Umowa Powierzenia Przetwarzania Danych Osobowych

Preambuła

Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (dalej: „Umowa Powierzenia") została zawarta pomiędzy Klientem Platformy CaterMon a operatorem Platformy w związku z akceptacją Regulaminu Usługi CaterMon. Stanowi integralną część Regulaminu i określa zasady, na jakich operator Platformy przetwarza dane osobowe w imieniu Klienta — zgodnie z art. 28 RODO.

• Powierzający (Administrator) – Klient, który zarejestrował Konto w Platformie CaterMon i powierza Przyjmującemu przetwarzanie danych osobowych swoich pracowników, współpracowników oraz kontrahentów (dostawców).
• Przyjmujący (Podmiot przetwarzający) – 1 DEV Dariusz Sęk, ul. Sulęczyńska 19, 80-298 Gdańsk, NIP: 5691871041, operator Platformy CaterMon.

§1. Przedmiot Umowy Powierzenia

• W celu wykonania Umowy o świadczenie usług, Powierzający powierza Przyjmującemu przetwarzanie danych osobowych w zakresie wskazanym w Załączniku nr 1 do niniejszej Umowy Powierzenia.
• Przetwarzanie danych osobowych odbywa się na zasadach określonych w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO).
• Powierzający oświadcza, że jest administratorem powierzanych danych osobowych, że dane zostały zgromadzone zgodnie z prawem i posiada podstawę prawną do ich powierzenia Przyjmującemu.
• Przyjmujący przetwarza powierzone dane osobowe wyłącznie w zakresie i celu wynikającym z Regulaminu, niniejszej Umowy Powierzenia oraz pisemnych instrukcji Powierzającego przekazanych za pośrednictwem funkcji Platformy lub kanałów kontaktowych. Treść Regulaminu i Umowy Powierzenia traktuje się jako udokumentowane polecenie w rozumieniu art. 28 ust. 3 lit. a) RODO.

§2. Zakres i cel przetwarzania

• Cel przetwarzania: Świadczenie usług Platformy CaterMon umożliwiającej zarządzanie kosztami żywności (food cost), digitalizację faktur, analizę kosztów i generowanie raportów.
• Charakter przetwarzania: Zbieranie, utrwalanie, przechowywanie, przeglądanie, wykorzystywanie, usuwanie danych w ramach funkcjonalności Platformy.
• Rodzaj danych osobowych:
  • Dane Użytkowników: imię, nazwisko, adres e-mail;
  • Dane z faktur: nazwy dostawców, adresy, numery NIP, dane kontaktowe osób na fakturach;
  • Obrazy faktur (zdjęcia, skany, pliki PDF) mogące zawierać dane osobowe.
• Kategorie osób, których dane dotyczą:
  • Pracownicy i współpracownicy Powierzającego (Użytkownicy Platformy);
  • Kontrahenci Powierzającego (dostawcy, których dane znajdują się na fakturach).
• Czas przetwarzania: Przez okres obowiązywania Umowy o świadczenie usług oraz przez 30 dni po jej zakończeniu (okres na pobranie danych przez Powierzającego).

§3. Obowiązki Przyjmującego

Przyjmujący zobowiązuje się do:

• Przetwarzania danych osobowych wyłącznie w zakresie i celu określonym w niniejszej Umowie Powierzenia.
• Zapewnienia, aby dostęp do powierzonych danych mieli wyłącznie pracownicy i współpracownicy, z którymi zawarto pisemne zobowiązania do zachowania poufności obejmujące również okres po ustaniu współpracy, lub którzy podlegają ustawowemu obowiązkowi zachowania tajemnicy.
• Wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania, zgodnie z art. 32 RODO, w tym:
  • szyfrowanie danych w transmisji (SSL/TLS);
  • szyfrowanie danych w spoczynku;
  • kontrola dostępu i uwierzytelnianie;
  • regularne kopie zapasowe;
  • monitoring bezpieczeństwa.
• Przestrzegania warunków korzystania z usług dalszych podmiotów przetwarzających (podprocesorów) określonych w §5.
• Wspomagania Powierzającego w realizacji obowiązków wynikających z art. 32-36 RODO (bezpieczeństwo, ocena skutków, konsultacje z organem nadzorczym).
• Wspomagania Powierzającego w realizacji praw osób, których dane dotyczą (dostęp, sprostowanie, usunięcie, przenoszenie danych).
• Usunięcia lub zwrotu danych osobowych po zakończeniu Umowy, zgodnie z §7.
• Udostępnienia Powierzającemu informacji niezbędnych do wykazania zgodności z RODO oraz umożliwienia przeprowadzenia audytu.

§4. Zgłaszanie naruszeń ochrony danych

• Przyjmujący informuje Powierzającego o każdym stwierdzonym naruszeniu ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 168 godzin od jego wykrycia, w sposób umożliwiający Powierzającemu wywiązanie się z obowiązków wynikających z art. 33 RODO.
• Powiadomienie zostanie przesłane na adres e-mail Powierzającego wskazany przy rejestracji Konta.
• Powiadomienie zawiera informacje wymagane art. 33 ust. 3 RODO, w szczególności:
  • zakres i okoliczności incydentu (data wykrycia, źródło, dotknięte systemy);
  • szacowaną liczbę i kategorie rekordów oraz osób, których dane dotyczą;
  • ocenę ryzyka dla praw i wolności osób;
  • podjęte i planowane działania naprawcze oraz osobę kontaktową po stronie Przyjmującego.
• Jeżeli wszystkich informacji nie można udzielić jednocześnie, Przyjmujący przekazuje je sukcesywnie bez zbędnej zwłoki.
• Przyjmujący zobowiązuje się do podjęcia natychmiastowych działań w celu usunięcia skutków naruszenia i zapobieżenia podobnym naruszeniom w przyszłości.

