Vertrag über die Überlassung von personenbezogenen Daten zur Verarbeitung

Anhang _ zu Bestimmungen der App Hrily

PRÄAMBEL

Der Vertrag über die Verarbeitung personenbezogener Daten (der “Vertrag”) ist ein integraler Bestandteil der Bestimmungen der HRILY-App (die “Bestimmungen”) und regelt die Verarbeitung personenbezogener Daten durch den Dienstanbieter zum Nutzen des Kunden, der die Hrily-App nutzt (im Folgenden auch als “Partei” oder “Vertragsparteien” bezeichnet).
Im Vertrag verwendete Begriffe, die im Folgenden nicht definiert werden, sind in Übereinstimmung mit dem ihnen in den Bestimmungen gegebenen Wortlaut zu verstehen.
Der Vertrag legt die gegenseitigen Rechte und Pflichten der Parteien im Rahmen der Zusammenarbeit bei der Betrauung mit der Verarbeitung personenbezogener Daten fest.

§ 1 DEFINITIONEN

1. DS-GVO – bedeutet Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung);
2. App – Hrily WebApp, die sich an die HR-Branche und andere Unternehmen richtet, die die Funktionalität der App in ihrem Unternehmen nutzen können;
3. Verantwortlicher für die Datenverarbeitung/Datenverwalter – bezeichnet den Empfänger oder eine andere mit ihm verbundene Einheit, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt;
4. Datenverarbeiter – Dienstleister, also HEADLOGIC Sp. z o.o. mit Sitz ul. Podwisłocze 2/99 B, 35-309 Rzeszów, eingetragen im Unternehmerregister des Landesgerichtsregisters, das vom Bezirksgericht Rzeszów, XII Handelsabteilung des Landesgerichtsregisters, unter der Nummer KRS geführt wird:
0000844300, UID: 8133839622, REGON/Stat. Nr.: 386201995, mit einem Stammkapital von 5.000 PLN;
5. Datensubjekt – jede natürliche Person, auf die sich persönliche Daten beziehen;
6. Vereinbarung – Vereinbarung über die Bereitstellung von Dienstleistungen in Form von Zugang zu der Hrily-App, die dem Datenverarbeiter vom Datenverarbeiter zur Verfügung gestellt wird, abgeschlossen durch Ausfüllen und Genehmigung des Anmeldeformulars durch den Datenverwalter und Einrichtung eines Kontos in der App;
7. Personenbezogene Daten – alle Informationen über eine identifizierte oder identifizierbare natürliche Person, insbesondere auf der Grundlage einer Kennung wie Name, Identifikationsnummer, Standortdaten, Internetkennung oder eines oder mehrerer Faktoren, die für die physische, physiologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität der Person spezifisch sind;
8. Verletzung des Schutzes personenbezogener Daten – bezeichnet jedes Ereignis im Datenverarbeiter oder Unterverarbeiter, das zur unbeabsichtigten oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf die personenbezogenen Daten des für die Datenverarbeitung Verantwortlichen führt;
9. Verarbeitung personenbezogener Daten – bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten oder Sätzen personenbezogener Daten durchgeführt werden, unabhängig davon, ob sie automatisiert sind oder nicht, wie z.B. das Sammeln, Aufzeichnen, Organisieren, Ordnen, Speichern, Anpassen oder Ändern, Herunterladen, Anzeigen, Verwenden, Offenlegen durch Übertragung, Verbreitung oder anderweitiges Verfügbarmachen, Abgleichen oder Kombinieren, Begrenzen, Löschen oder Vernichten;
10. Unterverarbeiter – bezeichnet den Vertragspartner des Datenverarbeiters, der die personenbezogenen Daten des für die Verarbeitung Verantwortlichen im Rahmen der Verarbeitung personenbezogener Daten durch den Datenverarbeiter verarbeitet;
11. EWR – bezeichnet den Europäischen Wirtschaftsraum, der die Staaten der Europäischen Union sowie Norwegen, Island und Liechtenstein umfasst;
12. Übermittlung personenbezogener Daten in Drittländer – bedeutet die Übermittlung von Daten durch den Datenverarbeiter in Nicht-EWR-Länder, sofern die in Kapitel V des DS-GVO festgelegten Bedingungen erfüllt sind.

