Umowa o powierzenie przetwarzania danych osobowych

I. Strony

Niniejsza umowa została zawarta pomiędzy:

  1. Użytkownikiem lub Użytkownikiem Testowym, korzystającym z Usług oferowanych w Serwisie (zgodnie z definicją w Regulaminie), będącym podmiotem powierzającym dane do przetwarzania (zwanym dalej „Użytkownikiem”),
    a
  2. Usługodawcą (zgodnie z definicją w Regulaminie), tj. firmą Simplyweb Jakub Janszczak, Rudniki 64, 64-330 Rudniki, NIP 7882039610, REGON 525747037, pełniącym rolę podmiotu przetwarzającego (zwanym dalej „Usługodawcą”).
  3. Dla celów tej Umowy, Użytkownik oraz Usługodawca będą łącznie określani jako „Strony”.

II. Definicje

Terminy pisane wielką literą w niniejszej Umowie oraz w Załączniku należy rozumieć zgodnie z poniższymi definicjami:

  1. Aplikacja – oznacza oprogramowanie oferowane przez Usługodawcę w formie usługi (ang. software as a service), za pośrednictwem którego Użytkownik może zarządzać stronami, kontami i profilami, a także swoją obecnością (lub obecnością Klienta Użytkownika) w Serwisach Internetowych. Aplikacja umożliwia również analizę aktywności stron, kont i profili w tych Serwisach. Liczba i rodzaj dostępnych funkcji zależy od wybranego przez Użytkownika Pakietu.
  2. Regulamin – odnosi się do „Regulaminu świadczenia usług drogą elektroniczną” dotyczącego usługi BrandSense, dostępnego pod adresem: https://brandsense.app/regulamin/.
  3. RODO – oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. dotyczące ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz swobodnym przepływem takich danych, które uchyla dyrektywę 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1).
  4. Serwis Internetowy – oznacza serwisy społecznościowe, które są obsługiwane w ramach Usług na podstawie Umowy Podstawowej (np. Facebook, Instagram, Linkedin, WordPress), wraz z powiązanymi kanałami komunikacji.
  5. Umowa Podstawowa – oznacza wszystkie dokumenty regulujące Współpracę pomiędzy Stronami, takie jak Regulamin, zamówienia określające wybrany Pakiet Usług oraz ewentualna dodatkowa umowa o świadczenie Usług (jeśli została zawarta). Dla celów niniejszej Umowy wszystkie te dokumenty będą łącznie określane jako „Umowa Podstawowa”.
  6. Usługa – odnosi się do świadczeń dostępnych dla Użytkownika na podstawie Umowy Podstawowej, w szczególności udostępniania funkcji Aplikacji. Zakres i rodzaj Usług zależy od wybranego Pakietu.
  7. Użytkownik Końcowy – oznacza osobę korzystającą z Serwisów Internetowych jako użytkownik końcowy.
  8. Klient Użytkownika – to podmiot, na rzecz którego działa Użytkownik, w szczególności w ramach zarządzania jego obecnością w Serwisach Społecznościowych. Do tego celu Użytkownik wykorzystuje Usługi. Użytkownicy działający we własnym imieniu nie mają Klienta Użytkownika.

Inne terminy pisane wielką literą, używane w tej Umowie, mają znaczenie określone w Regulaminie, chyba że zostało to wyraźnie zaznaczone inaczej w treści niniejszej Umowy.

III. Powierzenie przetwarzania

  1. Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (dalej „Umowa”) określa zasady przetwarzania danych osobowych w ramach Umowy Podstawowej.
  2. Umowa ta stanowi część składową i uzupełnia Umowę Podstawową w zakresie przetwarzania danych osobowych, o ile Strony nie zawarły odrębnej umowy o powierzenie przetwarzania danych.
  3. Użytkownik powierza Usługodawcy przetwarzanie danych osobowych (dalej „Dane Osobowe”) na warunkach określonych w niniejszej Umowie. Usługodawca zobowiązuje się przetwarzać powierzone mu Dane Osobowe na zlecenie Użytkownika, zgodnie z treścią niniejszej Umowy oraz obowiązującymi przepisami prawa.
  4. Powierzenie przetwarzania odbywa się na mocy art. 28 RODO.

