HelpDeskSkyLogic Help Desk
Sign In

Ogólne warunki dotyczące powierzania i przetwarzania danych osobowych

zwane dalej OWPDO

Niniejszy dokument ma zastosowanie, o ile relacje handlowe,faktyczne i/lub prawne pomiędzy Administratorem danych, a spółką pod firmą Benson Consultants Sp. z o.o. z siedzibą w Warszawie 00-102 przy ul.Marszałkowskiej 115 p. 220, wpisaną do Rejestru Handlowego prowadzonego przez Sąd Rejonowy dla M. St. Warszawy w Warszawie XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem 0000136075, numer identyfikacji podatkowej NIP 524-16-93-585 o kapitale zakładowym 50.000 zł działającą jako Przetwarzający dane osobowe przewidują powierzanie i/lub przetwarzanie danych osobowych,których administratorem jest Administrator danych. W przypadku sprzeczności Ogólnych warunków dotyczących powierzania i przetwarzania danych osobowych i Umowy serwisowej lub Umowy wdrożeniowej stosuje się postanowienia Ogólnych warunków dotyczących powierzania i przetwarzania danych osobowych.

 

§ 1 Definicje

1.       Na potrzeby OWPDO i w celu uzgodnienia pojęć Strony oświadczają, że podanym niżej określeniom przypisują następujące znaczenie:

1.1.  Dokumentacja – dokumentacja,na podstawie której wykonano wdrożenie programu z grupy SkyLogic u Administratora, to znaczy Instrukcja Obsługi Programu (jeśli była ona podstawą wdrożenia i została wykonana przez Przetwarzającego dla Administratora) lub Specyfikacja Techniczna Wdrożenia wraz z Wymaganiami Funkcjonalnymi i ich opisem oraz Przypadkami Użycia, jeśli takie dokumenty były podstawą wdrożenia. Do Dokumentacji należą również wszystkie opisy zmian funkcjonalnych bądź opisy Dostosowań zarejestrowane w systemie HelpDesk, na podstawie których Przetwarzający zmodyfikował kod źródłowy Produktu. Zmiany takie i Dostosowania a także następstwa implementacji tych zmian i Dostosowań w Programie wyłączają wcześniejsze opisy Instrukcji Obsługi i Specyfikacji Technicznej Wdrożenia oraz innych wcześniejszych opisów czy Przypadków Użycia jako podstawę działania i użytkowania Programu w tych fragmentach, które precyzują działania funkcji,których takie zmiany i następstwa dotyczą oraz we fragmentach, które dotyczą funkcji powiązanych kodem Programu lub strukturą baz danych z takimi zmienionymi funkcjami. Do Dokumentacji należą również Warunki Satysfakcji powiązane z wdrożonymi funkcjonalnościami, jeśli zostały określone dla tych funkcjonalności.

1.2.    HelpDesk – należący do Przetwarzającego i przez niego utrzymywany Internetowy System Zgłoszeń Serwisowych.

1.3.    Nośnik danych – urządzenie, na którym w trwały sposób zostały utrwalone dane lub dokumenty papierowe. Nośniki obejmują dokumenty:

a)       Papierowe

b)       Elektroniczne zapisane na dyskach komputerów (np. serwer, laptop) lub urządzeniach przenośnych (np. pendrive):

·        Mail

·        HelpDesk

·        Pliki z danymi XLS, CSV, XML

·        Pliki backup bazy danych

·        Baza danych

1.4.   Program - Program komputerowy SkyLogic służący do zarządzania logistyką transportu. Jest on złożony z kompletnego pakietu modułów i przynależnej do nich dokumentacji. Termin Program używany w OWPDO obejmuje swym zakresem Program SkyLogic, wszystkie jego aktualizacje i zmodyfikowane wersje wraz z dołączoną dokumentacją (instrukcja obsługi) oraz wszystkie kopie oprogramowania wymienione w Umowie Licencyjnej oraz wszystkie inne programy produkowane przez Przetwarzającego pod marką SkyLogic.

1.5.  Platforma Produkcyjna - główna instalacja Programu na Platformie Sprzętowo-Systemowej  przeznaczona do obsługi rzeczywistych procesów operacyjnych Administratora.

