Załącznik nr 1 do Regulaminu Aplikacji Hrily
PREAMBUŁA
Umowa powierzenia przetwarzania danych („Umowa Powierzenia”) stanowi integralną część Regulaminu Aplikacji HRILY („Regulamin”) i reguluje zasady przetwarzania danych osobowych przez Usługodawcę na rzecz Usługobiorcy korzystającego z Aplikacji Hrily (zwanych dalej również „Stroną” lub „Stronami Umowy”).
Terminy użyte w Umowie Powierzenia nie zdefiniowane poniżej należy rozumieć zgodnie z brzmieniem nadanym im w Regulaminie.
Umowa Powierzenia określa wzajemne prawa i obowiązki Stron w ramach współpracy dotyczącej powierzenia przetwarzania danych osobowych.
§ 1 DEFINICJE
1. RODO – oznacza rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
2. Aplikacja – aplikacja webowa Hrily, skierowana do branży HR i innych podmiotów mogących wykorzystać funkcjonalność Aplikacji w swojej działalności;
3. Administrator Danych – oznacza Usługobiorcę lub inny podmiot z nim powiązany, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania Danych Osobowych;
4. Przetwarzający Dane – Usługodawca, czyli „HEADLOGIC sp. z o.o. z siedzibą w Rzeszowie, adres ul. Podwisłocze 2/99 B, 35-309 Rzeszów, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy w Rzeszowie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000844300, NIP: 8133839622, REGON: 386201995, o kapitale zakładowym 5 000 zł.;
5. Podmiot Danych – każda osoba fizyczna, której dotyczą Dane Osobowe;
6. Umowa – umowa świadczenia usług w postaci dostępu do Aplikacji Hrily zapewnianego przez Przetwarzającego Dane na rzecz Administratora Danych, zawarta poprzez wypełnienie i zatwierdzenie przez Administratora Danych Formularza Rejestracyjnego i utworzenia Konta w Aplikacji;
7. Dane Osobowe – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
8. Naruszenie Ochrony Danych Osobowych – oznacza każde zdarzenie mające miejsce u Przetwarzającego Dane lub Podprzetwarzającego Dane, które prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych Osobowych Administratora Danych;
9. Przetwarzanie Danych Osobowych – oznacza każdą operację lub zestaw operacji wykonywanych na Danych Osobowych lub zestawach Danych Osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
10. Podprzetwarzający Dane – oznacza umownego partnera Przetwarzającego Dane, który przetwarza Dane Osobowe Administratora Danych w ramach procesu przetwarzania Danych Osobowych przez Przetwarzającego Dane;
11. EOG – oznacza Europejski Obszar Gospodarczy obejmujący państwa Unii Europejskiej oraz Norwegię, Islandię i Lichtenstein;
12. Przekazywanie Danych Osobowych do Państw Trzecich – oznacza przekazywanie danych przez Przetwarzającego Dane do państw nienależących do EOG, pod warunkiem spełnienia przesłanek określonych w rozdziale V RODO.
§ 2
PRZEDMIOT UMOWY
1. Strony łączy Umowa, której wykonanie wiąże się z czynnościami Przetwarzania Danych Osobowych.
2. Przetwarzający Dane zobowiązuje się, że będzie przetwarzał Dane Osobowe na podstawie Umowy Powierzenia zgodnie z RODO.
§ 3
CEL, ZAKRES I SPOSOBY PRZETWARZANIA DANYCH OSOBOWYCH
1. Administrator Danych powierza Przetwarzającemu Dane Dane Osobowe w związku z wykonaniem Umowy, w celu zapewnienia dostępu do Aplikacji, korzystania z jej funkcjonalności oraz wsparcia organizacyjnego i technicznego związanego z jej używaniem przez Administratora Danych.
2. Przetwarzający Dane będzie przetwarzał Dane Osobowe następujących kategorii osób: dane osób fizycznych, których Dane Osobowe zostały wprowadzone do Aplikacji przez Użytkowników.
3. Przetwarzający Dane może przetwarzać w szczególności następujące Dane Osobowe: imię, nazwisko, telefon, mail, numery dowodów tożsamości i inne.
