Umowa powierzenia przetwarzania danych

Zawarta pomiędzy:

Harmony Inc. z siedzibą w Stanach Zjednoczonych, Delaware, 8 The Green, Ste. R., w mieście Dover, hrabstwo Kent, kod pocztowy 19901, reprezentowaną przez Grzegorza Kazulaka

zwana dalej „Podmiotem przetwarzającym”

oraz

Spółka, każdy klient Harmony, Inc.

zwana dalej „Administratorem”

zwane dalej łącznie „Stronami”.

§1. Definicje

Pojęcia użyte w niniejszej Umowie mają następujące znaczenia:

1. Harmony – platforma umożliwiająca transkrypcję rozmów (z formatów audio i wideo) oraz ujednolicanie i analizę rozmów na różnych platformach komunikacyjnych, dostępna pod adresem: Harmony

2. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L Nr 119, s. 1);

3. Umowa – niniejsza umowa powierzenia przetwarzania danych;

4. Umowa Główna – umowa między Administratorem, który jest użytkownikiem Harmony, a Podmiotem przetwarzającym;

5. Wrażliwe dane osobowe – mają znaczenie przypisane terminom „dane wrażliwe”, „informacje wrażliwe”, „szczególne kategorie danych osobowych” lub podobnym terminom na mocy obowiązujących przepisów o ochronie danych i obejmują dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne lub biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia lub dane dotyczące życia seksualnego lub orientacji seksualnej osoby fizycznej.

§2. Przedmiot Umowy

Na mocy niniejszej Umowy Administrator powierza Podmiotowi przetwarzającemu, zgodnie z art. 28 ust. 3 RODO, przetwarzanie danych osobowych w zakresie określonym w §3.

§3. Zakres powierzenia

1. Przedmiotem powierzenia na mocy Umowy są wszelkie dane osobowe, które Podmiot przetwarzający będzie przetwarzał w imieniu Administratora w związku z wykonywaniem Umowy Głównej, przy czym Administrator jest administratorem lub podmiotem przetwarzającym te dane w rozumieniu RODO.

2. Dane, o których mowa w ust. 1, obejmują w szczególności dane zwykłe – tj. dane osobowe pracowników, współpracowników Administratora oraz osób upoważnionych przez Administratora do korzystania z Harmony i klientów końcowych – wszelkich osób, które kontaktują się lub są kontaktowane przez Administratora za pomocą usług, lub których dane osobowe są w inny sposób przetwarzane przez Administratora za pośrednictwem usług, w ramach Umowy Głównej, takie jak:

a) Dane identyfikacyjne: obejmują imię, nazwisko, drugie imię lub patronimik, zwrot grzecznościowy;

b) Dane kontaktowe: obejmują adres e-mail, numer telefonu;

c) Dane finansowe: obejmują informacje o transakcjach finansowych, takie jak dane rachunku bankowego, informacje o karcie kredytowej i historia płatności;

d) Dane biometryczne: obejmują nagrania głosowe;

e) Dane techniczne: obejmują informacje zbierane w sposób zautomatyzowany, takie jak adresy IP, informacje o urządzeniu, historia przeglądania i pliki cookie;

f) Dane dotyczące zatrudnienia: obejmują stanowisko i informacje o pracodawcy;

g) Dane dotyczące zdrowia: obejmują dane osobowe dotyczące zdrowia fizycznego lub psychicznego osoby – w tym korzystania z usług opieki zdrowotnej – ujawniające informacje o jej stanie zdrowia;

h) Preferencje osobiste: obejmują preferencje osobiste, zainteresowania i cechy, takie jak preferencje językowe i marketingowe;

i) oraz inne dane wynikające ze specyfiki usług świadczonych przez Podmiot przetwarzający, z których Administrator korzysta na mocy Umowy Głównej.

