Umowa powierzenia przetwarzania danych osobowych przez Shoper S.A.
Zawarta 25 maja 2018 roku pomiędzy:
SHOPER SPÓŁKA AKCYJNA z siedzibą pod adresem: ul. Pawia 9, 31-154 Kraków, NIP 9452156998, nr REGON 12149520300000 wpisaną do Krajowego Rejestru Sądowego – rejestru przedsiębiorców przez SĄD REJONOWY DLA KRAKOWA ŚRÓDMIEŚCIA W KRAKOWIE, XI WYDZIAŁ GOSPODARCZY KRAJOWEGO REJESTRU SĄDOWEGO, pod nr KRS 0000395171, o kapitale zakładowym – 2 811 500,00 zł (w całości wpłacony), zwaną dalej Procesorem
a
Użytkownikiem (będącym Użytkownikiem w rozumieniu Regulaminu udostępnienia oprogramowania sklepów internetowych dostępnego w Serwisie shoper.pl lub Wydawcą w rozumieniu Regulamin Appstore dla Wydawców), zwanym dalej ADO.
§1 Postanowienia Ogólne
W związku z zawarciem przez Strony Umowy na podstawie Regulaminu udostępnienia oprogramowania sklepów internetowych dostępnego w Serwisie shoper.pl lub innego regulaminu lub umowy w zakresie usług świadczonych przez Procesora („Umowa Główna”) Strony zawierają niniejszą umowę powierzenia przetwarzania danych osobowych.
ADO przekazuje Procesorowi do przetwarzania dane („Dane”), w stosunku do których to danych ADO pełni rolę administratora danych osobowych, a Procesor zobowiązuje się do ich przetwarzania w granicach określonych Umową oraz powszechnie obowiązującymi przepisami prawa.
Przetwarzanie Danych przez Procesora odbywa się na zlecenie ADO, co oznacza, że każde przetwarzanie Danych odbywa się wyłącznie na udokumentowane polecenia ADO, w szczególności zawarte w Umowie Głównej, a także wyrażone przez zamówienie kolejnych usług.
Dane przetwarzane są celu realizacji Umowy Głównej i w zakresie niezbędnym do jej prawidłowego wykonania.
§2 Oświadczenia i zapewnienia Stron
ADO oświadcza i zapewnia, że:
– jest administratorem danych osobowych – w stosunku do Danych – w rozumieniu przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ( „RODO”);
– posiada podstawy prawne przetwarzania Danych, a powierzenie Procesorowi danych do przetwarzania nie naruszy praw podmiotów tych danych, przepisów prawa (w szczególności RODO) czy jakichkolwiek praw osób trzecich;
– dane udostępniane będą przez ADO wyłącznie w celu realizacji Umowy Głównej;
– powiadomi Procesora o wszelkich działaniach właściwych organów administracji publicznej, związanych z przetwarzaniem Danych przez ADO.
Procesor oświadcza i zapewnia, że:
– dane przetwarzane będą przez niego zgodnie z niniejszą Umową i przepisami prawa;
– przetwarzanie danych dokonywane będzie wyłącznie w celu prawidłowego wykonania Umowy Głównej;
– posiada stosowne polityki ochrony danych osobowych w zakresie dotyczącym powierzenia mu danych przez ADO;
– osoby upoważnione przez niego do przetwarzania danych zobowiązane zostały do prawidłowej ochrony tych danych – zgodnie z politykami ochrony danych Procesora oraz przepisami RODO, a także zostały zobowiązane do zachowania Danych w tajemnicy lub podlegają prawnemu obowiązkowi dochowania takiej tajemnicy;
– podejmuje wszelkie środki wymagane przez właściwe przepisy prawa, zwłaszcza przez art. 32 RODO, zgodnie z którym Przetwarzający wdraża odpowiednie środki techniczne oraz organizacyjne uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
§3 Szczegółowe zasady realizacji Umowy
W oparciu o niniejszą Umowę przetwarzane będą;
– dane zwykłe;
– szczególne kategorie danych osobowych, tj. dane wymienione w art. 9 RODO jeśli wynika to z charakteru sklepu prowadzonego przez ADO;
– dane dzieci, tj. dane osób, które nie uzyskały pełnoletności (w tym kupujących poniżej 18. roku życia);
W oparciu o niniejszą Umowę przetwarzane będą Dane następujących kategorii osób:
– Klienci ADO;
– Użytkownicy sklepu internetowego ADO – w przypadku gdy Użytkownik prowadzi sklep internetowy na platformie Shoper.pl;
– Pracownicy i współpracownicy, w tym kontrahenci ADO – o ile jest to niezbędne dla wykonania Umowy Głównej.
