Regulamin powierzenia przetwarzania danych osobowych

Spis treści
  1. Wprowadzenie
  2. Strony Regulaminu
  3. Cel Regulaminu
  4. § 1 Opis przetwarzania
    1. Zakres powierzonych danych
    2. Ograniczenie celu
  5. § 2 Obowiązki stron
    1. Polecenia
    2. Czas trwania przetwarzania danych osobowych
    3. Bezpieczeństwo przetwarzania
    4. Dokumentacja i zgodność
    5. Korzystanie z usług podmiotów podprzetwarzających
    6. Międzynarodowe przekazywanie danych
  6. § 3 Pomoc dla administratora
  7. § 4 Zgłaszanie naruszenia ochrony danych osobowych
    1. Naruszenie ochrony danych dotyczące danych przetwarzanych przez administratora
    2. Naruszenie ochrony danych dotyczące danych przetwarzanych przez Podmiot przetwarzający
  8. § 5 Postanowienia końcowe
    1. Załącznik I Wykaz podmiotów podprzetwarzających

Wprowadzenie

W ramach korzystania z Platformy transportowej spedimo.eu mogą Państwo przekazywać nam dane osobowe swoich pracowników w celu założenia dla nich kont użytkownika i umożliwienia im korzystania z funkcjonalności Platformy transportowej.

Zgodnie z przepisami ogólnego rozporządzenia o ochronie danych osobowych (RODO), w takiej sytuacji dochodzi do powierzenia przetwarzania danych osobowych, ponieważ działają Państwo jako Administrator danych osobowych swoich pracowników, których dane – takie jak imię, nazwisko, adres e-mail czy numer telefonu są przekazywane za pośrednictwem naszej platformy w celu utworzenia kont użytkowników. My, jako dostawca systemu, przetwarzamy dane pracowników jako Podmiot przetwarzający.

W trosce o zgodność z przepisami oraz przejrzystość zasad współpracy, udostępniamy poniższy Regulamin, który określa warunki powierzenia przetwarzania danych osobowych. Akceptacja Regulaminu przez konto firmowe stanowi inny instrument prawny, o którym mowa w art. 28 ust. 3 RODO, zawierany elektronicznie pomiędzy Administratorem danych a Podmiotem przetwarzającym.

Strony Regulaminu

Administratorem danych osobowych jest podmiot, który rejestruje konto firmowe na platformie w celu świadczenia usług transportowych i przekazuje dane swoich pracowników w celu utworzenia dla nich kont użytkowników.

Podmiotem przetwarzającym jest Spedimo GT Spółka z ograniczoną odpowiedzialnością S.K.A., adres: Kazimierzowska 6/16, 62-800 Kalisz, wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy Poznań – Nowe Miasto i Wilda w Poznaniu, IX Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem Nr KRS: 0001191545, posługującą się numerem NIP: 6182089137, REGON: 300897699, który świadczy usługę prowadzenia platformy i przetwarza dane osobowe w imieniu Administratora, na podstawie niniejszego Regulaminu.

Podmiot przetwarzający wyznaczył inspektora ochrony danych osobowych – Pana Radosława Bula, z którym można skontaktować się (w razie pytań dotyczących przetwarzania danych osobowych oraz przysługujących Ci praw) poprzez: 

1. skrzynkę mailową: radoslaw.bul@kancelariahawk.pl lub

2. pisemnie na adres: ul. Kazimierzowska 6/16, 62-800 Kalisz.

Administrator danych oraz Podmiot przetwarzający są dalej łącznie określani jako „Strony”, a każda z nich osobno jako „Strona”.

Cel Regulaminu

Celem niniejszego Regulaminu jest określenie zasad i warunków powierzenia przetwarzania danych osobowych przez Administratora na rzecz Podmiotu przetwarzającego w związku z utworzeniem oraz obsługą kont użytkowników (pracowników Administratora) na platformie giełdy transportowej.

Na podstawie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO), Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych swoich pracowników w zakresie i na zasadach określonych w niniejszym Regulaminie.

Podmiot przetwarzający jest odpowiedzialny za świadczenie usług polegających na przetwarzaniu powierzonych danych w celu utworzenia i obsługi kont użytkowników na platformie oraz zapewnieniu niezbędnej obsługi technicznej i aktualizacji systemu.

