Umowa powierzenia przetwarzania danych
Ostatnia aktualizacja: 1 marca 2026
Niniejsza Umowa powierzenia przetwarzania danych („DPA") zostaje zawarta pomiędzy użytkownikiem usługi alertów o ofertach lotów flydeal.pl („Administrator", „Ty" lub „Twój") a Back Hills Assets LLC, spółką zarejestrowaną w stanie Delaware, Stany Zjednoczone („Podmiot przetwarzający", „flydeal.pl", „my" lub „nasz").
Niniejsza DPA stanowi integralną część Regulaminu („Umowa") pomiędzy Administratorem a Podmiotem przetwarzającym i reguluje przetwarzanie danych osobowych przez Podmiot przetwarzający w imieniu Administratora w związku ze świadczeniem usługi alertów o ofertach lotów flydeal.pl („Usługa").
Niniejsza DPA ma na celu zapewnienie zgodności z art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych („RODO") oraz wszystkimi innymi obowiązującymi przepisami o ochronie danych i powinna być interpretowana zgodnie z RODO.
Korzystając z Usługi, Administrator wyraża zgodę na warunki niniejszej DPA. Jeśli Administrator nie zgadza się z niniejszą DPA, nie powinien korzystać z Usługi.
1. Definicje
Na potrzeby niniejszej DPA poniższe terminy mają znaczenia określone poniżej. Wszystkie terminy pisane wielką literą, niezdefiniowane w niniejszym dokumencie, mają znaczenia nadane im w RODO lub Umowie.
- „Administrator" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych, zgodnie z definicją zawartą w art. 4 pkt 7 RODO. W kontekście niniejszej DPA Administratorem jest użytkownik Usługi.
- „Podmiot przetwarzający" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora, zgodnie z definicją zawartą w art. 4 pkt 8 RODO. W kontekście niniejszej DPA Podmiotem przetwarzającym jest Back Hills Assets LLC.
- „Dane osobowe" oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („Osoba, której dane dotyczą"), zgodnie z definicją zawartą w art. 4 pkt 1 RODO. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość tej osoby fizycznej.
- „Przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie, zgodnie z definicją zawartą w art. 4 pkt 2 RODO.
- „Osoba, której dane dotyczą" oznacza zidentyfikowaną lub możliwą do zidentyfikowania osobę fizyczną, której dotyczą dane osobowe.
- „Dalszy podmiot przetwarzający" oznacza każdą stronę trzecią zaangażowaną przez Podmiot przetwarzający (lub przez każdy kolejny dalszy podmiot przetwarzający) do przetwarzania danych osobowych w imieniu Administratora.
- „Naruszenie ochrony danych osobowych" oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, zgodnie z definicją zawartą w art. 4 pkt 12 RODO.
- „Organ nadzorczy" oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie UE zgodnie z art. 51 RODO. Właściwy organ nadzorczy określa się na podstawie państwa członkowskiego UE, w którym znajduje się miejsce zwykłego pobytu, miejsce pracy lub miejsce popełnienia domniemanego naruszenia dotyczącego osoby, której dane dotyczą.
- „Standardowe klauzule umowne" (SKU) oznaczają klauzule umowne zatwierdzone przez Komisję Europejską na podstawie art. 46 ust. 2 lit. c) RODO dotyczące przekazywania danych osobowych do krajów spoza Europejskiego Obszaru Gospodarczego (EOG), które nie korzystają z decyzji stwierdzającej odpowiedni stopień ochrony.
- „EOG" oznacza Europejski Obszar Gospodarczy, obejmujący państwa członkowskie Unii Europejskiej oraz Islandię, Liechtenstein i Norwegię.
2. Zakres i cel przetwarzania
2.1 Zakres
Niniejsza DPA ma zastosowanie do wszelkiego przetwarzania danych osobowych prowadzonego przez Podmiot przetwarzający w imieniu Administratora w związku ze świadczeniem Usługi. Podmiot przetwarzający przetwarza dane osobowe wyłącznie w zakresie niezbędnym do wykonania swoich zobowiązań wynikających z Umowy i zgodnie z udokumentowanymi instrukcjami Administratora.
2.2 Cel przetwarzania
Podmiot przetwarzający przetwarza dane osobowe w imieniu Administratora w następujących konkretnych celach:
- Tworzenie, utrzymywanie i zarządzanie kontami użytkowników, w tym uwierzytelnianie, bezpieczeństwo i odzyskiwanie kont.