1.6.  Platforma Sprzętowo-Systemowa - należący do Administratora sprzęt komputerowy wraz z systemem operacyjnym Windows oraz bazą danych MS SQL i innymi komponentami nienależącymi do Programu, na których uruchomiony jest Program oraz oprogramowanie osób trzecich, wykorzystywane do celów prowadzenia działalności Administratora.

1.7.   RODO - Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE(Ogólne rozporządzenie o ochronie danych osobowych).

 

§ 2 Administrator danych osobowych

 

2.    Administrator oświadcza, że jest administratorem danych osobowych w rozumieniu przepisów  Rozporządzenia Parlamentu Europejskiego i Rady UE z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO).

 

§ 3 Rodzaj powierzanych danych osobowych i sposób ich przekazywania

 

1.   Przetwarzający ma dostęp do danych osobowych rodzaju zwykłego rejestrowanych w Programie produkowanym przez Przetwarzającego. Dane osobowe mogą dotyczyć niżej wymienionych kategorii osób:

a)      pracowników Administratora,

b)   klientów Administratora oraz jego kierowców, przewoźników, podwykonawców, współpracowników, zleceniodawców i ich pracowników pracujących lub obsługiwanych w Programie produkowanym przez Przetwarzającego.

 

2.       Dane osobowe opisane w ust. 1 powyżej mogą charakteryzować następujące cechy:

a)       Imiona, nazwisko,

b)       Adres zamieszkania lub zameldowania oraz jego lokalizację na mapach,

c)       Numery nadane przez organy Państwowe (w tym niewyłącznie: PESEL, NIP),

d)       Numery dokumentów osobistych (w tym niewyłącznie: nr dowodu osobistego, nr prawa jazdy),

e)       Adresy mail,

f)       Numery telefonów,

g)       Zaszyfrowane hasło logowania do Programu produkowanego przez Przetwarzającego oraz hasło do systemu HelpDesk,

h)       IP urządzenia z którego łączył się użytkownik,

i)        Dane o zachowaniu użytkowników (w tym niewyłącznie: historia logowania, historia zleceń, historia trasy).

 

3.       Przekazywanie danych osobowych o których mowa w ust. 1 i ust. 2  powyżej pomiędzy Przetwarzającym i Administratorem dokonywane będzie:

a)      na Nośniku danych,

b)      przez zapewnienie dostępu dla Przetwarzającego do Programu zainstalowanego na serwerach Administratora,

c)      poprzez wpisy elektroniczne dotyczące zgłoszeń serwisowych w systemie HelpDesk.

 

§ 4 Przedmiot i czas trwania przetwarzania

 

1.       Przedmiotem przetwarzania są dane osobowe wskazane w § 3 ust. 1 i ust. 2 OWPDO.

 

2.    Powierzony przez Administratora Przedmiot przetwarzania będzie przetwarzany przez Przetwarzającego w okresie realizacji Umowy Wdrożeniowej i Umowy Serwisowej,zawartych między Stronami oraz w czasie ich rozliczenia.

 

3. Po wykonaniu usługi opisanej w ust. 2 powyżej, wszelkie egzemplarze dokumentów i innych nośników danych stanowiących własność administratora, a zawierające Przedmiot przetwarzania powinny zostać przekazane Administratorowi, a ich kopie oraz wersje elektroniczne na nośnikach Przetwarzającego powinny zostać odpowiednio zniszczone lub usunięte lub poddane anonimizacji.


4.   Przetwarzający potwierdzi na piśmie lub w systemie HelpDesk Przetwarzającego ww. czynności w terminie 7 dni w razie wpłynięcia stosownego żądania od Administratora. Przetwarzający może wysłać prośbę o takie potwierdzenie w ciągu 30 dni kalendarzowych od dnia wykonania usług opisanych w ust. 2 powyżej.


5.       Ust. 3 powyżej nie stosuje się:

a.   do Specyfikacji Technicznej Wdrożenia, dokumentacji wdrożenia, maili wymienianych między Stronami, zgłoszeń składanych w systemie HelpDesk oraz

b.   w sytuacji istnienia jakiegokolwiek sporu między Stronami, który mógłby wymagać odwołania się do Przedmiotu przetwarzania, do czasu zakończenia takiego sporu, oraz

c.     gdy prawo Unii lub prawo Polskie nakazują przechowywanie takich danych osobowych.

