Umowa Dotycząca Przetwarzania Danych
- STRONY
Ta umowa dotycząca zbierania, przechowywania i przetwarzania dokumentów i informacji (zwanego dalej Umowa o Przetwarzanie Danych) została zawarta pomiędzy:
WhistleSystem ApS zwany dalej “Dostawca”
VAT no. 41576561
Adres: Roholmsvej 12A, 2620 Albertslund
(“Podmiot Przetwarzający Dane”, “My”, “Nasze”, “Nas”. itd.)
a,
Organizacją akceptującą tą umowę
(”Administrator Danych”, “Ty”, “Twoje”, itd.)
- DEFINICJE
2.1. Terminy i wyrażenia rozpoczynające się dużymi literami używanymi w Umowie o Przetwarzanie Danych mają znaczenie określone w
Umowie Licencyjnej o świadczenie usług podpisanej między Stronami lub w niniejszej klauzuli 2. Każde inne wyrażenie pisane dużymi literami, które nie zostały niniejszym zdefiniowane, ma znaczenie określone w RODO.
2.2. „Informacje poufne” oznaczają wszelkie wymiany informacji przez strony, w tym między innymi informacje o charakterze technicznym, komercyjnym, infrastrukturalnym lub podobnym, niezależnie od tego, czy informacje te zostały dokumentowane, z wyjątkiem informacji, które są lub będą
udostępniane w inny sposób niż przez naruszenie Umowy o Przetwarzanie Danych i wszystkich Danych Osobowych.
2.3. „Klient”, „Ty”, „Twój” itp. oznacza użytkownika lub abonenta usługi świadczonej przez Podmiot Przetwarzający Dane.
2.4. „Podmiot Danych” oznacza określoną lub możliwą do zidentyfikowania osobę fizyczną, do której odnoszą się Dane Osobowe.
2.5. „RODO” oznacza Rozporządzenie o Ochronie Danych Osobowych (rozporządzenie UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych). W Danii RODO uzupełnia Ustawa o przepisach uzupełniających do rozporządzenia w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (ustawa nr 502 z dnia 23 maja 2018 r., okresowo zmieniana) („Ustawa o Ochronie Danych”). Na mocy Umowy o Przetwarzanie Danych odniesienie do RODO stanowi również odniesienie do Ustawy o Ochronie
2.6. „Strony” oznaczają Klienta i Podmiot Przetwarzający Dane wspólnie i każdą jako „Stronę”.
2.7. „Dane osobowe” oznaczają wszelkie informacje odnoszące się do określonej lub możliwej do zidentyfikowania osoby fizycznej („Podmiot Danych”); możliwa do zidentyfikowania osoba fizyczna jest osobą, która może być bezpośrednio lub pośrednio określona, w szczególności poprzez odniesienie do identyfikatora, takiego jak nazwa, numer identyfikacyjny, dane o lokalizacji, identyfikator online lub do jednego lub więcej czynników specyficznych dla fizycznych, fizjologicznych, genetycznych, psychicznych, ekonomicznych, dotyczących tożsamości kulturowej lub społecznej tej osoby fizycznej. Kategorie Danych Osobowych przetwarzane przez Podmiot Przetwarzający Dane na mocy Umowy o Przetwarzanie Danych są określone w Dodatku 1 do Umowy o Przetwarzanie Danych.
2.8. „Wstępnie Zatwierdzeni Podwykonawcy” będą naszymi podwykonawcami wymienionymi w Dodatku 2 do Umowy o przetwarzanie danych, która została zatwierdzona przez Klienta.
2.9. „Usługi” oznaczają wszelkie usługi świadczone przez nas na rzecz użytkownika, w tym między innymi zapewnienie przez nas licencji na korzystanie z oprogramowania i innych narzędzi IT lub programów opracowanych przez firmę Podmiotu Przetwarzającego Dane, organizacje danych, usługi wsparcia itp.
2.10. „Oprogramowanie” oznacza WhistleSystem jako Usługę zgodnie z definicją zawartą w Umowie licencyjnej na świadczenie usług, łącznie z wszelkimi harmonogramami niniejszej Umowy.