- Przechowywanie i przetwarzanie preferencji podróżnych (lotniska wylotu, preferencje destynacji, zakresy budżetu, elastyczność dat podróży) w celu generowania spersonalizowanych alertów o ofertach lotów.
- Dostarczanie powiadomień i alertów o ofertach lotów za pośrednictwem poczty elektronicznej.
- Przetwarzanie płatności subskrypcyjnych i zarządzanie rozliczeniami za pośrednictwem autoryzowanych procesorów płatności.
- Zapewnianie obsługi klienta i odpowiadanie na zapytania związane z Usługą.
- Generowanie zanonimizowanych i zagregowanych analiz w celu monitorowania, utrzymywania i ulepszania Usługi.
- Zapewnienie bezpieczeństwa, integralności i dostępności Usługi oraz jej infrastruktury bazowej.
- Przestrzeganie obowiązujących zobowiązań prawnych, w tym wymogów podatkowych, rachunkowych i regulacyjnych.
2.3 Czas przetwarzania
Podmiot przetwarzający przetwarza dane osobowe przez okres obowiązywania Umowy, chyba że strony postanowią inaczej na piśmie lub obowiązujące prawo wymaga inaczej. Po rozwiązaniu Umowy zastosowanie mają postanowienia Sekcji 13 (Zwrot i usunięcie danych).
3. Kategorie osób, których dane dotyczą
Dane osobowe przetwarzane na podstawie niniejszej DPA dotyczą następujących kategorii osób, których dane dotyczą:
- Zarejestrowani użytkownicy: Osoby fizyczne, które utworzyły konto na platformie flydeal.pl, w tym użytkownicy planu Darmowego, planu Basic, planu Pro i planu Ultra.
- Odwiedzający witrynę: Osoby fizyczne, które odwiedzają witrynę flydeal.pl i których dane mogą być zbierane za pośrednictwem plików cookie i podobnych technologii, jak opisano w naszej Polityce plików cookie.
- Kontakty wsparcia klienta: Osoby fizyczne, które kontaktują się z flydeal.pl w celu uzyskania wsparcia, złożenia zapytań lub przekazania opinii i których dane osobowe są przetwarzane w związku z tymi komunikatami.
4. Rodzaje danych osobowych
Na podstawie niniejszej DPA przetwarzane są następujące kategorie danych osobowych:
- Dane identyfikacyjne: Adres e-mail (używany jako identyfikator konta).
- Dane kontaktowe: Adres e-mail.
- Dane konta: Identyfikator konta, zahaszowane hasło, data utworzenia konta, typ planu i status konta.
- Dane preferencji podróżnych: Preferowane lotnisko/lotniska wylotu, preferencje destynacji (regiony, kraje lub konkretne miasta), zakresy budżetu, elastyczność dat podróży, preferencje dotyczące czasu trwania podróży, niestandardowe konfiguracje tras (plan Pro).
- Dane preferencji komunikacyjnych: Wybrane kanały powiadomień (e-mail), ustawienia częstotliwości powiadomień, status zgody na komunikację promocyjną.
- Dane płatności i subskrypcji: Typ planu, daty rozpoczęcia i zakończenia subskrypcji, daty cyklu rozliczeniowego, identyfikatory transakcji, cztery ostatnie cyfry karty płatniczej, marka karty, data ważności karty, kraj rozliczeniowy. Pełne dane karty płatniczej są przetwarzane wyłącznie przez Stripe i nie są przechowywane przez Podmiot przetwarzający.
- Dane o korzystaniu: Odwiedzone strony, wykorzystywane funkcje, przeglądane i klikane oferty, otwierane i klikane alerty, czas trwania sesji i znaczniki czasowe interakcji.
- Dane techniczne: Adres IP, typ i wersja przeglądarki, system operacyjny, typ urządzenia, rozdzielczość ekranu, ustawienia języka urządzenia i unikalne identyfikatory urządzenia.
- Dane wsparcia: Treść zapytań wsparcia, korespondencja i opinie przekazane przez osobę, której dane dotyczą.
Podmiot przetwarzający nie przetwarza szczególnych kategorii danych osobowych (zgodnie z definicją w art. 9 RODO) ani danych osobowych dotyczących wyroków skazujących i czynów zabronionych (zgodnie z definicją w art. 10 RODO) na podstawie niniejszej DPA.