 

§ 5 Charakter i cel przetwarzania

 

1.   Administrator niniejszym powierza Przetwarzającemu przetwarzanie Przedmiotu przetwarzania, opisanego szczegółowo w § 2 ust. 1 OWPDO, w celach związanych z wykonywaniem przez Przetwarzającego na rzecz Administratora usług dostawy i utrzymania oprogramowania, które służy do zarządzania logistyką transportu. Oznacza to, że Przedmiot przetwarzania nie jest przedmiotem umów wiążących Strony, a jedynie stanowi wsad z danymi do sprawdzenia mechanizmów działania Programu produkowanego przez Przetwarzającego.

 

2.      Administrator upoważnia Przetwarzającego do przetwarzania Przedmiotu przetwarzania w zakresie czynności przetwarzania:

a)       utrwalanie,

b)       przechowywanie,

c)       opracowywanie,

d)       kasowanie.

 

3.  Przetwarzanie Przedmiotu przetwarzania odbywa się w siedzibie Przetwarzającego lub w siedzibie Administratora lub innych lokalizacjach wskazanych przez Administratora w toku współpracy.

 

4.    W przypadku przetwarzania Przedmiotu przetwarzania poza siedzibą Przetwarzającego, w miejscu wskazanym przez Administratora zgodnie z § 5 ust. 3 Umowy, Administrator jest zobowiązany do zapewnienia środków bezpieczeństwa przewidzianych w RODO.

 

5.      Niedopuszczalne jest powierzenie przez Przetwarzającego czynności wynikających z OWPDO osobom lub podmiotom trzecim z wyjątkiem osób i podmiotów współpracujących z Przetwarzającym na podstawie umów w celu prowadzenia działalności operacyjnej Przetwarzającego w zakresie usług księgowych,kadrowych, IT, hostingu, bez uprzedniej pisemnej zgody Administratora. Warunkiem wyrażenia zgody przez Administratora jest jej akceptacja dla treści umowy pod powierzenia pomiędzy Przetwarzającym a dalszym przetwarzającym w zakresie dopuszczalnych warunków i charakteru przetwarzania. Dla uniknięcia wątpliwości za osoby lub podmioty trzecie nie są uważane osoby wymienione w § 6 ust. 2 pkt. 2.4 OWPDO.

 

§ 6 Oświadczenia Przetwarzającego

 

1. Dane osobowe wymienione w § 3 OWPDO są chronione przez Przetwarzającego na zasadach opisanych w Polityce Bezpieczeństwa Przetwarzającego.

2.       Przetwarzający oświadcza, że zgodnie z Rozporządzeniem oraz RODO:

2.1 jest zwolniony na mocy Art. 30 ust. 5 RODO z prowadzenia rejestru czynności przetwarzania oraz rejestru wszystkich kategorii czynności przetwarzania,

2.2 znajdujące się w jego posiadaniu urządzenia i systemy informatyczne służące do przetwarzania danych osobowych zapewniają wystarczający poziom bezpieczeństwa w sposób adekwatny ryzyka,

2.3 stosuje środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, a w szczególności zabezpiecza dane osobowe przed ich udostępnieniem osobom nieupoważnionym,zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem Ustawy w sposób adekwatny do ryzyka,

2.4 Do  przetwarzania Przedmiotu przetwarzania będą  dopuszczeni jedynie pracownicy i współpracownicy Przetwarzającego zatrudnieni na podstawie umowy o pracę oraz innych umów cywilnoprawnych oraz jednoosobowej działalności gospodarczej; współpracownicy, wolontariusze, praktykanci, stażyści posiadający imienne upoważnienie Przetwarzającego do przetwarzania danych osobowych przekazanych przez jego klientów. Upoważnienie  wygasa  z chwilą  ustania zatrudnienia upoważnionego pracownika bądź odwołania upoważnienia. Przetwarzający  oświadcza, że upoważnieni pracownicy zostaną zapoznani i przeszkoleni z zasad ochrony danych  osobowych.