IV. Zakres i cel przetwarzania danych

  1. Dane Osobowe, które zostały powierzone Usługodawcy przez Użytkownika, będą przetwarzane wyłącznie w celu realizacji usług, działań oraz operacji wynikających ze współpracy Stron (dalej „Współpraca”), na podstawie Umowy Podstawowej, zawartej między Stronami. Dotyczy to korzystania przez Użytkownika z Usługi oraz Aplikacji zgodnie z zapisami Umowy Podstawowej.
  2. Szczegóły dotyczące charakteru, przedmiotu oraz celu przetwarzania, a także rodzaje danych osobowych i kategorie osób, których dane są przetwarzane, zostały określone w Załączniku nr 1 do Umowy.
  3. Dane będą przetwarzane przez Usługodawcę w całym okresie trwania Umowy Podstawowej oraz Współpracy, a przetwarzanie będzie miało charakter powtarzalny w tym czasie.
  4. Przetwarzanie odbywa się zgodnie z udokumentowanymi instrukcjami Użytkownika – niniejsza Umowa oraz Umowa Podstawowa stanowią takie polecenie przetwarzania.

V. Obowiązki Usługodawcy

  1. Usługodawca zapewnia, że wprowadził odpowiednie środki techniczne i organizacyjne, które spełniają wymogi RODO oraz gwarantują ochronę praw osób, których dane dotyczą.
  2. Przy przetwarzaniu powierzonych Danych Osobowych, Usługodawca zobowiązuje się przestrzegać wymagań art. 32 RODO. Obejmuje to wdrożenie odpowiednich zabezpieczeń technicznych i organizacyjnych, biorąc pod uwagę aktualny stan wiedzy technicznej, koszty wdrażania, a także zakres, cel, charakter przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych o różnym stopniu prawdopodobieństwa oraz wadze zagrożeń.
  3. Usługodawca gwarantuje, że osoby mające dostęp do przetwarzanych danych osobowych są zobowiązane do zachowania poufności tych danych albo są objęte odpowiednim obowiązkiem prawnym w zakresie tajemnicy.

VI. Zasady współpracy

  1. Po zakończeniu świadczenia Usług związanych z przetwarzaniem danych w ramach Współpracy, Usługodawca – zgodnie z decyzją Użytkownika – zobowiązuje się do usunięcia lub zwrócenia Użytkownikowi wszystkich Danych Osobowych oraz usunięcia wszelkich ich kopii, chyba że obowiązujące przepisy Unii Europejskiej lub prawa krajowe nakazują ich dalsze przechowywanie.
  2. Biorąc pod uwagę specyfikę przetwarzania, Usługodawca zobowiązuje się, w miarę swoich możliwości, udzielać Użytkownikowi wsparcia technicznego i organizacyjnego w celu umożliwienia mu realizacji praw osób, których dane dotyczą, zgodnie z przepisami rozdziału III RODO.
  3. Uwzględniając charakter przetwarzania oraz dostępne informacje, Usługodawca będzie wspierał Użytkownika w wypełnianiu obowiązków wynikających z art. 32-36 RODO.
  4. W przypadku stwierdzenia przez Usługodawcę naruszenia ochrony Danych Osobowych, czyli np. przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu do powierzonych danych, Usługodawca niezwłocznie poinformuje o tym Użytkownika oraz przekaże mu wszystkie informacje, które mogą być zasadnie wymagane w związku z takim naruszeniem.
  5. Użytkownik ma obowiązek współpracować z Usługodawcą w zakresie realizacji Umowy, udzielając wszelkich niezbędnych wyjaśnień w przypadku jakichkolwiek wątpliwości dotyczących zgodności z prawem wydawanych poleceń oraz terminowego wypełniania swoich zobowiązań.

