Załącznik nr 1 do Regulaminu świadczenia usługi eDokumenty/Ready_™

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Zawarta pomiędzy:

eDokumenty sp. z o.o. z siedzibą w Bytomiu, 41-902 Bytom, pl. Kościuszki 9, wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy Katowice – Wschód w Katowicach Wydział VIII Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000538879, NIP: 6263016935, wysokość kapitału zakładowego: 400 000,00 PLN

zwaną dalej Podmiotem przetwarzającym lub Procesorem

a

Klientem (Użytkownikiem) zwanym dalej Administratorem lub ADO

Łącznie zwani Stronami, a każda oddzielnie Stroną.

§ 1
Definicje

  1. Administrator, ADO – Osoba fizyczna lub prawna, która ustala cele i sposoby przetwarzania danych osobowych. W tym przypadku Klient.
  2. Podmiot przetwarzający (Procesor) – osoba fizyczna lub prawna, organ publiczny, agencja lub jakikolwiek inny organ przetwarzający dane osobowe w imieniu i na rzecz ADO. W tym przypadku eDokumenty sp. z o.o.
  3. Umowa Główna – Umowa (o dowolnym przedmiocie i dowolnej formie przewidzianej prawem) łącząca eDokumenty sp. z o.o. z Kontrahentem, na podstawie której Procesor świadczy usługi. Każda umowa świadczenia usług, zawarta między Podmiotem przetwarzającym a ADO, na podstawie której Podmiot przetwarzający świadczy dla Administratora, w zakresie określonym w Umowie Głównej, usługi. W tym również Regulamin.
  4. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE (Dz. Urz. UE L 119 z dn. 04.05.2016 z poźn. zm.). Na potrzeby Regulaminu, przez RODO rozumieć się będzie także inne, obowiązujące na terenie Rzeczypospolitej Polskiej przepisy dotyczące ochrony danych osobowych w tym w szczególności Ustawa o Ochronie Danych Osobowych z dnia 10 maja 2018r. (Dz .U. 2018 poz. 1000 z późn. zm.).
  5. Umowa Powierzenia – umowa powierzenia przetwarzania danych osobowych w rozumieniu art. 28 ust. 3 RODO, zawarta pomiędzy ADO a Procesorem.
  6. Dane osobowe – to wszelkie informacje związane ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną. Osoba jest uznawana za osobę bezpośrednio lub pośrednio identyfikowalną poprzez odniesienie do identyfikatora, takiego jak nazwa, numer identyfikacyjny, dane dotyczące lokalizacji, identyfikator internetowy lub jeden bądź więcej czynników specyficznych dla fizycznego, fizjologicznego, genetycznego, umysłowego, ekonomicznego, kulturowego lub społecznego określenia tożsamości tej osoby fizycznej.
  7. Przetwarzanie – to dowolna zautomatyzowana lub niezautomatyzowana operacja, lub zestaw operacji wykonywanych na danych osobowych, lub w zestawach danych osobowych, która obejmuje zbieranie, rejestrowanie, organizowanie, strukturyzowanie, przechowywanie, adaptację lub zmianę, wyszukiwanie, konsultacje, wykorzystanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, wyrównanie lub połączenie, ograniczenie, usunięcie lub zniszczenie danych osobowych.
  8. Klient (Użytkownik) – osoba fizyczna, prawna lub podmiot nie mający osobowości prawnej, utrzymujący lub wchodzący w relacje handlowe z eDokumenty sp. z o.o.
  9. Regulamin – regulamin świadczenia usługi eDokumenty/Ready_™. 

§ 2
Powierzenie przetwarzania danych osobowych

  1. Administrator powierza Podmiotowi przetwarzającemu na podstawie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwanego w dalszej części „Rozporządzeniem”) dane osobowe do przetwarzania, na zasadach i w celu określonym w niniejszej Umowie.
  2. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą umową, Rozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
  3. Podmiot przetwarzający oświadcza, iż stosuje środki bezpieczeństwa spełniające wymogi Rozporządzenia.

§3
Zakres i cel przetwarzania danych

  1. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych:
    a. pracowników
    b. kontrahentów
  2. Zakres powierzonych do przetwarzania danych osobowych obejmuje następujące kategorie danych:
    a. dane identyfikacyjne (imię, nazwisko, adres e-mail, login, adres, NIP),
    b. dane adresowe (kod, miasto, ulica, numer domu),
    c. dane transakcyjne (numery kont bankowych),
    d. historia komunikacji,
    e. historia logowania.
  3. Celem powierzenia przetwarzania danych osobowych jest umożliwienie prawidłowej realizacji Umowy Głównej (każda umowa świadczenia usług, zawarta między Podmiotem przetwarzającym a Administratorem, na podstawie której Podmiot przetwarzający świadczy dla Administratora, w zakresie określonym w Umowie Głównej, usługi).

