Umowa powierzenia przetwarzania danych osobowych (DPA)
§ 1. Strony i definicje
- Niniejsza umowa powierzenia przetwarzania danych osobowych (dalej: Umowa lub DPA) zostaje zawarta pomiędzy:
- URES sp. z o.o. z siedzibą w Warszawie, ul. Złota 75A/7, 00-819 Warszawa, KRS 0001016567, NIP 5214003808 - jako Podmiotem przetwarzającym (procesorem), oraz
- Użytkownikiem będącym przedsiębiorcą, który zawarł umowę o świadczenie usługi Archbridge i wprowadza do Pokoi dane osobowe, których jest administratorem - jako Administratorem.
- Umowa zostaje zawarta z chwilą akceptacji jej treści przez Administratora przy zakupie lub w panelu zarządzania Kontem, najpóźniej przed wprowadzeniem do Pokoju danych osobowych osób trzecich. [do ustalenia: tryb zawarcia - akceptacja przy zakupie / na żądanie; plany objęte: Pro, Team, Business]
- Pojęcia pisane wielką literą, niezdefiniowane w Umowie, mają znaczenie nadane im w Regulaminie Archbridge oraz w RODO (rozporządzenie (UE) 2016/679). Umowa stanowi powierzenie przetwarzania w rozumieniu art. 28 RODO.
- Umowa dotyczy wyłącznie danych osobowych zawartych w Treściach Użytkownika wprowadzanych do Pokoi, w odniesieniu do których Administratorem jest Użytkownik. Nie dotyczy danych Konta i danych rozliczeniowych, których administratorem jest URES sp. z o.o. (zob. Polityka Prywatności).
§ 2. Przedmiot i cel powierzenia
- Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych zawartych w Treściach Użytkownika, w zakresie i w celu niezbędnym do świadczenia usługi Archbridge zgodnie z Regulaminem.
- Charakter przetwarzania: techniczne przechowywanie, przesyłanie między uczestnikami Pokoju oraz udostępnianie w ramach Nadzoru człowieka, a także wykonywanie kopii zapasowych - wyłącznie w zakresie niezbędnym do działania Usługi.
- Podmiot przetwarzający przetwarza dane wyłącznie na udokumentowane polecenie Administratora. Za takie polecenie uważa się korzystanie z Usługi zgodnie z Regulaminem oraz ustawienia konfiguracyjne dokonane przez Administratora. Podmiot przetwarzający nie wykorzystuje danych do celów własnych, w szczególności nie analizuje ich ani nie wykorzystuje do trenowania modeli sztucznej inteligencji.
- Jeżeli Podmiot przetwarzający jest zobowiązany do przetwarzania na mocy prawa Unii lub prawa polskiego, informuje o tym Administratora przed przetwarzaniem, chyba że prawo zakazuje takiego informowania z uwagi na ważny interes publiczny.
§ 3. Czas trwania, rodzaj danych i kategorie osób
- Czas przetwarzania: przez okres obowiązywania umowy o świadczenie Usługi oraz - w odniesieniu do poszczególnych Treści - przez okres retencji właściwy dla wybranego Planu, po którym dane są usuwane zgodnie z § 9.
- Rodzaj danych osobowych: dane zawarte w Treściach wprowadzanych przez Administratora do Pokoi - ich zakres określa samodzielnie Administrator. Mogą to być w szczególności dane identyfikacyjne i kontaktowe, dane zawodowe oraz treść korespondencji. Usługa nie jest przeznaczona do przetwarzania danych szczególnych kategorii (art. 9 RODO) - za ich ewentualne wprowadzenie odpowiada Administrator.
- Kategorie osób, których dane dotyczą: określa je Administrator; mogą to być w szczególności pracownicy, współpracownicy, klienci i kontrahenci Administratora oraz inne osoby, których dane Administrator wprowadza do Pokoi.
§ 4. Obowiązki Podmiotu przetwarzającego
Podmiot przetwarzający, zgodnie z art. 28 ust. 3 RODO, zobowiązuje się:
- przetwarzać dane wyłącznie na udokumentowane polecenie Administratora (§ 2 ust. 3);
- zapewnić, by osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
- stosować środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzania odpowiednie do ryzyka (art. 32 RODO), w tym: szyfrowanie transmisji (TLS/HTTPS), uwierzytelnianie OAuth 2.1, kontrolę dostępu do Pokoi za pomocą odrębnych sekretów, przechowywanie danych w infrastrukturze zlokalizowanej w Unii Europejskiej (pliki w magazynie R2 o jurysdykcji UE) oraz kontrolę dostępu, kopie zapasowe i monitorowanie;
- przestrzegać warunków podpowierzenia przetwarzania (§ 5);
- w miarę możliwości pomagać Administratorowi - poprzez odpowiednie środki techniczne i organizacyjne - w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw (§ 7);
- pomagać Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków, uprzednie konsultacje), uwzględniając charakter przetwarzania i dostępne informacje;
- po zakończeniu świadczenia Usługi usunąć lub zwrócić dane zgodnie z § 9;
- udostępniać Administratorowi informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO oraz umożliwiać audyty zgodnie z § 7.