5. Obowiązki Podmiotu przetwarzającego
Podmiot przetwarzający zobowiązuje się do:
5.1 Instrukcje przetwarzania
- Przetwarzać dane osobowe wyłącznie na udokumentowane polecenie Administratora, w tym w odniesieniu do przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek taki wynika z prawa Unii lub prawa państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku Podmiot przetwarzający poinformuje Administratora o tym wymógu prawnym przed rozpoczęciem przetwarzania, chyba że prawo to zabrania takiego powiadomienia z uwagi na ważny interes publiczny.
- Niezwłocznie poinformować Administratora, jeżeli zdaniem Podmiotu przetwarzającego instrukcja narusza RODO lub inne przepisy Unii lub państwa członkowskiego dotyczące ochrony danych.
5.2 Poufność
- Zapewnić, aby wszystkie osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania poufności.
- Ograniczyć dostęp do danych osobowych do tych pracowników, wykonawców i agentów, którzy potrzebują dostępu do wykonywania swoich obowiązków w związku z Usługą i którzy zostali przeszkoleni w zakresie obowiązków ochrony danych.
5.3 Bezpieczeństwo
- Wdrożyć odpowiednie środki techniczne i organizacyjne w celu zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku, zgodnie z art. 32 RODO, jak opisano szerzej w Sekcji 8 (Środki bezpieczeństwa danych) niniejszej DPA.
5.4 Dalsze powierzenie przetwarzania
- Nie angażować innego podmiotu przetwarzającego (dalszego podmiotu przetwarzającego) bez uprzedniej ogólnej lub szczegółowej pisemnej zgody Administratora, jak opisano w Sekcji 7 (Dalsze podmioty przetwarzające) niniejszej DPA.
5.5 Pomoc Administratorowi
- Pomagać Administratorowi, biorąc pod uwagę charakter przetwarzania, za pomocą odpowiednich środków technicznych i organizacyjnych, o ile jest to możliwe, w wywiązaniu się z obowiązku Administratora odpowiadania na żądania osoby, której dane dotyczą, dotyczące wykonywania jej praw na mocy rozdziału III RODO (prawo dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia danych i sprzeciwu).
- Pomagać Administratorowi w zapewnieniu zgodności z obowiązkami wynikającymi z art. 32-36 RODO (bezpieczeństwo przetwarzania, zgłaszanie naruszeń ochrony danych osobowych, zawiadamianie osób, których dane dotyczą, o naruszeniach oraz oceny skutków dla ochrony danych), z uwzględnieniem charakteru przetwarzania i informacji dostępnych Podmiotowi przetwarzającemu.
5.6 Wykazanie zgodności
- Udostępnić Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO i niniejszej DPA oraz umożliwiać i przyczyniać się do przeprowadzania audytów, w tym inspekcji, prowadzonych przez Administratora lub innego audytora upoważnionego przez Administratora, jak opisano w Sekcji 10 (Audyty i inspekcje) niniejszej DPA.
6. Obowiązki Administratora
Administrator zobowiązuje się do:
- Zapewnić, że posiada podstawę prawną do przetwarzania danych osobowych oraz że wszystkie niezbędne zgody, upoważnienia i powiadomienia zostały uzyskane lub dostarczone zgodnie z obowiązującymi przepisami o ochronie danych.
- Przekazać Podmiotowi przetwarzającemu udokumentowane instrukcje dotyczące przetwarzania danych osobowych i niezwłocznie informować Podmiot przetwarzający o wszelkich zmianach tych instrukcji.
- Zapewnić, że dane osobowe przekazane Podmiotowi przetwarzającemu są dokładne, kompletne i aktualne.
- Przestrzegać swoich obowiązków jako Administrator zgodnie z RODO i obowiązującymi przepisami o ochronie danych.
- Niezwłocznie powiadamiać Podmiot przetwarzający o wszelkich żądaniach osoby, której dane dotyczą, bezpośrednio związanych z działaniami przetwarzania Podmiotu przetwarzającego.
7. Podmioty podprzetwarzające
7.1 Ogólne upoważnienie
Administrator niniejszym udziela Podmiotowi przetwarzającemu ogólnego pisemnego upoważnienia do angażowania podmiotów podprzetwarzających w celu przetwarzania danych osobowych na mocy niniejszej DPA, z zastrzeżeniem warunków określonych w niniejszej Sekcji 7.