3. Podmiot przetwarzający będzie przetwarzał wszystkie kategorie danych osobowych, które Administrator przekaże do Harmony. Ponieważ gromadzenie danych osobowych na naszych serwerach odbywa się automatycznie podczas korzystania z usługi, Podmiot przetwarzający nie ma kontroli w czasie rzeczywistym nad sposobem kategoryzacji takich danych osobowych przez Administratora.

4. Administrator nie będzie przekazywał Podmiotowi przetwarzającemu Wrażliwych danych osobowych bez uprzedniej pisemnej zgody Podmiotu przetwarzającego lub na podstawie Umowy Głównej.

§4. Określenie celu, charakteru i czasu trwania powierzenia przetwarzania danych

1. Przetwarzanie danych osobowych na mocy Umowy jest powierzone za zgodą i na podstawie udokumentowanych poleceń Administratora (o których mowa w art. 28 ust. 3 lit. a) RODO i art. 29 RODO), w celu korzystania przez Administratora z usług Podmiotu przetwarzającego na mocy Umowy Głównej, w szczególności: korzystania z Harmony, obsługi żądań i reklamacji związanych z korzystaniem z Harmony.

2. Zawarcie Umowy Głównej i Umowy, a także wybór usług Podmiotu przetwarzającego przez Administratora w ramach Umowy Głównej, jest uznawane przez Strony za udokumentowane polecenie, o którym mowa w ust. 1.

3. Dane powierzone przez Administratora będą przetwarzane przez Podmiot przetwarzający w czasie trwania Umowy Głównej w sposób stały lub okazjonalny, w zależności od charakteru danej czynności lub usługi wykonywanej na mocy Umowy Głównej.

4. W terminie trzech miesięcy od dnia rozwiązania Umowy lub otrzymania udokumentowanego żądania usunięcia danych osobowych od Administratora, Podmiot przetwarzający:

a) usunie powierzone mu dane ze wszystkich nośników pamięci, programów i aplikacji, w tym wszelkie ich kopie, lub

b) nieodwracalnie zanonimizuje dane objęte żądaniem usunięcia,

chyba że obowiązek dalszego przetwarzania wynika z przepisów prawa.

§5. Prawa i obowiązki Stron

1. Administrator zapewnia, że wszelkie dane osobowe powierzone Podmiotowi przetwarzającemu na mocy Umowy będą przetwarzane przez Administratora:

a) na jednej z odpowiednich podstaw prawnych określonych w art. 6 ust. 1 RODO, lub

b) w imieniu innego administratora, przy czym Administrator zapewnia wówczas Podmiot przetwarzający, że:

1) dane będą przetwarzane przez ich administratora na jednej z odpowiednich podstaw prawnych określonych w art. 6 ust. 1 RODO;

2) jest upoważniony do podpowierzenia (dalszego powierzenia) przetwarzania takich danych osobowych.

2. Podmiot przetwarzający zobowiązuje się:

a) na podstawie art. 28 ust. 3 lit. e) RODO, do współpracy z Administratorem, w miarę możliwości, za pomocą odpowiednich środków technicznych i organizacyjnych, w odpowiadaniu na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w Rozdziale III RODO, w szczególności dotyczących informacji i przejrzystej komunikacji, dostępu do danych, obowiązku informacyjnego, prawa do sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych oraz prawa do sprzeciwu; Podmiotowi przetwarzającemu przysługuje dodatkowe wynagrodzenie w przypadku takiej współpracy z Administratorem;

b) zgodnie z art. 28 ust. 3 lit. f) RODO, do wspierania Administratora w wypełnianiu obowiązków określonych w art. 32-36 RODO, w szczególności obowiązku zapewnienia bezpieczeństwa przetwarzania, zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, powiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, przeprowadzenia oceny skutków dla ochrony danych osobowych;

