Umowa Powierzenia Przetwarzania Danych Osobowych

§1 DEFINICJE

Użyte w niniejszej Umowie pojęcia oznaczają:

Dane Osobowe lub Dane – dane osobowe w rozumieniu art. 4 pkt 1) RODO, powierzone Procesorowi przez Administratora w celu realizacji Umowy Głównej.

Umowa Główna – umowa o świadczenie Usług drogą elektroniczną w Serwisie Auditflow, zawierana na warunkach określonych w Regulaminie Serwisu Auditflow.

Regulamin – Regulamin Serwisu Auditflow, dostępny pod adresem https://www.auditflow.pl/regulamin.

RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r..

Pozostałe pojęcia pisane wielką literą mają znaczenie nadane im w Regulaminie.

§2 PRZEDMIOT POWIERZENIA

Administrator, na podstawie art. 28 ust. 3 RODO, powierza Procesorowi Dane Osobowe do przetwarzania, na zasadach i w celach określonych w niniejszej Umowie.

Administrator oświadcza, że jest uprawniony do przetwarzania Danych Osobowych w zakresie, w jakim powierza je Procesorowi.

Procesor zobowiązuje się przetwarzać powierzone mu Dane Osobowe zgodnie z niniejszą Umową, RODO oraz innymi właściwymi przepisami prawa powszechnie obowiązującego.

§3 ZAKRES I CEL PRZETWARZANIA

Cel przetwarzania Danych: Wyłącznie realizacja Usług określonych w Umowie Głównej, polegających na udostępnieniu Administratorowi narzędzi informatycznych do tworzenia i zarządzania audytami energetycznymi.

Zakres powierzanych Danych Osobowych: Dane dotyczą klientów końcowych Administratora i obejmują wyłącznie:

• imię i nazwisko,
• numer telefonu,
• adres (ulica, numer budynku/lokalu, kod pocztowy, miejscowość, województwo),
• odnośniki (linki) do plików (takich jak zdjęcia lub pomiary), które są przechowywane na zewnętrznych platformach chmurowych (np. Google Drive) należących do Administratora i przez niego zarządzanych. Procesor nie przechowuje samych plików, a jedynie linki do nich.

Kategorie osób, których dane dotyczą: Klienci końcowi Administratora, na rzecz których świadczy on usługi audytu energetycznego.

Charakter i czas trwania przetwarzania: Przetwarzanie Danych ma charakter zautomatyzowany i odbywa się w systemach informatycznych Procesora przez okres obowiązywania Umowy Głównej.

§4 PRAWA I OBOWIĄZKI STRON

Procesor przetwarza Dane Osobowe wyłącznie na udokumentowane polecenie Administratora, za które Strony uznają korzystanie z funkcjonalności Serwisu zgodnie z Umową Główną i niniejszą Umową Powierzenia.

Procesor zapewnia, że osoby upoważnione do przetwarzania Danych Osobowych zobowiązały się do zachowania tajemnicy.

Procesor wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, zgodnie z art. 32 RODO.

Procesor, biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga Administratorowi wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.

Procesor, po stwierdzeniu naruszenia ochrony Danych Osobowych, zgłasza je Administratorowi bez zbędnej zwłoki na adres e-mail Administratora podany w Koncie.

Po zakończeniu świadczenia Usług, Procesor usuwa wszelkie Dane Osobowe oraz ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują ich przechowywanie.

Administrator ponosi pełną odpowiedzialność za posiadanie odpowiedniej podstawy prawnej do przetwarzania danych, które powierza Procesorowi.

§5 ZASADY DALSZEGO POWIERZANIA (PODPOWIERZENIE)

Administrator wyraża ogólną zgodę na dalsze powierzenie przez Procesora przetwarzania Danych Osobowych innym podmiotom (pod-procesorom) w celu prawidłowego wykonania Umowy Głównej.

Lista pod-procesorów, z których korzysta Procesor, znajduje się w Załączniku nr 1 do niniejszej Umowy. Administrator akceptuje tę listę.

Procesor poinformuje Administratora o każdym zamierzonym dodaniu lub zastąpieniu pod-procesora, dając Administratorowi możliwość wyrażenia sprzeciwu.

Procesor ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się ze spoczywających na pod-procesorze obowiązków ochrony danych.

Procesor może przekazywać Dane do państwa trzeciego (poza Europejski Obszar Gospodarczy), w szczególności do USA, pod warunkiem spełnienia wymogów określonych w rozdziale V RODO (np. poprzez stosowanie standardowych klauzul umownych).

§6 PRAWO KONTROLI

Administrator ma prawo do przeprowadzania kontroli zgodności przetwarzania Danych przez Procesora z niniejszą Umową i przepisami RODO, nie częściej niż raz w roku, po uprzednim uzgodnieniu terminu z co najmniej 30-dniowym wyprzedzeniem.

Procesor udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO i umożliwia przeprowadzanie audytów.

Koszty związane z przeprowadzeniem audytu ponosi Administrator.

§7 POSTANOWIENIA KOŃCOWE

Odpowiedzialność Procesora jest ograniczona na zasadach określonych w Regulaminie Serwisu Auditflow.

W sprawach nieuregulowanych zastosowanie mają postanowienia Regulaminu oraz przepisy RODO i prawa polskiego.

W przypadku rozbieżności między postanowieniami Regulaminu a niniejszą Umową, w zakresie przetwarzania danych osobowych pierwszeństwo mają postanowienia niniejszej Umowy.

Niniejsza Umowa stanowi inny instrument prawny w rozumieniu art. 28 ust. 3 RODO.

Załącznik nr 1 do Umowy Powierzenia Przetwarzania Danych Osobowych

Wykaz podmiotów przetwarzających (pod-procesorów)

Administrator wyraża zgodę na korzystanie przez Procesora z usług niżej wymienionych podmiotów: