§ 1 Strony umowy
- Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (dalej: Umowa lub DPA) jest zawierana pomiędzy:
- Administratorem — Użytkownikiem Serwisu Motozen będącym przedsiębiorcą lub innym podmiotem, który w ramach korzystania z Serwisu wprowadza do niego dane osobowe osób trzecich (np. pracowników, klientów, kierowców);
- Procesorem — KIECANA.PL sp. z o.o. z siedzibą w Puławach, ul. Ceglana 5/11, 24-100 Puławy, KRS 0000959619, NIP 7162835425 (dalej: Usługodawca).
- Umowa wchodzi w życie automatycznie z chwilą założenia Konta w Serwisie przez Administratora i stanowi integralną część Regulaminu świadczenia usług Motozen.
- Użyte w niniejszej Umowie pojęcia mają znaczenie nadane im w Regulaminie Motozen oraz w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO).
§ 2 Przedmiot i cel powierzenia
- Na podstawie niniejszej Umowy Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie niezbędnym do świadczenia usług określonych w Regulaminie Motozen, w szczególności:
- przechowywania danych w infrastrukturze Serwisu;
- umożliwienia Administratorowi dostępu do danych za pośrednictwem interfejsu Serwisu;
- tworzenia kopii zapasowych danych;
- wykonywania operacji technicznych niezbędnych do prawidłowego funkcjonowania Serwisu.
- Procesor przetwarza powierzone dane osobowe wyłącznie na udokumentowane polecenie Administratora, za które uznaje się korzystanie przez Administratora z funkcjonalności Serwisu zgodnie z Regulaminem.
- Procesor nie przetwarza powierzonych danych osobowych w celach własnych ani na potrzeby osób trzecich, chyba że obowiązek taki wynika z prawa Unii Europejskiej lub prawa polskiego — w takim przypadku Procesor informuje Administratora przed rozpoczęciem przetwarzania, o ile prawo nie zakazuje udzielenia takiej informacji.
§ 3 Zakres danych i kategorie osób
- Przedmiotem powierzenia mogą być dane osobowe osób trzecich wprowadzanych do Serwisu przez Administratora, w szczególności:
- dane identyfikacyjne (imię, nazwisko, stanowisko, numer identyfikacyjny pracownika);
- dane kontaktowe (adres e-mail, numer telefonu);
- dane dotyczące pojazdów powiązanych z konkretnymi osobami;
- dane dotyczące lokalizacji i tras przejechanych przez osoby trzecie;
- inne dane wprowadzone dobrowolnie przez Administratora w ramach modułów Serwisu.
- Kategorie osób, których dane mogą być powierzane:
- pracownicy i współpracownicy Administratora;
- klienci Administratora;
- kierowcy lub inne osoby zarządzające pojazdami Administratora.
- Administrator jest odpowiedzialny za to, aby zakres powierzanych danych był adekwatny do celów przetwarzania i zgodny z RODO. Procesor nie weryfikuje, czy Administrator posiada właściwą podstawę prawną do przetwarzania powierzonych danych.
§ 4 Obowiązki Procesora
- Procesor zobowiązuje się do:
- przetwarzania danych osobowych wyłącznie w zakresie i celu określonym w niniejszej Umowie;
- zapewnienia, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
- wdrożenia i utrzymywania odpowiednich technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 RODO, w szczególności: szyfrowania danych w tranzycie (HTTPS/TLS), kontroli dostępu opartej na rolach, regularnych kopii zapasowych oraz monitorowania bezpieczeństwa;
- nieujawniania powierzonych danych osobowych podmiotom trzecim, z wyjątkiem podprocesorów wymienionych w § 5 lub działania na podstawie obowiązku prawnego.
- Procesor niezwłocznie informuje Administratora, jeżeli jego zdaniem wydane polecenie narusza RODO lub inne przepisy o ochronie danych osobowych.
- Procesor udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.
§ 5 Podpowierzenie
- Administrator wyraża ogólną zgodę na korzystanie przez Procesora z usług podprocesorów w zakresie niezbędnym do świadczenia Usługi. Procesor informuje Administratora o wszelkich zamierzonych zmianach dotyczących podprocesorów, dając mu możliwość wyrażenia sprzeciwu.
- Aktualna lista podprocesorów korzystających z danych powierzonych przez Administratora jest dostępna pod adresem rodo@motozen.pl na pisemne żądanie Administratora. Do głównych kategorii podprocesorów należą:
- dostawcy infrastruktury chmurowej i hostingu (serwery, bazy danych);
- dostawcy usług transakcyjnych poczty elektronicznej (powiadomienia systemowe);
- dostawcy usług monitorowania i bezpieczeństwa aplikacji.
- Procesor zapewnia, że każdy podprocesor jest związany umową spełniającą wymogi art. 28 ust. 4 RODO. Procesor ponosi pełną odpowiedzialność wobec Administratora za działania podprocesorów w zakresie przetwarzania powierzonych danych.
- Jeżeli podprocesor przetwarza dane w państwie trzecim (poza EOG), Procesor zapewnia właściwe zabezpieczenia transferu zgodnie z rozdziałem V RODO (np. standardowe klauzule umowne).