c) na podstawie art. 28 ust. 3 lit. g) RODO, po zakończeniu świadczenia usług przetwarzania, w zależności od decyzji Administratora, do usunięcia lub zwrotu Administratorowi wszystkich danych osobowych i usunięcia wszelkich ich istniejących kopii, chyba że bezwzględnie obowiązujące przepisy prawa wymagają przechowywania danych osobowych, w którym to przypadku zastosowanie ma §4 ust. 4 Umowy;

d) zgodnie z art. 28 ust. 3 lit. h) RODO, do udostępnienia Administratorowi wszelkich informacji niezbędnych do wykazania zgodności z obowiązkami określonymi w art. 28 RODO oraz do umożliwienia Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzenia audytów, w tym inspekcji, i przyczyniania się do nich;

e) do niezwłocznego poinformowania Administratora, jeżeli w opinii Podmiotu przetwarzającego wydane mu polecenie stanowi naruszenie RODO lub innych krajowych lub unijnych przepisów;

f) do zapewnienia, że wszyscy podmioty przetwarzające, z których usług będzie korzystał Podmiot przetwarzający, będą zobowiązani do przestrzegania tych samych obowiązków w zakresie ochrony danych, co Podmiot przetwarzający na mocy Umowy.

3. Prawo do audytów, o którym mowa w ust. 2.4, może być wykonywane w godzinach pracy Podmiotu przetwarzającego, tj. od poniedziałku do piątku, od godziny 9:00 do 17:00, z wyłączeniem dni ustawowo wolnych od pracy, z co najmniej dwutygodniowym wyprzedzeniem i nie może zakłócać pracy Podmiotu przetwarzającego. Podczas audytu Podmiot przetwarzający udostępni Administratorowi informacje niezbędne do wykazania zgodności z obowiązkami określonymi w art. 28 RODO. Audyty nie mogą być przeprowadzane częściej niż raz w roku kalendarzowym i nie mogą trwać dłużej niż 3 dni robocze. Wszelkie koszty związane z przeprowadzeniem tych audytów ponosi Administrator.

4. W przypadku stwierdzenia nieprawidłowości podczas audytów Podmiot przetwarzający zobowiązuje się do ich usunięcia w terminie uzgodnionym przez Strony.

5. Podmiot przetwarzający jest upoważniony do przetwarzania i powierzania przetwarzania danych osobowych objętych Umową do dalszego przetwarzania podmiotom zewnętrznym, poza Europejskim Obszarem Gospodarczym (EOG):

a) Administrator wyrazi zgodę drogą e-mailową na powierzenie danych do przetwarzania innym podmiotom poza EOG;

b) w przypadku gdy Podmiot przetwarzający jest zobowiązany do przekazania danych osobowych na mocy powszechnie obowiązujących przepisów prawa, Podmiot przetwarzający poinformuje Administratora o takim obowiązku przed przekazaniem, chyba że prawo wyraźnie zabrania Podmiotowi przetwarzającemu tego ze względu na ważny interes publiczny.

6. W związku z tym, że Podmiot przetwarzający przekazuje dane osobowe poza EOG, Podmiot przetwarzający będzie przestrzegał szczegółowych wymogów określonych w Rozdziale V Rozporządzenia „Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych” i w szczególności zapewni, że przekazywanie danych osobowych odbywa się na podstawie odpowiednich mechanizmów prawnych, w szczególności decyzji wykonawczych Komisji, standardowych klauzul umownych lub innych podobnych instrumentów prawnych przewidzianych w RODO. Wykaz stosowanych standardowych klauzul stanowi Załącznik 1 do Umowy.

7. Administrator zobowiązuje się, zgodnie z art. 13 ust. 1 lit. f) RODO lub art. 14 ust. 1 lit. f) RODO, do poinformowania osób, których dane zamierza powierzyć Podmiotowi przetwarzającemu, o zamiarze przekazania ich danych osobowych poza EOG.