§ 2 GEGENSTAND DES VERTRAGES

1. Die Parteien sind an den Vertrag gebunden, dessen Erfüllung mit der Verarbeitung personenbezogener Daten verbunden ist.
2. Der Datenverarbeiter verpflichtet sich, personenbezogene Daten auf der Grundlage der Vertrages in Übereinstimmung mit der DS-GVO zu verarbeiten.

§ 3 ZWECK, UMFANG UND MITTEL DER VERARBEITUNG PERSONENBEZOGENER DATEN

1. Der Datenverwalter betraut den Datenverarbeiter im Zusammenhang mit der Erfüllung des Vertrages mit der Bereitstellung des Zugangs zur App, der Nutzung ihrer Funktionalitäten und der organisatorischen und technischen Unterstützung im Zusammenhang mit ihrer Nutzung durch den Datenverwalter.
2. Der Datenverarbeiter wird die persönlichen Daten der folgenden Personenkategorien verarbeiten: natürliche Personen, deren persönliche Daten von den Benutzern in die App eingegeben wurden.
3. Der Datenverarbeiter kann insbesondere folgende persönliche Daten verarbeiten: Vorname, Nachname, Telefon, E-Mail, Personalausweisnummern und andere.
4. Der für die Datenverarbeitung Verantwortliche und die Benutzer sind für die personenbezogenen Daten, die sie in der App offen legen, verantwortlich, da sie die Rechtsgrundlage für ihre Verarbeitung und die Art und Weise, wie sie verarbeitet werden, haben.
5. Der Datenverarbeiter wird sie in einer elektronischen Version unter Verwendung der Software in Form der App und anderer für die ordnungsgemäße Erfüllung des Vertrages erforderlichen Werkzeuge verarbeiten.

§ 4 SICHERHEIT PERSONENBEZOGENER DATEN

1. Der Datenverarbeiter muss unter Berücksichtigung des Standes der Technik, der Kosten der Umsetzung und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der Risiken einer Verletzung der Rechte oder Freiheiten von Personen mit unterschiedlicher Wahrscheinlichkeit und Schwere der Bedrohung geeignete technische und organisatorische Maßnahmen ergreifen, um die Verarbeitung personenbezogener Daten in Übereinstimmung mit der DS-GVO zu gewährleisten.
2. Der Datenverarbeiter muss die technischen und organisatorischen Maßnahmen laufend überprüfen und aktualisieren, um sicherzustellen, dass sie mit den DS-GVO-Vorschriften in Einklang stehen.

§ 5 GRUNDSÄTZE DER DATENVERARBEITUNG DURCH DEN DATENVERARBEITER

1. Der Datenverarbeiter verarbeitet personenbezogene Daten nur auf der Grundlage der Bestimmungen des Vertrages in Übereinstimmung mit der geltenden Datenschutzrichtlinie.
2. Der Datenverarbeiter stellt sicher, dass die Personen, die Zugang zu den verarbeiteten personenbezogenen Daten haben, diese sowie die Mittel zum Schutz vertraut behandeln, mit der Verpflichtung, sie auch nach der Realisierung des Vertrages geheim zu halten.
3. Der Datenverarbeiter wird seine Mitarbeiter, Partner und andere Personen, die zur Verarbeitung personenbezogener Daten befugt sind, mit den Gesetzen zum Schutz personenbezogener Daten und den Folgen einer Nichteinhaltung dieser Gesetze vertraut machen.