VII. Audyt

  1. Na żądanie Użytkownika, Usługodawca zobowiązuje się udostępnić wszelkie niezbędne informacje, które potwierdzają spełnienie przez niego obowiązków wynikających z art. 28 RODO. Dodatkowo, Usługodawca umożliwi Użytkownikowi lub audytorowi upoważnionemu przez Użytkownika przeprowadzenie audytu (na koszt Użytkownika), w tym także inspekcji, i aktywnie wesprze w realizacji takich działań. Użytkownik ma obowiązek poinformować Usługodawcę o planowanej kontroli z co najmniej 30-dniowym wyprzedzeniem, wysyłając odpowiednie pisemne zawiadomienie, w którym określi również zakres kontroli oraz osoby upoważnione do jej przeprowadzenia.
  2. Jeśli przeprowadzenie audytu w terminie zaproponowanym przez Użytkownika okaże się niemożliwe z uzasadnionych powodów, Usługodawca zobowiązuje się wskazać najbliższy możliwy termin.
  3. Audyt musi być przeprowadzony z uwzględnieniem godzin pracy Usługodawcy oraz w sposób, który nie będzie zakłócał jego działalności. Cały proces audytu nie powinien trwać dłużej niż jeden dzień roboczy.
  4. Po zakończeniu audytu, Użytkownik ma obowiązek przekazać Usługodawcy raport zawierający wyniki oraz zalecenia pokontrolne. Usługodawca będzie zobowiązany do wdrożenia jedynie tych zaleceń, które są obiektywnie uzasadnione i nie wykraczają poza wymogi prawa.
  5. Wykonywanie audytów nie może naruszać tajemnic handlowych Usługodawcy ani tajemnicy przedsiębiorstw osób trzecich.

VIII. Dalsze powierzenie danych do przetwarzania

  1. Podmioty zewnętrzne, z którymi Usługodawca współpracuje lub może współpracować w zakresie przetwarzania Danych Osobowych w imieniu Użytkownika, będą określane jako „Inne Podmioty Przetwarzające”.
  2. Użytkownik wyraża ogólną pisemną zgodę na powierzenie przez Usługodawcę przetwarzania Danych Osobowych Innym Podmiotom Przetwarzającym, o ile jest to konieczne (według oceny Usługodawcy) dla realizacji usług świadczonych w ramach Współpracy. Dotyczy to w szczególności podmiotów świadczących usługi związane z infrastrukturą IT, telekomunikacyjną, np. dostawców usług e-mail, hostingu, przechowywania danych i ich przesyłu.
  3. W przypadku planowanego powierzenia danych Innym Podmiotom Przetwarzającym, obowiązują następujące zasady:
    1. Usługodawca informuje Użytkownika o każdej zamierzonej zmianie dotyczącej dodania nowego podmiotu lub zastąpienia istniejącego. Użytkownik ma prawo zgłosić sprzeciw wobec takiej zmiany;
    2. informacje będą przekazywane za pomocą e-maila lub poprzez Panel Użytkownika w Aplikacji;
    3. Użytkownik może zgłosić sprzeciw wobec nowego Podmiotu Przetwarzającego (dalej „Sprzeciw”), jednak jest świadomy, że może to wpłynąć na sposób świadczenia Usług, co może wymagać ich ograniczenia lub nawet rozwiązania Umowy Podstawowej.
      W przypadku, gdy Umowa Podstawowa zostanie wypowiedziana w związku ze zgłoszonym Sprzeciwem, Użytkownik będzie zobowiązany uiścić opłatę za Usługi do końca okresu abonamentowego, w którym nastąpiło wypowiedzenie. Użytkownik nie będzie uprawniony do dochodzenia roszczeń wobec Usługodawcy, w tym roszczeń odszkodowawczych, w związku z takim rozwiązaniem umowy.
  4. Każdy Inny Podmiot Przetwarzający, z którym Usługodawca zawiera umowę, zobowiązany jest do spełnienia tych samych wymogów ochrony danych, które wynikają z niniejszej Umowy, w tym gwarantowania odpowiednich zabezpieczeń technicznych i organizacyjnych. Wyjątkiem są sytuacje, w których te obowiązki nie mają zastosowania ze względu na specyfikę dalszego powierzenia.
  5. Jeżeli Inny Podmiot Przetwarzający nie wywiąże się ze swoich obowiązków dotyczących ochrony danych, Usługodawca ponosi odpowiedzialność wobec Użytkownika za ich naruszenie.

