Niniejsze tłumaczenie jest udostępnione wyłącznie dla wygody. W przypadku jakichkolwiek rozbieżności obowiązuje wersja angielska niniejszego dokumentu, która jest jedynym prawnie wiążącym tekstem.
Umowa Przetwarzania Danych
Umowa o przetwarzanie danych
Niniejsza Umowa o przetwarzanie danych („UPD") zostaje zawarta pomiędzy:
- Sonetel AB (publ), org.nr. 556486-5847 („Dostawca"); oraz
- Firmą lub podmiotem, który Pan/Pani reprezentuje, („Klient")
zwanymi dalej łącznie „Stronami" lub indywidualnie „Stroną".
1. Wprowadzenie
1.1 Niniejsza UPD stanowi integralną część Głównej Umowy o Świadczenie Usług („Umowa") pomiędzy Dostawcą a Klientem. 1.2 Po zawarciu Umowy, Dostawca będzie przetwarzał Dane Osobowe w imieniu Klienta, jako Procesor. Klient jest Administratorem w zakresie przetwarzania Danych Osobowych. 1.3 Jeśli Klient jest współadministratorem z inną stroną w odniesieniu do danych Osobowych, Klient zobowiązany jest odpowiednio poinformować Dostawcę. 1.4 Celem niniejszej Umowy jest zapewnienie, że Przetwarzanie odbywa się zgodnie z obowiązującymi wymogami dotyczącymi przetwarzania danych i zobowiązaniami wynikającymi z Przepisów o Ochronie Danych oraz zapewnienie odpowiedniej ochrony integralności osobistej i podstawowych praw osób fizycznych podczas przekazywania Danych Osobowych od Klienta do Dostawcy w ramach Usług, które Dostawca świadczy na podstawie Umowy.
2. Definicje
| „Przetwarzanie" | oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie; |
|---|---|
| „Dane osobowe" | oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („osoby, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej; |
| „Przepisy o Ochronie Danych" | oznaczają obowiązujące w danym czasie przepisy ustawowe i wykonawcze dotyczące Przetwarzania Danych Osobowych, w tym między innymi Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 („RODO"), wiążące decyzje, regulacje i zalecenia Organu Nadzorczego oraz uzupełniające lokalne adaptacje i regulacje dotyczące ochrony danych. |
| „Administrator" | oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; gdy cele i sposoby takiego przetwarzania są określone w prawie Unii lub prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania; |
| „Procesor" | oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora; |
| „Podprocesor" | oznacza osobę fizyczną lub prawną, która przetwarza dane osobowe jako podprocesor w imieniu Dostawcy; |
| „Osoba, której dane dotyczą" | oznacza osobę fizyczną, której dotyczą Dane osobowe. |
| „Organ Nadzorczy" | oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 51. Organem Nadzorczym w Szwecji jest Szwedzki Urząd Ochrony Danych. |
2.1 O ile nie określono inaczej, jakikolwiek inny termin lub pojęcie użyte wielkimi literami w niniejszej UPD (z wyjątkiem w niektórych przypadkach jako część nagłówka) będzie miało znaczenie i koncepcję ustaloną w Przepisach o Ochronie Danych, a w pozostałym zakresie w Umowie, chyba że okoliczności wyraźnie wymagają innej interpretacji.
