Umowa o przetwarzanie danych
Ostatnia aktualizacja: 20 kwietnia 2022 r.
Niniejsza Umowa o Przetwarzaniu Danych stanowi integralną część Regulaminu Timerise dostępnego pod adresem https://timerise.io/legal-tac-en.html.
- DEFINITIONS
The terms used in Agreement will have the same meaning as assigned to them below and in the Personal Data Protection Law, which among others imply that:- „Timerise” oznacza Timerise Sp. z o.o. z o.o. z siedzibą we Wrocławiu, adres: ul. Inowrocławska 21C/1, 53-653 Wrocław, Polska, e-mail: [email protected], NIP: 8971890756;
- „Umowa” oznacza niniejszą umowę o przetwarzanie danych;
- „Umowa główna” oznacza umowę, na podstawie której użytkownik korzysta z Usług, której Regulamin jest dostępny pod adresem https://timerise.io/legal-tac-en.html.
- „Usługi” oznaczają usługi Timerise umożliwiające Klientowi np. korzystanie z Platformy.
- „Platforma” oznacza platformę rezerwacji online stworzoną, opracowaną i utrzymywaną przez Timerise, która może być zintegrowana ze stroną internetową klienta, używaną przez użytkowników końcowych bezpośrednio ze strony internetowej klienta.
- „Dane Osobowe” oznaczają wszelkie informacje, które bezpośrednio lub pośrednio mogą zidentyfikować żyjącą osobę fizyczną, której przetwarzanie powierzono na mocy Umowy;
- „Przetwarzanie” oznacza dowolną operację lub zestaw operacji wykonywanych w odniesieniu do danych osobowych, niezależnie od tego, czy są one wykonywane w sposób zautomatyzowany, na przykład gromadzenie, rejestrowanie, organizowanie, przechowywanie, dostosowywanie lub zmienianie, odzyskiwanie, gromadzenie, wykorzystywanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie informacji w inny sposób, dopasowywanie lub łączenie, blokowanie, usuwanie lub niszczenie;
- „Administrator danych” oznacza każdego, kto samodzielnie lub wspólnie z innymi określa cele i sposoby przetwarzania danych osobowych, czyli użytkownika jako klienta korzystającego z Usług Timerise;
- „Podmiot przetwarzający dane” oznacza podmiot, który przetwarza dane osobowe w imieniu administratora danych, którym jest Timerise jako dostawca Usług, z których korzystasz;
- „Podprzetwarzający” oznacza podwykonawcę zaangażowanego przez Timerise. Podprzetwarzający przetwarza dane osobowe w imieniu Administratora zgodnie z jego obowiązkiem świadczenia usług na rzecz Timerise;
- „RODO” oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
- „Siła wyższa” oznacza sytuację pozostającą poza uzasadnioną kontrolą strony dotkniętej, w tym między innymi pożary, powodzie, epidemie, w tym zdarzenia związane ze zwalczaniem zakażenia wirusem SARS-CoV-2 i rozprzestrzenianiem się choroby zakaźnej wywołanej tym wirusem, embargo, wojnę (wypowiedzianą lub niewypowiedzianą), powstania, zamieszki, niepokoje społeczne, strajki, zaniechania lub opóźnienia w działaniu jakiegokolwiek organu administracyjnego.
- POSTANOWIENIA OGÓLNE
- Administrator powierza Timerise przetwarzanie Danych Osobowych i w związku z tym zgadza się przetwarzać Dane Osobowe zgodnie z RODO i niniejszą Umową.
- Powierzone przez Administratora Dane Osobowe obejmują Dane Osobowe osób fizycznych korzystających z Platformy Timerise w związku ze świadczeniem Usług. Dane Osobowe powierzone na podstawie niniejszej Umowy zostały określone w Załączniku nr 1.
- Timerise będzie przetwarzać Dane Osobowe wyłącznie przez okres obowiązywania Umowy Głównej.
- Timerise i Administrator zgadzają się, że nie będzie zautomatyzowanego podejmowania decyzji z wykorzystaniem Danych Osobowych.
- Niniejsza Umowa stanowi udokumentowane polecenie Administratora dotyczące przetwarzania Danych osobowych. Timerise niezwłocznie poinformuje Administratora, jeśli instrukcja stanowi naruszenie RODO, niniejszej Umowy lub innych obowiązujących przepisów dotyczących ochrony danych.