Przetwarzanie Danych odbywać się będzie w okresie obowiązywania Umowy Głównej.
Procesor wdroży wszelkie środki wymagane przez przepisy prawa, w szczególności – z uwzględnieniem dokonanej przez Procesora oceny ryzyka przetwarzania Danych – odpowiednie środki techniczne i organizacyjne, zapewniające właściwy i dostosowany do ryzyka naruszenia praw i wolności podmiotów Danych poziom bezpieczeństwa Danych.
Procesor – wdrażając mechanizmy, o których mowa w ust. 1 – zobowiązany jest uwzględnić stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania Danych.
§4 Wsparcie i Nadzór ADO
Uwzględniając charakter przetwarzania Procesor zapewni wsparcie ADO („Wsparcie”), tj.:
– w miarę możliwości pomoże ADO, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której Dane dotyczą, w zakresie wykonywania jej praw, określonych w rozdziale III RODO – jeśli w danym przypadku ciążą one na ADO;
– pomoże ADO wywiązać się z ciążących na ADO obowiązków określonych w art. 32 – 36 RODO – z uwzględnieniem dostępnych mu informacji.
Procesor zobowiązany jest do udostępnienia ADO wszelkich informacji niezbędnych do wykazania obowiązków określonych w art. 28 RODO oraz umożliwienia ADO lub upoważnionemu przez ADO audytorowi przeprowadzenia audytów, w tym inspekcji („Audyt”) i przyczynienia się do nich.
W przypadku gdy wydane przez ADO polecenia w ocenie Procesora stanowią naruszenie przepisów RODO lub innych przepisów prawa Unii lub prawa polskiego – Procesor niezwłocznie poinformuje o tym ADO.
Procesor może odmówić przekazania ADO informacji objętych tajemnicą prawnie chronioną, w tym tajemnicą przedsiębiorstwa Procesora lub podmiotów trzecich, a także informacji stanowiących dane osobowe nie będące Danymi, jeśli informacje te mogą zostać zastąpione innymi informacjami (w tym oświadczeniami ADO), zaś w przypadku gdy nie będzie to możliwe – informacje te zostaną udostępnione ADO (lub wyznaczonym przez niego osobom) wyłącznie w siedzibie Procesora, po uprzednim zawarciu przez ADO i wszystkie osoby, którymi ADO się posługuje, przedstawionej przez Procesora umowy zobowiązującej do należytej ochrony tych informacji.
Przeprowadzenie Audytu jest możliwe po uprzednim pisemnym poinformowaniu Procesora przez ADO o zamiarze jego przeprowadzenia z co najmniej dwudziestojednodniowym wyprzedzeniem, wraz ze wskazaniem listy osób zaangażowanych w przeprowadzenie Audytu po stronie ADO. Zawiadomienie powinno ponadto określać czas trwania Audytu oraz jego zakres.
W przypadku gdy Audyt nie jest bezpośrednio związany z działaniami uprawnionych organów administracji publicznej kierowanymi wobec ADO w związku z przetwarzaniem danych bądź stwierdzonym i udokumentowanym naruszeniem przetwarzania Danych przez Procesora – łączny czas trwania prowadzonych przez ADO Audytów nie może przekroczyć trzech dni w roku kalendarzowym.
Audyt może być przeprowadzony wyłącznie po uprzednim zawarciu przez ADO i wszystkie osoby, którymi ADO się posługuje, przedstawionej przez Procesora umowy zobowiązującej do należytej ochrony wszelkich informacji uzyskanych w związku z Audytem.
Audyty przeprowadzane są na koszt ADO. Koszty sprawowania Wsparcia oraz nadzoru nad Procesorem przez ADO obciążają wyłącznie ADO. Za koszty wsparcia bądź nadzoru uznaje się w szczególności koszty ponoszone przez Procesora w związku z dokonywaniem kontroli, audytów, czy przygotowania dokumentów, udzielenia informacji lub pomocy ADO. W przypadku gdy koszty, o których mowa w niniejszym ustępie zostały poniesione przez Procesora – ADO niezwłocznie zwróci je Procesorowi. Szczegółowe zasady zwrotu kosztów Procesorowi określają w szczególności cenniki Procesora lub Umowa Główna.
Audyt przeprowadzany jest w godzinach pracy Procesora i nie może w żaden sposób zakłócać ani negatywnie wpływać na bieżącą działalność Procesora.
Procesor współpracuje z organami właściwymi do spraw ochrony danych osobowych, w zakresie wykonywanych przez nie zadań.
Jeśli z przepisów prawa lub niniejszej Umowy nie wynika inny termin – wszelkie informacje udzielane przez Procesora ADO, a także wykonywane przez niego czynności wykonywane będą niezwłocznie, nie później niż w terminie 30 dni od otrzymania stosownego żądania.