7.2 Aktualne podmioty podprzetwarzające
Następujące podmioty podprzetwarzające są obecnie zaangażowane przez Podmiot przetwarzający:
- Amazon Web Services, Inc. (AWS)
Cel: Infrastruktura chmurowa, hosting, przechowywanie danych i usługi obliczeniowe.
Przetwarzane dane: Wszystkie kategorie danych osobowych wymienione w Sekcji 4, przechowywane i przetwarzane w infrastrukturze AWS.
Lokalizacja: Unia Europejska (region EU-West, głównie Irlandia).
Zabezpieczenia: Aneks do przetwarzania danych RODO AWS; certyfikaty ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3. - Stripe, Inc.
Cel: Przetwarzanie płatności dla rozliczeń subskrypcji (plany Basic, Pro i Ultra).
Przetwarzane dane: Dane karty płatniczej (przetwarzane bezpośrednio przez Stripe), informacje rozliczeniowe, identyfikatory transakcji, metadane subskrypcji.
Lokalizacja: Unia Europejska i Stany Zjednoczone.
Zabezpieczenia: Umowa o przetwarzanie danych Stripe; certyfikacja PCI DSS Poziom 1; Ramy ochrony danych UE-USA; Standardowe klauzule umowne. - Postmark (ActiveCampaign, LLC)
Cel: Dostarczanie e-maili transakcyjnych i powiadomień, w tym alertów o ofertach lotów i e-maili związanych z usługą.
Przetwarzane dane: Adres e-mail, imię, treść e-maila (szczegóły alertów o ofertach), metadane dostarczania i zaangażowania.
Lokalizacja: Stany Zjednoczone, ze zobowiązaniami dotyczącymi przetwarzania danych UE.
Zabezpieczenia: Umowa o przetwarzanie danych; Standardowe klauzule umowne; certyfikacja SOC 2 Typ II.
7.3 Powiadomienie o zmianach
Podmiot przetwarzający poinformuje Administratora na piśmie (w tym drogą elektroniczną) o wszelkich zamierzonych zmianach na liście podmiotów podprzetwarzających, w tym o dodaniu lub zastąpieniu podmiotów podprzetwarzających, co najmniej 14 dni kalendarzowych przed wejściem w życie zmiany. Powiadomienie będzie zawierać nazwę podmiotu podprzetwarzającego, charakter przetwarzania i lokalizację przetwarzania danych.
7.4 Prawo do sprzeciwu
Administrator może wyrazić sprzeciw wobec zaangażowania nowego lub zastępczego podmiotu podprzetwarzającego, powiadamiając Podmiot przetwarzający na piśmie w terminie 14 dni kalendarzowych od otrzymania powiadomienia opisanego w Sekcji 7.3. Sprzeciw musi być oparty na uzasadnionych podstawach związanych z ochroną danych. Jeżeli Administrator wniesie sprzeciw:
- Podmiot przetwarzający dołoży uzasadnionych starań, aby zapewnić Administratorowi rozwiązanie alternatywne, które pozwoli uniknąć korzystania z zakwestionowanego podmiotu podprzetwarzającego.
- Jeżeli żadna alternatywa nie jest racjonalnie dostępna, a Podmiot przetwarzający racjonalnie uzna, że podmiot podprzetwarzający jest niezbędny do świadczenia Usługi, każda ze stron może wypowiedzieć Umowę z 30-dniowym pisemnym wypowiedzeniem.
7.5 Obowiązki podmiotów podprzetwarzających
W przypadku zaangażowania podmiotu podprzetwarzającego, Podmiot przetwarzający:
- Przeprowadzić odpowiednią analizę due diligence w celu zapewnienia, że podmiot podprzetwarzający jest w stanie zapewnić poziom ochrony danych wymagany przez niniejszą DPA i RODO.
- Nałożyć na podmiot podprzetwarzający, w drodze pisemnej umowy, te same obowiązki w zakresie ochrony danych, jakie zostały określone w niniejszej DPA, w szczególności zapewniając wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych.
- Pozostać w pełni odpowiedzialnym wobec Administratora za wykonywanie obowiązków podmiotu podprzetwarzającego wynikających z umowy podpowierzenia.
