Umowa Przetwarzania Danych (DPA)

2.1 Przedmiot umowy

Niniejsza umowa określa warunki przetwarzania danych osobowych Użytkowników przez podmioty współpracujące z Platformą HelpBridge.

2.2 Zakres przetwarzania

Podmiot przetwarzający będzie przetwarzać dane osobowe wyłącznie:

• W zakresie niezbędnym do świadczenia usług
• Zgodnie z poleceniami Administratora
• Zgodnie z przepisami RODO i polskiego prawa

3.1 Podstawowe obowiązki

Administrator zobowiązuje się do:

• Zapewnienia legalności przetwarzania danych
• Uzyskania zgód Użytkowników (jeśli wymagane)
• Informowania Użytkowników o przetwarzaniu danych
• Zapewnienia realizacji praw Użytkowników
• Prowadzenia rejestru czynności przetwarzania

3.2 Instrukcje przetwarzania

Administrator wydaje Podmiotowi przetwarzającemu pisemne instrukcje dotyczące:

• Zakresu przetwarzanych danych
• Celów przetwarzania
• Środków bezpieczeństwa
• Okresu przechowywania danych
• Procedur usuwania danych

4.1 Ogólne zobowiązania

Podmiot przetwarzający zobowiązuje się do:

• Przetwarzania danych wyłącznie na polecenie Administratora
• Zapewnienia poufności osób upoważnionych do przetwarzania
• Wdrożenia odpowiednich środków bezpieczeństwa
• Pomocy Administratorowi w realizacji praw Użytkowników
• Usunięcia lub zwrotu danych po zakończeniu świadczenia usług

4.2 Bezpieczeństwo danych

Podmiot przetwarzający wdraża środki techniczne i organizacyjne zapewniające:

• Szyfrowanie danych w tranzycie i spoczynku
• Kontrolę dostępu do danych
• Ochronę przed nieuprawnionym dostępem
• Regularne kopie zapasowe
• Monitorowanie bezpieczeństwa

4.3 Dalsze powierzenie

Podmiot przetwarzający może powierzyć przetwarzanie danych dalszemu podmiotowi przetwarzającemu wyłącznie:

• Po uzyskaniu uprzedniej zgody Administratora
• Po nałożeniu na ten podmiot takich samych obowiązków
• Pod warunkiem zachowania pełnej odpowiedzialności

5.1 Realizacja praw

Podmiot przetwarzający wspiera Administratora w realizacji następujących praw Użytkowników:

• Prawo dostępu do danych
• Prawo do sprostowania
• Prawo do usunięcia ("prawo do bycia zapomnianym")
• Prawo do ograniczenia przetwarzania
• Prawo do przenoszenia danych
• Prawo do sprzeciwu

5.2 Terminy realizacji

Podmiot przetwarzający zobowiązuje się do:

• Niezwłocznego przekazania Administratorowi żądań Użytkowników
• Współpracy przy realizacji żądań w terminach wymaganych RODO
• Zapewnienia możliwości technicznych do realizacji praw

6.1 Zgłaszanie naruszeń

W przypadku naruszenia ochrony danych osobowych Podmiot przetwarzający zobowiązuje się do:

• Niezwłocznego poinformowania Administratora (max. 24 godziny)
• Udokumentowania naruszenia
• Współpracy w ocenie ryzyka i konsekwencji
• Podjęcia działań minimalizujących skutki naruszenia

6.2 Dokumentacja naruszenia

Dokumentacja naruszenia powinna zawierać:

• Opis charakteru naruszenia
• Kategorie i liczba dotkniętych Użytkowników
• Kategorie i liczba dotkniętych rekordów danych
• Prawdopodobne konsekwencje naruszenia
• Środki zastosowane lub proponowane

7.1 Prawo do audytu

Administrator ma prawo do:

• Przeprowadzania audytów przestrzegania umowy
• Inspekcji systemów i procesów przetwarzania
• Żądania informacji o środkach bezpieczeństwa
• Zlecania audytów niezależnym podmiotom

7.2 Współpraca

Podmiot przetwarzający zobowiązuje się do:

• Współpracy przy audytach i inspekcjach
• Dostarczania wymaganych informacji i dokumentacji
• Umożliwienia dostępu do pomieszczeń i systemów
• Wdrażania zaleceń pokontrolnych

8.1 Zasady przekazywania

Przekazywanie danych osobowych poza Europejski Obszar Gospodarczy (EOG) jest dopuszczalne wyłącznie:

• Za zgodą Administratora
• Do krajów zapewniających odpowiedni poziom ochrony
• Z zastosowaniem standardowych klauzul umownych UE
• Z wdrożeniem dodatkowych zabezpieczeń

8.2 Gwarancje

Podmiot przetwarzający zapewnia, że podmioty odbierające dane:

• Przestrzegają standardów RODO
• Wdrożyły odpowiednie środki bezpieczeństwa
• Zapewniają realizację praw Użytkowników

9.1 Lista podwykonawców

Podmiot przetwarzający prowadzi aktualną listę wszystkich podwykonawców obejmującą:

• Nazwę i dane kontaktowe
• Lokalizację przetwarzania danych
• Zakres powierzonych operacji przetwarzania

9.2 Zmiana podwykonawców

Podmiot przetwarzający informuje Administratora o:

• Planach dodania nowych podwykonawców (14 dni wcześniej)
• Planach zmiany istniejących podwykonawców
• Administrator ma prawo sprzeciwu w uzasadnionych przypadkach

10.1 Okres obowiązywania

Niniejsza umowa obowiązuje przez cały okres świadczenia usług przez Podmiot przetwarzający.

10.2 Zakończenie przetwarzania

Po zakończeniu świadczenia usług Podmiot przetwarzający:

• Usuwa wszystkie dane osobowe
• LUB zwraca dane Administratorowi (według wyboru Administratora)
• Usuwa wszystkie istniejące kopie danych
• Potwierdza usunięcie na piśmie

10.3 Wyjątki

Podmiot przetwarzający może zachować dane wyłącznie:

• Jeśli wymaga tego prawo
• W zakresie i przez okres wymagany przepisami
• Z zachowaniem pełnych środków bezpieczeństwa

11.1 Odpowiedzialność Podmiotu przetwarzającego

Podmiot przetwarzający ponosi odpowiedzialność za:

• Szkody wynikłe z naruszenia obowiązków wynikających z RODO
• Szkody powstałe wskutek przetwarzania bez instrukcji Administratora
• Szkody spowodowane przez dalszych podwykonawców

11.2 Ograniczenia odpowiedzialności

Odpowiedzialność jest ograniczona do:

• Wysokości wynagrodzenia za ostatnie 12 miesięcy
• Z wyłączeniem szkód powstałych z rażącego niedbalstwa
• Z wyłączeniem szkód powstałych umyślnie

12.1 Zmiany umowy

Zmiany niniejszej umowy wymagają formy pisemnej pod rygorem nieważności, z wyjątkiem zmian wymaganych przepisami prawa.

12.2 Poufność

Strony zobowiązują się do zachowania poufności wszelkich informacji uzyskanych w trakcie realizacji umowy.

12.3 Prawo właściwe

Umowa podlega prawu polskiemu. Wszelkie spory rozstrzygane będą przez sądy powszechne właściwe dla siedziby Administratora.

12.4 Klauzula salwatoryjna

W przypadku gdy którekolwiek postanowienie umowy okaże się nieważne, pozostałe postanowienia pozostają w mocy.