4. Administrator Danych i Użytkownicy są odpowiedzialni za Dane Osobowe ujawniane przez nich w Aplikacji w zakresie posiadania podstawy prawnej ich przetwarzania i sposobów ich przetwarzania.
5. Przetwarzający Dane będzie je przetwarzał w wersji elektronicznej z wykorzystaniem oprogramowania w postaci Aplikacji oraz innych narzędzi niezbędnych do prawidłowego wykonania Umowy.
§ 4
BEZPIECZEŃSTWO DANYCH OSOBOWYCH
1. Przetwarzający Dane, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, wdraża odpowiednie środki techniczne i organizacyjne mające zapewnić przetwarzanie Danych Osobowych zgodnie z RODO.
2. Przetwarzający Dane dokonuje bieżących przeglądów i aktualizacji stosowanych środków technicznych i organizacyjnych, aby zapewnić ich stan zgodności z przepisami RODO.
§ 5
ZASADY PRZETWARZANIA DANYCH PRZEZ PRZETWARZAJĄCEGO DANE
1. Przetwarzający Dane będzie przetwarzał Dane Osobowe wyłącznie na podstawie postanowień Umowy Powierzenia zgodnie z obowiązującą Polityką Prywatności.
2. Przetwarzający Dane zapewnia, aby osoby mające dostęp do przetwarzanych Danych Osobowych zachowały je oraz sposoby zabezpieczeń w tajemnicy, przy czym obowiązek zachowania tajemnicy istnieje również po realizacji Umowy Powierzenia.
3. Przetwarzający Dane zaznajomi swoich pracowników, współpracowników i inne osoby upoważnione do Przetwarzania Danych Osobowych z przepisami dotyczącymi ochrony Danych Osobowych i konsekwencji ich nieprzestrzegania.
§ 6
WSPÓŁPRACA STRON
1. Przetwarzający Dane zobowiązuje się pomagać Administratorowi Danych w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO, jak również zobowiązuje się pomagać Administratorowi w wywiązywaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.
2. Przetwarzający Dane zobowiązuje się pomagać Administratorowi Danych poprzez odpowiednie środki techniczne i organizacyjne, w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w art. 15-22 RODO. W szczególności Przetwarzający Dane zobowiązuje się – na żądanie Administratora Danych – do przygotowania i przekazania Administratorowi Danych informacji potrzebnych do spełnienia żądania osoby, której dane dotyczą, niezwłocznie, nie później niż w ciągu 14 dni od dnia otrzymania żądania Administratora.
3. Przetwarzający Dane niezwłocznie powiadomi Administratora Danych drogą elektroniczną na jego adres e-mailowy, nie później niż w ciągu 36 godzin od uzyskania informacji o Naruszeniu Ochrony Danych Osobowych, o wszelkich przypadkach podejrzenia naruszenia ochrony Danych Osobowych lub nieprzestrzegania ochrony Danych Osobowych.
4. Jeżeli Przetwarzający Dane otrzyma jakąkolwiek skargę, powiadomienie lub zgłoszenie, które odnosi się do przetwarzania Danych Osobowych Administratora Danych przez Przetwarzającego Dane lub zgodności z Prawem Ochrony Danych Osobowych, w zakresie dozwolonym przepisami prawa, Przetwarzający Dane niezwłocznie powiadomi Administratora Danych wysyłając mu odpowiednią informację na jego adres e-mailowy, nie później niż w ciągu 3 dni roboczych od otrzymania takiej skargi, powiadomienia lub zgłoszenia oraz w niezbędnym zakresie będzie współpracował i pomagał Administratorowi Danych w udzieleniu na nie odpowiedzi.
5. W przypadku gdy polecenia wydane przez Administratora Danych Przetwarzającemu Dane dotyczące przetwarzania Danych Osobowych, stanowią w opinii Przetwarzającego Dane naruszenie przepisów RODO lub innych przepisów prawa o ochronie danych osobowych, Przetwarzający Dane niezwłocznie poinformuje o tym Administratora Danych.
§ 7
AUDYT i KONTROLA PRZETWARZANIA DANYCH OSOBOWYCH
1. Administrator Danych jest uprawniony do weryfikacji przestrzegania zasad przetwarzania Danych Osobowych wynikających z RODO oraz wykonywania Umowy Powierzenia przez Przetwarzającego Dane, poprzez prawo żądania udzielenia informacji dotyczących powierzonych Danych Osobowych.
