Załącznik nr 1 do Regulaminu świadczenia dostępu do usługi Trefix (Powierzenie Przetwarzania Danych Osobowych)

1.Oświadczenia Stron

  1. Strony oświadczają, iż w związku z możliwością wprowadzenia przez Użytkownika Aplikacji danych dotyczących jej partnerów biznesowych (np. klientów, dostawców), może dojść do powierzenia przetwarzania danych osobowych. W tejże sytuacji Administratorem danych jest Użytkownik Aplikacji Trefix, a Usługodawca jest podmiotem przetwarzającym (“Przetwarzający dane”). 
  2. Danymi, które wprowadza użytkownik Aplikacji, a stanowią dane osobowe mogą być imię i nazwisko dostawcy, klienta lub kontrahenta bądź inne dane, które identyfikują tę osobę jako stronę transakcji wraz z informacji o rozliczeniach walutowych z tą osobą.
  3. Strony oświadczają, że Przetwarzający Dane zobowiązuje się, że będzie przetwarzał Dane Osobowe na podstawie Umowy Powierzenia zgodnie z RODO.
  4. Usługodawca oświadcza, że dysponuje środkami umożliwiającymi prawidłowe przetwarzanie danych osobowych powierzonych przez Administratora danych, w zakresie i celu określonym Umową.

    2. Cel, zakres, miejsce przetwarzania powierzonych danych osobowych

  1. Administrator danych powierza Usługodawcy przetwarzanie danych osobowych, o których mowa w § 1 ust. 1 umowy wyłącznie w celu prawidłowego świadczenia usługi dostępu do Aplikacji Trefix. 
  2. Usługodawca zobowiązuje się do przetwarzania powierzonych danych osobowych wyłącznie w celach związanych ze świadczeniem usług  i wyłącznie w zakresie, jaki jest niezbędny do realizacji tych celów.
  3. Na wniosek Administratora danych lub osoby, której dane dotyczą Usługodawca wskaże miejsca, w których przetwarza powierzone dane.
  4. Przetwarzający Dane jest uprawniony do przetwarzania Danych Osobowych na obszarze EOG.
  1. Przetwarzający Dane jest uprawniony do przetwarzania Danych Osobowych poprzez ich przekazanie do Państw Trzecich. Może to nastąpić jedynie pod warunkami określonymi w rozdziale V RODO, w szczególności Przetwarzający Dane może je przekazać do Państwa Trzeciego wobec którego Komisja Europejska wydała decyzję stwierdzającą odpowiedni stopień ochrony, o którym mowa w art. 45 RODO.

    3. Zasady przetwarzania danych osobowych

  1. Strony zobowiązują się wykonywać zobowiązania wynikające z niniejszej umowy z najwyższą starannością zawodową w celu zabezpieczenia prawnego, organizacyjnego i technicznego interesu stron w zakresie przetwarzania powierzonych danych osobowych.
  2. Usługodawca zobowiązuje się zastosować środki techniczne i organizacyjne mające na celu należyte, odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, zabezpieczenie powierzonych do przetwarzania danych osobowych, w szczególności zabezpieczyć je przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa, oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 
  3. Usługodawca oświadcza, że zastosowane do przetwarzania powierzonych danych systemy informatyczne spełniają wymogi aktualnie obowiązujących przepisów prawa.
  4. Usługodawca przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora. 
  5. Podmiot przetwarzający, biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw. 
  6. Podmiot przetwarzający jest zobowiązany zawiadomić Administratora danych o każdym podejrzeniu naruszenia lub stwierdzeniu naruszenia ochrony danych osobowych — nie później niż w terminie 24 (słownie: dwudziestu czterech) godzin od chwili powzięcia informacji o podejrzeniu naruszenia lub stwierdzeniu naruszenia ochrony danych osobowych. W zawiadomieniu Podmiot przetwarzający jest zobowiązany wskazać okoliczności zdarzenia, prawdopodobne przyczyny oraz środki, jakie zostały zastosowane w związku ze zdarzeniem, w celu zminimalizowania negatywnych skutków — wraz z niezbędną dokumentacją. Podmiot przetwarzający jest zobowiązany zapewnić Administratorowi danych możliwość uczestniczenia w wyjaśnianiu okoliczności zdarzenia. Podmiot przetwarzający jest zobowiązany udzielić wszystkich informacji oraz wyjaśnień, jak również podjąć wszelkie działania, które umożliwią Administratorowi danych osobowych wywiązanie się z obowiązku notyfikacyjnego wobec Prezesa Urzędu Ochrony Danych Osobowych.
  7. Podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych). 
  8. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora danych usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że szczególne przepisy prawa nakazują przechowywanie danych osobowych.
  9. Podmiot przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszej umowie oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich

    4. Odpowiedzialność stron

  1. Administrator danych ponosi odpowiedzialność za przestrzeganie przepisów prawa w zakresie przetwarzania i ochrony danych osobowych według rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
  2. Powyższe nie wyłącza odpowiedzialności Usługodawcy za przetwarzanie powierzonych danych niezgodnie z umową. 
  3. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem, jeśli nie dopełnił obowiązków, które nakłada niniejsza umowa, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.