Umowa Powierzenia Przetwarzania Danych Osobowych (DPA)
Niniejszy dokument stanowi Załącznik dotyczący Przetwarzania Danych Osobowych (Data Processing Addendum, DPA) do Regulaminu platformy Audiobell.
Umowa zostaje zawarta w formie elektronicznej i obowiązuje automatycznie od momentu założenia konta i akceptacji Regulaminu przez użytkownika (Usługobiorcę), zwanego w niniejszym dokumencie „Administratorem”, a podmiotem świadczącym usługi platformy Audiobell (Usługodawcą), zwanym dalej „Przetwarzającym”.
1. Przedmiot umowy i podstawa prawna
- Na mocy niniejszej umowy Administrator powierza Przetwarzającemu przetwarzanie danych osobowych w związku z korzystaniem z platformy Audiobell, na warunkach i w celach w niej określonych.
- Umowa stanowi dokumentację realizacji obowiązku, o którym mowa w art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (dalej: RODO).
2. Rodzaj danych i kategoria osób
- Powierzenie dotyczy wyłącznie następujących danych, będących w systemie zadeklarowanym minimum: Imię, Nazwisko, Adres e-mail, Adres IP, User Agent.
- Powyższe dane dotyczą następujących kategorii osób: autoryzowani użytkownicy / pracownicy Administratora z dostępem do systemu Audiobell.
3. Gwarancje infrastrukturalne
- Przetwarzający gwarantuje, że wszelkie powierzone dane osobowe będą przechowywane i przetwarzane wyłącznie w bezpiecznej, kontrolowanej przez Przetwarzającego infrastrukturze serwerowej.
- Przetwarzający przetwarza dane w oparciu o rygorystyczne standardy bezpieczeństwa (m.in. w granicach EOG), zapewniając kontrolę nad powierzonymi danymi.
4. Dalsze powierzenie (Podprocesorzy)
- Administrator wyraża ogólną zgodę (w rozumieniu art. 28 ust. 2 RODO) na korzystanie przez Przetwarzającego z usług innych podmiotów przetwarzających (podprocesorów) w celu realizacji niniejszej Umowy, w szczególności dostawców bezpiecznej infrastruktury serwerowej i chmurowej zlokalizowanych wyłącznie na terytorium EOG.
- Aktualna lista podprocesorów udostępniana jest Administratorowi na żądanie. Przetwarzający zobowiązuje się informować Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia podprocesorów, dając Administratorowi możliwość wyrażenia sprzeciwu.
- Przetwarzający gwarantuje, że nakłada na podprocesorów co najmniej te same obowiązki ochrony danych, które wynikają z niniejszej umowy.
5. Obowiązki Przetwarzającego i Bezpieczeństwo
Przetwarzający zobowiązuje się do:
- przetwarzania danych wyłącznie na udokumentowane polecenie Administratora;
- wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zagwarantowania poziomu bezpieczeństwa odpowiadającego ryzyku, o którym mowa w art. 32 RODO;
- niesienia pomocy Administratorowi w wywiązywaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw (art. 15-22 RODO);
- niezwłocznego – nie później jednak niż w ciągu 36 godzin od wykrycia – informowania Administratora o każdym stwierdzonym naruszeniu ochrony danych osobowych, co pozwoli Administratorowi na terminowe wypełnienie obowiązku notyfikacyjnego w trybie art. 33 ust. 1 RODO (względem organu nadzorczego w czasie 72 godzin).
6. Postanowienia końcowe
- Umowa zostaje zawarta na czas obowiązywania głównej umowy o korzystanie z systemu (utrzymanie konta instalacji przez Administratora).
- Po zakończeniu świadczenia usług, Przetwarzający zobowiązuje się niezwłocznie i trwale usunąć wszystkie przetworzone w tym celu dane osobowe ze swojej infrastruktury (bazy danych i logów z User Agent).