2. Administrator Danych jest uprawniony do przeprowadzania audytu w miejscu przetwarzania lub lokalach Przetwarzającego Dane w celu uzyskania potrzebnych informacji lub wglądu w przechowywane Dane Osobowe. O terminie planowanego audytu Administrator Danych jest zobowiązany poinformować Przetwarzającego Dane drogą elektroniczną na adres e-mailowy Przetwarzającego Dane, co najmniej na 14 dni przed planowaną datą przeprowadzenia audytu. Przeprowadzenie audytu nie może negatywnie wpływać na prawidłowe i terminowe prowadzenie przez Przetwarzającego Dane bieżącej działalności gospodarczej.
3. Audyt przeprowadzany przez Administratora Danych, ze względu na konieczność zapewnienia sprawnego funkcjonowania Przetwarzającego Dane może trwać do 1 dnia roboczego.
4. Osoby upoważnione do przeprowadzenia audytu w imieniu Administratora Danych zostaną zobowiązane na podstawie pisemnej umowy do zachowania poufności względem wszelkich informacji, dokumentów, danych, w szczególności ale nie wyłącznie o charakterze technicznym, handlowym i finansowym, dotyczących Przetwarzającego Dane, o które uzyskały w związku z przeprowadzonym audytem.
§ 8
ZAKRES TERYTORIALNY PRZETWARZANIA DANYCH OSOBOWYCH
1. Przetwarzający Dane jest uprawniony do przetwarzania Danych Osobowych na obszarze EOG.
2. Przetwarzający Dane jest uprawniony do przetwarzania Danych Osobowych poprzez ich przekazanie poza obszar EOG – w takim przypadku wszystkie transfery Danych Osobowych dokonywane będą w oparciu o tzw. standardowe klauzule umowne, przyjęte przez Komisję Europejską i zapewniające odpowiedni poziom zabezpieczeń zgodnie z obowiązującymi przepisami.
§ 9
KORZYSTANIE Z USŁUG PODPRZETWARZAJĄCYCH
1. Administrator Danych wyraża zgodę na korzystanie przez Przetwarzającego Dane z usług Podprzetwarzających przy przetwarzaniu Danych Osobowych, w celu prawidłowego wykonywania Umowy.
2. Informacja o Podprzetwarzających, którym Przetwarzający Dane powierza Dane Osobowe znajduje się w Załączniku nr 2 .
3. W przypadku planowanej zmiany Podprzetwarzających, z których usług przy przetwarzaniu Danych Osobowych korzysta Przetwarzający Dane, poprzez dodanie nowego Podprzetwarzającego, Powierzający Dane poinformuje o tym Administratora Danych drogą elektroniczną na adres e-mailowy Administratora Danych co najmniej na 14 dni przed dalszym powierzeniem przetwarzania Danych Osobowych. Zmiany Podprzetwarzających nie stanowią zmiany Umowy Powierzenia. W treści tej informacji Przetwarzający Dane wskaże, w jakim zakresie świadczenie usług przez Podprzetwarzającego jest niezbędne dla utrzymania usługi dostępu do Aplikacji, do jej części lub dodatkowej funkcjonalności.
4. Administrator Danych ma możliwość złożenia sprzeciwu wobec zmiany, o której mowa w ust.3 powyżej, drogą elektroniczną na adres e-mailowy Przetwarzającego Dane, w terminie 7 dni od dnia otrzymania wiadomości od Przetwarzającego Dane.
5. W przypadku gdy świadczenie usługi dostępu do Aplikacji, do jej części lub dodatkowej funkcjonalności jest niemożliwe bez świadczenia usług przez Podprzetwarzającego, co do którego Administrator Danych zgłosił sprzeciw, Strony uzgadniają, iż zgłoszenie sprzeciwu przez Administratora Danych będzie tożsame z wypowiedzeniem Umowy ze skutkiem natychmiastowym.
6. Umowa Przetwarzającego Dane z Podprzetwarzającym zawiera zobowiązanie do ochrony Danych Osobowych przez Podprzetwarzającego na co najmniej tym samym poziomie co określony w Umowie Powierzenia. W szczególności Podprzetwarzający ma obowiązek zapewnienia gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, tak aby przetwarzanie odpowiadało wymogom RODO.