§4
Obowiązki podmiotu przetwarzającego

  1. Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, zapewniających adekwatny stopień bezpieczeństwa, odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia.
  2. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.
  3. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej umowy. 
  4. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, (o której mowa w art. 28 ust. 3 pkt b Rozporządzenia) przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej umowy, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.
  5. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem, zależnie od decyzji ADO usuwa lub zwraca mu wszelkie Dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
  6. Podmiot przetwarzający dokona usunięcia danych osobowych oraz ich kopii w terminie nie dłuższym niż 180 dni od zakończenia umowy.
  7. W miarę możliwości Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 Rozporządzenia.
  8. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi w ciągu 48h.

§5
Prawo kontroli

  1. Administrator, zgodnie z art. 28 ust. 3 pkt h) Rozporządzenia ma prawo kontroli, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia Umowy.
  2. Administrator realizować będzie prawo kontroli w godzinach pracy Podmiotu Przetwarzającego i z minimum  14-dniowym jego pisemnym uprzedzeniem.
  3. Procesor może żądać od Administratora lub osób wykonujących audyt zawarcia osobnej umowy dotyczącej poufności lub powierzenia przetwarzania danych osobowych (w zakresie, w jakim dotyczy to samego audytu) według wzoru przedstawionego przez Podmiot przetwarzający. W każdym jednak wypadku audyt nie może naruszać poufności, uzasadnionych interesów czy ochrony Danych osobowych osób trzecich, w tym kontrahentów Procesora i jego pracowników, oraz nie może doprowadzić do ujawnienia osobom trzecim informacji chronionych przez Procesora lub informacji, które w racjonalnie sposób można uznać za stanowiące jego tajemnicę, w szczególności w zakresie stosowanych rozwiązań technicznych i bezpieczeństwa.
  4. Po zakończeniu kontroli Administrator przedstawia Podmiotowi przetwarzającemu wyniki kontroli. Podmiot przetwarzający uprawniony jest do zgłoszenia Administratorowi zastrzeżeń do wyników kontroli w terminie 14 dni od dnia otrzymania wyników kontroli.
  5. Podmiot Przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia.
  6. Administrator ponosi wszelkie koszty przeprowadzenia kontroli, w tym udokumentowane koszty Podmiotu Przetwarzającego.

§6
Dalsze powierzenie danych do przetwarzania

  1. Podmiot przetwarzający może powierzyć dane osobowe, objęte niniejszą Umową, do dalszego przetwarzania podwykonawcom jedynie w celu realizacji świadczonych przez siebie usług i w ramach oferowanych przez siebie produktów po uprzednim poinformowaniu o tym Administratora w formie elektronicznej.
  2. W przypadku braku sprzeciwu w terminie 3 dni od otrzymania informacji przyjmuje się, że ADO wyraził zgodę na dalsze powierzenie przetwarzania danych osobowych podwykonawcy.
  3. Podwykonawca, o którym mowa w §6 ust. 1 Umowy winien spełniać te same gwarancje i obowiązki, jakie zostały nałożone na Podmiot przetwarzający w niniejszej Umowie, zgodnie z §28 ust. 4 Rozporządzenia.
  4. Podmiot przetwarzający ponosi odpowiedzialność wobec Administratora za nie wywiązanie się ze spoczywających na podwykonawcy obowiązków ochrony danych osobowych, zgodnie z Rozporządzeniem.
  5. W momencie zawarcia umowy Administrator wyraża zgodę na dalsze powierzenie przetwarzania danych osobowych Podwykonawcy:
    a. dla instancji w domenie edokumenty.eu – Betasoft sp. z o.o., pl. T. Kościuszki 9, 41-902 Bytom, NIP: 6271342796,
    b. dla instancji w domenie ready-os.com:
    – do dnia 17.02.2023 r. – Betasoft sp. z o.o., pl. T. Kościuszki 9, 41-902 Bytom, NIP: 6271342796;
    – od dnia 18.02.2023 r. – Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luksemburg R.C.S., Luxembourg: B186284, numer rejestracji dla celów VAT w Polsce: NIP 1080022032.

