przechowywania plików i backupów, w tym usługi klasy AWS S3 lub rozwiązania równoważne,
    – dostawców infrastruktury sieciowej i zabezpieczeń, w tym Cloudflare,
    – dostawców poczty elektronicznej,
    – dostawców usług SMS,
    – dostawców płatności, w tym Stripe, o ile dana funkcja tego wymaga.
  4. Procesor zapewni, aby dalszy podmiot przetwarzający był związany obowiązkami ochrony danych nie mniej rygorystycznymi niż wynikające z niniejszej umowy.

9. Transfer danych poza EOG

  1. Procesor dąży do przetwarzania danych w EOG.
  2. Jeżeli w związku z korzystaniem z globalnej infrastruktury albo podwykonawców dojdzie do transferu danych poza EOG, Procesor zapewni zastosowanie odpowiednich mechanizmów legalizujących taki transfer, w szczególności standardowych klauzul umownych albo innych instrumentów dopuszczonych przez RODO.

10. Naruszenia ochrony danych

  1. Procesor poinformuje Administratora o stwierdzonym naruszeniu ochrony danych osobowych bez zbędnej zwłoki, jeżeli naruszenie dotyczy danych powierzonych przez tego Administratora.
  2. Informacja, w miarę dostępności danych, powinna obejmować:
    – opis charakteru naruszenia,
    – kategorie i przybliżoną liczbę osób, których dane dotyczą,
    – kategorie i przybliżoną liczbę rekordów danych,
    – opis możliwych konsekwencji,
    – opis zastosowanych lub proponowanych środków zaradczych.

11. Audyt i informacje

  1. Administrator może zwrócić się do Procesora o informacje potwierdzające spełnianie wymogów ochrony danych.
  2. Ewentualne audyty lub kontrole powinny być uzgodnione z wyprzedzeniem, prowadzone w zakresie proporcjonalnym do ryzyka i nie mogą prowadzić do ujawnienia informacji poufnych innych klientów ani naruszać bezpieczeństwa Usługi.
  3. Jeżeli realizacja audytu powoduje ponadstandardowe koszty po stronie Procesora, Strony mogą uzgodnić zasady ich pokrycia.

12. Zwrot lub usunięcie danych

  1. Po zakończeniu korzystania z Usługi Procesor, według wyboru Administratora i w zakresie dostępnym w systemie, usunie dane albo umożliwi ich eksport przed usunięciem, z uwzględnieniem ustaleń umownych, obowiązków prawnych i technicznego cyklu kopii zapasowych.
  2. Dane mogą pozostawać czasowo w kopiach zapasowych do czasu ich naturalnego nadpisania, o ile dalsze przechowywanie nie służy innym celom niż bezpieczeństwo, ciągłość działania albo wykonanie obowiązków prawnych.

13. Odpowiedzialność

  1. Każda ze Stron odpowiada za naruszenie obowiązków wynikających z RODO zgodnie z zasadami przewidzianymi w przepisach prawa oraz w umowie głównej.
  2. Procesor odpowiada za przetwarzanie danych niezgodnie z umową powierzenia lub przepisami, w zakresie w jakim ponosi za to odpowiedzialność.

14. Postanowienia końcowe

  1. W sprawach nieuregulowanych niniejszą umową zastosowanie mają przepisy RODO oraz prawa polskiego.
  2. Niniejszy dokument stanowi umowę powierzenia przetwarzania danych osobowych i powinien być aktualizowany w razie zmiany listy podwykonawców, zakresu Usługi albo wymogów prawa.