Regulamin powierzania danych osobowych
01 listopada 2020 roku
1. Postanowienia ogólne
1.1. Poniższy Regulamin stanowi integralną część Regulaminu świadczenia drogą elektroniczną usługi QR E-menu (zwanej dalej „Usługą”) na rzecz osób fizycznych, prawnych bądź innych jednostek organizacyjnych posiadających zdolność do czynności prawnych (zwanych dalej „Administratorem”) przez Usługodawcę –
Czerwony Stoliczek spółkę z ograniczoną odpowiedzialnością z siedzibą w Zabrzu (ul. Cieszyńska 2/4; 41-800 Zabrze), zarejestrowaną przez Sąd Rejonowy w Gliwicach, Wydział Gospodarczy pod nr KRS: 0000864046, o kapitale zakładowym 5000,00 złotych wniesionym w całości, posiadającą NIP 6482800942, REGON 387248384 (zwaną dalej „Procesorem”), i ma zastosowanie wtedy, gdy Administrator za pośrednictwem Usługi QR
E-menu zbiera lub przetwarza dane osobowe w rozumieniu przepisów Rozporządzenie 2016/679 – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1) (zwane dalej „RODO”).
1.2. Administrator danych powierza Procesorowi do przetwarzania dane osobowe w rozumieniu art. 28 RODO w zakresie wynikającym z Regulaminu Głównego. W szczególności chodzi o zbierane przez Administratora, a przechowywane przez Procesora w systemie CRM dane osobowe klientów i potencjalnych klientów Administratora.
1.3. Procesor zobowiązuje się do przetwarzania danych osobowych w zakresie i na zasadach określonych w niniejszym Regulaminie, Ustawie i wydanych na jej podstawie odpowiednich aktach wykonawczych. Powierzone Procesorowi na podstawie Regulaminu dane osobowe będą przetwarzane na terytorium państw należących do Europejskiego Obszaru Gospodarczego. Z tytułu wykonywania świadczeń określonych w niniejszej Umowie Procesorowi nie przysługuje dodatkowe wynagrodzenie poza określonym w Umowie Głównej.
2. Oświadczenie stron
2.1. Strony zgodnie oświadczają, że Administratorem danych osobowych w rozumieniu art. 4 pkt 1 RODO powierzonych do przetwarzania Procesorowi na podstawie niniejszego Regulaminu jest Administrator danych.
2.2. Administrator danych oświadcza, że powierzone Procesorowi do przetwarzania dane osobowe gromadzi zgodnie z obowiązującymi przepisami prawa.
2.3. Procesor oświadcza, że dysponuje odpowiednimi środkami technicznymi i organizacyjnymi, wiedzą i wykwalifikowanym personelem, co umożliwia mu prawidłowe wykonanie niniejszego Regulaminu powierzenia przetwarzania danych osobowych i zapewnienie zgodności przetwarzania z przepisami prawa oraz ochronę praw osób, których dane dotyczą. Procesor zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO.
2.4. Procesor przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora.
3. Zakres powierzenia danych
3.1. Zakres powierzonych Procesorowi do przetwarzania danych osobowych obejmuje: następujące dane osobowe klientów korzystających lub zamierzających korzystać z usług świadczonych przez Administratora danych:
- nazwisko i imię;
- adresy poczty elektronicznej;
- numer telefonu.
3.2. Ponadto Administrator powierza Procesorowi dane osobowe klientów i potencjalnych klientów Administratora.
3.3. Powierzenie, o którym mowa w niniejszej Umowie, obejmuje przetwarzanie danych osobowych w celu realizacji przez Procesora następujących czynności:
- przechowywanie danych osobowych w systemach CRM zintegrowanych z Usługą QR-Emenu, o której mowa w Umowie Głównej;
- wykonywanie kopii zapasowych danych osobowych.
Dane osobowe będą zatem: zbierane, organizowane, utrwalane, porządkowane, przechowywane, opracowywane, przesyłane, udostępniane, usuwane lub niszczone.
3.4. Procesor jest uprawniony do przetwarzania powierzonych przez Administratora danych osobowych wyłącznie w zakresie i w celu związanym z realizacją niniejszego Regulaminu i Regulaminu Głównego. Zmiana celu lub zakresu przetwarzanych danych wymaga zmiany niniejszego Regulaminu.
4. Obowiązki stron
4.1. Przy przetwarzaniu danych osobowych związanych z wykonaniem niniejszego Regulaminu Procesor zobowiązany jest przestrzegać obowiązujących przepisów prawa w zakresie ochrony danych osobowych oraz stosować się do poleceń Administratora dotyczących zasad przetwarzania powierzonych danych osobowych oraz dotyczących zabezpieczenia danych osobowych.