8. Środki bezpieczeństwa danych
Podmiot przetwarzający wdroży i będzie utrzymywał następujące techniczne i organizacyjne środki bezpieczeństwa, zgodnie z art. 32 RODO, w celu ochrony danych osobowych przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, zmianą, nieuprawnionym ujawnieniem lub dostępem:
8.1 Środki techniczne
- Szyfrowanie w tranzycie: Wszystkie dane przesyłane między użytkownikami a Usługą są szyfrowane przy użyciu Transport Layer Security (TLS) 1.3.
- Szyfrowanie w spoczynku: Wszystkie dane osobowe przechowywane na serwerach i w bazach danych są szyfrowane w spoczynku przy użyciu szyfrowania AES-256.
- Haszowanie haseł: Hasła użytkowników są przechowywane z użyciem kryptograficznego haszowania bcrypt z wysokim współczynnikiem kosztów, zapewniając, że hasła nie mogą zostać odzyskane w postaci jawnego tekstu.
- Zapora sieciowa i bezpieczeństwo sieci: Systemy produkcyjne są chronione przez zapory sieciowe i segmentację sieci. Dostęp do sieci wewnętrznych jest ograniczony do upoważnionego personelu za pośrednictwem VPN z uwierzytelnianiem wieloskładnikowym.
- Wykrywanie włamań i monitoring: Wdrożone są systemy ciągłego monitoringu i wykrywania włamań w celu identyfikacji i reagowania na potencjalne zagrożenia bezpieczeństwa w czasie rzeczywistym.
- Zarządzanie podatnościami: Przeprowadzane są regularne skanowanie podatności i testy penetracyjne. Poprawki bezpieczeństwa są niezwłocznie stosowane we wszystkich systemach i oprogramowaniu.
- Automatyczne kopie zapasowe: Automatyczne, szyfrowane kopie zapasowe są wykonywane regularnie. Kopie zapasowe są przechowywane redundantnie w UE i okresowo testowane w celu zapewnienia możliwości przywrócenia danych.
- Rejestrowanie i ścieżki audytu: Dostęp do danych osobowych jest rejestrowany, a ścieżki audytu są utrzymywane w celu wykrywania nieuprawnionych dostępów lub anomalnej aktywności.
- Bezpieczne programowanie: Usługa jest rozwijana zgodnie z praktykami bezpiecznego programowania, obejmującymi przeglądy kodu, analizę statyczną, skanowanie zależności i testy bezpieczeństwa.
8.2 Środki organizacyjne
- Kontrola dostępu: Kontrola dostępu oparta na rolach (RBAC) jest wdrożona zgodnie z zasadą najmniejszych uprawnień. Dostęp do danych osobowych jest przyznawany wyłącznie personelowi, który potrzebuje go do wykonywania swoich wyznaczonych funkcji.
- Umowy o zachowaniu poufności: Wszyscy pracownicy i wykonawcy mający dostęp do danych osobowych są związani pisemnymi zobowiązaniami do zachowania poufności.
- Szkolenie z zakresu ochrony danych: Personel zaangażowany w przetwarzanie danych osobowych otrzymuje regularne szkolenia dotyczące zasad ochrony danych, RODO i wewnętrznych polityk ochrony danych Podmiotu przetwarzającego.
- Plan reagowania na incydenty: Utrzymywany i testowany jest udokumentowany plan reagowania na incydenty w celu zapewnienia szybkiej i skutecznej reakcji na naruszenia danych osobowych i inne incydenty bezpieczeństwa.
- Ciągłość działania i odtwarzanie po awarii: Plany ciągłości działania i odtwarzania po awarii są utrzymywane i okresowo testowane w celu zapewnienia dostępności i odporności systemów przetwarzania.
- Zarządzanie ryzykiem dostawców: Podmioty podprzetwarzające podlegają ocenom due diligence i bieżącemu monitorowaniu w celu zapewnienia, że utrzymują odpowiednie standardy ochrony danych i bezpieczeństwa.
9. Powiadomienie o naruszeniu danych
9.1 Powiadomienie Administratora
W przypadku Naruszenia Danych Osobowych, Podmiot przetwarzający powiadomi Administratora bez zbędnej zwłoki, a w każdym przypadku nie później niż w ciągu 48 godzin od powzięcia informacji o naruszeniu. Powiadomienie zostanie przekazane drogą elektroniczną na zarejestrowany adres e-mail Administratora i będzie zawierać:
- Opis charakteru Naruszenia Danych Osobowych, w tym, w miarę możliwości, kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę rekordów danych osobowych, których dotyczy naruszenie.
