Umowa powierzenia przetwarzania danych osobowych

Strony DPA

Partner (akceptujący Regulamin) - jako Administrator Danych Osobowych (dalej: „Administrator”).

Filip Białek, prowadzący działalność gospodarczą pod firmą bday.love - Filip Białek, NIP: 9591515225, REGON: 260771859, ul. Orkana 9/50, 25-548 Kielce - jako Podmiot Przetwarzający (dalej: „Procesor”).

§ 1. Przedmiot i cel powierzenia

1. Administrator powierza Procesorowi przetwarzanie danych osobowych na zasadach i w celach określonych w niniejszym DPA, zgodnie z art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO).

2. Procesor przetwarza dane osobowe wyłącznie w celu realizacji umowy o świadczenie usług drogą elektroniczną (świadczenie usługi SaaS, w tym obsługa kalendarza, rezerwacji i komunikacji z Klientami końcowymi), opisanej w Regulaminie bday.love.

3. Przetwarzanie odbywa się wyłącznie na udokumentowane polecenie Administratora, za które uważa się akceptację Regulaminu oraz korzystanie z funkcjonalności Serwisu bday.love.

§ 2. Rodzaj danych i kategorie osób

1. Powierzenie obejmuje dane osobowe wprowadzane do Serwisu bday.love przez Administratora, jego pracowników lub bezpośrednio przez Klientów końcowych za pośrednictwem widgetu.

2. Kategorie osób, których dane dotyczą: Klienci końcowi Administratora (osoby dokonujące rezerwacji przyjęć, goście, uczestnicy wydarzeń).

3. Rodzaje powierzonych danych osobowych: imię i nazwisko, adres e-mail, numer telefonu, historia rezerwacji oraz ewentualne inne dane podane dobrowolnie w uwagach do rezerwacji.

§ 3. Obowiązki i oświadczenia Procesora

1. Procesor oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

2. Procesor zobowiązuje się do:

a) zachowania w tajemnicy powierzonych danych osobowych oraz sposobów ich zabezpieczenia, zarówno w trakcie trwania umowy, jak i po jej ustaniu;

b) dopuszczania do przetwarzania danych wyłącznie osób posiadających stosowne upoważnienia i zobowiązanych do zachowania poufności;

c) wdrożenia środków bezpieczeństwa wymaganych na mocy art. 32 RODO (m.in. szyfrowanie, kopie zapasowe, kontrola dostępu);

d) pomagania Administratorowi (w miarę możliwości i poprzez odpowiednie środki techniczne) w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą;

e) zgłaszania Administratorowi naruszeń ochrony danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 36 godzin od ich stwierdzenia;

f) udostępniania Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO.

§ 4. Dalsze powierzenie (Subprocesorzy)

1. Administrator wyraża ogólną zgodę na korzystanie przez Procesora z usług innych podmiotów przetwarzających (Subprocesorów) w celu realizacji Umowy.

2. Aktualna lista Subprocesorów (m.in. Amazon Web Services, Inc., Stripe, Inc.) jest wskazana w Polityce Prywatności Serwisu.

3. Procesor poinformuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia Subprocesorów z co najmniej 14-dniowym wyprzedzeniem (np. poprzez e-mail lub komunikat w panelu).

4. Administrator może sprzeciwić się takiej zmianie w terminie 7 dni. Zgłoszenie uzasadnionego sprzeciwu może skutkować rozwiązaniem Umowy o świadczenie usług.

5. Procesor zapewnia, że na Subprocesorów nałożone są te same obowiązki ochrony danych, jakie wynikają z niniejszego DPA.

§ 5. Audyty i kontrole

1. Administrator ma prawo przeprowadzenia audytu zgodności przetwarzania z DPA i RODO. Audyt realizowany jest w pierwszej kolejności poprzez żądanie od Procesora stosownych informacji i pisemnych oświadczeń.

2. Kontrole fizyczne w siedzibie Procesora mogą odbywać się wyłącznie w uzasadnionych przypadkach, po uprzednim ustaleniu terminu (z 30-dniowym wyprzedzeniem) i na koszt Administratora, w sposób niezakłócający bieżącej działalności Procesora.

§ 6. Czas trwania i rozwiązanie

1. DPA obowiązuje przez czas trwania umowy o świadczenie usług określonej Regulaminem Serwisu bday.love.

2. Po zakończeniu świadczenia usług, Procesor - zależnie od decyzji Administratora (wyrażonej w panelu lub mailowo) - usuwa lub zwraca wszelkie powierzone dane osobowe oraz usuwa ich istniejące kopie, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie tych danych.

3. Z braku innej dyspozycji, Procesor trwale usunie dane w ciągu 30 dni od rozwiązania umowy.

§ 7. Postanowienia końcowe

1. W sprawach nieuregulowanych w niniejszym DPA zastosowanie mają przepisy RODO oraz przepisy prawa polskiego.

2. Odpowiedzialność Procesora z tytułu niniejszego DPA jest ograniczona na takich samych zasadach, jak określono to w Regulaminie Serwisu (limit odpowiedzialności nie dotyczy ewentualnych kar administracyjnych nałożonych bezpośrednio na Administratora z wyłącznej winy Procesora).