- OŚWIADCZENIA KONTROLERA
- Zawierając niniejszą Umowę Administrator oświadcza, że:
- Dane Osobowe są przetwarzane w związku z działalnością gospodarczą lub statutową Administratora,
- Administrator posiada odpowiednią i ważną podstawę prawną do przetwarzania Danych Osobowych zgodnie z wymogami RODO lub innych obowiązujących przepisów dotyczących ochrony danych,
- nie istnieją żadne przeszkody prawne uniemożliwiające powierzenie Timerise przetwarzania Danych Osobowych zgodnie z niniejszą Umową.
- Administrator jest zobowiązany do niezwłocznego powiadomienia Timerise o wszelkich okolicznościach, które mogą uniemożliwić mu prawidłowe wykonanie niniejszej Umowy.
- Zawierając niniejszą Umowę Administrator oświadcza, że:
- ŚRODKI TECHNICZNE I ORGANIZACYJNE
- Timerise wdroży odpowiednie środki techniczne i organizacyjne, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, aby przetwarzanie odbywało się zgodnie z RODO.
- Timerise dostarczy Administratorowi opis środków technicznych i organizacyjnych, z których korzysta Timerise, w ciągu 10 dni roboczych od żądania Administratora.
- Opis środków technicznych i organizacyjnych stanowi tajemnicę handlową i biznesową Timerise. Administrator jest zobowiązany do zachowania poufności w zakresie środków technicznych i organizacyjnych Timerise.
- Timerise oświadcza, że zezwoli na przetwarzanie Danych Osobowych osobom, które będą działać z upoważnienia Timerise i których dostęp do Danych Osobowych jest niezbędny do świadczenia Usług, oraz będzie prowadzić ewidencję takich osób. Ponadto osoby upoważnione do przetwarzania Danych Osobowych zobowiązują się do zachowania poufności lub są związane odpowiednim ustawowym obowiązkiem zachowania poufności.
- OBOWIĄZEK PROCESORA
- Timerise pomaga Administratorowi, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO, w granicach możliwości Timerise i z uwzględnieniem charakteru przetwarzania Danych Osobowych.
- Timerise pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32-36 RODO, biorąc pod uwagę charakter przetwarzania i informacje dostępne Timerise.
- Timerise jest zobowiązany do niezwłocznego informowania Administratora o wszelkich postępowaniach dotyczących Danych Osobowych prowadzonych przez sądy lub organy administracyjne, decyzjach lub orzeczeniach, a także o wszelkich kontrolach i inspekcjach prowadzonych przez organy nadzorcze w odniesieniu do Danych Osobowych powierzonych na mocy niniejszej Umowy.
- Timerise nie może usuwać ani modyfikować Danych Osobowych bez udokumentowanych instrukcji Administratora.
- AUDYTY
- Timerise zapewni Administratorowi dostęp do wszelkich informacji wymaganych do sprawdzenia, czy obowiązki określone w niniejszej Umowie są przestrzegane przez Timerise, z uwzględnieniem ograniczeń wynikających z tajemnic handlowych i biznesowych Timerise i Podprzetwarzających.
- Jeśli Administrator korzysta z usług strony trzeciej w celu przeprowadzenia audytu, ta strona trzecia nie może być konkurentem Timerise. Ponadto Administrator jest zobowiązany do zobowiązania tej osoby trzeciej do zachowania poufności w odniesieniu do wszystkich informacji o Timerise, które stanowią tajemnicę handlową i biznesową.
- Administrator jest zobowiązany poinformować Timerise o planowanym audycie nie później niż czternaście (14) dni roboczych przed audytem. Zawiadomienie o planowanym audycie powinno zawierać planowany zakres tego audytu.
- Przeprowadzenie audytu nie może stanowić nadmiernego obciążenia dla Timerise. W szczególności audyt nie może być przeprowadzany poza normalnymi godzinami pracy Timerise ani trwać dłużej niż trzy (3) dni robocze.
- Audyt nie będzie przeprowadzany częściej niż raz w roku, chyba że potrzeba dodatkowego audytu wyniknie z naruszenia ochrony danych osobowych przez Timerise.