- Imię i nazwisko oraz dane kontaktowe punktu kontaktowego ds. ochrony danych Podmiotu przetwarzającego, od którego można uzyskać więcej informacji.
- Opis prawdopodobnych konsekwencji Naruszenia Danych Osobowych.
- Opis środków podjętych lub proponowanych przez Podmiot przetwarzający w celu zaradzenia Naruszeniu, w tym, w stosownych przypadkach, środków mających na celu złagodzenie jego ewentualnych negatywnych skutków.
9.2 Bieżąca współpraca
Jeżeli nie jest możliwe jednoczesne przekazanie wszystkich informacji, Podmiot przetwarzający przekaże je etapowo bez zbędnej dalszej zwłoki. Podmiot przetwarzający:
- Współpracować z Administratorem i podjąć wszelkie uzasadnione kroki w celu pomocy w dochodzeniu, łagodzeniu i naprawieniu naruszenia.
- Podjąć natychmiastowe kroki w celu ograniczenia i zminimalizowania skutków naruszenia.
- Zachować dowody związane z naruszeniem w celu prowadzenia dochodzeń informatycznych.
- Pomagać Administratorowi w wypełnianiu obowiązków powiadamiania Organu Nadzorczego na mocy art. 33 RODO oraz osób, których dane dotyczą, na mocy art. 34 RODO, w stosownych przypadkach.
- Nie wydawać żadnych publicznych oświadczeń ani powiadomień dotyczących naruszenia bez uprzedniej pisemnej zgody Administratora, chyba że wymaga tego obowiązujące prawo.
9.3 Prowadzenie rejestrów
Podmiot przetwarzający będzie prowadził rejestr wszystkich Naruszeń Danych Osobowych, w tym faktów dotyczących naruszenia, jego skutków i podjętych działań naprawczych, zgodnie z art. 33 ust. 5 RODO.
10. Żądania osób, których dane dotyczą
10.1 Pomoc
Podmiot przetwarzający będzie pomagał Administratorowi w wypełnianiu obowiązku odpowiadania na żądania osób, których dane dotyczą, dotyczące wykonywania ich praw na mocy rozdziału III RODO, w tym prawa dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych i sprzeciwu.
10.2 Powiadomienie
Jeżeli Podmiot przetwarzający otrzyma żądanie od osoby, której dane dotyczą, w zakresie danych osobowych przetwarzanych w imieniu Administratora, Podmiot przetwarzający niezwłocznie (aw każdym razie w ciągu 5 dni roboczych) powiadomi o tym Administratora i nie będzie bezpośrednio odpowiadał na żądanie, chyba że zostanie do tego upoważniony przez Administratora lub będzie to wymagane przez obowiązujące prawo.
10.3 Środki techniczne
Podmiot przetwarzający wdroży odpowiednie środki techniczne i organizacyjne umożliwiające Administratorowi skuteczne odpowiadanie na żądania osób, których dane dotyczą, w tym zdolność wyszukiwania, pobierania, eksportowania, poprawiania i usuwania danych osobowych na polecenie Administratora.
11. Audyty i kontrole
11.1 Prawo do audytu
Podmiot przetwarzający udostępni Administratorowi wszelkie informacje niezbędne do wykazania zgodności z obowiązkami określonymi w art. 28 RODO i niniejszej DPA oraz umożliwi i przyczyni się do audytów, w tym kontroli, przeprowadzanych przez Administratora lub niezależnego audytora wyznaczonego przez Administratora.
11.2 Procedury audytu
Audyty przeprowadzane będą z zastrzeżeniem następujących warunków:
- Administrator poinformuje Podmiot przetwarzający na piśmie o planowanym audycie z co najmniej 30-dniowym wyprzedzeniem.
- Audyty będą przeprowadzane w normalnych godzinach pracy i w sposób minimalizujący zakłócenia działalności Podmiotu przetwarzającego.
- Administrator (lub jego audytor) będzie przestrzegał uzasadnionych wymogów bezpieczeństwa i poufności Podmiotu przetwarzającego.
- Audyty ograniczone będą do maksymalnie jednego w roku kalendarzowym, chyba że istnieją uzasadnione podstawy do podejrzenia istotnego naruszenia niniejszej DPA lub RODO, lub audyt jest wymagany przez Organ Nadzorczy.