§ 7
Odpowiedzialność Podmiotu przetwarzającego

  1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym, wyłącznie, gdy nie dopełnił obowiązków, które Umowa lub powszechnie obowiązujące przepisy prawa nakładają bezpośrednio na podmioty przetwarzające. W żadnym wypadku Podmiot Przetwarzający nie ponosi odpowiedzialności za utracone korzyści Administratora.
  2. Podmiot przetwarzający nie ponosi odpowiedzialności, o której mowa w ust. 1 powyżej, jeżeli wykaże, że nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody.
  3. Całkowita odpowiedzialność Podmiotu przetwarzającego wobec Administratora nie może przekroczyć niższej z kwot:
    – kwoty zapłaconej na rzecz Podmiotu przetwarzającego przez Administratora na podstawie Umowy Głównej w okresie ostatnich sześciu (6) miesięcy, lub
    – limitu odpowiedzialności określonego w Umowie Głównej.
  4. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych, określonych w umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu, dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych,  o ile są wiadome, lub realizowanych kontrolach i inspekcjach, dotyczących przetwarzania w Podmiocie przetwarzającym tych danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez Prezesa Urzędu Ochrony Danych Osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora danych.

§8
Czas obowiązywania umowy

  1. Niniejsza umowa obowiązuje od dnia jej zawarcia przez czas obowiązywania umowy określonej w § 2 ust. 3.
  2. Każda ze stron może wypowiedzieć niniejszą umowę z zachowaniem 14-dniowego okresu wypowiedzenia.

§9
Rozwiązanie umowy

  1. Administrator może rozwiązać niniejszą umowę ze skutkiem natychmiastowym, gdy Podmiot przetwarzający:
    a. pomimo zobowiązania go do usunięcia uchybień, stwierdzonych podczas kontroli, nie usunie ich w wyznaczonym terminie;
    b. przetwarza dane osobowe w sposób niezgodny z umową;
    c. powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Administratora danych.

§10
Zasady zachowania poufności

  1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych, otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
  2. Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika  z obowiązujących przepisów prawa lub Umowy.

§11
Postanowienia końcowe

  1. W przypadku, gdy którekolwiek z ustaleń niniejszej umowy jest lub stanie się nieważnym, pozostałe ustalenia niniejszej umowy są nadal obowiązujące. Strony umowy zobowiązują się zastąpić nieważne ustalenia umowy, innymi ustaleniami, które jak najlepiej będą odpowiadały treści i sensowi ustaleń pierwotnie obowiązujących.
  2. Strony umowy oświadczają, że są w pełni zdolne do czynności prawnych, z umową dokładnie się zapoznały i dokładnie ją przeczytały i zgadzają się z jej treścią.
  3. Umowa podlega prawu polskiemu. W razie zaistnienia sporu wynikającego z Umowy, którego Strony nie mogą rozwiązać w drodze wzajemnych negocjacji, spór zostanie rozpoznany przez Sąd właściwy dla Podmiotu przetwarzającego.
  4. Integralną część umowy stanowi załącznik „Standardowe środku techniczne i organizacyjne.” zamieszczony poniżej.

Standardowe środki techniczne i organizacyjne

I.
Środki organizacyjne – Procedury i polityki obowiązujące w eDokumenty sp. z o.o.

  1. Wdrażane są niezbędne procedury i polityki służące m.in. zapewnieniu bezpieczeństwa, poufności, integralności i dostępności danych klientów (w tym danych osobowych, w stosunku do których administratorami są klienci), do których w ramach świadczonych usług uzyskują dostęp pracownicy lub współpracownicy spółki eDokumenty.
  2. Spółka eDokumenty wdrożyła procedury i powiązane z nimi instrukcje określające w szczególności:
    2.1. politykę zarządzania siecią informatyczną,
    2.2. zasady administracji systemami i aplikacjami,
    2.3. zasady zabezpieczenia komputerów osobistych,
    2.4. zasady korzystania z nośników informacji,
    2.5. zasady dostępu zdalnego,
    2.6. zasady bezpieczeństwa poczty elektronicznej,
    2.7. politykę haseł,
    2.8. politykę antywirusową.
  3. Wdrażane są ponadto dedykowane procedury służące zapewnieniu prawidłowego wykonania wynikających z RODO obowiązków jako administratorów oraz obowiązków jako podmiotów przetwarzających (w stosunku do danych klientów).