§ 6 ZUSAMMENARBEIT ZWISCHEN DEN PARTEIEN

1. Der Datenverarbeiter verpflichtet sich, den für die Verarbeitung Verantwortlichen bei der Erfüllung der in den Artikeln 32-36 der DS-GVO festgelegten Verpflichtungen sowie bei der Erfüllung der Verpflichtung zur Beantwortung der Anträge der betroffenen Person bei der Ausübung ihrer in Kapitel III der DS-GVO festgelegten Rechte zu unterstützen.
2. Der Datenverarbeiter verpflichtet sich, den für die Verarbeitung Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Verpflichtung zu unterstützen, den Anfragen der betroffenen Personen in Bezug auf die Ausübung ihrer in den Artikeln 15-22 der DS-GVO festgelegten Rechte nachzukommen. Insbesondere verpflichtet sich der Datenverarbeiter – auf Antrag des Inhabers der Datenverarbeitung – die Informationen, die zur Befriedigung des Antrags der betroffenen Person erforderlich sind, unverzüglich, spätestens innerhalb von 14 Tagen nach Eingang des Antrags der betroffenen Person, vorzubereiten und dem Inhaber der Datenverarbeitung zur Verfügung zu stellen.
3. Der Datenverarbeiter benachrichtigt den für die Verarbeitung Verantwortlichen unverzüglich, spätestens 36 Stunden, nachdem er über einen Verstoß gegen den Schutz personenbezogener Daten, über jeden mutmaßlichen Verstoß gegen den Schutz personenbezogener Daten oder über die Nichteinhaltung des Schutzes personenbezogener Daten informiert wurde, elektronisch an seine E-Mail-Adresse.
4. Wenn der Datenverarbeiter eine Beschwerde, Mitteilung oder Vorlage erhält, die sich auf die Verarbeitung der personenbezogenen Daten des für die Verarbeitung Verantwortlichen oder auf die Einhaltung des Datenschutzgesetzes durch den Datenverarbeiter bezieht, muss der Datenverarbeiter den für die Verarbeitung Verantwortlichen unverzüglich benachrichtigen, indem er die entsprechenden Informationen spätestens drei Werktage nach Erhalt der Beschwerde, Mitteilung oder Vorlage an die E-Mail-Adresse des für die Verarbeitung Verantwortlichen sendet, und, soweit erforderlich, mit dem für die Verarbeitung Verantwortlichen zusammenarbeiten und ihn bei der Beantwortung unterstützen.
5. Wenn nach Ansicht des Datenverarbeiters die Anweisungen, die der Datenverwalter dem Datenverarbeiter bezüglich der Verarbeitung personenbezogener Daten erteilt hat, einen Verstoß gegen die Bestimmungen der DS-GVO oder anderer Rechtsvorschriften über den Schutz personenbezogener Daten darstellen, muss der Datenverarbeiter den Datenverwalter unverzüglich davon in Kenntnis setzen.

§ 7 PRÜFUNG UND KONTROLLE DER VERARBEITUNG PERSONENBEZOGENER DATEN

1. Der für die Datenverarbeitung Verantwortliche hat das Recht, die Einhaltung der Regeln für die Verarbeitung personenbezogener Daten, die sich aus der DS-GVO ergeben, und die Erfüllung des Vertrages durch den Datenverarbeiter zu überprüfen, indem er das Recht hat, Informationen über die anvertrauten personenbezogenen Daten anzufordern.
2. Datenverwalter ist berechtigt, am Ort der Verarbeitung oder in den Räumlichkeiten des Datenverarbeiters eine Prüfung durchzuführen, um die erforderlichen Informationen zu erhalten oder die gespeicherten persönlichen Daten einzusehen. Der für die Datenverarbeitung Verantwortliche ist verpflichtet, den Datenverarbeiter mindestens 14 Tage vor dem geplanten Prüfungsdatum per E-Mail an die E-Mail-Adresse des Datenverarbeiters zu informieren. Die Durchführung einer Prüfung kann die korrekte und rechtzeitige Durchführung der laufenden Geschäftstätigkeit des Datenverarbeiters nicht negativ beeinflussen.
3. Die vom Datenverwalter durchgeführte Prüfung kann aufgrund der Notwendigkeit, ein effizientes Funktionieren des Datenverarbeiters zu gewährleisten, bis zu 1 Arbeitstag dauern.
4. Personen, die befugt sind, die Prüfung im Namen des für die Verarbeitung Verantwortlichen durchzuführen, sind aufgrund einer schriftlichen Vereinbarung verpflichtet, alle Informationen, Dokumente, Daten, insbesondere, aber nicht ausschließlich technischer, kommerzieller und finanzieller Art, die den Datenverarbeiter betreffen und die sie im Zusammenhang mit der Prüfung erhalten haben, vertraulich zu behandeln.