- Administrator pokryje koszty audytu, chyba że audyt ujawni istotne naruszenie ze strony Podmiotu przetwarzającego, w takim przypadku Podmiot przetwarzający pokryje uzasadnione koszty.
11.3 Certyfikaty i raporty
Zamiast audytu na miejscu, Podmiot przetwarzający może, według własnego uznania, dostarczyć Administratorowi odpowiednie raporty z audytów zewnętrznych, certyfikaty (takie jak ISO 27001 lub SOC 2) lub inną dokumentację potwierdzającą zgodność z wymogami ochrony danych niniejszej DPA.
12. Międzynarodowe przekazywanie danych
12.1 Zasada ogólna
Podmiot przetwarzający będzie przechowywał i przetwarzał dane osobowe głównie w Europejskim Obszarze Gospodarczym (EOG). Podmiot przetwarzający nie przekaże danych osobowych do kraju spoza EOG ani do organizacji międzynarodowej, chyba że zostaną wdrożone odpowiednie zabezpieczenia zgodnie z rozdziałem V RODO.
12.2 Mechanizmy przekazywania
Gdy dane osobowe są przekazywane poza EOG (na przykład do podwykonawców przetwarzania zlokalizowanych w Stanach Zjednoczonych), Podmiot przetwarzający zapewni, że wdrożone jest jedno lub więcej z następujących zabezpieczeń:
- Decyzja o adekwatności: Komisja Europejska stwierdziła, że państwo trzecie lub organizacja międzynarodowa zapewnia odpowiedni poziom ochrony danych zgodnie z art. 45 RODO.
- Standardowe klauzule umowne: Przekazywanie danych podlega Standardowym klauzulom umownym przyjętym przez Komisję Europejską na mocy art. 46 ust. 2 lit. c) RODO, w ich najaktualniejszej wersji.
- Ramy prywatności danych UE-USA: W stosownych przypadkach odbiorca potwierdził swój udział w Ramach prywatności danych UE-USA, które zostały uznane przez Komisję Europejską za zapewniające odpowiedni poziom ochrony.
- Środki uzupełniające: W przypadku gdy wymaga tego ocena poziomu ochrony w kraju odbiorcy, Podmiot przetwarzający wdroży dodatkowe środki techniczne (takie jak szyfrowanie i pseudonimizacja) oraz środki organizacyjne w celu zapewnienia, że przekazane dane otrzymają poziom ochrony zasadniczo równoważny z tym gwarantowanym w EOG.
12.3 Ocena skutków przekazywania
Podmiot przetwarzający przeprowadzi i udokumentuje ocenę skutków przekazywania dla każdego międzynarodowego przekazania, oceniając przepisy i praktyki kraju odbiorcy w celu ustalenia, czy konieczne są środki uzupełniające zapewniające zasadniczo równoważny poziom ochrony danych.
13. Czas trwania i rozwiązanie
13.1 Czas trwania
Niniejsza DPA wchodzi w życie z chwilą zaakceptowania Umowy przez Administratora i obowiązuje przez cały okres przetwarzania danych osobowych przez Podmiot przetwarzający w imieniu Administratora.
13.2 Dalsze obowiązywanie
Zobowiązania Podmiotu przetwarzającego wynikające z niniejszej DPA pozostają w mocy po rozwiązaniu Umowy w zakresie niezbędnym do zakończenia zwrotu lub usunięcia danych osobowych oraz do wypełnienia wymogów obowiązującego prawa.
14. Zwrot i usunięcie danych
14.1 Wybór Administratora
Po rozwiązaniu Umowy lub na pisemne żądanie Administratora, Podmiot przetwarzający, według wyboru Administratora:
- Zwrócić wszystkie dane osobowe Administratorowi w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (takim jak JSON lub CSV); lub
- Usunąć wszystkie dane osobowe i wszystkie istniejące kopie, chyba że prawo Unii lub państwa członkowskiego wymaga przechowywania danych osobowych.
14.2 Termin
Podmiot przetwarzający dokona zwrotu lub usunięcia danych osobowych w ciągu 30 dni kalendarzowych od otrzymania instrukcji Administratora lub, w przypadku braku szczegółowych instrukcji, w ciągu 30 dni kalendarzowych od rozwiązania Umowy.
