UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

stanowiąca integralną część Regulaminu Świadczenia Usług (Umowy Głównej)

pomiędzy:

Klientem (zwanym dalej „Administratorem” lub „Podmiotem Powierzającym”), którego dane zostały wskazane podczas procesu Rejestracji w Systemie,

a

Adamem Gibułą prowadzącym działalność gospodarczą pod firmą Adam Gibuła, wpisanym do Centralnej Ewidencji i Informacji o Działalności Gospodarczej, NIP: 6431784239, REGON: 540505621, z siedzibą przy ul. Jana III Sobieskiego 27/12, 40-082 Katowice (zwanym dalej „Usługodawcą” lub „Podmiotem Przetwarzającym”).

Zwanymi łącznie „Stronami”, a każda z osobna także „Stroną”.

Strony zawierają niniejszą Umowę Powierzenia przetwarzania danych osobowych w związku z Umową Główną, na podstawie której Podmiot Przetwarzający świadczy dla Podmiotu Powierzającego w zakresie i na warunkach ustalonych w Umowie Głównej usługi, które są związane z przetwarzaniem Danych Osobowych przez Usługodawcę jako Podmiotu Przetwarzającego.

§ 1 Definicje

Pojęcia pisane wielką literą mają znaczenia nadane im w Umowie Głównej (Regulaminie Świadczenia Usług). Dodatkowo Umowa Powierzenia przewiduje następujące pojęcia:

• 1.Dni Robocze – dni od poniedziałku do piątku, poza dniami ustawowo wolnymi od pracy.
• 2.Naruszenie – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych Osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
• 3.Podmiot Powierzający – podmiot, który powierza przetwarzanie Danych Osobowych Podmiotowi Przetwarzającemu. Taką rolę w Umowie Powierzenia pełni Klient.
• 4.Podmiot Przetwarzający – podmiot, który przetwarza Dane Osobowe powierzone przez Podmiot Powierzający. Taką rolę w Umowie Powierzenia pełni Usługodawca.
• 5.Podpowierzenie – dalsze powierzenie przetwarzania Danych Osobowych przez Podmiot Przetwarzający.
• 6.RODO – Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

§ 2 Przedmiot Umowy

• 1.Klient i Usługodawca zawierają niniejszą Umowę Powierzenia w związku z realizacją Umowy Głównej, na podstawie której Usługodawca świadczy dla Klienta w zakresie i na warunkach ustalonych w Umowie Głównej Usługi, które są związane z przetwarzaniem Danych Osobowych przez Usługodawcę jako Podmiotu Przetwarzającego.
• 2.Klient (Podmiot Powierzający) powierza Podmiotowi Przetwarzającemu do przetwarzania Dane Osobowe określone w Załączniku nr 1 do Umowy Powierzenia, na zasadach określonych w Umowie Powierzenia jako Podmiot Powierzający.
• 3.Z tytułu wykonywania świadczeń określonych w Umowie Powierzenia Usługodawcy nie przysługuje dodatkowe wynagrodzenie ponad to, które zostało określone w Umowie Głównej.
• 4.Zakres powierzenia może zostać w każdym momencie zmieniony, rozszerzony lub ograniczony przez Klienta, co nastąpi poprzez przesłanie Usługodawcy w formie pisemnej nowej wersji Załącznika nr 1, przy czym każdorazowa modyfikacja Danych Osobowych wskazanych na liście nie wymaga formy aneksu do niniejszej Umowy, a jedynie pisemnego oświadczenia Klienta złożonego Usługodawcy z dokładnym wskazaniem rodzaju Danych Osobowych, jakie dodatkowo są wprowadzane. W razie ograniczenia zakresu powierzenia Klient zobowiązuje się usunąć Dane Osobowe, które nie będą zawierać się w zakresie powierzenia.
• 5.Powierzenie przetwarzania Danych Osobowych następuje na czas realizacji Umowy Głównej.

§ 3 Cel i charakter przetwarzania

• 1.Dane Osobowe przetwarzane są w celu realizacji Umowy Głównej (w tym obsługi systemu CRM, wysyłki powiadomień SMS oraz korzystania z funkcji AI).
• 2.Przetwarzanie powierzonych Danych Osobowych ma charakter ciągły i następuje wyłącznie w formie elektronicznej za pomocą systemów informatycznych Usługodawcy określonych w Umowie Głównej. Przetwarzanie powierzonych Danych Osobowych obejmuje następujące czynności przetwarzania: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

§ 4 Polecenie przetwarzania

Poprzez zawarcie Umowy Powierzenia Klient poleca przetwarzanie Danych Osobowych Usługodawcy, a także każdej osobie działającej z upoważnienia Usługodawcy mającej dostęp do Danych Osobowych, co stanowi udokumentowane polecenie w rozumieniu art. 28 ust. 3 lit. a w zw. z art. 29 RODO.

