Umowa powierzenia przetwarzania danych
Dokument stanowi załącznik do Regulaminu. Klient jest Administratorem danych wprowadzanych do gorepu.app, a Operator jest Podmiotem przetwarzającym.
1. Strony i przedmiot powierzenia
Administratorem jest Klient wskazany w koncie organizacji. Podmiotem przetwarzającym jest DM Konrad Jałoszyński, ul. Dostatnia 8/1, 02-991 Warszawa, NIP 5213441618.
Administrator powierza przetwarzanie danych wyłącznie w celu świadczenia, utrzymania, zabezpieczenia i wsparcia usługi gorepu.app, zgodnie z Regulaminem oraz udokumentowanymi poleceniami Administratora.
2. Czas, charakter i cel
Przetwarzanie trwa przez okres obowiązywania umowy i technicznie uzasadniony okres zakończenia usługi. Obejmuje zbieranie, utrwalanie, organizowanie, przechowywanie, odczytywanie, modyfikowanie, przesyłanie, ograniczanie, eksportowanie i usuwanie danych w zakresie niezbędnym do działania platformy.
3. Kategorie osób i danych
Kategorie osób obejmują pracowników i współpracowników Administratora, jego klientów, użytkowników lokalizacji, osoby zgłaszające problemy oraz osoby kontaktowe.
Dane mogą obejmować dane identyfikacyjne i kontaktowe, dane konta i roli, treść zgłoszeń i komentarzy, lokalizację i punkt kontaktu, historię obsługi, dane techniczne i eksploatacyjne. Administrator nie powinien przekazywać danych szczególnych kategorii, chyba że jest to legalne, niezbędne i uzgodnione.
4. Obowiązki Podmiotu przetwarzającego
Podmiot przetwarzający: działa wyłącznie na udokumentowane polecenie; zapewnia poufność osób upoważnionych; stosuje środki bezpieczeństwa adekwatne do ryzyka; pomaga Administratorowi realizować prawa osób i obowiązki związane z bezpieczeństwem; prowadzi wymaganą dokumentację; udostępnia informacje potrzebne do wykazania zgodności.
W przypadku naruszenia ochrony danych Podmiot przetwarzający poinformuje Administratora bez zbędnej zwłoki po jego stwierdzeniu i przekaże dostępne informacje potrzebne do oceny zdarzenia.
5. Dalsze powierzenie
Administrator udziela ogólnej zgody na korzystanie z podwykonawców technologicznych niezbędnych do świadczenia usługi, w szczególności dostawców hostingu, bazy danych, uwierzytelniania, komunikacji, monitoringu, AI i płatności. Podmiot przetwarzający nakłada na nich obowiązki ochrony danych odpowiadające niniejszej umowie.
Istotna zmiana kategorii podwykonawców może zostać zakomunikowana w aplikacji, dokumentacji lub e-mailem. Administrator może zgłosić uzasadniony sprzeciw, a strony uzgodnią możliwe rozwiązanie.
6. Bezpieczeństwo
Środki bezpieczeństwa obejmują w szczególności szyfrowanie transmisji, uwierzytelnianie i kontrolę dostępu, separację danych organizacji, kopie zapasowe dostawców infrastruktury, aktualizacje oprogramowania, zarządzanie sekretami oraz procedury reagowania na incydenty.
7. Usunięcie lub zwrot danych
Po zakończeniu umowy, na wybór Administratora i z zastrzeżeniem obowiązków prawnych, dane zostaną zwrócone w dostępnym formacie albo usunięte. Dane mogą pozostawać przez ograniczony czas w zabezpieczonych kopiach zapasowych, bez dalszego aktywnego wykorzystywania.
8. Audyt i odpowiedzialność
Administrator może raz w roku zwrócić się o informacje lub dokumenty potwierdzające zgodność. Audyt wymagający dodatkowej pracy powinien być uzgodniony z wyprzedzeniem, nie może zagrażać bezpieczeństwu innych klientów ani ujawniać ich danych i może podlegać rozsądnej opłacie.
Umowa powierzenia obowiązuje od akceptacji Regulaminu i przez czas przetwarzania danych w imieniu Administratora.