3. Przetwarzający oświadcza, że każda osoba przez niego zaangażowana mająca dostęp do Przedmiotu przetwarzania, zobowiązała się do zachowania poufności danych osobowych stanowiących Przedmiot przetwarzania oraz je przetwarza w granicach realizacji OWPDO.

 

§ 7 Oświadczenia Administratora

 

1.       Administrator oświadcza, że:

1.1   wszystkie dane przekazane do przetwarzania pochodzą z legalnego źródła, zgodnie z art. 6 - 9 RODO,

1.2   dokonał prawidłowej realizacji obowiązków informacyjnych zgodności z zasadą rzetelności i przejrzystości wynikającą z przepisów przywołanych w preambule (motyw 39, 58,60),

1.3   uzyskał stosowne zgody od osób, których dane stanowiące Przedmiot przetwarzania dotyczą, na przetwarzanie ich danych osobowych przez Przetwarzającego w zakresie niezbędnym do realizacji OWPDO, jeśli zastosowania nie znajduje inna ze wskazanych wRODO podstaw przetwarzania danych stanowiących Przedmiot przetwarzania.

 

2. Wszelkie konsekwencje braku spełnienia okoliczności opisanych w ust. 1 powyżej lub zaniechania w tym zakresie obciążają Administratora.

 

§ 8 Obsługa ryzyka

  1. Na podstawie Art. 32 RODO, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, Przetwarzający zbadał ryzyko.

  2. Zważywszy na wynik badania ryzyka, o którym mowa w ust. 1 powyżej, Przetwarzający postanowił wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, które obejmują punkty wymienione poniżej:

 

a)    Dostęp do Przedmiotu przetwarzania wymaga uwierzytelnienia

b)  Stosowanie polityki bezpieczeństwa w zakresie obsługi danych rodzaju zwykłego

c)    Zapewnienie miejsca na dokumenty papierowe w zabezpieczonej szafie o ograniczonym dostępie

 

§ 9 Obowiązki Przetwarzającego

 

1.      Przetwarzający oświadcza, że w razie stwierdzenia:

a)       wycieku Przedmiotu przetwarzania, w tym zagubienia Nośnika danych osobowych,

b)       utraty Przedmiotu przetwarzania

zawiadomi o takiej okoliczności Administratora niezwłocznie, jednak w każdym przypadku nie później niż w ciągu 24 godzin od daty stwierdzenia, podając przy tym znanemu okoliczności zdarzenia.

 

2.      W przypadkach naruszenia bezpieczeństwa nie wymienionych w ust. 1 powyżej, tj.:

a)       naruszenia bezpieczeństwa na Platformie produkcyjnej Programu, które to naruszenie doprowadziło do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania Przedmiotu przetwarzania lub

b)       nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Przedmiotu przetwarzania,

Przetwarzający zobowiązany jest poinformować Administratora o takiej okoliczności nie później niż w terminie 5 dni roboczych od chwili ich stwierdzenia, podając przy tym znane mu okoliczności zdarzenia.

 

3.      Przetwarzający niezwłocznie po stwierdzeniu zdarzenia, o którym mowa w ust. 1 i ust. 2 powyżej zobowiązany jest:

a)      zabezpieczyć dostępne dowody na okoliczność zdarzenia,

b)      wyeliminować przyczynę naruszenia, o ile jest to jeszcze możliwe i zasadne,

c)      podjąć możliwe do zastosowaniai uzasadnione środki adekwatne do przychodów związanych z realizacją Umowy serwisowej w celu ograniczenia skutków wystąpienia naruszenia.

 

4.  W granicach posiadanych środków technicznych i organizacyjnych, w ramach posiadanego budżetu Administratora i w uzgodnionych między Stronami terminach:

5.1   Przetwarzający pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO,

5.2   Biorąc pod uwagę charakter przetwarzania danych oraz posiadane informacje, Przetwarzający zobowiązuje się do pomocy Administratorowi w zakresie wywiązywania się z obowiązków wymienionych w art. 32-36 RODO,

5.3   Przetwarzający zobowiązuje się do udzielania Administratorowi na jego żądanie informacji o czynnościach i postępowaniach prowadzonych w zakresie powierzonego mu Przedmiotu przetwarzania przez organy administracji publicznej (w szczególności Prezesa Urzędu Ochrony Danych Osobowych) lub organy wymiaru sprawiedliwości,

5.4   Przetwarzający udostępnia Administratorowi posiadane informacje niezbędne do wykazania spełnienia przez Przetwarzającego obowiązków dotyczących zabezpieczenia powierzonych mu na podstawie OWPDO danych.