3. Obowiązki i instrukcje
3.1 Klient jest Administratorem wszystkich Danych Osobowych, które Dostawca Przetwarza w imieniu Klienta na podstawie Umowy. Klient jest zatem odpowiedzialny za przestrzeganie Przepisów o Ochronie Danych. Klient zobowiązuje się poinformować Dostawcę o Przepisach o Ochronie Danych, które są istotne dla przeprowadzenia Przetwarzania na podstawie niniejszej Umowy. Oprócz wymogów, które mają bezpośrednie zastosowanie do Procesora zgodnie z Przepisami o Ochronie Danych, Dostawca będzie zobowiązany do przestrzegania innych obowiązujących wymogów zgodnie z Przepisami o Ochronie Danych i zaleceniami Organu Nadzorczego, o których Dostawca został poinformowany przez Klienta. Klient będzie również na bieżąco informował Dostawcę o działaniach stron trzecich, w tym Organu Nadzorczego i Osoby, której dane dotyczą, w wyniku Przetwarzania. 3.2 Dostawca i każda osoba działająca pod zwierzchnictwem Dostawcy, która ma dostęp do Danych Osobowych, nie będzie Przetwarzać tych danych w żadnym innym celu niż zgodnie z pisemnymi instrukcjami Klienta lub zgodnie z Przepisami o Ochronie Danych. Instrukcje mające zastosowanie do niniejszej UPD są określone w Załączniku 1. Oprócz instrukcji określonych w Załączniku 1, niniejsza UPD i Umowa stanowią instrukcje Klienta dla Dostawcy dotyczące Przetwarzania Danych Osobowych. Klient niezwłocznie poinformuje Dostawcę o wszelkich zmianach, które wpływają na zobowiązania Dostawcy wynikające z niniejszej UPD. 3.3 Dane Osobowe objęte niniejszą UPD mogą być również Przetwarzane, jeśli takie Przetwarzanie jest wymagane przez prawo Unii lub prawo krajowe państwa członkowskiego, któremu podlega Dostawca lub Podprocesor. Jeśli takie Przetwarzanie jest wymagane, Dostawca lub Podprocesor poinformuje Klienta o wymogach prawnych przed Przetwarzaniem, chyba że takie informacje są zabronione ze względu na interes publiczny wynikający z tego prawa. 3.4 Dostawca ma prawo do przechowywania i Przetwarzania danych pochodzących od Klienta w formacie zagregowanym lub zanonimizowanym, niezawierającym Danych Osobowych, na podstawie niniejszej UPD.
4. Bezpieczeństwo
4.1 Dostawca wdroży środki techniczne i organizacyjne, zgodnie z wymogami Przepisów o Ochronie Danych, w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka oraz ochrony Przetwarzanych Danych Osobowych przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą lub zmianą, lub nieuprawnionym ujawnieniem lub dostępem do Przetwarzanych Danych Osobowych. 4.2 Dostawca będzie wspierał Klienta w zapewnieniu wypełnienia zobowiązań wynikających z art. 32-36 RODO, biorąc pod uwagę charakter Przetwarzania i informacje dostępne dla Dostawcy. 4.3 Dostawca powiadomi Klienta bez zbędnej zwłoki po uzyskaniu informacji o naruszeniu ochrony danych osobowych.
5. Ujawnianie Danych Osobowych i Informacji
5.1 W przypadku gdy Dostawca otrzyma żądanie od Osoby, której dane dotyczą, Organu Nadzorczego lub innej strony trzeciej w celu uzyskania informacji dotyczących Danych Osobowych, które Dostawca Przetwarza w imieniu Klienta, Dostawca niezwłocznie przekaże żądanie Klientowi. Dostawca i każda osoba działająca pod zwierzchnictwem Dostawcy nie mogą ujawniać Danych Osobowych ani innych informacji dotyczących Przetwarzania Danych Osobowych bez wyraźnych instrukcji Klienta, chyba że takie ujawnienie jest wymagane zgodnie z obowiązującymi Przepisami o Ochronie Danych. 5.2 Dostawca będzie wspierał Klienta w wypełnianiu jego obowiązku odpowiadania na żądania dotyczące prawa Osoby, której dane dotyczą, do dostępu, sprostowania i usunięcia, podejmując środki techniczne i organizacyjne, które są odpowiednie z uwzględnieniem charakteru Przetwarzania, oraz wspierał w ujawnianiu Danych Osobowych, gdy jest to wymagane przez obowiązujące prawo krajowe.
6. Kontakt z Organem Nadzorczym
6.1 Dostawca poinformuje Klienta o wszelkich kontaktach z Organu Nadzorczego dotyczących Przetwarzania Danych Osobowych na podstawie niniejszej UPD. Dostawca nie jest uprawniony do reprezentowania Klienta ani działania w imieniu Klienta w relacji z Organem Nadzorczym, chyba że jest to wymagane przez Przepisy o Ochronie Danych.