§ 5 Oświadczenia Stron

• 1.Usługodawca działa zgodnie z obowiązkami wynikającymi z RODO oraz powszechnie obowiązujących przepisów prawa polskiego.
• 2.Klient oświadcza, że jest uprawniony do powierzenia przetwarzania Danych Osobowych.
• 3.Klient powierza do przetwarzania Dane Osobowe, dla których jest administratorem lub które przetwarza w imieniu innego, lub innych administratorów, i gwarantuje, że są przez niego przetwarzane zgodnie z prawem.
• 4.Klient zobowiązuje się do przestrzegania Umowy Powierzenia oraz właściwych przepisów prawa mających zastosowanie do przetwarzania Danych Osobowych, w szczególności zobowiązuje się do przestrzegania obowiązków administratora wynikających z RODO.
• 5.W przypadku, gdy Klient powierza do przetwarzania Dane Osobowe, które przetwarza w imieniu innego lub innych administratorów, poinformuje Usługodawcę o tych podmiotach w terminie 7 dni od zawarcia Umowy Powierzenia w formie pisemnej lub poprzez odpowiednią funkcjonalność w Systemie.
• 6.Klient jest uprawniony do nadawania upoważnień i wydawania poleceń w rozumieniu art. 29 RODO w stosunku do Usługodawcy jak również do nadania uprawnienia, o którym mowa w ust. 7 poniżej.
• 7.Klient uprawnia Usługodawcę do nadawania upoważnień i wydawania poleceń w rozumieniu art. 29 RODO w stosunku do dalszych podmiotów przetwarzających.
• 8.Upoważnienia i polecenia powinny być przesyłane do Usługodawcy przez Klienta w formie pisemnej. Termin realizacji każdego polecenia powinien być uzgodniony przez Klienta i Usługodawcę. Polecenie, które dotyczy zmiany zakresu lub sposobu świadczenia Usług, środków technicznych i organizacyjnych stosowanych przez Usługodawcę lub wykonania dodatkowej usługi jest traktowane jak zlecenie Usługodawcy dodatkowej usługi, za której wykonanie Usługodawca może zażądać dodatkowego wynagrodzenia.
• 9.Usługodawca poinformuje Podmiot Powierzający, jeżeli jego polecenie przekazane mu zgodnie z §5 ust. 6 wyżej uznać należy za niezgodne z RODO lub innymi przepisami o ochronie danych osobowych.

§ 6 Obowiązki Stron

• 1.Usługodawca oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
• 2.Usługodawca zobowiązany jest:
• 3.przetwarzać Dane Osobowe zgodnie z RODO, innymi powszechnie obowiązującymi przepisami, Umową Powierzenia oraz poleceniami Klienta,
• 4.przetwarzać Dane Osobowe wyłącznie na udokumentowane polecenie Klienta, także przy przekazywaniu do państwa trzeciego lub organizacji międzynarodowej (z zastrzeżeniem § 11 ust. 7), chyba że obowiązek wynika z przepisów prawa; w takim przypadku Usługodawca informuje Klienta przed rozpoczęciem przetwarzania, o ile prawo nie zakazuje z uwagi na ważny interes publiczny,
• 5.dopuszczać do przetwarzania Danych Osobowych wyłącznie osoby upoważnione,
• 6.dopuszczać do przetwarzania Danych Osobowych wyłącznie osoby, które zobowiązały się do zachowania tajemnicy lub podlegają ustawowemu obowiązkowi zachowania tajemnicy,
• 7.zapewniać, by każda osoba działająca z upoważnienia Usługodawcy i mająca dostęp do Danych Osobowych przetwarzała je wyłącznie na polecenie Klienta, chyba że wymagają tego przepisy prawa unijnego lub polskiego,
• 8.podejmować środki wymagane zgodnie z art. 32 RODO,
• 9.przestrzegać warunków korzystania z usług dalszych podmiotów przetwarzających wskazanych w ust. 8–11,
• 10.w razie potrzeby i na żądanie Klienta, w rozsądnych granicach, pomagać Klientowi odpowiadać na żądania osób, których dane dotyczą (rozdz. III RODO),
• 11.niezwłocznie, jednak nie później niż w terminie 2 Dni Roboczych, informować Klienta drogą elektroniczną na adres e-mail wskazany podczas rejestracji Konta, o otrzymaniu żądania z rozdz. III RODO oraz udostępniać treść korespondencji; Usługodawca nie jest uprawniony do samodzielnego udzielania informacji osobie w związku z żądaniem,
• 12.w razie potrzeby i na żądanie Klienta, w rozsądnych granicach, pomagać Klientowi wywiązać się z obowiązków z art. 32–36 RODO, w tym stosować środki zaradcze i minimalizujące skutki Naruszeń,
• 13.udostępniać Klientowi, w rozsądnych granicach, informacje niezbędne do wykazania spełnienia obowiązków wynikających z RODO, innych przepisów oraz Umowy Powierzenia.
• 14.Po stwierdzeniu Naruszenia ochrony Danych Osobowych Usługodawca bez zbędnej zwłoki, jednak nie później niż w terminie 48 godzin od stwierdzenia Naruszenia, zgłasza je Klientowi. Zgłoszenie jest wysyłane na adres e-mail Klienta podany przy Rejestracji, wg wzoru z Załącznika nr 2.
• 15.Jeśli informacji w zgłoszeniu, o którym mowa w ust. 3, nie da się udzielić jednocześnie, Usługodawca udziela ich sukcesywnie bez zbędnej zwłoki.
• 16.Usługodawca dokumentuje wszelkie Naruszenia, w tym okoliczności, skutki i działania zaradcze.
• 17.Usługodawca nie jest uprawniony do przekazywania informacji o Naruszeniu innym podmiotom, w szczególności osobom, których dane dotyczą, lub organowi nadzorczemu, chyba że obowiązek taki wynika wprost z przepisów prawa.
• 18.Usługodawca może korzystać wyłącznie z usług takich dalszych podmiotów przetwarzających, które zapewniają wystarczające gwarancje zgodności z RODO i ochrony praw osób, których dane dotyczą.
• 19.Usługodawca jest uprawniony do Podpowierzenia na rzecz podmiotów wskazanych w Załączniku nr 3 do Umowy Powierzenia.
• 20.Usługodawca informuje Klienta o zamierzonych zmianach (dodanie/zastąpienie) w Załączniku nr 3 nie później niż 7 dni przed planowanym wprowadzeniem, poprzez komunikat w Systemie lub wiadomość na adres e-mail podany przy Rejestracji; Klient może wnieść pisemny sprzeciw wraz z uzasadnieniem. Sprzeciw oznacza brak zgody; Stronom przysługuje prawo rozwiązania Umowy Powierzenia oraz Umowy Głównej.
• 21.Jeżeli Usługodawca dokona Podpowierzenia, zapewnia, że dalszy podmiot przetwarzający wypełnia te same obowiązki ochrony Danych Osobowych, jakie nałożono na Usługodawcę niniejszą Umową Powierzenia.