II.
Środki techniczne i organizacyjne – kontrola dostępu

  1. W eDokumenty wdrażane są odpowiednie środki techniczne i organizacyjne zapewniające ograniczenie dostępu do systemów, środowisk i zbiorów danych wyłącznie dla osób upoważnionych.
  2. Dostęp do systemów wewnętrznych i środowisk oraz danych klientów możliwy jest tylko dla upoważnionych pracowników lub współpracowników po zalogowaniu na indywidualne konto i przy użyciu indywidualnego hasła zgodnego z Polityką haseł.
  3. Zdalny dostęp pracowników lub współpracowników do sieci eDokumenty i późniejsza wymiana informacji odbywają się po uwierzytelnieniu przy wykorzystaniu bezpiecznych mechanizmów, zapewniających poufność i integralność (np. VPN).

III.
Środki techniczne i organizacyjne

BetaSoft Data Center

  1. eDokumenty oferuje klientom korzystanie z BetaSoft Data Center.
  2. Backup systemów wewnętrznych podlega centralnemu systemowi backupów zgodnie z Procedurą Backup serwerów.
  3. Backup systemów klientów oraz backup danych klientów podlegają zasadom określonym w umowach z klientami. Standardowe procedury BetaSoft Data Center przewidują maksymalny okres retencji backupów do 3 tygodni), przy czym okres retencji może zostać wydłużony na żądanie klienta zgodnie z postanowieniami Umowy Głównej.
  4. Stosowana jest logiczna bądź fizyczna separacja środowisk poszczególnych Klientów (VLANy, VMy itp.)
  5. Do poszczególnych środowisk mają dostęp jedynie pracownicy lub współpracownicy
  6. BetaSoft Data Center stosuje:
    1. niezależne i redundantne obiegi klimatyzacji z jednym aktywnym obiegiem;
    2. redundantne linie energetycznie z jedną aktywną ścieżką;
    3. systemy zasilania awaryjnego (UPS’y lub generatory prądotwórcze);
    4. wielostrefową ochronę przeciwpożarową;
    5. system gaśniczy oparty o gaz neutralny lub gaz chemiczny;
    6. alarm przeciwpożarowy oraz automatyczna notyfikacja.

AWS Amazon

  1. eDokumenty oferuje klientom korzystanie z AWS Amazon.
  2. Backup i archiwizacja – w celu maksymalnej ochrony danych:
    1. wszystkie rozwiązania sprzętowe i systemowe pochodzą od certyfikowanego dostawcy (ISO27001, CSA, SOC);
    2. automatycznie wykonywane są regularne kopie całego serwera oraz wybranych zasobów do zapasowej lokalizacji. Proces jest objęty ciągłym monitoringiem;
    3. każda kopia bazy danych oraz przyrostowe kopie plików przechowywane są przez okres 31 dni dostęp do serwerów jest ograniczony wyłącznie do minimalnego zakresu usług (http, https), połączenia do pozostałych usług na cele administracji możliwe są wyłącznie dla określonej grupy adresów IP.
  3. Aplikacje na platformie – Bezpieczeństwo aplikacji zapewnione jest we wszystkich z dziesięciu obszarów standardu OWASP Level II  (Standard weryfikowania bezpieczeństwa aplikacji),  który definiuje szczegółowe zasady tworzenia aplikacji webowych. Na poziomie użytkownika bezpieczeństwo zapewnia odpowiednia polityka haseł, blokowanie dostępu w razie prób ich zgadywania oraz szyfrowana protokołem SSL transmisja danych.
  4. Szczegółowe informacje na temat bezpieczeństwa przechowywania danych, użytej technologii, a także rekomendacji na temat chmury AWS Amazon znajdują się na stronach usługodawcy pod adresami:
    1. https://aws.amazon.com/compliance/programs/
    2. https://aws.amazon.com/efs/
    3. https://docs.aws.amazon.com/efs/latest/ug/whatisefs.html
    4. https://aws.amazon.com/rds/
    5. https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Welcome.html
    6. https://owasp.org/www-pdf-archive/OWASP_Application_Security_Verification_Standard_3.0.1_PL.pdf

IV.
Incydenty bezpieczeństwa

W eDokumenty wdrożono procedurę zarządzania incydentami naruszenia bezpieczeństwa i nałożono na wszystkich pracowników obowiązek zgłaszania wszelkiego rodzaju incydentów naruszenia bezpieczeństwa, w tym incydentów dotyczących naruszenia ochrony danych osobowych.

Top