7. Podprocesory
7.1 Dane Osobowe mogą być Przetwarzane przez Podprocesora pod warunkiem, że Dostawca zawrze pisemną umowę z Podprocesorem, która nakłada na niego odpowiednie zobowiązania podczas Przetwarzania Danych Osobowych zgodnie z niniejszą UPD. 7.2 Dostawca zobowiązuje się poinformować Klienta o wszelkich planach zatrudnienia nowych Podprocesorów lub zastąpienia Podprocesorów. Klient jest uprawniony do sprzeciwu wobec takich zmian. Taki sprzeciw może dotyczyć wyłącznie obiektywnych podstaw związanych z wypełnieniem wymogów bezpieczeństwa technicznego i organizacyjnego podczas Przetwarzania Danych Osobowych na podstawie UPD. 7.3 Dostawca jest odpowiedzialny za zapewnienie, że wymogi dotyczące korzystania z Podprocesorów zgodnie z Przepisami o Ochronie Danych są uwzględnione oraz za zapewnienie, że tacy Podprocesory zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych w taki sposób, aby Przetwarzanie spełniało wymogi Przepisów o Ochronie Danych. 7.4 Dostawca dostarczy Klientowi prawidłową i aktualną listę Podprocesorów wyznaczonych do Przetwarzania Danych Osobowych na podstawie niniejszej UPD, wraz z danymi kontaktowymi i lokalizacją geograficzną Przetwarzania. Lista ta jest dostępna dla Klienta pod adresem https://sonetel.com/en/help/help-topics/terms-conditions/sub-processors/. Dostawca zobowiązuje się powiadamiać Klienta o każdej aktualizacji listy Podprocesorów i zapewniać, że jest ona zawsze prawidłowa. 7.5 Jeśli Podprocesor nie wypełni zobowiązań wynikających z Umowy, niniejszej UPD i/lub zgodnie z Przepisami o Ochronie Danych, Dostawca będzie odpowiedzialny za wykonanie zobowiązań Podprocesora w stosunku do Klienta.
8. Audyty
8.1 Dostawca dostarczy Klientowi wszystkie informacje wymagane do przestrzegania zobowiązań zgodnie z niniejszą UPD i Przepisami o Ochronie Danych w rozsądnym czasie po złożeniu takiego żądania przez Klienta do Dostawcy. 8.2 Dostawca umożliwi i przyczyni się do audytów, w tym inspekcji przeprowadzanych przez Klienta lub przez innego niezależnego audytora (na koszt Klienta) wybranego przez Klienta, którego Dostawca może rozsądnie zaakceptować. Audytor jest zobowiązany do podpisania wystarczających umów o zachowaniu poufności dostarczonych przez Dostawcę przed audytami. Klient ma prawo przeprowadzić jeden audyt rocznie bez kosztów. Jeśli Klient chciałby przeprowadzić dodatkowe audyty, Klient musi zrekompensować Dostawcy wszystkie koszty związane z audytem/audytami. 8.3 Dostawca w odniesieniu do zobowiązań określonych w sekcji 8 niniejszej UPD, niezwłocznie poinformuje Klienta, jeśli Dostawca uzna, że instrukcja narusza Przepisy o Ochronie Danych.
9. Przekazywanie Danych Osobowych poza UE/EOG
9.1 W przypadku gdy Dostawca i/lub Podprocesor przekazują Dane Osobowe do lokalizacji poza UE/EOG, Dostawca i/lub Podprocesory zapewnią, że takie przekazanie jest zgodne z obowiązującymi Przepisami o Ochronie Danych.
10. Poufność
10.1 Dostawca, w stosownych przypadkach, przestrzega krajowych przepisów prawnych mających zastosowanie do informacji niejawnych lub poufnych. Dostawca zobowiązuje się zapewnić, że personel upoważniony do przetwarzania Danych Osobowych na podstawie niniejszej UPD zobowiązał się do zachowania poufności w zakresie Przetwarzania lub podlega obowiązującemu ustawowemu obowiązkowi zachowania poufności. 10.2 Sekcja 10.1 powyżej nie ma zastosowania do informacji żądanych przez Organ Nadzorczy zgodnie z Przepisami o Ochronie Danych lub innym obowiązkiem ustawowym. 10.3 Zobowiązanie do zachowania poufności obowiązuje również po wygaśnięciu Umowy i/lub UPD.
11. Przenoszenie danych
11.1 Dostawca zapewni, że Klient jest w stanie wypełnić wszelkie zobowiązania dotyczące Przenoszenia Danych odnoszące się do Danych Osobowych, które Dostawca Przetwarza w imieniu Klienta.