§ 8 TERRITORIALER GELTUNGSBEREICH DER VERARBEITUNG PERSONENBEZOGENER DATEN

1. Der Datenverarbeiter ist befugt, personenbezogene Daten innerhalb des EWR zu verarbeiten.
2. Der Datenverarbeiter ist befugt, personenbezogene Daten zu verarbeiten, indem er sie in Länder außerhalb des EWR überträgt. In diesem Fall erfolgen alle Übertragungen personenbezogener Daten gemäß den so genannten Standardvertragsklauseln, die von der Europäischen Kommission angenommen wurden und angemessene Garantien gemäß den geltenden Gesetzen bieten.

§ 9 NUTZUNG VON UNTERVERARBEITUNGSDIENSTEN

1. Der Datenverwalter willigt ein, dass der Datenverarbeiter die Dienste von Unterverarbeitern für die Verarbeitung personenbezogener Daten nutzt, um den Vertrag ordnungsgemäß zu erfüllen.
2. Informationen über die Unterverarbeiter, denen der Datenverarbeiter persönliche Daten anvertraut, sind als Anlage __ beigefügt. Karol
3. Im Falle eines geplanten Wechsels der Unterverarbeiter, deren Dienste der Datenverarbeiter zur Verarbeitung personenbezogener Daten in Anspruch nimmt, durch Hinzufügen eines neuen Unterverarbeiters, muss die betroffene Person den Datenverwalter mindestens 14 Tage vor der weiteren Beauftragung mit der Verarbeitung personenbezogener Daten per E-Mail an die E-Mail-Adresse des Verwalters informieren. Änderungen der Unterbearbeiter stellen keine Änderung der Treuhandvereinbarung dar. Im Inhalt dieser Information
Der Datenverarbeiter gibt an, in welchem Umfang die Bereitstellung von Dienstleistungen durch
den Unterverarbeiter notwendig ist, um den Zugriff auf die App, ihren Teil oder zusätzliche Funktionen aufrechtzuerhalten.
4. Der Datenverwalter hat die Möglichkeit, innerhalb von 7 Tagen nach Erhalt der Mitteilung des Datenverarbeiters per E-Mail an die E-Mail-Adresse des Datenverarbeiters Einspruch gegen die im obigen Absatz 3 genannte Änderung zu erheben.
5. Für den Fall, dass es nicht möglich ist, den Zugriff auf die App, ihren Teil oder zusätzliche Funktionen ohne die Bereitstellung von Diensten durch einen Unterverarbeiter bereitzustellen, gegen den der Datenverwalter Einspruch eingelegt hat, vereinbaren die Parteien, dass der Einspruch des Datenverwalters einer Kündigung der Vereinbarung mit sofortiger Wirkung gleichkommt.
6. Der Vertrag zwischen dem Datenverarbeiter und dem Unterverarbeiter enthält die Verpflichtung, personenbezogene Daten durch den Unterverarbeiter mindestens auf dem gleichen Niveau zu schützen, das im Vertrag festgelegt ist. Insbesondere muss der Unterverarbeiter sicherstellen, dass geeignete technische und organisatorische Maßnahmen umgesetzt werden, damit die Verarbeitung den Anforderungen von DS-GVO entspricht.