§10
CZAS TRWANIA PRZETWARZANIA DANYCH OSOBOWYCH
1. Wraz z rozwiązaniem lub wygaśnięciem Umowy, Przetwarzający Dane zaprzestanie przetwarzania Danych Osobowych, chyba że będzie uprawniony do dalszego przetwarzania Danych Osobowych na podstawie obowiązujących przepisów prawa.
2. Zgodnie z wolą Administratora Danych Przetwarzający Dane usunie Dane Osobowe lub zanonimizuje je w nieodwracalny sposób, na wszelkich nośnikach, na których Dane Osobowe były gromadzone, znajdujących się zarówno u Przetwarzającego Dane jak i u Podprzetwarzających.
3. Usunięcie lub anonimizacja Danych Osobowych nastąpi nie później niż w terminie 14 dni od dnia rozwiązania lub wygaśnięcia Umowy, chyba że Strony ustalą inny termin usunięcia lub anonimizacji Danych Osobowych.
4. Jeżeli przepisy prawa tak stanowią, Przetwarzający Dane niezwłocznie poinformuje Administratora Danych o konieczności przechowywania Danych Osobowych przez określony czas po rozwiązaniu lub wygaśnięciu Umowy. W takim przypadku Przetwarzający Dane jest uprawniony do przetwarzania Danych Osobowych wyłącznie w zakresie i przez okres wyznaczony treścią przepisów prawa.
§11
ODPOWIEDZIALNOŚĆ PRZETWARZAJĄCEGO DANE
1. Przetwarzający Dane jest odpowiedzialny za wykorzystanie Danych Osobowych powierzonych mu przez Administratora Danych niezgodnie z Umową Powierzenia oraz obowiązującymi przepisami prawa.
2. Przetwarzający Dane odpowiada za szkody wyrządzone Administratorowi Danych, które powstały w związku z niewykonaniem lub nienależytym wykonaniem przez Przetwarzającego Dane Umowy Powierzenia, w szczególności niezgodnego z Umową Powierzenia przetwarzania Danych Osobowych, w granicach rzeczywistych strat poniesionych przez Administratora Danych.
3. W takim samym zakresie, Przetwarzający Dane ponosi odpowiedzialność za działania swoich pracowników, współpracowników i innych osób, przy pomocy których przetwarza powierzone Dane Osobowe, w tym Podprzetwarzających.
§ 12
POSTANOWIENIA KOŃCOWE
1. Umowa Powierzenia wchodzi w życie w dniu zaakceptowania Regulaminu przez Administratora Danych.
2. Umowa Powierzenia ulegnie rozwiązaniu jednocześnie z rozwiązaniem Umowy.
3. W przypadku uznania któregokolwiek postanowienia niniejszej Umowy za nieważne lub w inny sposób prawnie wadliwe, pozostałe jej postanowienia zachowują moc obowiązującą w najszerszym zakresie dopuszczalnym przez prawo.
4. Umowa powierzenia stanowi całość uzgodnień i ustaleń pomiędzy Stronami w zakresie spraw w niej uregulowanych i zastępuje jakiekolwiek poprzednie umowy łączące Strony i odnoszące się to tych spraw.
5. W zakresie nieuregulowanym Umową Powierzenia, zastosowanie znajdują przepisy RODO oraz inne przepisy prawa powszechnie obowiązującego.
6. Umowa Powierzenia podlega prawu polskiemu. Wszelkie spory wynikające z niniejszej Umowy Powierzenia będą rozstrzygane przez Sąd powszechny właściwy dla siedziby Przetwarzającego Dane.
Załącznik nr 2 do Regulaminu Aplikacji Hrily
Podprzetwarzający Dane
1.Administracja usługami hostingowymi – IT360 KAMIL KRZEMIŃSKI, ADRES: ul. Stanisława Przybyszewskiego 17B, 30‑128 Kraków, NIP: 7343097416
2. Hosting – Amazon Web Services EMEA SARL 38 Avenue John F. Kennedy, L-1855 Luksemburg R.C.S. Luxembourg: B186284
3. Wysyłka wiadomości e-mail – Vercom S.A. z siedzibą w Poznaniu, Franklina Roosevelta 22, 60-829 Poznań