§ 7 Prawo kontroli

• 1.Usługodawca umożliwia Klientowi lub upoważnionemu przez Klienta audytorowi przeprowadzenie audytów, w tym inspekcji i przyczynia się do nich z zastrzeżeniem następujących warunków:
• 2.audytorem Klienta nie może być podmiot prowadzący działalność konkurencyjną wobec Usługodawcy,
• 3.audyt nie może naruszać tajemnicy przedsiębiorstwa Usługodawcy ani bezpieczeństwa danych innych klientów,
• 4.audyt nie powinien być przeprowadzany częściej niż raz w roku kalendarzowym i nie powinien trwać dłużej niż 14 dni,
• 5.termin audytu powinien być uzgodniony przez Strony, przy czym Klient powinien zgłosić zamiar przeprowadzenia audytu co najmniej 30 dni przed jego proponowanym terminem.
• 6.Usługodawca niezwłocznie informuje Klienta, jeśli wydane Usługodawcy polecenie w oparciu o ust. 1 powyżej stanowi naruszenie RODO lub innych powszechnie obowiązujących przepisów.

§ 8 Odpowiedzialność

• 1.Klient odpowiada na podstawie przepisów Kodeksu cywilnego za prawidłowe wykonywanie obowiązków Administratora zgodnie z RODO.
• 2.Usługodawca odpowiada na podstawie przepisów Kodeksu cywilnego za prawidłowe wykonywanie obowiązków Podmiotu Przetwarzającego zgodnie z RODO i niniejszą Umową Powierzenia.
• 3.Umowa Powierzenia stanowi integralną część Umowy Głównej i jej naruszenie stanowi naruszenie Umowy Głównej. Odpowiedzialność każdej ze stron wobec drugiej strony Umowy Powierzenia podlega ograniczeniu lub wyłączeniu zgodnie z postanowieniami Umowy Głównej (Regulaminu), w zakresie dozwolonym przepisami prawa.
• 4.Usługodawca odpowiada za szkody spowodowane przetwarzaniem Danych Osobowych w sposób naruszający przepisy RODO, inne powszechnie obowiązujące przepisy lub postanowienia Umowy Powierzenia, jeśli nie dopełnił obowiązków nałożonych na niego przez przepisy RODO lub gdy działał poza zgodnymi z prawem poleceniami Klienta.