§ 1 Opis przetwarzania

1. Zakres powierzonych danych

  1. Podmiot przetwarzający przetwarza dane osobowe powierzonych pracowników Administratora wyłącznie w celu utworzenia oraz obsługi kont użytkowników na platformie giełdy transportowej oraz zapewnienia obsługi technicznej i aktualizacji systemu.
  2. Kategorie osób, których dane są przetwarzane, obejmują pracowników i współpracowników Administratora.
  3. Kategorie przetwarzanych danych osobowych obejmują w szczególności:
     a) dane personalne (np. imię i nazwisko),
     b) dane kontaktowe (np. adres e-mail, numer telefonu),
     c) dane dotyczące zawieranych umów,
     d) dane informatyczne.
  4. Charakter przetwarzania obejmuje działania takie jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie, dopasowywanie, łączenie, ograniczanie oraz usuwanie lub niszczenie danych.
  5. Dane są przetwarzane w sposób zautomatyzowany i ciągły.
  6. Dane przetwarzane są przez okres świadczenia usług na rzecz Administratora, niezbędny do realizacji umowy oraz do momentu usunięcia kont lub zakończenia współpracy.
  7. Miejsce przetwarzania danych to siedziba Podmiotu przetwarzającego: ul. Kazimierzowska 6/16, 62-800 Kalisz. Serwery, na których dane są przechowywane, znajdują się w: Chmura Microsoft Azure.

2. Ograniczenie celu

Podmiot przetwarzający przetwarza dane osobowe wyłącznie w konkretnym celu lub celach przetwarzania, określonych w punkcie powyżej, chyba że otrzyma dalsze polecenia od Administratora.

§ 2 Obowiązki stron

1. Polecenia

  1. Podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo nie zabrania udzielenia takiej informacji z uwagi na ważny interes publiczny. Administrator może wydawać kolejne polecenia przez cały okres przetwarzania danych osobowych. Polecenia te są zawsze dokumentowane.
  2. Podmiot przetwarzający bezzwłocznie powiadamia Administratora, jeżeli w opinii Podmiotu przetwarzającego polecenie wydane przez Administratora narusza RODO lub obowiązujące przepisy Unii lub państwa członkowskiego o ochronie danych.

2. Czas trwania przetwarzania danych osobowych

Przetwarzanie przez Podmiot przetwarzający odbywa się wyłącznie przez okres określony w załączniku I.

3. Bezpieczeństwo przetwarzania

  1. W celu zapewnienia bezpieczeństwa danych osobowych Podmiot przetwarzający potwierdza, że wdrożył adekwatne środki techniczne i organizacyjne. Podmiot przetwarzający na wniosek Administratora może udostępnić listę stosowanych środków.  
  2. Zapewnienie bezpieczeństwa danych obejmuje ochronę danych przed naruszeniem bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych (naruszenie ochrony danych osobowych). Oceniając odpowiedni poziom bezpieczeństwa, Strony należycie uwzględniają stan wiedzy technicznej, koszty wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz związane z tym ryzyko dla osób, których dane dotyczą.
  3. Podmiot przetwarzający udziela członkom swojego personelu dostępu do danych osobowych podlegających przetwarzaniu jedynie w zakresie bezwzględnie niezbędnym do wykonania umowy głównej, zarządzania nią i jej monitorowania. Podmiot przetwarzający zapewnia, by osoby upoważnione do przetwarzania otrzymanych danych osobowych zobowiązały się do zachowania poufności lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania poufności.

4. Dokumentacja i zgodność

  1. Podmiot przetwarzający niezwłocznie i odpowiednio, nie później jednak niż w terminie 14 dni, rozpatruje zapytania Administratora dotyczące przetwarzania danych oraz na wniosek Administratora udostępnia wszelkie informacje niezbędne do wykazania spełnienia obowiązków wynikających bezpośrednio z RODO.
  2. Na wniosek Administratora Podmiot przetwarzający zezwala również na audyty czynności przetwarzania objętych niniejszym Regulaminem i uczestniczy w tych audytach. Audyt nie może naruszać tajemnicy przedsiębiorstwa oraz danych osobowych, które nie stanowią przedmiotu powierzenia. O chęci przeprowadzenia audytu należy poinformować Podmiot przetwarzający w sposób pisemny, nie później niż na 14 dni przed planowanym terminem audytu. Audyt może być przeprowadzany nie częściej niż raz w roku, chyba że wystąpią okoliczności uzasadniające konieczność przeprowadzenia dodatkowego audytu, takie jak naruszenie. Koszty przeprowadzenia audytu, w tym wynagrodzenia pracowników ze strony Podmiotu przetwarzającego obsługujących audyt, ponosi Administrator, a ich wysokość wskazuje Podmiot przetwarzający po zgłoszeniu informacji o zamiarze przeprowadzenia audytu. Administrator może przeprowadzić audyt samodzielnie lub upoważnić do jego przeprowadzenia niezależnego audytora, który nie może być członkiem firmy konkurencyjnej wobec Podmiotu przetwarzającego. Podejmując decyzję w sprawie przeglądu lub audytu, Administrator może wziąć pod uwagę odpowiednie certyfikaty, jakie posiada Podmiot przetwarzający.
  3. Na wniosek właściwego organu nadzorczego Strony udostępniają mu informacje, o których mowa w niniejszym punkcie, w tym wyniki wszelkich audytów.