§ 5. Podpowierzenie przetwarzania (subprocesorzy)
- Administrator wyraża ogólną zgodę na korzystanie przez Podmiot przetwarzający z dalszych podmiotów przetwarzających (subprocesorów) w celu świadczenia Usługi. Na dzień zawarcia Umowy są to:
Subprocesor Rola Lokalizacja Cloudflare, Inc. infrastruktura: Workers, Durable Objects, baza D1, KV, magazyn plików R2 UE (D1 - Wiedeń; R2 - jurysdykcja UE) oraz globalna infrastruktura - zob. § 6 Stripe Payments Europe, Limited obsługa płatności (w zakresie danych rozliczeniowych - jako odrębny administrator) Irlandia / USA - zob. § 6 - Podmiot przetwarzający nakłada na każdego subprocesora - w drodze umowy - obowiązki ochrony danych odpowiadające obowiązkom z niniejszej Umowy, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych (art. 28 ust. 4 RODO).
- O zamierzonych zmianach dotyczących dodania lub zastąpienia subprocesorów Podmiot przetwarzający informuje Administratora (przez komunikat w Serwisie lub w panelu Konta), dając Administratorowi możliwość wyrażenia sprzeciwu. [do ustalenia: termin uprzedzenia o zmianie subprocesora, np. 14 dni, i skutki sprzeciwu]
§ 6. Transfery do państw trzecich
- Co do zasady dane są przetwarzane w Europejskim Obszarze Gospodarczym. Część operacji technicznych może wiązać się z przekazaniem ograniczonego zakresu danych poza EOG (m.in. globalne komponenty infrastruktury Cloudflare oraz operacje płatnicze Stripe).
- Każde przekazanie poza EOG następuje wyłącznie na podstawie: a) decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony (art. 45 RODO), w szczególności programu EU-U.S. Data Privacy Framework, lub b) standardowych klauzul umownych zatwierdzonych decyzją wykonawczą Komisji (UE) 2021/914 (art. 46 RODO), wraz z dodatkowymi środkami zabezpieczającymi tam, gdzie są wymagane. [do potwierdzenia: aktualny status DPF dostawców i zawarte SCC]
§ 7. Pomoc Administratorowi. Audyt
- Podmiot przetwarzający pomaga Administratorowi w realizacji żądań osób, których dane dotyczą (dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw). Jeżeli żądanie wpłynie bezpośrednio do Podmiotu przetwarzającego, przekazuje je niezwłocznie Administratorowi i nie odpowiada na nie samodzielnie bez polecenia Administratora.
- Podmiot przetwarzający udostępnia Administratorowi informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO oraz umożliwia przeprowadzenie audytu (w tym inspekcji) przez Administratora lub upoważnionego audytora. Audyt odbywa się po uprzednim, rozsądnym powiadomieniu, w godzinach pracy, w sposób niezakłócający bezpieczeństwa i ciągłości Usługi oraz nienaruszający poufności danych innych klientów. [do ustalenia: tryb audytu, koszty, częstotliwość, możliwość wykazania zgodności poprzez certyfikaty/raporty zamiast inspekcji on-site]
§ 8. Naruszenia ochrony danych
- Podmiot przetwarzający, po stwierdzeniu naruszenia ochrony danych osobowych dotyczącego powierzonych danych, zgłasza je Administratorowi bez zbędnej zwłoki, nie później niż w terminie umożliwiającym Administratorowi wywiązanie się z obowiązku z art. 33 RODO. [do ustalenia: konkretny termin, np. bez zbędnej zwłoki, nie później niż 48 godzin od stwierdzenia]
- Zgłoszenie zawiera co najmniej informacje wymagane art. 33 ust. 3 RODO w zakresie dostępnym Podmiotowi przetwarzającemu. Podmiot przetwarzający współdziała z Administratorem przy obsłudze naruszenia i ewentualnym zawiadamianiu organu nadzorczego oraz osób, których dane dotyczą.
§ 9. Usunięcie lub zwrot danych
- Po zakończeniu świadczenia Usługi związanego z przetwarzaniem Podmiot przetwarzający - zależnie od decyzji Administratora - usuwa lub zwraca powierzone dane osobowe oraz usuwa istniejące kopie, chyba że prawo Unii lub prawo polskie nakazuje przechowywanie danych.
- W trakcie obowiązywania Umowy poszczególne Treści są usuwane po upływie okresu retencji właściwego dla Planu, zgodnie z Regulaminem; Administrator może usuwać Treści samodzielnie w każdej chwili.
§ 10. Odpowiedzialność. Postanowienia końcowe
- Każda ze Stron odpowiada za szkody spowodowane przetwarzaniem niezgodnym z RODO na zasadach określonych w art. 82 RODO. Ograniczenia odpowiedzialności wynikające z Regulaminu stosuje się w zakresie dopuszczalnym przepisami bezwzględnie obowiązującymi.
- Umowa stanowi załącznik do Regulaminu Archbridge i obowiązuje przez czas obowiązywania umowy o świadczenie Usługi. W sprawach nieuregulowanych stosuje się RODO, ustawę o ochronie danych osobowych oraz Regulamin.
- W razie sprzeczności między Umową a Regulaminem w zakresie powierzenia przetwarzania danych osobowych pierwszeństwo ma Umowa.
- Prawem właściwym jest prawo polskie. Spory rozstrzyga sąd właściwy zgodnie z Regulaminem.