 

5.   Zważywszy na fakt, że do ochrony wszystkich klientów Przetwarzającego stosowane są te same środki techniczne i organizacyjne, Przetwarzający wyklucza możliwość przeprowadzenia audytu bezpieczeństwa przez Administratora. Nie ogranicza to w żaden sposób uprawnień do wykonywania audytu przez organ nadzorczy w myśl art.58 RODO.


6. Przetwarzający jest zobligowany wdrożyć odpowiednieśrodki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwaodpowiadający ryzyku

 

§ 10 Obowiązki Administratora

 


1.   Dostęp doPrzedmiotu przetwarzania w formie opisanej w § 3 ust. 3 Umowy każdorazowo powinien być zabezpieczonyprzed dostępem osób nieuprawnionych obowiązkiem podania danych logowania (logini hasło) lub obowiązkiem podania hasła, a ponadto środkami takimi, jakszyfrowanie, uniemożliwiającymi osobom nieuprawnionym uzyskanie dostępu do danychosobowych.


2.  Administratorzobowiązany jest zapewnić dla Przetwarzającego dostęp do Przedmiotuprzetwarzania za pośrednictwem kanału komunikacji posiadającego zabezpieczeniaadekwatne do ryzyka.

 


§ 11 Odpowiedzialność odszkodowawcza

 

1.    Strony mają świadomość, że Przetwarzający nie ma żadnego wpływu na procesy realizowane w przedsiębiorstwie Administratora jak również na ich zabezpieczenie, dlatego nie jest w żadnym wypadku odpowiedzialny za jakąkolwiek szkodę, łącznie ze szkodami z tytułu utraty korzyści związanych z prowadzeniem przedsiębiorstwa, przerw w działalności przedsiębiorstwa lub utraty informacji gospodarczej, będącą następstwem naruszenia postanowień niniejszej Umowy.


 

2.    Ponieważ Przetwarzający nie zna zobowiązań umownych Administratora wobec osób trzecich,jak również nie są mu znane środki zapobiegawcze mające na celu zminimalizowanie negatywnych konsekwencji w przypadku zaistnienia sytuacji rodzących jakąkolwiek odpowiedzialność odszkodowawczą wobec osób trzecich przez Administratora, dlatego odpowiedzialność Przetwarzającego wobec Administratora z jakiegokolwiek tytułu, ale związana z realizacją niniejszej Umowy,ograniczona jest wyłącznie do zobowiązań Przetwarzającego przewidzianych w niniejszej Umowie. Strony zgodnie potwierdzają, że Przetwarzający jest zwolniony z odpowiedzialności za roszczenia osób trzecich kierowane do Administratora w związku z realizacją niniejszej Umowy.

 

3.   Za zastrzeżeniem postanowień § 7 OWPDO, zapisy § 11 nie wyłączają odpowiedzialności Przetwarzającego względem organów Państwa w myśl Art. 83 RODO jako podmiotu przetwarzającego oraz art. 473 par. 2 k.c.

 

§ 12 Postanowienia końcowe

 

1.     OWPDO przestaje mieć zastosowanie z chwilą zakończenia świadczenia przez Przetwarzającego na rzecz Administratora usług, o których mowa w § 4 ust. 2 Umowy.

 

2.  W sprawach nieuregulowanych OWPDO stosuje się postanowienia powszechnie obowiązujących przepisów prawa w zakresie ochrony danych osobowych (w szczególności RODO i ustawy o ochronie danych osobowych).

 

3.    OWPDO wchodzi w życie z dnem 29 sierpnia 2018 roku.


Article #123
Keywords:
RODO
Updated On: 2018-08-31 Index
Was this article helpful? Yes | No