§5. Dalsze podmioty przetwarzające (podprocesorzy)

• Powierzający wyraża ogólną zgodę na korzystanie przez Przyjmującego z usług dalszych podmiotów przetwarzających (podprocesorów) wymienionych w Załączniku nr 2.
• Przyjmujący zobowiązuje się do informowania Powierzającego o każdej zamierzonej zmianie dotyczącej dodania lub zastąpienia podprocesora z co najmniej 14-dniowym wyprzedzeniem.
• Powierzający może wnieść sprzeciw wobec zmiany podprocesora w terminie 14 dni od otrzymania informacji. W przypadku sprzeciwu Strony podejmą negocjacje w celu znalezienia rozwiązania.
• Przyjmujący zapewnia, że podprocesorzy spełniają wymagania RODO i są związani umowami powierzenia zawierającymi zobowiązania nie mniej restrykcyjne niż niniejsza Umowa Powierzenia.
• Przyjmujący odpowiada za działania i zaniechania podprocesorów jak za własne działania.

§6. Transfer danych poza Europejski Obszar Gospodarczy

• W związku z korzystaniem z usług Google Cloud Platform (Firebase) oraz Google Vertex AI, dane osobowe mogą być przekazywane poza Europejski Obszar Gospodarczy, w tym do Stanów Zjednoczonych.
• Transfer danych odbywa się na podstawie:
  • Decyzji Komisji Europejskiej o adekwatności dla EU-U.S. Data Privacy Framework;
  • Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską.
• Google LLC jest uczestnikiem programu EU-U.S. Data Privacy Framework, co zostało potwierdzone przez Komisję Europejską jako zapewniające odpowiedni poziom ochrony danych.
• Przyjmujący zobowiązuje się do monitorowania ważności podstaw prawnych transferu danych i informowania Powierzającego o istotnych zmianach.

§7. Czas trwania i usunięcie danych

• Umowa Powierzenia obowiązuje przez czas trwania Umowy o świadczenie usług (Regulaminu).
• Po zakończeniu Umowy o świadczenie usług:
  • Powierzający ma 30 dni na pobranie swoich danych z Platformy;
  • Po upływie 30 dni Przyjmujący usunie wszystkie dane osobowe, chyba że przepisy prawa wymagają ich dalszego przechowywania.
• Usunięcie danych obejmuje wszystkie kopie danych znajdujące się w systemach Przyjmującego i podprocesorów, z wyjątkiem kopii zapasowych, które zostaną usunięte zgodnie z harmonogramem rotacji kopii (maksymalnie 90 dni).
• Na żądanie Powierzającego, Przyjmujący potwierdzi usunięcie danych na piśmie.

§8. Prawo do audytu

• Powierzający ma prawo do przeprowadzenia audytu zgodności przetwarzania danych z niniejszą Umową Powierzenia i RODO.
• Audyt może być przeprowadzony przez Powierzającego lub upoważnionego audytora, po uprzednim uzgodnieniu terminu z co najmniej 14-dniowym wyprzedzeniem.
• Audyt przeprowadzany jest w godzinach pracy Przyjmującego i nie może zakłócać normalnego funkcjonowania Platformy.
• Koszty audytu ponosi Powierzający, chyba że audyt wykaże istotne naruszenia – wówczas koszty ponosi Przyjmujący.
• Przyjmujący może zaproponować Powierzającemu zapoznanie się z wynikami niezależnego audytu bezpieczeństwa (np. SOC 2, ISO 27001) jako alternatywę dla audytu własnego.

§9. Odpowiedzialność

• Przyjmujący odpowiada za szkody wynikające z przetwarzania danych niezgodnego z niniejszą Umową Powierzenia lub RODO.
• Przyjmujący nie odpowiada za szkody wynikające z:
  • przetwarzania danych zgodnie z udokumentowanymi poleceniami Powierzającego;
  • nieprawidłowych lub niekompletnych danych przekazanych przez Powierzającego;
  • działań lub zaniechań Powierzającego niezgodnych z RODO.
• Odpowiedzialność Przyjmującego podlega ograniczeniom określonym w §8 Regulaminu Usługi.

§10. Postanowienia końcowe

• Wszelkie modyfikacje niniejszej Umowy Powierzenia są skuteczne wyłącznie po ich opublikowaniu w sposób przewidziany dla zmian Regulaminu.
• W sprawach nieuregulowanych stosuje się Regulamin oraz przepisy RODO i prawa polskiego.
• Sądem właściwym dla rozstrzygania sporów wynikłych z Umowy Powierzenia jest sąd siedziby Przyjmującego.
• Załączniki stanowią integralną część Umowy Powierzenia.