2.11. „Osoba trzecia” oznacza osobę fizyczną lub prawną, organ publiczny, agencję lub organ inny niż Podmiot Danych, Podmiot Przetwarzający Dane, Klienta i osoby, które pod bezpośrednim zwierzchnictwem Podmiotu Przetwarzającego Dane lub Klienta, są upoważnione do przetwarzania Danych Osobowych.
- ZAKRES
3.1. Umowa o Przetwarzanie Danych dotyczy zobowiązań Stron związanych z przetwarzaniem Danych Osobowych przez Klienta w związku z korzystaniem przez Klienta z naszych Usług.
3.2. Na mocy Umowy o przetwarzanie danych Klient decyduje, w jakim celu i przy użyciu jakich narzędzi Dane Osobowe mogą być przetwarzane.
3.3. Umowa o przetwarzanie danych będzie miała zastosowanie do wszystkich bieżących i przyszłych usług Podmiotu Przetwarzającego Dane dla wszystkich firm należących do grupy Klientów, dla których przetwarzane są Dane osobowe.
3.4. Kategorie Danych Osobowych przetwarzane przez nas na mocy Umowy o Przetwarzanie Danych są określone w dodatku 1 do Umowy o przetwarzanie danych.
- KOLEJNOŚĆ PIERWSZEŃSTWA
4.1. Umowa o Przetwarzanie Danych podpisana w związku z Umową Licencyjną na świadczenie usług ma pierwszeństwo w przypadku jakichkolwiek niezgodności między Umową o Przetwarzanie Danych a Umową Licencyjną na świadczenie usług.
- UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH
5.1. Przetwarzanie Danych Osobowych jest zgodne z RODO, w tym z
obowiązującym ustawodawstwem Duńskim wydanym zgodnie z RODO lub jako uzupełnienie.
5.2. Poprzez zawarcie umowy o przetwarzanie danych, jesteśmy poinstruowani przez użytkownika, aby przetworzyli Dane Osobowe w celu świadczenia Usług na rzecz użytkownika.
5.3. Nie jesteśmy uprawnieni do wykorzystywania danych osobowych
dostarczonych przez użytkownika w celach innych niż wypełnienie Umowy o Przetwarzanie Danych. Jednakże mamy prawo do wykorzystywania
anonimowych danych (które nie mogą być już klasyfikowane jako
„Dane osobowe”) do celów historycznych, statystycznych, naukowych lub podobnych.
- PRZECHOWYWANIE DANYCH OSOBOWYCH I PRZEKAZYWANIE DANYCH OSOBOWYCH DO PAŃSTW TRZECICH
6.1. Zasadniczo operacje przetwarzania danych są wykonywane w UE/EOG. Jednakże nasi podwykonawcy mogą znajdować się lub przetwarzać dane osobowe poza UE/EOG, w tym np. USA. Klient wyraził zgodę na wykorzystanie przez Podmiot Przetwarzający Dane wstępnie zatwierdzonych
podwykonawców jako podwykonawców wymienionych w Dodatku 2 do Umowy o Przetwarzanie Danych.
6.2. Przed przekazaniem Danych Osobowych do państwa trzeciego lub
organizacji międzynarodowej spoza UE/EOG, Administrator Danych musi ocenić, czy takie przekazanie Danych Osobowych zapewnia odpowiedni poziom ochrony danych osobowych oraz zapewnić, że przekazanie Danych jest zgodne z przepisami dotyczącymi przekazywania Danych Osobowych do państw trzecich lub organizacji międzynarodowych zgodnie z RODO.
6.3. Zapewnimy, że wszelkie umowy o podwykonawstwo w zakresie Przetwarzania Danych zawarte między Podmiotem Przetwarzającym Dane a wstępnie zatwierdzonymi podwykonawcami spoza UE lub EOG będą miały odpowiedni poziom ochrony Danych Osobowych oraz, w razie potrzeby,
zawarte zgodnie z decyzją Komisji UE z dnia 2010/87/UE dotyczącą standardowego wzoru umowy o przekazanie Danych Osobowych do krajów spoza UE lub EOG, oprócz wszelkich zezwoleń organów ochrony danych, jeśli jest to wymagane prawnie.
