Postanowienia ogólne
Niniejsza umowa powierzenia przetwarzania danych osobowych (zwana dalej "Umową") stanowi integralną część Regulaminu świadczenia usług Foto.Guru.Przez akceptację niniejszej Umowy, użytkownik (zwany dalej "Administratorem") powierza Foto.Guru (Yak Consulting sp. z o.o. z siedzibą w Żórawinie, ul. Brzoskwiniowa 26, KRS 0001182122, REGON 542155680, NIP 8961654267), zwanemu dalej "Podmiotem przetwarzającym", przetwarzanie danych osobowych w zakresie i na zasadach określonych poniżej.
§ 1. Przedmiot Umowy
- Administrator powierza Podmiotowi przetwarzającemu dane osobowe do przetwarzania w trybie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej "RODO".
- Podmiot przetwarzający zobowiązuje się przetwarzać powierzone dane osobowe zgodnie z niniejszą Umową, RODO oraz innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
§ 2. Zakres i cel przetwarzania danych
- Podmiot przetwarzający będzie przetwarzał powierzone dane osobowe wyłącznie w zakresie niezbędnym do realizacji usług świadczonych w ramach systemu Foto.Guru, obejmujące:
- dane identyfikacyjne klientów
- dane kontaktowe klientów
- dane zamówień
- pliki związane z zamówieniami
- Przetwarzanie danych osobowych będzie dotyczyć następujących kategorii osób:
- klienci Administratora
- pracownicy i współpracownicy Administratora
- Celem przetwarzania danych osobowych jest:
- świadczenie usług fotograficznych poprzez system Foto.Guru
- realizacja zamówień
- obsługa klientów
- archiwizacja danych zgodnie z określonymi okresami retencji
- Okresy przechowywania danych:
- pliki zamówień: 14 dni od realizacji zamówienia
- dane klientów: 30 dni od pozyskania
- dane zamówień: 6 miesięcy od realizacji
§ 3. Obowiązki Podmiotu przetwarzającego
- Podmiot przetwarzający zobowiązuje się:
- przetwarzać powierzone dane wyłącznie na udokumentowane polecenie Administratora
- zapewnić, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy
- podejmować wszelkie środki wymagane na mocy art. 32 RODO
- przestrzegać warunków korzystania z usług innego podmiotu przetwarzającego
- pomagać Administratorowi w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą
- pomagać Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO
- Podmiot przetwarzający stosuje środki bezpieczeństwa na poziomie wysokim, w tym:
- szyfrowanie danych
- zapewnienie poufności, integralności i dostępności danych
- regularne testowanie i ocenianie skuteczności środków technicznych
- regularne tworzenie kopii zapasowych
§ 4. Zasady zachowania poufności
- Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów.
- Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora.
§ 5. Dalsze powierzenie danych do przetwarzania
- Podmiot przetwarzający może powierzyć dane osobowe do dalszego przetwarzania podwykonawcom jedynie w celu wykonania umowy po uzyskaniu uprzedniej pisemnej zgody Administratora.
- Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora, chyba że obowiązek taki nakłada na Podmiot przetwarzający prawo Unii lub prawo państwa członkowskiego.
§ 6. Odpowiedzialność
- Podmiot przetwarzający odpowiada za szkody spowodowane swoim działaniem w związku z niedopełnieniem obowiązków, które RODO nakłada bezpośrednio na podmiot przetwarzający.
- Podmiot przetwarzający odpowiada za szkody spowodowane niezastosowaniem właściwych środków bezpieczeństwa.
§ 7. Prawo kontroli
- Administrator ma prawo kontroli, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy.
- Administrator realizować będzie prawo kontroli w godzinach pracy Podmiotu przetwarzającego z minimum 7-dniowym uprzedzeniem.
§ 8. Czas obowiązywania umowy
- Niniejsza umowa obowiązuje od momentu jej akceptacji przez Administratora.
- Umowa przestaje obowiązywać z chwilą usunięcia konta Administratora z systemu Foto.Guru.
§ 9. Postanowienia końcowe
- W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego oraz RODO.
- Sądem właściwym dla rozpatrzenia sporów jest sąd właściwy dla siedziby Podmiotu przetwarzającego.
- Wszelkie zmiany niniejszej umowy wymagają formy pisemnej pod rygorem nieważności.