- W przypadku, gdy audyt polega na udzieleniu informacji związanych z przetwarzaniem Danych Osobowych na żądanie Administratora, Timerise udzieli niezbędnych informacji nie później niż w terminie siedmiu (7) dni roboczych od dnia otrzymania takiego żądania.
- Audyt zostanie udokumentowany protokołem podpisanym przez obie strony. W przypadku stwierdzenia przez Administratora wątpliwości dotyczących przetwarzania Danych Osobowych, Administrator jest uprawniony do wydania zaleceń. Timerise wdroży niezbędne środki zaradcze, jeśli jest to uzasadnione i odnosi się do bezspornych zobowiązań Timerise.
- Kontroler ponosi wszystkie koszty audytu.
- W przypadku naruszenia przez Administratora obowiązków wskazanych w ust. 6, Timerise będzie uprawniony do odmowy zgody na przeprowadzenie audytu, co nie będzie stanowiło naruszenia wykonania niniejszej Umowy, a Administratorowi nie będą przysługiwały z tego tytułu żadne roszczenia.
- WSPÓŁPRACA Z PODPRZETWARZAJĄCYMI
- Timerise otrzymuje ogólne upoważnienie do angażowania Podprzetwarzających do przetwarzania Danych Osobowych powierzonych Timerise na mocy niniejszej Umowy.
- Podprzetwarzający zaangażowani w momencie zawarcia niniejszej Umowy są wymienieni w Załączniku nr 2.
- Timerise ma obowiązek informować Administratora o wszelkich planach dotyczących zaangażowania nowych Podprzetwarzających. Administrator może sprzeciwić się takim zmianom w ciągu pięciu (5) dni roboczych od momentu otrzymania informacji od Timerise.
- Administrator oświadcza, że posiada wiedzę na temat sprzeciwu wobec zmiany Podprzetwarzających: (i) może skutkować niemożnością dalszego świadczenia Usług przez Timerise, o czym Timerise niezwłocznie poinformuje Administratora; (ii) uprawnia Timerise do wypowiedzenia Umowy Głównej i/lub niniejszej Umowy z zachowaniem 14-dniowego okresu wypowiedzenia bez negatywnych skutków prawnych takiego wypowiedzenia. W okresie wypowiedzenia Timerise nie będzie korzystać z Podprzetwarzających, wobec których zgłoszono sprzeciw.
- Timerise zapewni, że Timerise korzysta wyłącznie z takich Podprzetwarzających, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich wymogów RODO i niniejszej Umowy.
- NARUSZENIE OCHRONY DANYCH OSOBOWYCH
- Jeśli Timerise dowie się o naruszeniu ochrony danych osobowych, Timerise ma obowiązek poinformować o tym Administratora w ciągu 48 godzin.
- Powiadomienie powinno zawierać:
- opis charakteru naruszenia ochrony Danych Osobowych, w tym, w miarę możliwości, wskazanie kategorii i przybliżonej liczby osób, których dane dotyczą, oraz kategorii i przybliżonej liczby rekordów Danych Osobowych, których dotyczy naruszenie;
- imię i nazwisko oraz dane kontaktowe osoby, od której można uzyskać dalsze informacje;
- opis możliwych konsekwencji naruszenia ochrony danych osobowych;
- opis środków, które Timerise podjął lub proponuje podjąć w celu naprawienia i zminimalizowania skutków naruszenia ochrony danych osobowych.
- Jeśli i w zakresie, w jakim informacje nie mogą być dostarczone w czasie wskazanym powyżej, mogą być one dostarczane sekwencyjnie bez zbędnej zwłoki.
- Timerise jest zobowiązana do prowadzenia rejestru naruszeń ochrony danych osobowych.
- ZASADY ODPOWIEDZIALNOŚCI STRON
- Odpowiedzialność Timerise za szkody spowodowane przetwarzaniem Danych Osobowych będzie ograniczona do trzech tysięcy (3 000) EUR.