- POUFNOŚĆ
7.1. Strony akceptują, zarówno przez okres obowiązywania Umowy o Przetwarzanie Danych, jak i później, nieujawnianie informacji poufnych
stronie trzeciej. Niniejsze zobowiązanie do nieujawniania informacji nie ma zastosowania do informacji, które a) Strona jest zobowiązana ujawnić zgodnie z obowiązującym prawem i przepisami, Lub zasady giełdy (b) informacje przekazane klientowi Klienta, jeżeli takie informacje pochodzą od lub odnoszą się do takiego klienta Klienta lub (c) informacje, które dokument Strony został utworzony przez samą Stronę.
7.2. Strony zapewniają, że pracownicy i doradcy otrzymujący Informacje Poufne są zobowiązani do przyjęcia podobnego zobowiązania dotyczącego informacji poufnych od drugiej Strony oraz do współpracy w ogóle zgodnie z Umową o Przetwarzanie Danych.
7.3. Zapewnimy, że wszyscy pracownicy zatrudnieni przez nas, którzy mają dostęp do Danych Osobowych, znają Umowę o Przetwarzanie Danych i podlegają postanowieniom Umowy o Przetwarzanie Danych.
- ODPOWIEDNIE ŚRODKI TECHNICZNE I ORGANIZACYJNE
8.1. Podmiot Przetwarzający Dane musi, biorąc pod uwagę ryzyko związane z przetwarzaniem Danych Osobowych przez Klienta, wdrożyć odpowiednie i rozsądne środki techniczne i organizacyjne w celu zapewnienia poziomu
bezpieczeństwa odpowiadającego ryzyku, jakie niesie ze sobą przetwarzanie Danych Osobowych przez nas na mocy Umowy o Przetwarzanie Danych, W tym w sposób uzasadniony zapewnienie a) pseudonimizacji i szyfrowania Danych Osobowych; b) ciągłej poufności, integralności, dostępności i solidności systemów i usług przetwarzania, za które odpowiedzialny jest Podmiot Przetwarzający Dane; c) terminowego odzyskania dostępności Danych
Osobowych i dostępu do nich w przypadku zdarzenia fizycznego lub technicznego; d) procedurę regularnego testowania, oceny i analizy skuteczności środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania; e) Dane Osobowe nie zostały przypadkowo lub niezgodnie z prawem zniszczone, utracone lub naruszone oraz nie zostały przetworzone w jakikolwiek sposób nieuprawnione ujawnienie, naruszenie lub w jakikolwiek inny sposób, z naruszeniem obowiązujących przepisów dotyczących Danych Osobowych.
- PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ
9.1. Podmiot Przetwarzający Dane na żądanie Klienta, na koszt Klienta i bez zbędnej zwłoki przekaże Klientowi wszelką uzasadnioną pomoc i informacje związane z wnioskiem osób, których Dane dotyczą, dotyczącym przetwarzania Danych Osobowych Klienta przez procesor danych, w tym wnioski dotyczące wykonywania praw osób, których dane dotyczą, zgodnie z RODO.
9.2. Opłaty Podmiotu Przetwarzającego Dane za pomoc dla Klienta są regulowane w klauzuli 14.3.
- NARUSZENIE BEZPIECZEŃSTWA DANYCH
10.1. W przypadku Naruszenia Bezpieczeństwa Danych, za które odpowiedzialny jest Podmiot Przetwarzający Dane (lub jakikolwiek wcześniej zatwierdzony podwykonawca), Podmiot Przetwarzający Dane bez zbędnej zwłoki poinformuje Klienta o tym fakcie i pomoże w tym, co jest konieczne do zatrzymania naruszenia i zminimalizowania jego skutków.
- KORZYSTANIE Z PODWYKONAWCÓW
11.1. Podmiot Przetwarzający Dane nie może korzystać z usług
Podwykonawców bez uprzedniej pisemnej zgody Klienta.