8. Zgodnie z art. 27 ust. 1 RODO Administrator wyznaczył przedstawiciela w EOG: Agnieszkę Pilarską ([email protected], Reja 12/26, 31-216, Kraków). Przedstawiciel jest upoważniony przez Podmiot przetwarzający do kontaktu – oprócz lub zamiast Podmiotu przetwarzającego – w szczególności przez organy nadzorcze i osoby, których dane dotyczą, we wszelkich sprawach związanych z przetwarzaniem, w celu zapewnienia zgodności z RODO.

§6. Zgłaszanie incydentów

1. Podmiot przetwarzający zobowiązuje się, po wykryciu naruszenia ochrony danych osobowych, do zgłoszenia tego Administratorowi bez zbędnej zwłoki.

2. Informacje przekazane Administratorowi powinny obejmować co najmniej:

a) opis charakteru naruszenia i, o ile to możliwe, wskazanie kategorii i przybliżonej liczby osób, których dane zostały naruszone, a także ilość/rodzaj danych, których dotyczy naruszenie;

b) opis możliwych konsekwencji naruszenia;

c) opis środków zastosowanych lub proponowanych do zastosowania przez Podmiot przetwarzający w celu zaradzenia naruszeniu, w tym minimalizacji jego negatywnych skutków.

§7. Korzystanie z podprzetwarzających

1. Administrator wyraża zgodę, tj. udziela ogólnej zgody, o której mowa w art. 28 ust. 2 RODO, na korzystanie przez Podmiot przetwarzający z innych podmiotów przetwarzających (tj. podprzetwarzających).

2. Podmiot przetwarzający zobowiązuje się do informowania Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia podprzetwarzających, dając tym samym Administratorowi możliwość wniesienia sprzeciwu wobec takich zmian. Podmiot przetwarzający przekaże informację o zmianie za pomocą wiadomości przesłanej do Administratora pocztą elektroniczną (e-mail).

3. Administrator zobowiązuje się wyrażać sprzeciw, o którym mowa w ust. 2, pod rygorem nieważności, na piśmie lub w formie dokumentowej w terminie 7 dni od daty otrzymania informacji o ww. zmianach i podając ich uzasadnienie. Strony uzgadniają, że brak sprzeciwu w tym terminie będzie uważany za zgodę Administratora na zmianę podprzetwarzającego. Administrator zobowiązuje się nie sprzeciwiać ww. zmianom bez uzasadnionych powodów.

4. Jeżeli Administrator sprzeciwi się zmianie dotyczącej dodania lub zastąpienia podprzetwarzających zgodnie z ust. 2 i 3 powyżej, przetwarzanie danych w celach, w jakich dane zostały powierzone Podmiotowi przetwarzającemu, może nie być możliwe. W takiej sytuacji Podmiot przetwarzający będzie uprawniony do rozwiązania Umowy bez wypowiedzenia, a wszelka odpowiedzialność Podmiotu przetwarzającego za niewykonanie lub nienależyte wykonanie Umowy lub Umowy Głównej spowodowane niemożnością przetwarzania danych w celach, w jakich dane zostały powierzone Podmiotowi przetwarzającemu, jest wyłączona przez Strony.

§8. Deklarowane środki techniczne i organizacyjne

1. Na podstawie art. 28 ust. 3 lit. b) RODO Podmiot przetwarzający zobowiązuje się, że każda osoba realizująca Umowę w jego imieniu będzie zobowiązana do zapewnienia poufności przetwarzanych danych osobowych, do których będzie miała dostęp, a w szczególności, że nie będzie ich przekazywać, ujawniać ani udostępniać osobom nieupoważnionym.

2. Na podstawie art. 28 ust. 3 lit. c) RODO Podmiot przetwarzający zobowiązuje się do stosowania środków technicznych i organizacyjnych wymaganych na mocy art. 32 RODO, tj. w szczególności adekwatnych do zidentyfikowanego ryzyka naruszenia praw lub wolności powierzonych danych osobowych.