12. Rekompensata
12.1 W przypadku gdy zobowiązania nałożone na Dostawcę zgodnie z Sekcjami 5, 8, 9 i 11 skutkują rozległymi pracami dla Dostawcy, Dostawca będzie uprawniony do rozsądnej rekompensaty od Klienta. 12.2 W przypadku gdy Klient zgłosi uzasadniony sprzeciw wobec nowego Podprocesora zgodnie z Sekcją 7, a Dostawca nie zgodzi się na zastąpienie Podprocesora, Dostawca będzie uprawniony do dodatkowej rekompensaty od Klienta za koszty poniesione przez Dostawcę z powodu faktu, że Podprocesor nie może być wykorzystany. 12.3 Dostawca będzie uprawniony do rozsądnej rekompensaty za wszystkie prace i wszystkie koszty, które powstają z powodu Instrukcji Klienta dotyczących Przetwarzania, jeśli przekraczają one funkcje i poziom bezpieczeństwa oparty na usługach, które Dostawca normalnie świadczy swoim klientom, np. w przypadku gdy system/usługi Dostawcy lub inne wymagają od Dostawcy dokonania specjalnych dostosowań w imieniu Klienta.
13. Odpowiedzialność
13.1 Jeśli Dostawca, jakakolwiek osoba działająca pod zwierzchnictwem Dostawcy lub Podprocesor, Przetwarza Dane Osobowe z naruszeniem niniejszej UPD lub Instrukcji dotyczących Przetwarzania Danych dostarczonych przez Klienta, Dostawca, z uwzględnieniem ograniczenia odpowiedzialności wynikającego z Umowy, zrekompensuje Klientowi bezpośrednią szkodę poniesioną przez Klienta z powodu bezprawnego Przetwarzania. Niezależnie od ograniczenia odpowiedzialności w niniejszej Umowie, odpowiedzialność Dostawcy na podstawie punktu 13.1 będzie zawsze ograniczona do kwoty równoważnej opłatom zapłaconym przez Klienta Dostawcy na podstawie Umowy za okres dwunastu (12) miesięcy przed wystąpieniem szkody. W przypadku gdy Umowa nie obowiązywała przez pełny rok umowny, kwota ta zostanie obliczona na podstawie kosztów, które Klient ma zapłacić w ciągu roku umownego na podstawie Umowy. 13.2 W okresie obowiązywania niniejszej UPD i później, Klient zwolni i zabezpieczy Dostawcę przed wszelkimi bezpośrednimi szkodami, w tym roszczeniami od Osób, których dane dotyczą, i stron trzecich, które Dostawca poniósł z powodu niejasnych, nieodpowiednich lub niezgodnych z prawem instrukcji Klienta, lub w inny sposób, w zależności od okoliczności wynikających z działań Klienta. 13.3 Zobowiązanie Dostawcy do zapłaty odszkodowania, określone w sekcji 13.1 powyżej, ma zastosowanie tylko pod warunkiem, że i) Klient bez zbędnej zwłoki poinformuje Dostawcę na piśmie o wszelkich roszczeniach wobec Klienta; oraz ii) Klient pozwoli Dostawcy kontrolować obronę przed roszczeniem i podejmować niezależne decyzje dotyczące ugody.
14. Okres obowiązywania i rozwiązanie
14.1 Niniejsza UPD wchodzi w życie po należytym podpisaniu przez obie Strony, oddzielnie jako zmiana do Umowy lub jako część Umowy i pozostaje w mocy tak długo, jak Dostawca Przetwarza Dane Osobowe w imieniu Klienta. 14.2 Po rozwiązaniu Umowy lub niniejszej UPD (w zależności od tego, co nastąpi wcześniej), Dostawca zgodnie z instrukcjami Klienta usunie lub zwróci wszystkie Dane Osobowe Klientowi i upewni się, że wszyscy Podprocesory zrobią to samo. 14.3 Jeśli Klient nie zażądał zwrotu Danych Osobowych, Dostawca usunie dane w ciągu 90 dni po rozwiązaniu UPD lub Umowy (w zależności od tego, co nastąpi wcześniej). Dostawca usunie wszelkie istniejące kopie, chyba że przechowywanie Danych Osobowych jest wymagane przez prawo Unii lub prawo krajowe państwa członkowskiego.
