Umowa powierzenia przetwarzania danych Osobowych

Umowa powierzenia przetwarzania danych (“DPA“), zawierana jest na podstawie art. 28 ust. 3 RODO i wraz z Polityką prywatności oraz EULA 
stanowią umowę (“Umowa“) zawartą pomiędzy każdą osobą lub podmiotem będącym klientem (zwanym dalej „Administratorem danych” lub „Administratorem”, „Klientem”, „Tobą”)

a

Deviniti Sp. z o. o. z siedzibą we Wrocławiu, ul. Sudecka 153, 53-128 Wrocław, wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla Wrocławia – Fabrycznej we Wrocławiu, VI Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000223645, NIP: 897-17-00-419, REGON: 933044506, o kapitale zakładowym w wysokości 54.400,00 zł, (zwaną dalej „Podmiotem przetwarzającym” lub „Procesorem”, „Nami”)

zwanymi dalej łącznie „Stronami” lub każda z osobna „Stroną

ZWAŻYWSZY, ŻE: 

  1. Administrator zamierza korzystać z aplikacji Procesora zamieszczonych na Atlassian Marketplace („Produkty”),
  2. niezbędne jest powierzenie Procesorowi przez Administratora przetwarzania danych osobowych,

Strony uzgodniły, co następuje:

Na potrzeby Umowy, Klient może pełnić rolę Administratora lub Przetwarzającego, a Deviniti Sp. z o.o. pełni rolę Przetwarzającego lub Podprzetwarzającego, w zależności od sytuacji.

§ 1. Przedmiot Umowy

  1. Administrator oświadcza, że – w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”) – jest administratorem danych określonych w § 1 ust. 2 poniżej.
  2. Administrator powierza Procesorowi przetwarzanie wszelkich danych osobowych („dane”) w związku z korzystaniem przez Administratora z oferowanych Produktów, a Podmiot przetwarzający podejmuje się ich przetwarzania. 
  3. Procesor może przetwarzać podane dane wyłącznie w zakresie i celu niezbędnym do utrzymania usług wynikających z korzystania przez Administratora z oferowanych Produktów.
  4. Wyłączną odpowiedzialność za ocenę dopuszczalności przetwarzania danych osobowych zgodnie z art. 6 ust. 1 RODO ponosi Administrator.
  5. Procesor będzie wykorzystywał dane osobowe wyłącznie w celu zapewnienia prawidłowego działania Produktu. Procesor nie będzie przechowywał, wykorzystywał, sprzedawał ani ujawniał danych osobowych Klienta w jakimkolwiek innym celu, z zastrzeżeniem prowadzonych działań marketingowych, pod warunkiem, że Administrator wyraził zgodę na otrzymywanie treści o takim charakterze.
  6. Umowa powierzenia przetwarzania danych stanowi uzupełnienie postanowień Polityki Prywatności i EULA i jest ich integralną częścią w sytuacji, gdy w trakcie korzystania przez Klienta z oferowanych Produktów, dochodzi do powierzenia przetwarzania danych.
  7. Strony nie przewidują przekazywania danych wrażliwych.
  8. Częstotliwość przekazywania Danych (np. to czy dane są przekazywane jednorazowo czy w sposób ciągły) jest uzależniona od danego Produktu i korzystania z niego przez Klienta.

§ 2. Charakter przetwarzania

  1. Dane osobowe będą przetwarzane zgodnie z postanowieniami Umowy i mogą być przedmiotem następujących czynności Przetwarzania: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych osobowych.
  2. Procesor będzie przetwarzać Dane w zakresie niezbędnym do zapewnienia funkcjonowania Produktu.
  3. Podmiot przetwarzający, w ramach wykonywania przedmiotu Umowy, w zależności od rodzaju Produktu, może mieć dostęp do następujących danych lub informacji dotyczących użytkownika końcowego:

    • imienia i nazwiska,
    • adresu e-mail,
    • adresu IP,
    • ID,
    • numeru telefonu,
    • informacji o użytkowniku końcowym (awatar, identyfikator konta, wyświetlana nazwa),
    • danych użytkownika końcowego zawartych w zgłoszeniach Jira, projektach, załącznikach i innych jednostkach Jira udostępnionych aplikacji,
    • nazwy firmy,
    • informacji o kraju.
  4. Okres, przez który dane osobowe będą przechowywane:

    • Procesor będzie przetwarzać dane osobowe zgodnie z czasem trwania korzystania z Produktu, z zastrzeżeniem, że okres ten nie będzie dłuższy niż 12 miesięcy od dnia zakończenia korzystania z Produktu przez Klienta,
    • Podprocesorzy będą przetwarzać dane osobowe w zakresie niezbędnym do zapewnienia dostępu do Produktu, zgodnie z przepisami prawa i postanowieniami Umowy.

§ 3. Zobowiązania i oświadczenia

1. Procesor oświadcza, że posiada infrastrukturę, zasoby, doświadczenie, wiedzę i dobrze wykwalifikowany personel zdolny do wykonywania swoich obowiązków zgodnie z obowiązującymi przepisami prawa. W szczególności Procesor oświadcza, że znane są mu zasady przetwarzania i ochrony danych osobowych wynikające z rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 679/2016 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

2. Każda ze Stron będzie przestrzegać obowiązujących przepisów o ochronie danych osobowych, w szczególności RODO.

3. Procesor zobowiązany jest:

1)  przetwarzać podane dane osobowe wyłącznie na mocy Umowy, z wyjątkiem sytuacji, gdy jest do tego zobowiązany przepisami prawa; w przypadku, gdy przetwarzanie danych osobowych przez Procesora wynika z przepisów prawa, informuje on Administratora drogą elektroniczną – przed rozpoczęciem przetwarzania – o tym przymusie prawa, jeżeli prawo zezwala na udzielenie takiej informacji ze względu na interes publiczny;

2)  przetwarzać podane dane osobowe zgodnie z RODO i Umową;

3) wprowadzać odpowiednie środki techniczne i organizacyjne, aby zapewnić poziom bezpieczeństwa odpowiadający ryzyku, jakie stanowi naruszenie praw lub wolności osób fizycznych, których dane osobowe będą przetwarzane na podstawie i w zakresie Umowy;

4) wspierać Administratora w realizacji obowiązku odpowiedzi na żądanie osoby, której dane dotyczą, w zakresie korzystania przez nią z prawa ustanowionego w RODO, rozdział 3. Współpraca Procesora z Administratorem w zakresie, o którym mowa powyżej, odbywa się w formie i czasie dogodnym dla Stron, umożliwiając im jednocześnie wykonywanie ich działalności;

5) pomagać Administratorowi, w zakresie:

  1. zapewnienia bezpieczeństwa przetwarzania danych osobowych poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych;
  2. zgłaszania organowi nadzorczemu wszelkich naruszeń ochrony danych osobowych oraz informowania o tych naruszeniach osób, których dane dotyczą.

§ 4. Środki techniczne i organizacyjne

1. Procesor wdraża i stosuje odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, jakie stanowi naruszenie praw lub wolności osób fizycznych, których dane osobowe będą przetwarzane w związku z korzystaniem z Produktu.

2. Przy ocenie, czy poziom bezpieczeństwa, o którym mowa powyżej, jest odpowiedni, Procesor zobowiązany jest uwzględnić ryzyko związane z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia lub przypadkowej utraty, zmiany, nieuprawnionego ujawnienia lub jakiegokolwiek niezgodnego z prawem dostępu do przekazywanych, przechowywanych lub przetwarzanych danych osobowych.

3. Przy wdrażaniu środków technicznych i organizacyjnych Procesor:

1) stosuje się do wytycznych Administratora w zakresie środków bezpieczeństwa przetwarzania danych osobowych, zgodnie z obowiązującymi przepisami prawa;

2) uwzględnia aktualną wiedzę techniczną, kontekst, charakter, zakres, cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, których dane osobowe będą przetwarzane na podstawie i w zakresie Umowy.