IX. Przekazywanie danych do państwa trzeciego

  1. Użytkownik wyraża zgodę na przekazywanie Danych Osobowych do krajów spoza Europejskiego Obszaru Gospodarczego (dalej „Państwo Trzecie”), o ile jest to związane z realizacją Usług. Takie przekazywanie musi odbywać się zgodnie z wymaganiami RODO, w szczególności:
    1. na podstawie decyzji Komisji Europejskiej uznającej odpowiedni poziom ochrony w danym Państwie Trzecim;
    2. na podstawie standardowych klauzul umownych przyjętych przez Komisję Europejską.

X. Oświadczenia i zapewnienia

  1. Użytkownik przyjmuje do wiadomości i zgadza się, że podczas korzystania z Serwisów Internetowych może być uznany za administratora danych osobowych Użytkowników Końcowych tych serwisów, zwłaszcza w sytuacjach, gdy operator Serwisu Internetowego również pełni funkcję administratora danych. Decyzja o tym, czy Użytkownik (lub jego Klient) jest administratorem, zależy od sposobu, w jaki korzysta z tych serwisów. Dotyczy to w szczególności danych Użytkowników Końcowych, z którymi Użytkownik nawiązuje kontakt (we własnym imieniu lub w imieniu swojego Klienta) bądź którzy kontaktują się z nim lub z jego Klientem, jak również tych, którzy korzystają z zarządzanych przez Użytkownika (lub jego Klienta) stron i profili.
  2. Na potrzeby tej Umowy i Umowy Podstawowej Strony zgadzają się, a Użytkownik potwierdza, że:
    1. Użytkownik jest administratorem danych osobowych powierzonych Usługodawcy, jeżeli działa na własną rzecz w trakcie korzystania z Usług,
    2. Użytkownik działa jako podmiot przetwarzający dane osobowe na zlecenie swojego Klienta (będącego administratorem danych) i ma prawo powierzać dalsze przetwarzanie tych danych Usługodawcy, jeżeli działa w imieniu swojego Klienta w trakcie korzystania z Usług.
  3. Użytkownik oświadcza i gwarantuje, że zapewnia zgodność przetwarzania danych osobowych z obowiązującymi przepisami prawa, w tym podczas korzystania z Usług. Zobowiązuje się także do przekazywania Usługodawcy jedynie takich danych osobowych, które:
    1. są przetwarzane na podstawie ważnych podstaw prawnych (jeśli Użytkownik pełni rolę administratora danych), lub
    2. mogą być zgodnie z prawem dalej powierzane Usługodawcy, Innym Podmiotom Przetwarzającym, a także przekazywane do Państw Trzecich (jeśli Użytkownik działa na zlecenie swojego Klienta).

Użytkownik ponosi odpowiedzialność za spełnienie wszystkich wymogów prawnych dotyczących obowiązków informacyjnych wobec osób, których dane są przetwarzane, o ile obowiązki te mają zastosowanie.

  1. W sytuacji, gdy jakakolwiek osoba trzecia podejmie działania prawne przeciwko Usługodawcy lub Użytkownikowi z tytułu naruszenia zasad ochrony danych osobowych, Strony zobowiązują się do współpracy w celu podjęcia stosownych kroków prawnych, w tym oddalenia lub odrzucenia roszczeń, wniesienia odwołania, zawarcia ugody lub podjęcia innych odpowiednich działań prawnych.
  2. Niniejsza Umowa nie zmienia postanowień dotyczących odpowiedzialności (w tym jej ograniczeń) zawartych w Umowie Podstawowej.

XI. Tryb zawarcia Umowy

  1. Umowa zostaje zawarta poprzez zaakceptowanie Regulaminu, który stanowi integralną część tej Umowy. Użytkownik akceptuje Umowę, zaznaczając odpowiednie okienko w formularzu – w przypadku osoby fizycznej lub upoważnionego Pracownika Użytkownika (zgodnie z definicją w Regulaminie).
  2. Jeżeli Umowa jest zawierana przez Pracownika w imieniu Użytkownika:
    1. zarówno Pracownik, jak i Użytkownik oświadczają, że Pracownik posiada stosowne upoważnienie do zawarcia Umowy w imieniu Użytkownika,
    2. na żądanie Usługodawcy, Pracownik oraz Użytkownik są zobowiązani przedstawić dowód upoważnienia,
    3. Pracownik ponosi pełną odpowiedzialność wobec Usługodawcy za zawarcie Umowy bez odpowiedniego upoważnienia.
  3. Na wyraźną prośbę Użytkownika, Umowa może być zawarta w formie pisemnej lub poprzez wymianę podpisanych skanów Umowy drogą elektroniczną, albo w inny uzgodniony sposób.