- Żadna ze Stron nie będzie odpowiedzialna wobec drugiej Strony, ani nie zostanie uznana za Stronę, która nie wywiązała się lub nie wywiązała się ze swoich zobowiązań wynikających z niniejszej Umowy z powodu niewykonania lub opóźnienia w wykonaniu jakiegokolwiek zobowiązania wynikającego z niniejszej Umowy, w przypadku gdy takie niewykonanie lub opóźnienie jest spowodowane lub wynika z działania Siły Wyższej, pod warunkiem jednak, że dana Strona podejmie uzasadnione starania w celu uniknięcia lub naprawienia takiego niewykonania lub opóźnienia i będzie kontynuować wykonywanie zobowiązania wynikającego z niniejszej Umowy z należytą dyspozycyjnością, gdy to uczyni. Każda ze Stron niezwłocznie poinformuje drugą Stronę o wszelkich opóźnieniach lub niewykonaniu zobowiązań spowodowanych Siłą Wyższą. Strony dołożą starań, aby rozwiązać problem opóźnienia lub niewykonania umowy w sposób określony powyżej.
- INNE REGULACJE DOTYCZĄCE DANYCH OSOBOWYCH – CCPA
- Jeśli Administrator przetwarza Dane osobowe osób fizycznych, które są rezydentami stanu Kalifornia w USA („Rezydent”) w rozumieniu kalifornijskiej ustawy o ochronie prywatności konsumentów („CCPA”) i przekazuje takie dane Timerise jako Podmiotowi przetwarzającemu na mocy niniejszej Umowy o partnerstwie i Umowy głównej, Administrator musi powiadomić Timerise o tym fakcie przed rozpoczęciem przetwarzania Danych osobowych.
- Timerise nie będzie gromadzić, przechowywać, wykorzystywać ani ujawniać Danych Osobowych Rezydenta, chyba że jest to konieczne do realizacji celu biznesowego Administratora zgodnie z Umową Główną lub CCPA.
- Timerise nie będzie również nikomu sprzedawać danych osobowych rezydentów.
- Timerise nie ponosi odpowiedzialności za naruszenia przepisów CCPA przez Administratora.
- ROZWIĄZANIE NINIEJSZEJ UMOWY
- W przypadku, gdy Timerise naruszy swoje zobowiązania wynikające z niniejszej Umowy i nie naprawi uchybienia w ciągu czternastu (14) dni od powiadomienia Timerise o naruszeniu lub w terminie uzgodnionym między Stronami, Administrator ma prawo rozwiązać niniejszą Umowę ze skutkiem natychmiastowym lub dłuższym okresem wypowiedzenia zgłoszonym przez Administratora.
- Po wygaśnięciu lub rozwiązaniu Umowy Timerise, zgodnie z instrukcjami Administratora, usunie lub zwróci Administratorowi, w sposób akceptowalny dla Administratora, wszystkie dane osobowe i usunie istniejące kopie, chyba że przechowywanie danych osobowych jest wymagane na mocy RODO lub innych obowiązujących przepisów, w ciągu czternastu (14) dni.
- Timerise ma prawo przetwarzać Dane Osobowe w formie zanonimizowanej, ponieważ nie są to już Dane Osobowe w rozumieniu RODO.
- POSTANOWIENIA KOŃCOWE
- Wynagrodzenie należne Timerise na podstawie Umowy Głównej obejmuje również wykonanie zobowiązań Timerise wynikających z niniejszej Umowy.
- Niniejsza Umowa wejdzie w życie z dniem zawarcia Umowy Głównej stanowiącej jej integralną część.
- Wszelkie zmiany niniejszej Umowy wymagają formy co najmniej elektronicznej, pod rygorem nieważności.
- Załączniki do niniejszej Umowy stanowią jej integralną część:
- Załącznik nr 1 – lista Danych Osobowych, które są nam powierzane na mocy niniejszej Umowy,
- Załącznik nr 2 – lista Podprzetwarzających.
- Administrator oświadcza i gwarantuje, że osoba działająca w imieniu Administratora, w tym osoba, która zawarła niniejszą Umowę, jest osobą upoważnioną do reprezentowania Administratora i zawarcia niniejszej Umowy.
- Jeśli jakiekolwiek postanowienie niniejszej Umowy jest nieważne lub nieskuteczne, pozostała część postanowień niniejszej Umowy będzie wiążąca i skuteczna pomimo tego faktu.
- Niniejsza Umowa podlega prawu polskiemu, jak również polskie sądy będą rozstrzygać wszelkie spory z niej wynikające.
- Strony zobowiązują się do polubownego rozstrzygania wszelkich sporów w terminie 30 dni. W przypadku braku możliwości polubownego rozstrzygnięcia sporu, właściwym do rozpoznania sprawy będzie sąd powszechny właściwy dla siedziby Timerise.