4. Co do zasady przetwarzanie danych odbywa się na terytorium UE lub EOG. Podmiot przetwarzający dokonuje transferu danych osobowych do certyfikowanych podmiotów i krajów, co do których Komisja Europejska wydała decyzje o adekwatności ochrony Danych Osobowych oraz na podstawie Standardowych Klauzul Umownych, z zastosowaniem dodatkowych zabezpieczeń (technicznych i prawnych) lub Wiążących Reguł Korporacyjnych. co zapewnia odpowiedni poziom ochrony danych.

5. Procesor informuje Administratora o możliwości wyboru świadczenia usług wyłącznie przy użyciu infrastruktury zlokalizowanej w Europejskim Obszarze Gospodarczym zawsze, kiedy wybrany Produkt będzie umożliwiał takie rozwiązanie.

§ 5. Podprzetwarzanie

1. Administrator wyraża zgodę na dalsze powierzenie przez Procesora przetwarzania swoich danych innym podmiotom w związku z zapewnieniem prawidłowego funkcjonowania Produktu.

2. Procesor zapewnia, że będzie korzystał z usług świadczonych wyłącznie przez podmioty przetwarzające, które dają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, tak aby przetwarzanie spełniało wymogi RODO, jak również było zgodne z aktualnymi przepisami prawa dotyczącego ochrony danych osobowych.

3. Procesor ponosi wobec Administratora pełną odpowiedzialność za dotrzymanie zobowiązań umownych wynikających z RODO zawartych pomiędzy Procesorem a dalszym podmiotem przetwarzającym. Jeżeli podmiot dalej przetwarzający nie będzie wykonywał obowiązków dotyczących ochrony danych osobowych, Procesor będzie ponosił odpowiedzialność wobec Administratora za nieprzestrzeganie zobowiązań umownych.

4. Lista podprzetwarzających znajduje się na stronie internetowej Procesora. Szczegółowe informacje odnośnie do ochrony danych osobowych tych podmiotów znajdują się w ich politykach prywatności.

5. Osoby fizyczne prowadzące jednoosobowe działalności gospodarcze i współpracujące z Procesorem na podstawie stałych umów cywilnoprawnych traktowane są tak jak personel Procesora. Procesor zastrzega, że przekazywanie danych osobowych takim osobom odbywa się zgodnie z aktualnymi przepisami prawa.

6. W przypadku wyboru przez Administratora świadczenia usług wyłącznie przy użyciu infrastruktury zlokalizowanej w Europejskim Obszarze Gospodarczym, zastosowanie będą miały jedynie podmioty określone jako zlokalizowane na terenie UE lub EOG dla danego Administratora.

7. Procesor jest uprawniony do zmiany listy podmiotów, o której mowa w ust. 4 powyżej, dokonując stosownej modyfikacji na swojej stronie internetowej (poniżej). Jeżeli Procesor powiadomił Administratora o dokonywanej zmianie, to skuteczny sprzeciw może być złożony w terminie 7 dni od takiego powiadomienia.

§ 6. Audyty

1. Administrator jest upoważniony do przeprowadzenia audytu zgodności przetwarzania danych osobowych przez Procesora z Umową oraz obowiązującymi przepisami prawa, w szczególności Administrator może przeprowadzić weryfikację zgodności i adekwatności środków technicznych i organizacyjnych zabezpieczających przetwarzanie danych osobowych wdrożonych przez Procesora.

2. Audyt w pierwszej kolejności wykonywany jest poprzez wystosowanie przez Administratora do Procesora wezwania do udzielenia niezbędnych wyjaśnień w terminie 14 dni od dnia otrzymania wezwania. W przypadku braku udzielenia odpowiedzi w tym terminie, Administrator będzie uprawniony do przeprowadzenia bezpośredniego audytu na zasadach określonych poniżej.

3. Administrator poinformuje Procesora na co najmniej 14 dni przed planowaną datą audytu o zamiarze jego przeprowadzenia. Jeżeli z ważnych powodów, w ocenie Procesora, audyt nie może zostać przeprowadzony we wskazanym terminie, Procesor powinien poinformować o tym fakcie Administratora drogą elektroniczną, wskazując uzasadnienie dla takiej oceny. W takim przypadku Strony wspólnie ustalą późniejszy termin audytu.