5. Korzystanie z usług podmiotów podprzetwarzających

  1. Podmiot przetwarzający ma prawo korzystać z usług podmiotów podprzetwarzających wymienionych w Załączniku I, dla których Administrator udzielił zgody na dalsze powierzenie im przetwarzania danych osobowych.   W przypadku zamiaru powierzenia przetwarzania danych nowemu podmiotowi podprzetwarzającemu, Podmiot przetwarzający niezwłocznie, nie później niż na 14 dni przed rozpoczęciem współpracy, poinformuje o tym Administratora za pośrednictwem wiadomości e-mail lub komunikatu w panelu użytkownika. Informacja ta zawierać będzie dane identyfikujące nowy podmiot oraz zakres powierzanych danych i cel przetwarzania. Administrator ma prawo zgłosić sprzeciw wobec powierzenia danych temu podmiotowi w terminie 7 dni od daty otrzymania powiadomienia. W przypadku braku sprzeciwu w tym terminie, zgodę uznaje się za udzieloną. Załącznik I zawiera wykaz podmiotów podprzetwarzających aktualnie upoważnionych przez Administratora, który Strony zobowiązują się na bieżąco aktualizować.
  2. W przypadku wyrażenia sprzeciwu, który uniemożliwia dalsze świadczenie usługi przez Podmiot przetwarzający zgodnie z umową, Podmiot przetwarzający zastrzega sobie prawo do:
    1. wstrzymania świadczenia usługi w zakresie, którego sprzeciw dotyczy,
    2. lub, jeśli świadczenie usługi bez udziału danego podprzetwarzającego jest niemożliwe – rozwiązania regulaminu za wypowiedzeniem ze skutkiem natychmiastowym, z przyczyn niezależnych od Podmiotu przetwarzającego.
  3. Jeżeli Podmiot przetwarzający korzysta z usług podmiotu podprzetwarzającego w celu przeprowadzenia określonych czynności przetwarzania (w imieniu Administratora), dokonuje tego w drodze umowy, która nakłada na podmiot podprzetwarzający zasadniczo takie same obowiązki w zakresie ochrony danych jak obowiązki nałożone na podmiot przetwarzający dane zgodnie z niniejszym Regulaminem. Podmiot przetwarzający zapewnia, aby podmiot podprzetwarzający wypełniał obowiązki, którym podlega Podmiot przetwarzający na mocy RODO.
  4. Na wniosek Administratora Podmiot przetwarzający przekazuje Administratorowi kopię umowy, jaką zawarł z podmiotem podprzetwarzającym, a w razie wprowadzenia zmian przekazuje Administratorowi jej zaktualizowaną wersję. W zakresie niezbędnym do ochrony tajemnicy handlowej lub innych informacji poufnych, w tym danych osobowych, Podmiot przetwarzający może utajnić tekst umowy przed jej udostępnieniem.
  5. Podmiot przetwarzający pozostaje w pełni odpowiedzialny przed Administratorem za wykonanie obowiązków podmiotu podprzetwarzającego zgodnie z jego umową z Podmiotem przetwarzającym. Podmiot przetwarzający powiadamia Administratora o każdym przypadku niewywiązania się przez podmiot podprzetwarzający z jego zobowiązań umownych.