§ 9 Czas trwania i wypowiedzenie Umowy

• 1.Umowa Powierzenia zostaje zawarta na czas obowiązywania Umowy Głównej. Rozwiązanie Umowy Głównej skutkuje rozwiązaniem Umowy Powierzenia.
• 2.Po zakończeniu współpracy na podstawie Umowy Głównej, Usługodawca zgodnie z warunkami określonymi w Regulaminie usunie lub zwróci Klientowi Dane Osobowe Klienta.
• 3.Po upływie terminu na zwrot danych, Usługodawca usuwa Dane Osobowe Klienta oraz ich kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazuje przechowywanie danych.

§ 10 Dane kontaktowe Stron

• 1.W sprawach związanych z realizacją Umowy Powierzenia Usługodawca będzie kontaktował się z Klientem z wykorzystaniem danych kontaktowych Klienta podanych w trakcie Rejestracji.
• 2.Doręczenia i zawiadomienia dokonywane są drogą elektroniczną na adresy e-mail Stron, chyba że przepisy wymagają formy pisemnej.

§ 11 Postanowienia końcowe

• 1.Umowa Powierzenia i Umowa Główna regulują w sposób całkowity uzgodnione przez Strony warunki przetwarzania Danych Osobowych. W przypadku rozbieżności pierwszeństwo mają postanowienia Umowy Powierzenia.
• 2.Umowa Powierzenia podlega prawu polskiemu.
• 3.Załączniki stanowią integralną część Umowy Powierzenia.
• 4.W sprawach nieuregulowanych zastosowanie mają właściwe przepisy prawa polskiego oraz RODO.
• 5.Sądem właściwym dla rozstrzygania sporów jest sąd właściwy dla siedziby Usługodawcy.
• 6.Przeniesienie praw i obowiązków wynikających z niniejszej Umowy Powierzenia jest dopuszczalne wyłącznie w przypadku przeniesienia praw i obowiązków wynikających z Umowy Głównej.
• 7.Usługodawca może przekazywać Dane Osobowe do państwa trzeciego (poza EOG) wyłącznie w przypadku, gdy korzysta z podwykonawców wymienionych w Załączniku nr 3, którzy posiadają siedzibę lub infrastrukturę w takim państwie (np. USA). W takim przypadku transfer odbywa się w oparciu o Standardowe Klauzule Umowne (SCC) lub ramy ochrony danych (np. Data Privacy Framework), co Klient akceptuje.
• 8.Umowa Powierzenia ma formę dokumentową i jest dostępna w Systemie.

--------------------------------------------------------------------------------

Załącznik nr 1 Przedmiot przetwarzania

• 1.Kategorie osób, których dane dotyczą:
• •klienci Podmiotu powierzającego (w tym osoby otrzymujące powiadomienia SMS)
• •pracownicy i współpracownicy Podmiotu powierzającego (Użytkownicy)
• 2.Rodzaj Danych Osobowych objętych Umową Powierzenia:
• •dane identyfikacyjne (imię, nazwisko, adres e-mail, nr telefonu, login)
• •dane adresowe (ulica, numer domu, miasto, kod pocztowy, województwo)
• •dane transakcyjne (preferencje nieruchomościowe, oferty, statusy sprzedaży)
• •dane marketingowe (zgody)
• •historia komunikacji
• •historia logowania i dane techniczne

--------------------------------------------------------------------------------

Załącznik nr 2 Wzór zgłoszenia Naruszenia ochrony danych osobowych

Zgłoszenie naruszenia ochrony danych osobowych nr ……….. Data zgłoszenia: ……………………..

• 1.Charakter Naruszenia
• 2.Data i czas trwania Naruszenia
• 3.Kategorie osób i danych, których dotyczy Naruszenie
• 4.Przybliżona liczba osób/wpisów
• 5.Opis możliwych konsekwencji Naruszenia
• 6.Opis środków zastosowanych w celu zaradzenia Naruszeniu i minimalizacji skutków

--------------------------------------------------------------------------------

Załącznik nr 3 Lista podmiotów, którym Podmiot przetwarzający Podpowierza przetwarzanie Danych Osobowych

Lp.

Nazwa podmiotu

Siedziba i adres podmiotu

Rola

• 1.| Vercel Inc. | 440 N Barranca Ave #4133, Covina, CA 91723, USA | Hosting aplikacji i deployment
• 2.| Supabase Inc. | 970 Steward Dr, Suite 82, Sunnyvale, CA 94085, USA | Dostawca bazy danych
• 3.| App World sp. z o.o. | ul. Czerniawska 2A / 27, 50-576 Wrocław (NIP: 8961558061) | Dostawca bramki SMS (marka SMSPlanet)
• 4.| OpenAI Ireland Ltd | 1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, Irlandia | Usługi sztucznej inteligencji (AI)

Zastrzeżenia wymaga, że będzie dochodziło do dalszego powierzenia danych powierzonych do OpenAI Ireland Ltd tylko wtedy, gdy Podmiot Powierzający będzie korzystał z dodatkowych usług wspieranych przez AI.