§ 6 Realizacja praw osób, których dane dotyczą
- Procesor, uwzględniając charakter przetwarzania, w miarę możliwości pomaga Administratorowi wywiązać się z obowiązku odpowiadania na żądania osób, których dane dotyczą, wykonujących prawa określone w rozdziale III RODO, w tym prawo dostępu, sprostowania, usunięcia, ograniczenia przetwarzania i przenoszenia danych.
- W przypadku gdy osoba, której dane dotyczą, zwróci się bezpośrednio do Procesora z żądaniem realizacji praw wynikających z RODO, Procesor niezwłocznie — nie później niż w ciągu 5 dni roboczych — przekazuje takie żądanie Administratorowi i nie odpowiada na nie samodzielnie, chyba że Administrator udzielił wyraźnego upoważnienia.
- Procesor umożliwia Administratorowi eksport danych powierzonych poprzez funkcje Serwisu dostępne w panelu Konta.
§ 7 Naruszenia ochrony danych osobowych
- Procesor po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki — w miarę możliwości nie później niż w ciągu 24 godzin od jego wykrycia — zgłasza je Administratorowi na adres e-mail przypisany do Konta.
- Zgłoszenie, o którym mowa w ust. 1, powinno zawierać co najmniej:
- opis charakteru naruszenia, w tym kategorii i przybliżonej liczby osób oraz rekordów danych, których dotyczy;
- dane kontaktowe inspektora ochrony danych Procesora lub innej osoby, od której można uzyskać więcej informacji;
- opis możliwych konsekwencji naruszenia;
- opis środków zastosowanych lub proponowanych przez Procesora w celu zaradzenia naruszeniu.
- Procesor dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze, i udostępnia tę dokumentację Administratorowi na żądanie.
§ 8 Audyty i kontrole
- Procesor udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwia przeprowadzanie audytów i inspekcji przez Administratora lub upoważnionego przez niego audytora.
- Audyt przeprowadzany jest na pisemny wniosek Administratora złożony z co najmniej 30-dniowym wyprzedzeniem, w uzgodnionym terminie, w sposób minimalizujący zakłócenie działalności Procesora. Administrator ponosi koszty audytu, chyba że jego wyniki wykazują naruszenie przez Procesora postanowień niniejszej Umowy.
- Procesor może zaproponować Administratorowi zaakceptowanie audytu przeprowadzonego przez niezależnego audytora zewnętrznego (np. certyfikat ISO 27001, raport SOC 2) jako alternatywy dla audytu własnego Administratora.
§ 9 Usunięcie lub zwrot danych
- Po zakończeniu świadczenia usług związanych z przetwarzaniem danych Procesor, według wyboru Administratora, usuwa lub zwraca wszelkie dane osobowe oraz usuwa istniejące kopie, chyba że prawo Unii Europejskiej lub prawo polskie nakazuje przechowywanie tych danych.
- Za zakończenie świadczenia usług uznaje się:
- usunięcie Konta przez Administratora;
- rozwiązanie umowy o świadczenie usług Motozen przez którąkolwiek ze stron;
- pisemne żądanie Administratora zaprzestania powierzania i usunięcia danych.
- Procesor potwierdza Administratorowi usunięcie danych w ciągu 30 dni od daty zakończenia świadczenia usług, na pisemne żądanie Administratora.
- Do czasu usunięcia danych, o którym mowa w ust. 1, postanowienia niniejszej Umowy pozostają w mocy.
§ 10 Czas trwania
- Umowa zostaje zawarta na czas trwania umowy o świadczenie usług Motozen pomiędzy Administratorem a Procesorem.
- Umowa wygasa automatycznie z chwilą wygaśnięcia lub rozwiązania umowy o świadczenie usług Motozen, z zastrzeżeniem ust. 3.
- Postanowienia dotyczące poufności, usunięcia danych oraz odpowiedzialności pozostają w mocy po wygaśnięciu Umowy przez czas niezbędny do pełnego wykonania zobowiązań w nich zawartych.
§ 11 Postanowienia końcowe
- W zakresie nieuregulowanym niniejszą Umową zastosowanie mają postanowienia Regulaminu Motozen oraz przepisy RODO i polskiego prawa o ochronie danych osobowych.
- W przypadku sprzeczności między postanowieniami niniejszej Umowy a Regulaminem, w odniesieniu do kwestii przetwarzania danych osobowych osób trzecich pierwszeństwo mają postanowienia niniejszej Umowy.
- Wszelkie zmiany niniejszej Umowy dokonywane są w trybie przewidzianym dla zmian Regulaminu (§ 14 Regulaminu). Kontynuowanie korzystania z Serwisu po wejściu w życie zmian oznacza ich akceptację.
- W sprawach dotyczących realizacji niniejszej Umowy Administrator może kontaktować się z Procesorem pod adresem e-mail: rodo@motozen.pl.
- Umowa podlega prawu polskiemu. Wszelkie spory wynikłe z Umowy będą rozstrzygane przez sąd właściwy zgodnie z przepisami Kodeksu postępowania cywilnego.