Postanowienia niniejszego paragrafu w stosunku do działań ADO względem Podprocesorów, o których mowa w § 5, stosuje się odpowiednio.
§5 Podpowierzenie Danych
Procesor może korzystać z usług innych podmiotów przetwarzających (Podprocesor), tylko za uprzednią szczegółową zgodą lub ogólną pisemną zgodą ADO.
ADO wyraża zgodę na korzystanie przez Procesora z Podprocesorów wskazanych w Załączniku nr 1 do niniejszej Umowy. Zmiana załącznika nie stanowi zmiany Umowy i postanowienia ust. 3-4 niniejszego paragrafu stosuje się do niej odpowiednio. Szczegółowe dane podmiotów wymienionych w Załączniku nr 1 mogą zostać udostępnione ADO na jego wyraźne żądanie, z zastrzeżeniem, że Procesor może odmówić podania danych osobowych osób fizycznych, jeśli naruszałoby to ich prawa lub wolności.
Powierzenie przetwarzania Danych Podporcesorom niewskazanym w Załączniku nr 1 wymaga uprzedniego zgłoszenia tego faktu ADO – w celu umożliwienia mu sprzeciwu, dokonanego nie później niż na pięć dni przed rozpoczęciem podpowierzenia. Zgłoszenie może zostać dokonane w szczególności w formie elektronicznej.
W przypadku braku sprzeciwu ADO przyjmuje się, że wyraził on zgodę na korzystanie z Podporcesora. W przypadku zgłoszenia sprzeciwu Procesor nie może powierzyć danych Podprocesorowi, którego sprzeciw dotyczy – jednocześnie Procesor będzie uprawniony do rozwiązania w takim przypadku Umowy Głównej, ze skutkiem natychmiastowym, a ADO nie będzie przysługiwać z tego tytułu jakiekolwiek odszkodowanie.
Procesor nałoży na każdego z Podprocesorów, w szczególności za pośrednictwem umowy, te same obowiązki ochrony Danych jak wynikające z Umowy, w szczególności obowiązek wdrożenia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO.
W przypadku niewywiązania się przez Podprocesora z ciążących na nim obowiązków w stosunku do Danych pełna odpowiedzialność wobec ADO za spełnienie obowiązków Podprocesora spoczywa na Procesorze.
§6 Usunięcie Danych
Procesor, po zakończeniu świadczenia usług związanych z przetwarzaniem Danych na rzecz ADO, w szczególności w przypadku rozwiązania niniejszej Umowy lub Umowy Głównej, w zależności od decyzji ADO:
– usuwa Dane;
– zwraca ADO wszelkie Dane oraz usuwa wszelkie ich istniejące kopie (chyba że prawo Unii Europejskiej lub polskie przepisy prawa powszechnie obowiązującego nakazują przechowywanie danych osobowych).
W przypadku wypowiedzenia Umowy Głównej ADO powinien przekazać Procesorowi decyzję, o której mowa w ust. 1, nie później niż w ostatnim dniu obowiązywania Umowy. W przypadku braku przekazania takiej decyzji w tym terminie – przyjmuje się, że ADO nakazał Procesorowi usunięcie Danych (zgodnie z ust. 1 lit. a) i wszelkie związane z tym konsekwencje obciążają wyłącznie ADO.
§7 Postanowienia Końcowe
Umowa ulega rozwiązaniu z chwilą rozwiązania Umowy Głównej.
W sprawach nieuregulowanych, w tym w zakresie zmiany Umowy, zastosowania mają postanowienia Umowy Głównej.
W razie sprzeczności postanowień niniejszej Umowy z Umową Główną – pierwszeństwo mają postanowienia niniejszej Umowy.
Niniejsza Umowa zastępuje wszelkie wcześniejsze umowy, ustalenia i porozumienia Stron w zakresie powierzenia przetwarzania danych osobowych regulowanym w Umowie.
Załącznik nr 1 – Lista Podprocesorów
ADO wyraża zgodę na korzystanie przez Procesora z następujących Podprocesorów:
– Podwykonawcy Procesora, będący osobami fizycznymi, świadczący osobiście na rzecz Procesora usługi, w szczególności świadczący usługi w oparciu o umowę zlecenie, umowę o dzieło lub inną umowę cywilnoprawną;
– Członkowie organów Procesora, a także jego prokurenci lub pełnomocnicy;
– Podmioty prowadzące obsługę księgową i rachunkową Procesora;
– Podmioty dostarczające Procesorowi usługi hostingu;
– W przypadku korzystania z usług marketingowych Procesora przez ADO – wydawcy reklam i dostawcy usług marketingowych.