6. Międzynarodowe przekazywanie danych

  1. Wszelkie przekazywanie danych do państwa trzeciego lub organizacji międzynarodowej przez podmiot przetwarzający odbywa się wyłącznie na udokumentowane polecenie Administratora lub w celu spełnienia szczególnego wymogu na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega podmiot przetwarzający, i odbywa się zgodnie z rozdziałem V RODO.
  2. Jeżeli zgodnie z niniejszym Regulaminem Podmiot przetwarzający korzysta z usług podmiotu podprzetwarzającego w celu przeprowadzenia określonych czynności przetwarzania (w imieniu Administratora), które wiążą się z przekazywaniem danych osobowych w rozumieniu rozdziału V RODO, Administrator wyraża zgodę na to, by podmioty te mogły zapewnić zgodność z rozdziałem V RODO za pomocą standardowych klauzul umownych przyjętych przez Komisję zgodnie z art. 46 ust. 2 RODO, pod warunkiem że spełnione są warunki stosowania tych standardowych klauzul umownych.

§ 3 Pomoc dla administratora

  1. Podmiot przetwarzający niezwłocznie zawiadamia Administratora o każdym wniosku otrzymanym od osoby, której dane dotyczą (jednak nie później niż w terminie 7 dni roboczych od dnia otrzymania). Podmiot przetwarzający nie odpowiada na taki wniosek samodzielnie, chyba że Administrator wyraził na to zgodę.
  2. Podmiot przetwarzający pomaga Administratorowi w wypełnianiu jego obowiązków dotyczących udzielania odpowiedzi na wnioski osób, których dane dotyczą, o skorzystanie z przysługujących im praw, z uwzględnieniem charakteru przetwarzania. Wypełniając swoje obowiązki zgodnie z lit. a) i b), Podmiot przetwarzający stosuje się do poleceń Administratora.
  3. Oprócz spoczywającego na Podmiocie przetwarzającym obowiązku pomagania Administratorowi ust. 2 Podmiot przetwarzający pomaga mu ponadto w zapewnieniu wypełniania następujących obowiązków, z uwzględnieniem charakteru przetwarzania danych oraz informacji, którymi dysponuje Podmiot przetwarzający:
    1. obowiązek przeprowadzenia oceny wpływu planowanych operacji przetwarzania na ochronę danych osobowych („ocena skutków dla ochrony danych”), jeżeli dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych;
    2. obowiązek skonsultowania się z właściwym(-i) organem(-ami) nadzorczym(-i) przed rozpoczęciem przetwarzania, jeżeli ocena skutków dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby Administrator nie zastosował środków w celu jego ograniczenia;
    3. obowiązek zapewnienia prawidłowości i aktualności danych osobowych poprzez niezwłoczne poinformowanie Administratora, jeżeli Podmiot przetwarzający stwierdzi, że przetwarzane przez niego dane osobowe są nieprawidłowe lub nieaktualne;
    4. obowiązki określone w art. 32 RODO.

§ 4 Zgłaszanie naruszenia ochrony danych osobowych

W przypadku naruszenia ochrony danych osobowych Podmiot przetwarzający współpracuje z Administratorem i pomaga mu w wypełnianiu jego obowiązków wynikających z art. 33 i 34 RODO, z uwzględnieniem charakteru przetwarzania i informacji, którymi dysponuje Podmiot przetwarzający.

1. Naruszenie ochrony danych dotyczące danych przetwarzanych przez administratora

W przypadku naruszenia ochrony danych osobowych dotyczącego danych przetwarzanych przez Administratora Podmiot przetwarzający wspomaga Administratora:

  1. przy zgłaszaniu naruszenia ochrony danych osobowych właściwemu(-ym) organowi(-om) nadzorczemu(-ym) niezwłocznie po tym, jak Administrator dowiedział się o naruszeniu, w stosownych przypadkach (chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych);
  2. przy uzyskiwaniu następujących informacji, które zgodnie z art. 33 ust. 3 RODO powinny być zawarte w zgłoszeniu Administratora i obejmować co najmniej:
    1. charakter danych osobowych, w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
    2. możliwe konsekwencje naruszenia ochrony danych osobowych;
    3. środki zastosowane lub proponowane przez Administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Jeżeli przekazanie wszystkich tych informacji równocześnie nie jest możliwe, pierwotne zgłoszenie zawiera informacje dostępne w danej chwili, a po uzyskaniu dostępu do dalszych informacji przekazuje się je bez zbędnej zwłoki;

c. przy wypełnianiu – zgodnie z art. 34 RODO – obowiązku zawiadomienia bez zbędnej zwłoki osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli naruszenie to może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych.