11.2. Klient wyraził zgodę na wykorzystanie przez Podmiot Przetwarzający Dane wstępnie zatwierdzonych Podwykonawców jako Podwykonawców wymienionych w dodatku 2 do Umowy o Przetwarzanie Danych.
11.3. Podmiot Przetwarzający Dane musi poinformować Klienta o wszelkich planach dodania lub zastąpienia wstępnie zatwierdzonych Podwykonawców. Bez uprzedniej pisemnej zgody Klienta, nie można dodawać do listy wstępnie zatwierdzonych Podwykonawców żadnych Poddostawców.
11.4. Jeśli w imieniu Klienta wykorzystujemy podwykonawcę do wykonywania określonych czynności związanych z przetwarzaniem danych, takie same obowiązki w zakresie ochrony danych, jakie zostały opisane w Umowie o przetwarzanie danych, zostaną nałożone na podwykonawcę w formie pisem
11.5. Gdy korzystamy z usług podwykonawcy w celu świadczenia usług na mocy Umowy o Przetwarzanie Danych, nadal odpowiadamy za działania podwykonawcy lub niepodjęcie działań/naruszenie na takich samych warunkach, jak w przypadku naszych własnych usług.
11.6. Wszelką komunikację między Klientem a podwykonawcą należy przeprowadzić przez Podmiot Przetwarzający Dane.
- DOSTĘP KLIENTA DO DANYCH OSOBOWYCH
12.1. W okresie obowiązywania Umowy o Przetwarzanie Danych Klient ma pełny dostęp do wszelkich Danych Osobowych, które są przetwarzane przez Podmiot Przetwarzający Dane dla Klienta. Klient nie będzie miał dostępu do Danych Osobowych przetworzonych przez Podmiot Przetwarzający Dane dla innych klientów.
12.2. Jeśli dotyczy, a Klient tego wymaga, Podmiot Przetwarzający Dane jest zobowiązany do przechowywania kopii zapasowej Danych Osobowych i dodatkowych informacji dostępnych w systemach przetwarzania danych przez okres do trzydziestu (30) dni po wygaśnięciu lub rozwiązaniu Umowy o Przetwarzanie Danych. Pod warunkiem złożenia takiego wniosku, Klient może, do upływie takiego 30-dniowego okresu i niezależnie od przyczyny wygaśnięcia Umowy o Przetwarzanie Danych, zażądać dostępu do wszelkich Danych Osobowych i dodatkowych informacji zapisanych w kopii zapasowej.
12.3. Podmiot Przetwarzający Dane może ujawniać Dane Osobowe i
informacje wyłącznie Klientowi i/lub osobie trzeciej wyznaczonej przez Klienta.
- WSPÓŁPRACA Z ORGANEM NADZORCZYM
13.1. Podmiot przetwarzający Dane musi zawsze zapewnić organom
nadzorczym i Klientowi niezbędny dostęp do Danych Osobowych, które są przetwarzane, oraz ich wgląd w wykorzystywane systemy.
13.2. Klient i procesor danych oraz, w stosownych przypadkach, ich przedstawiciele współpracują na żądanie, z organem nadzorczym w wykonywaniu jego zadań.
- POMOC, KOSZTY I OPŁATY
14.1. W odniesieniu do wszelkiej niezbędnej pomocy i/lub wykonywania prawa do audytu, Administrator Danych powiadamia dostawcę na piśmie co najmniej dziesięć (10) dni kalendarzowych z wyprzedzeniem, określając wymagany audyt lub pomoc, jego cel i przewidywany czas trwania
wspomnianej pomocy lub audytu. Wszelkie wydatki, które Dostawca może ponieść w przypadku żądania pomocy Klientowi w wykonywaniu jego praw jako Administratora Danych, w tym między innymi prawo do audytu,
przeglądu, kontroli i/lub pomocy Klientowi w wypełnianiu jego zobowiązań jako administratora danych, ponosi Klient.
14.2. Ze zwolnieniami określonymi w klauzuli 14.1-14.3, koszty związane z obowiązkami Podmiotu Przetwarzającego Dane wynikającymi z Umowy o Przetwarzanie Danych są wliczone w opłaty uiszczane przez Klienta na rzecz Dostawcy za korzystanie przez Klienta z usług.