XII. Postanowienia końcowe

  1. Umowa obowiązuje przez cały czas trwania Umowy Podstawowej.
  2. We wszelkich kwestiach nieuregulowanych w tej Umowie stosuje się postanowienia Umowy Podstawowej oraz Regulaminu.
  3. Zmiany, wypowiedzenie lub rozwiązanie Umowy wymagają formy pisemnej lub dokumentowej pod rygorem nieważności.

Szczegółowy zakres, cel oraz charakter przetwarzania, rodzaje danych osobowych i kategorie osób, których dane są przetwarzane

Powierzenie przetwarzania danych osobowych ma na celu umożliwienie Usługodawcy realizacji świadczeń dla Użytkownika zgodnie z Umową Podstawową (w rozumieniu tej Umowy). Przetwarzanie to obejmuje świadczenie usług wspierających marketing i komunikację w mediach społecznościowych (Serwisach Internetowych), w szczególności w zakresie:

  • narzędzi wspomagających zarządzanie obecnością Użytkownika (lub Klienta Użytkownika) w mediach społecznościowych, takich jak zarządzanie profilami, stronami fanowskimi itp.,
  • narzędzi ułatwiających komunikację z Użytkownikami Końcowymi w mediach społecznościowych (np. publikowanie treści, reagowanie na komentarze itp.),
  • narzędzi do analizy, monitorowania oraz dostarczania statystyk związanych ze stronami i profilami Użytkownika (lub jego Klienta) w mediach społecznościowych,
  • narzędzi umożliwiających monitorowanie i analizowanie stron oraz profili w mediach społecznościowych, które nie należą do Użytkownika (ani do Klienta Użytkownika), na zlecenie Użytkownika.

Powierzone przetwarzanie może obejmować dane osobowe:

  • Użytkowników Końcowych, którzy nawiązują interakcje z Użytkownikiem (lub Klientem Użytkownika za pośrednictwem Użytkownika) w Serwisach Internetowych obsługiwanych w ramach Usług,
  • Użytkowników Końcowych i innych osób fizycznych, których dane są obecne na stronach i profilach w mediach społecznościowych monitorowanych przez Usługodawcę na zlecenie Użytkownika, niezależnie od tego, czy są to strony i profile należące do Użytkownika (lub Klienta Użytkownika).

Przetwarzanie może obejmować następujące kategorie danych osobowych, w zależności od tego, jakie dane są dostępne w mediach społecznościowych objętych usługami:

  • imię, nazwisko, pseudonim lub inne dane identyfikujące Użytkownika Końcowego w Serwisie Internetowym,
  • zdjęcia, grafiki i inne obrazy służące do identyfikacji, w tym potencjalnie zawierające wizerunek Użytkownika Końcowego,
  • dane nieustrukturyzowane, takie jak treści generowane przez użytkowników, mogące zawierać dane osobowe (np. wpisy, komentarze, posty w mediach społecznościowych, dokumenty tekstowe, obrazy, nagrania, filmy),
  • treść korespondencji lub innej komunikacji między Użytkownikiem Końcowym a Użytkownikiem (lub Klientem Użytkownika) prowadzona za pośrednictwem Serwisów Internetowych.

Zakres przetwarzanych danych będzie każdorazowo zależał od rodzaju świadczonych przez Usługodawcę usług w ramach Współpracy.

Powierzenie przetwarzania danych osobowych może obejmować operacje takie jak: gromadzenie, rejestrowanie, organizowanie, porządkowanie, przechowywanie, dostosowywanie, pobieranie, przeglądanie, wykorzystywanie, przekazywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub inne formy udostępniania, zestawianie, ograniczanie, usuwanie lub niszczenie danych.