§9. Procedura naruszenia danych. Wzajemna wymiana informacji

1. Strony zobowiązują się do niezwłocznego wzajemnego powiadamiania się o potencjalnych naruszeniach ochrony danych. W przypadku podejrzenia naruszenia danych Strony zobowiązują się do współpracy, zgodnie z przepisami RODO.

2. Strony uzgadniają, że będą konsultować się w sprawie konieczności i treści powiadomień o naruszeniu danych kierowanych do organu nadzorczego.

3. Ilekroć Strony przekazują sobie wzajemnie informacje i oświadczenia dotyczące danych przetwarzanych na mocy Umowy, informacje i oświadczenia te będą przekazywane na adresy e-mail wskazane poniżej:

a) dla Administratora: [adres e-mail, numer telefonu];

b) dla Podmiotu przetwarzającego: [email protected].

§10. Odpowiedzialność

Całkowita odpowiedzialność Podmiotu przetwarzającego za niewykonanie lub nienależyte wykonanie Umowy jest w każdym przypadku ograniczona do połowy sumy opłat netto uiszczonych przez Administratora na podstawie Umowy Głównej w ciągu ostatnich 12 miesięcy poprzedzających zdarzenie stanowiące podstawę danego roszczenia i wyłącznie do wysokości rzeczywistej szkody, tj. z wyłączeniem utraconych korzyści (lucrum cessans). Limity odpowiedzialności Podmiotu przetwarzającego wskazane w Umowie i Umowie Głównej nie sumują się. W przypadku gdy Podmiot przetwarzający jest zobowiązany do poniesienia odpowiedzialności na mocy Umowy, dane roszczenie pomniejsza limit odpowiedzialności wskazany w Umowie Głównej.

§11. Postanowienia końcowe. Rozwiązanie Umowy

1. Umowa zostaje zawarta na czas trwania Umowy Głównej, tj. Umowa ulega rozwiązaniu bez konieczności składania dodatkowych oświadczeń, w wyniku rozwiązania lub wygaśnięcia Umowy Głównej.

2. Umowa wchodzi w życie z chwilą zawarcia Umowy Głównej.

3. Zmiana, uzupełnienie lub rozwiązanie Umowy wymaga, pod rygorem nieważności, formy pisemnej / dokumentowej.

4. W sytuacji gdy:

a) Podmiot przetwarzający, pomimo obowiązku usunięcia nieprawidłowości stwierdzonych podczas audytu, nie usunie ich w terminie uzgodnionym przez Strony lub przetwarza dane osobowe w sposób niezgodny z Umową Główną, lub

b) Podmiot przetwarzający przetwarza powierzone dane osobowe z naruszeniem Umowy lub obowiązujących przepisów prawa (w tym RODO),

Administrator może rozwiązać Umowę ze skutkiem natychmiastowym, bez wypowiedzenia, po bezskutecznym upływie dodatkowego terminu na zaprzestanie naruszeń, wyznaczonego przez Administratora, nie krótszego niż czternaście dni od dnia otrzymania zawiadomienia.

5. Podmiot przetwarzający może rozwiązać Umowę ze skutkiem natychmiastowym, bez wypowiedzenia, jeżeli zostanie stwierdzone, że Administrator przetwarza dane powierzone Podmiotowi przetwarzającemu w sposób naruszający §5 ust. 1 Umowy, w szczególności przetwarzając dane powierzone Podmiotowi przetwarzającemu bez podstawy prawnej określonej w art. 6 ust. 1 RODO.

6. Załącznik 1 do Umowy – standardowe klauzule umowne, stanowi integralną część Umowy.

7. Umowa została zapisana na nośniku elektronicznym przechowywanym na serwerach Podmiotu przetwarzającego i przesłana na adres e-mail wskazany przez Administratora w formacie PDF / Umowa została podpisana w dwóch egzemplarzach – po jednym dla każdej ze Stron.