14.3. Bez względu na Klauzule 14.1, jesteśmy uprawnieni do pobierania opłaty za naszą pomoc w związku z Państwa zmianą, inspekcją lub audytem jako Podmiot Przetwarzający Dane. Opłata zostanie naliczona według czasu spędzonego przez nas ze stawką 150 euro za godzinę. Kwota podlega rocznej indeksacji zgodnie z „wskaźnikiem ceny producenta dla usług”
opublikowanym przez Danię w ramach statystyki.
14.4. Oprócz opłaty wymienionej w punkcie 14.3 powyżej mamy prawo do oddzielenia opłaty za następujące usługi:
14.4.1. Wsparcie dla Klienta w odpowiedzi na wnioski osób, których dane dotyczą.
14.4.2. Wsparcie dla Klienta w związku z analizą wpływu na prywatność („PIA”);
14.4.3. Wdrożenie specjalnych technicznych lub organizacyjnych środków bezpieczeństwa na żądanie Klienta (pod warunkiem, że przetwarzanie danych może wdrożyć techniczne lub organizacyjne środki bezpieczeństwa).
14.5. Wyżej wymienione opłaty będą pobierane zgodnie z Klauzulą 14.3.
- ODPOWIEDZIALNOŚĆ
15.1. Z zastrzeżeniem warunków Umowy podpisanej między Stronami, odpowiedzialność Stron w zakresie przetwarzania Danych Osobowych na mocy Umowy o przetwarzanie danych jest regulowana zgodnie z RODO.
15.2. W żadnym przypadku roszczenia z tytułu odpowiedzialności i odszkodowania nie mogą w żadnym wypadku przekraczać pięciokrotnej (5x) rocznej opłaty abonamentu uzgodnionej w Umowie podpisanej przez strony.
15.3. Nie ponosimy odpowiedzialności za jakiekolwiek grzywny, które
otrzymujesz za naruszenie RODO, czy to w drodze orzeczenia lub
podobnego środka przez jakikolwiek sąd, agencję rządową lub organ nadzorczy.
- GWARANCJA:
16.1. Poprzez zawarcie Umowy o Przetwarzanie Danych, Klient gwarantuje, że będziemy mogli zgodnie z prawem przetwarzać dane osobowe w celu świadczenia usług dla Klienta. Klient zobowiązuje się nie obciążać nas w żadnej sprawie o roszczenia z tytułu odszkodowania, zadośćuczynienia lub innych płatności, które jest nam nakazane zapłacić w drodze orzeczenia, wyroku lub podobnego środka przez właściwy sąd, agencję rządową lub
organ nadzorczy z powodu naruszenia przez Klienta jego zobowiązań zgodnie z niniejszą klauzulą.
- DATA WEJŚCIA W ŻYCIE I ROZWIĄZANIA UMOWY
17.1. Umowa o Przetwarzanie Danych zostaje podpisana przez strony i wchodzi w życie z dniem podpisania przez ostatnią stronę.
17.2. Poprzez subskrypcję naszych usług, a tym samym zawarcie Umowy o Przetwarzanie Danych, Użytkownik potwierdza, że jest upoważniony do
działania w imieniu Klienta i zobowiązuje się do przestrzegania warunków umowy o Przetwarzanie Danych.
17.3. Umowa o Przetwarzanie Danych wygasa z dniem skutecznego rozwiązania korzystania przez Klienta z Usług Przetwarzania Danych.
Jednakże warunki Umowy o przetwarzanie danych będą obowiązywać tak długo, jak długo Podmiot Przetwarzający Dane, przetwarza dane osobowe w imieniu Klienta.
17.4. Po wejściu w życie Umowy o przetwarzanie danych usuniemy lub zwrócimy Dane Osobowe, które mamy dla Ciebie w ramach Umowy o Przetwarzanie Danych w ciągu 12 miesięcy. Jeśli chcesz, aby Twoje Dane Osobowe zostały zwrócone użytkownikowi, musisz przekazać nam swój wniosek o zwrot Danych Osobowych bez zbędnej zwłoki i nie później niż trzydzieści (30) dni po wejściu w życie Umowy o Przetwarzanie Danych.