4. Audyt bezpośredni może być wykonywany przez Administratora lub podmioty zewnętrzne, którym Administrator zleci wykonanie audytu, w dni robocze, w godzinach od 8.00 do 16.00, pod warunkiem jednak, że przeprowadzany audyt nie będzie zakłócał pracy przedsiębiorstwa Procesora.

5. Procesor ma obowiązek współpracować z osobami dokonującymi audytu, w szczególności zapewniać im dostęp do pomieszczeń i dokumentów obejmujących dane osobowe oraz informacje o sposobie przetwarzania danych osobowych, infrastruktury teleinformatycznej oraz systemów IT, a także do osób mających wiedzę na temat procesów przetwarzania danych osobowych realizowanych przez Procesora.

6. Po przeprowadzonym audycie, przedstawiciel Administratora sporządza protokół pokontrolny, który podpisują przedstawiciele obu Stron. Procesor zobowiązuje się, w terminie uzgodnionym z Administratorem, dostosować do zaleceń pokontrolnych zawartych w protokole, mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania danych osobowych.

7. Koszty związane z przeprowadzeniem audytu ponosi Strona, która zleciła przeprowadzenie audytu, bez prawa do żądania zwrotu takich kosztów ani zapłaty dodatkowego wynagrodzenia.

§ 7. Naruszenia bezpieczeństwa danych

1. Procesor zobowiązany jest do wdrożenia i przestrzegania procedur wykrywania naruszeń danych oraz wdrożenia odpowiednich środków zaradczych.

2. Po zauważeniu naruszenia danych powierzonych Procesorowi przez Administratora, Procesor, bez zbędnej zwłoki i możliwie nie później niż w ciągu 48 godzin od wykrycia naruszenia, powiadamia Administratora o zaistniałej sytuacji.

3. Procesor, bez zbędnej zwłoki, podejmuje wszelkie uzasadnione działania w celu zminimalizowania i naprawienia negatywnych skutków naruszenia.

4. Procesor zobowiązany jest do udokumentowania każdego naruszenia powierzonych mu danych osobowych, w tym okoliczności naruszenia, jego skutków oraz działań naprawczych, które zostały.

§ 8. Czas trwania Umowy

1. Czas trwania Umowy powiązany jest ściśle z okresem korzystania z Produktu, chyba że z Umowy wynikają obowiązki lub prawa przekraczające ten okres.

2. Administrator ma prawo wypowiedzieć Umowę ze skutkiem natychmiastowym z ważnych powodów, w tym z powodu naruszenia przez Procesora lub podprocesorów przepisów RODO i innych bezwzględnie obowiązujących przepisów prawa lub postanowień Umowy, w szczególności, gdy:

1)  urząd regulacyjny ds. przestrzegania zasad przetwarzania danych osobowych stwierdzi, że Procesor lub podprocesor narusza zasady przetwarzania danych;

2)  prawomocne orzeczenie sądu powszechnego wykaże, że Procesor lub podprocesor nie przestrzega zasad przetwarzania danych.    

Lista Podwykonawców Przetwarzania

NazwaPolityka Prywatności
Salesforce, Inc (Heroku)https://www.salesforce.com/privacy/overview/
Amazon Web Services, Inchttps://aws.amazon.com/privacy/
Functional Software, Inc. / Sentry.iohttps://sentry.io/about/
SolarWinds Worldwide, LLChttps://www.solarwinds.com/legal/privacy
New Relic, Inchttps://newrelic.com/termsandconditions/privacy
Google Inc., https://policies.google.com/privacy
OpenAI, L.L.C.https://openai.com/pl/policies/eu-privacy-policy
Better Stack, Inc.https://betterstack.com/privacy
Coralogix LTDhttps://coralogix.com/privacy-policy/
Tableau Software, LLChttps://www.salesforce.com/company/privacy/
Survicate S.A,https://survicate.com/
Google Ireland Limitedhttps://policies.google.com/privacy
Hotjar Limitedhttps://www.hotjar.com/legal/policies/privacy/
Twilio Ireland Limited https://www.twilio.com/en-us/legal/privacy
84codeshttps://www.cloudamqp.com/legal/privacy_policy.html