15. Zmiany i uzupełnienia
15.1 Jeśli Przepisy o Ochronie Danych ulegną zmianie w okresie obowiązywania niniejszej UPD, lub jeśli Organ Nadzorczy wyda wytyczne, decyzje lub regulacje dotyczące stosowania Przepisów o Ochronie Danych, które skutkują tym, że niniejsza UPD nie spełnia już wymogów dla UPD, Strony wprowadzą niezbędne zmiany do niniejszej UPD w celu spełnienia takich nowych lub dodatkowych wymogów. Takie zmiany wchodzą w życie nie później niż trzydzieści (30) dni po wysłaniu przez Stronę zawiadomienia o zmianie do drugiej Strony lub w inny sposób nie później niż określono w Przepisach o Ochronie Danych, wytycznych, decyzjach lub regulacjach Organu Nadzorczego. 15.2 Inne zmiany i uzupełnienia niniejszej UPD, aby były wiążące, muszą być dokonane na piśmie i należycie podpisane przez obie Strony.
16. Postanowienia różne
16.1 Niniejsza UPD zastępuje wszystkie wcześniejsze UPD pomiędzy Stronami i zastępuje wszelkie odmienne postanowienia Umowy dotyczące przedmiotu niniejszej UPD, niezależnie od tego, czy określono inaczej w Umowie. 16.2 Niniejsza UPD podlega temu samemu prawu i temu samemu forum co Umowa. 16.3 Ponadto warunki Umowy mają również zastosowanie do Przetwarzania Danych Osobowych przez Dostawcę i zobowiązań wynikających z niniejszej UPD. Jednakże w przypadku sprzeczności między postanowieniami Umowy a niniejszej UPD, postanowienia UPD będą miały pierwszeństwo w odniesieniu do całego Przetwarzania Danych Osobowych. Postanowienia Umowy nie mogą ograniczać ani modyfikować żadnych zobowiązań niniejszej UPD. 16.4 Niniejsza UPD podlega temu samemu prawu i temu samemu forum, co określono w Umowie.
Załącznik 1 – Instrukcje Przetwarzania Danych
W niniejszych instrukcjach przetwarzania danych wszystkie słowa pisane wielkimi literami mają takie samo znaczenie, jak zdefiniowano w UPD, chyba że wyraźnie określono inaczej.
| Cele Proszę określić wszystkie cele, dla których Dane Osobowe będą Przetwarzane przez Dostawcę jako procesora danych Klienta | Dostawca przetwarza dane osobowe w celu wypełnienia usługi na podstawie Umowy. Dane osobowe mogą być również przetwarzane w celu wsparcia IT i powiązanych usług. Ponadto Dostawca przetwarza dane w celu wykrywania oszustw i innych działań zapobiegawczych. |
|---|---|
| Kategorie danych Proszę określić Dane Osobowe, które będą Przetwarzane przez Dostawcę jako procesora danych | Dostawca przetwarza następujące kategorie danych osobowych: |
- Informacje i dane przekazane przez Klienta Dostawcy podczas korzystania z usług Dostawcy,
- dane użytkownika i informacje związane z korzystaniem z usług dostawcy,
- treści generowane przez użytkowników końcowych, oraz
- inne informacje istotne dla wsparcia IT i powiązanych usług.
Dostawca nie Przetwarza wrażliwych danych osobowych, Klient jest odpowiedzialny za zapewnienie, że wrażliwe dane osobowe nie są przekazywane do usług Dostawcy, chyba że Dostawca udzielił Klientowi pisemnej zgody z wyprzedzeniem na takie Przetwarzanie. Kategorie osób, których dane dotyczą Proszę określić kategorie osób, których dane dotyczą, których Dane Osobowe będą Przetwarzane przez Dostawcę jako procesora danych | Dostawca przetwarza następujące kategorie Osób, których dane dotyczą:
- Informacje o zarejestrowanych użytkownikach, oraz
- Informacje o Osobach, których dane dotyczą, które pojawiają się w materiałach, które Klient przekazuje Dostawcy poprzez korzystanie z którejkolwiek z usług Dostawcy, oraz
- Informacje o użytkownikach końcowych.
Wymogi dotyczące przechowywania Proszę określić czas przechowywania Danych Osobowych przechowywanych przez Dostawcę | Dane osobowe muszą zostać usunięte na żądanie Klienta i zgodnie z instrukcjami Klienta. Dostawca ma okres przechowywania wynoszący 90 dni po rozwiązaniu Umowy lub UPD.