4.2. Procesor zobowiązuje się przetwarzać dane osobowe zgodnie z obowiązującymi przepisami prawa wyłącznie w zakresie niezbędnym dla realizacji czynności opisanych w pkt 3.4 niniejszego Regulaminu. Procesor przyjmuje do wiadomości, że przetwarzanie przez niego danych osobowych w szerszym zakresie lub dla realizacji innych celów, przy braku dysponowania odpowiednią podstawą prawną, będzie stanowiło naruszenie Umowy PDO oraz przepisów prawa i może stanowić podstawę do wypowiedzenia lub nieprzedłużenia Umowy o współpracy.
4.3. Procesor oświadcza, że dysponuje odpowiednimi środkami technicznymi i organizacyjnymi zabezpieczającymi dane osobowe przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa oraz uszkodzeniem, zniszczeniem lub nieuzasadnioną modyfikacją zgodnie z obowiązującymi przepisami prawa.
4.4. Przed rozpoczęciem przetwarzania danych osobowych Procesor musi podjąć Środki zabezpieczające dane osobowe, o których mowa w art. 32 RODO, a w szczególności: uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, obowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
4.5. Procesor jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone do baz danych oraz komu są przekazywane, zwłaszcza gdy przekazuje się je za pomocą urządzeń transmisji danych.
4.6. Wszelkie informacje poufne i dokumenty zawierające dane osobowe przekazywane drogą elektroniczną oraz kanał komunikacji powinny być zabezpieczone z zastosowaniem środków ochrony kryptograficznej.
4.7. W przypadku przetwarzania danych za pomocą systemu informatycznego, do jego obsługi oraz urządzeń wchodzących w jego skład, służących do przetwarzania danych osobowych, dopuszczone mogą być jedynie osoby upoważnione do tego imiennie i przeszkolone przez Procesora.
4.8. Procesor zobowiązany jest do prowadzenia listy osób fizycznych zatrudnionych przy przetwarzaniu danych osobowych (bez względu na podstawę prawną zatrudnienia) w związku z wykonywaniem Umowy PDO.
4.9. Procesor na każde żądanie Administratora zobowiązany jest niezwłocznie przedstawić Administratorowi listę osób zatrudnionych przy przetwarzaniu danych osobowych (bez względu na podstawę prawną zatrudnienia).
4.10. Procesor zobowiązuje się do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia, w tym także po rozwiązaniu Umowy o współpracy, oraz zobowiązuje się zapewnić, aby jego pracownicy oraz inne osoby upoważnione do przetwarzania powierzonych danych, o których mowa w ust. 8 powyżej, zobowiązali się do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia, w tym także po rozwiązaniu Umowy PDO.
4.11. Procesor będzie przetwarzał powierzone dane w swojej siedzibie oraz w zdalnych lokalizacjach u podprocesorów powierzenia także poza terenem Europejskiego Obszaru Gospodarczego.
4.12. W przypadku podjęcia przez osobę trzecią działań prawnych wobec Procesora i/lub Administratora danych związanych z naruszeniem zasad przetwarzania danych osobowych Strony zobowiązują się współpracować w celu podjęcia stosownych kroków prawnych zmierzających w szczególności do oddalenia bądź odrzucenia przez właściwy sąd roszczeń osoby trzeciej, wniesienia środka odwoławczego lub zawarcia ugody, a także innych działań prawnych.
5. Odpowiedzialność
W przypadku naruszenia przez którąkolwiek ze Stron zasad przetwarzania danych osobowych, jakie określono w Umowie, Ustawie lub odpowiednich aktach wykonawczych, i poniesienia w związku z tym przez drugą Stronę jakiejkolwiek szkody Strona winna naruszenia jest zobowiązana do pokrycia szkody poniesionej przez drugą stronę, przy czym Strony ograniczają odpowiedzialność do tzw. szkody rzeczywistej („damnum emergens”) i wyłączają odpowiedzialność za tzw. utracone korzyści („lucrum cessans”).
6. Czas obowiązywania
Niniejszy regulamin zostaje zawarty na czas obowiązywania Regulaminu świadczenia Usługi QR E-MENU.
Strony dopuszczają możliwość zmiany bądź wcześniejszego rozwiązania niniejszego Regulaminu za porozumieniem Stron.
W wypadku wygaśnięcia niniejszego Regulaminu Procesor zobowiązuje się do umożliwienia skopiowania wszelkich powierzonych przez Administratora danych, a następnie do usunięcia powierzonych danych w nieprzekraczalnym terminie 14 dni od wygaśnięcia Regulaminu, jednakże nie wcześniej niż przed skopiowaniem danych przez Administratora, chyba że ten wcześniej na piśmie zrzekł się możliwości wykonania kopii.