§10 DAUER DER VERARBEITUNG PERSONENBEZOGENER DATEN

1. Bei Kündigung oder Ablauf des Vertrages stellt der Datenverarbeiter die Verarbeitung der personenbezogenen Daten ein, es sei denn, er ist nach geltendem Recht zur weiteren Verarbeitung der personenbezogenen Daten berechtigt.
2. Nach dem Ermessen des für die Datenverarbeitung Verantwortlichen löscht oder anonymisiert der Datenverarbeiter die personenbezogenen Daten unwiderruflich auf allen Medien, auf denen die personenbezogenen Daten gesammelt wurden, sei es vom Datenverarbeiter oder von Unterverarbeitern.
3. Die Löschung oder Anonymisierung der personenbezogenen Daten erfolgt spätestens 14 Tage nach der Kündigung oder dem Ablauf des Vertrages, es sei denn, die Parteien vereinbaren ein anderes Datum für die Löschung oder Anonymisierung der personenbezogenen Daten.
4. Wenn das Gesetz dies vorsieht, informiert der Datenverarbeiter den Datenverwalter unverzüglich über die Notwendigkeit, personenbezogene Daten für einen bestimmten Zeitraum nach der Beendigung oder dem Ablauf des Vertrages zu speichern. In diesem Fall ist der Datenverarbeiter berechtigt, personenbezogene Daten nur in dem gesetzlich festgelegten Umfang und für den gesetzlich festgelegten Zeitraum zu verarbeiten.

§11 HAFTUNG DES DATENVERARBEITERS

1. Der Datenverarbeiter ist verantwortlich für die Verwendung der ihm vom Datenverwalter anvertrauten personenbezogenen Daten bei Verletzung des Vertrages und der geltenden Gesetze.
2. Der Datenverarbeiter haftet für Schäden, die dem für die Verarbeitung Verantwortlichen im Zusammenhang mit der Nichterfüllung oder unsachgemäßen Erfüllung des Vertrages durch den Datenverarbeiter entstanden sind, insbesondere bei der Verarbeitung personenbezogener Daten, die nicht mit dem Vertrag vereinbar ist, im Rahmen der dem für die Verarbeitung Verantwortlichen tatsächlich entstandenen Verluste.
3. In gleichem Maße ist der Datenverarbeiter für die Handlungen seiner Mitarbeiter, Angestellten und anderer Personen verantwortlich, durch die er die anvertrauten personenbezogenen Daten verarbeitet, einschließlich der Unterverarbeiter.

§ 12 SCHLUSSBESTIMMUNGEN

1. Der Vertrag tritt am Tag der Annahme der Bestimmungen durch den Datenverwalter in Kraft.
2. Der Vertrag über die Überlassung wird gleichzeitig mit der Beendigung der Vereinbarung beendet.
3. Sollte sich eine Bestimmung dieses Vertrages als ungültig oder anderweitig rechtlich fehlerhaft erweisen, bleiben die übrigen Bestimmungen dieses Vertrages im größtmöglichen gesetzlich zulässigen Umfang in Kraft.
4. Der Vertrag stellt die Gesamtheit der Vereinbarungen und Absprachen zwischen den Parteien in Bezug auf die von ihr geregelten Angelegenheiten dar und ersetzt alle früheren Verträge zwischen den Parteien und in Bezug auf diese Angelegenheiten.
5. In dem Umfang, der nicht durch den Vertrag abgedeckt ist, gelten die Bestimmungen des DS-GVO und anderer allgemein anwendbarer Gesetze.
6. Der Vertrag unterliegt polnischem Recht. Alle Streitigkeiten, die sich aus diesem Vertrag ergeben, werden von einem für den Sitz des Datenverarbeiters zuständigen ordentlichen Gericht entschieden.

Anlage Nr.2 zur Hrily-Anwendungsordnung

  1. Verwalten von Hosting-Diensten – IT360 KAMIL KRZEMIŃSKI, ADRESSE: ul. Stanisława Przybyszewskiego 17B, 30‑128 Kraków, NIP: 7343097416
  2. Hosting – Amazon Web Services EMEA SARL 38 Avenue John F. Kennedy, L-1855 Luksemburg R.C.S. Luxembourg: B186284
  3. Senden von E-Mails– Vercom S.A. mit Sitz in Posen, Franklina Roosevelta 22, 60-829 Poznań
To top