- ZMIANY W OBOWIĄZUJĄCYCH PRZEPISACH DOTYCZĄCYCH OCHRONY DANYCH
18.1. Jeśli zmiana obowiązujących przepisów dotyczących ochrony Danych mających zastosowanie do Klienta lub Podmiot Przetwarzający Dane wymaga od Podmiotu Przetwarzającego Dane (i) zalogowania się do jakiejkolwiek dodatkowej dokumentacji w celu zapewnienia obowiązkowej zgodności z przepisami dotyczącymi ochrony danych lub (II) wprowadzenia dodatkowych środków technicznych i organizacyjnych w stosunku do wymienionych w niniejszym dokumencie, Lub (III) przyjęcia dodatkowych zobowiązań do określonych w niniejszym dokumencie, a wymóg wymieniony w ppkt (i) – (III) powyżej powoduje dodatkowe koszty lub ryzyko dla Podmiot Przetwarzający Dane, strony zgadzają się negocjować w dobrej wierze uczciwą korektę wszelkich mających zastosowanie opłat. Jeżeli strony nie mogą uzgodnić sprawiedliwego dostosowania jakichkolwiek mających zastosowanie opłat, Podmiot Przetwarzający Dane ma prawo do rozwiązania Usługi z pisemnym wypowiedzeniem trzydziestu (30) dni.
18.2. Stosuje się odpowiednio Klauzule 18.1, W przypadku gdy (i) Klient poleca Podmiotowi Przetwarzającemu Dane wykonywanie usług nieprzewidzianych w Umowie o Przetwarzanie Danych lub (II) w przypadku gdy obowiązujące przepisy dotyczące ochrony danych mające zastosowanie do Klienta lub do Podmiotu Przetwarzającego Dane lub odpowiedniego
organu nadzorczego nakładają na Podmiot Przetwarzający Dane dodatkowe obowiązki te określone w niniejszym dokumencie.
- PRAWO WŁAŚCIWE I MIEJSCE PRAWNE
19.1. Umowa o Przetwarzanie Danych jest regulowana prawem Duńskim z Kopenhaskim Trybunałem Miejskim jako jego miejscem prawnym z
możliwością odwołania się i odwołania zgodnie z Duńską ustawą o Administracji Wymiaru Sprawiedliwości, Konwencją Narodów Zjednoczonych o umowach międzynarodowej sprzedaży towarów (CISG) nie ma zastosowania do Umowy o przetwarzanie danych.
Załącznik 1 – Kategorie Danych Osobowych
Kategorie Danych Osobowych
- Podmiot Przetwarzający Dane w imieniu Klienta przetwarza następujące kategorie Danych Osobowych:
Dane osobowe do celów administracyjnych i wykonawczych lub Umowa podpisana przez strony:
a.. Dane kontaktowe, w tym imię i nazwisko, nazwa użytkownika, adres, numer telefonu, e-mail i tytuł roboczy
- Dane Osobowe do celów fakturowania
c.. Dane Osobowe zgłoszone przez klienta w systemie
II Specjalne kategorie Danych Osobowych
Podmiot Przetwarzający Dane nie przetwarza w imieniu Klienta specjalnych kategorii Danych Osobowych, chyba że zostanie to zgłoszone przez klienta w systemie.
Załącznik 2 – Wstępnie Zatwierdzeni Podwykonawcy
| Zatwierdzeni podwykonawcy przetwarzania | Zakres i cel przetwarzania | Miejsca przetwarzania i przechowywania (np. kraj/stan) | |
|---|---|---|---|
| AWS | Dostawca usług hostingowych | EEA/EU | |
| iSphere ApS | Rozwój oprogramowania | EEA/EU | |
| Microsoft | Przechowywanie umów i dokumentów | EEA/EU | |
| Hubspot | CRM | EEA/EU | |
| Fenerum | Fakturowanie | EEA/EU |