14.3 Potwierdzenie usunięcia
Po zakończeniu usuwania Podmiot przetwarzający dostarczy Administratorowi pisemne potwierdzenie, że wszystkie dane osobowe zostały bezpiecznie usunięte, w tym z kopii zapasowych i systemów archiwalnych, z wyjątkiem przypadków, gdy przechowywanie jest wymagane przez obowiązujące prawo. W przypadku obowiązywania wymogów prawnych dotyczących przechowywania, Podmiot przetwarzający poinformuje Administratora o konkretnych przechowywanych danych, podstawie prawnej przechowywania i przewidywanym okresie przechowywania.
14.4 Usuwanie kopii zapasowych
Dane osobowe zawarte w rutynowych systemach kopii zapasowych będą usuwane zgodnie ze standardowym harmonogramem rotacji kopii zapasowych Podmiotu przetwarzającego, który nie przekroczy 90 dni kalendarzowych. W okresie przechowywania takie dane z kopii zapasowych będą nadal chronione zgodnie z niniejszą DPA i nie będą aktywnie przetwarzane.
15. Odpowiedzialność
15.1 Odpowiedzialność Podmiotu przetwarzającego
Podmiot przetwarzający ponosi odpowiedzialność za wszelkie szkody spowodowane przetwarzaniem niezgodnym z obowiązkami RODO skierowanymi konkretnie do podmiotów przetwarzających lub gdy Podmiot przetwarzający działał poza zakresem lub wbrew zgodnym z prawem instrukcjom Administratora, zgodnie z art. 82 RODO.
15.2 Ograniczenie
Postanowienia dotyczące odpowiedzialności niniejszej DPA podlegają ograniczeniom określonym w Umowie, z wyjątkiem zakresu, w jakim obowiązujące prawo (w tym RODO) nie zezwala na takie ograniczenie.
15.3 Odszkodowanie
Każda ze stron zabezpieczy drugą stronę przed wszelkimi kosztami, roszczeniami, szkodami lub wydatkami poniesionymi przez drugą stronę lub za które druga strona może stać się odpowiedzialna z powodu niedopełnienia przez pierwszą stronę lub jej pracowników, przedstawicieli lub podwykonawców przetwarzania któregokolwiek z obowiązków wynikających z niniejszej DPA lub RODO.
16. Zmiany
Niniejsza DPA może być zmieniana przez Podmiot przetwarzający w celu odzwierciedlenia zmian w praktykach przetwarzania danych, podwykonawcach przetwarzania, wymogach prawnych lub środkach bezpieczeństwa. Podmiot przetwarzający poinformuje Administratora o wszelkich istotnych zmianach na co najmniej 30 dni kalendarzowych przed ich wejściem w życie. Jeśli Administrator nie zgadza się ze zmianami, może rozwiązać Umowę zgodnie z jej warunkami. Dalsze korzystanie z Usługi przez Administratora po dacie wejścia w życie zmian stanowi akceptację zmienionej DPA.
17. Relacja z Umową
W przypadku konfliktu lub niespójności między postanowieniami niniejszej DPA a Umową, postanowienia niniejszej DPA mają pierwszeństwo w odniesieniu do kwestii ochrony danych. We wszystkich pozostałych kwestiach warunki Umowy nadal obowiązują.
18. Prawo właściwe
Niniejsza DPA podlega prawu stanu Delaware, Stany Zjednoczone, i jest zgodnie z nim interpretowana, bez uwzględniania zasad kolizji praw, z zastrzeżeniem bezwzględnie obowiązujących przepisów RODO i innych mających zastosowanie aktów prawnych UE dotyczących ochrony danych. Wszelkie spory wynikające z niniejszej DPA lub z nią związane podlegają wyłącznej jurysdykcji właściwych sądów w Delaware, Stany Zjednoczone, z zastrzeżeniem bezwzględnie obowiązujących przepisów dotyczących ochrony konsumentów wynikających z prawa UE.
19. Kontakt
W przypadku pytań, żądań lub komunikacji dotyczących niniejszej Umowy o przetwarzanie danych, prosimy o kontakt:
- E-mail: [email protected]
- Firma: Back Hills Assets LLC
- Adres: 30 N GOULD ST STE R,SHERIDAN, WY 82801,USA
W przypadku obaw dotyczących ochrony danych możesz również skontaktować się z lokalnym Organem Ochrony Danych. Swój lokalny organ znajdziesz na stronie Europejskiej Rady Ochrony Danych.