2. Naruszenie ochrony danych dotyczące danych przetwarzanych przez Podmiot przetwarzający

W przypadku naruszenia ochrony danych osobowych dotyczącego danych przetwarzanych przez Podmiot przetwarzający Podmiot przetwarzający zgłasza naruszenie Administratorowi niezwłocznie po tym, jak dowiedział się o naruszeniu (jednak nie później niż w terminie 48 godzin od momentu, gdy Podmiot przetwarzający dowiedział się o naruszeniu). Zgłoszenie to powinno zawierać co najmniej:

  1. opis charakteru naruszenia (w tym, w miarę możliwości, kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz wpisów danych, których dotyczy naruszenie);
  2. dane punktu kontaktowego, w którym można uzyskać więcej informacji na temat naruszenia ochrony danych osobowych;
  3. wskazanie prawdopodobnych konsekwencji naruszenia oraz środków, które zostały lub mają zostać wprowadzone w celu zaradzenia naruszeniu, w tym w celu zminimalizowania jego ewentualnych negatywnych skutków.

Jeżeli przekazanie wszystkich tych informacji równocześnie nie jest możliwe, pierwotne zgłoszenie zawiera informacje dostępne w danej chwili, a po uzyskaniu dostępu do dalszych informacji przekazuje się je bez zbędnej zwłoki.

§ 5 Postanowienia końcowe

  1. Administrator jest uprawniony do rozwiązania umowy w zakresie, w jakim dotyczy ona przetwarzania danych osobowych zgodnie z niniejszym Regulaminem, jeżeli:
    1. Podmiot przetwarzający poważnie lub stale narusza niniejszym Regulaminem lub swoje obowiązki wynikające z RODO;
    2. podmiot przetwarzający nie stosuje się do wiążącej decyzji właściwego sądu lub właściwego(-ych) organu(-ów) nadzorczego(-ych) dotyczącej jego obowiązków wynikających z RODO.
  2. Podmiot przetwarzający ma prawo rozwiązać umowę w zakresie, w jakim dotyczy ona przetwarzania danych osobowych zgodnie z niniejszym Regulaminem, jeżeli po zawiadomieniu Administratora o tym, że jego polecenie narusza obowiązujące wymogi prawne Administrator nalega na wypełnienie polecenia.
  3. Po zakończeniu świadczenia usług Podmiot przetwarzający, zależnie od decyzji Administratora, usuwa wszystkie dane osobowe przetwarzane w imieniu Administratora i poświadcza Administratorowi, że tego dokonał, lub zwraca Administratorowi wszystkie dane osobowe i usuwa istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. Podmiot przetwarzający zapewnia przestrzeganie niniejszego Regulaminu do czasu usunięcia lub zwrotu danych.
  4. W sprawach nieuregulowanych niniejszym Regulaminem będą miały zastosowanie przepisy RODO oraz unijne i krajowe przepisy kształtujące przetwarzanie danych osobowych.
  5. Sądem właściwym dla rozpatrzenia ew. sporów wynikających z niniejszego Regulaminu będzie sąd właściwy dla siedziby Administratora.
  6. Załącznik I stanowi integralną część Regulaminu.
  7. Podmiot przetwarzający zastrzega sobie prawo do zmiany niniejszego Regulaminu w przypadku:
    1. zmiany przepisów prawa, w szczególności w zakresie ochrony danych osobowych,
    2. zmiany sposobu świadczenia usług mających wpływ na przetwarzanie danych,
    3. konieczności doprecyzowania lub uzupełnienia postanowień regulaminu.

Administrator zostanie poinformowany o zmianie regulaminu poprzez wiadomość e-mail lub komunikat w panelu użytkownika co najmniej 14 dni przed planowanym terminem wejścia zmian w życie. Zmieniony Regulamin będzie wiążący, o ile Administrator nie zgłosi sprzeciwu wobec jego treści przed datą wejścia zmian w życie.

Załączniki:

  • Załącznik  I Wykaz podmiotów podprzetwarzających

Załącznik I Wykaz podmiotów podprzetwarzających

Administrator na podstawie umowy powierzenia przetwarzania danych osobowych zezwolił na korzystanie z usług następujących podmiotów podprzetwarzających:

Nazwa podmiotu pod-przetwarzającego oraz adresŚwiadczone usługi dla Podmiotu przetwarzającegoMiejsce przetwarzania danych osobowych oraz ew. lokalizacja serwerów
IT-Solve S.C. Wiktor Sobczyk Damian Sitek – Rumiankowa 5, 42-280 Częstochowa.Usługi ProgramistyczneCzęstochowa