Definicje

Na potrzeby niniejszej umowy stosuje się definicje zawarte w RODO, w szczególności:

Strony umowy

Przedmiot umowy

Podstawa umowy

• Na podstawie niniejszej umowy, Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie niezbędnym do świadczenia usług w aplikacji PestRaport.

Przetwarzaniu podlegają dane osobowe klientów końcowych Administratora

• Imię i nazwisko (lub nazwa osoby fizycznej prowadzącej działalność)
• Numer telefonu kontaktowego
• Adres e-mail kontaktowy
• Adres miejsca świadczenia usług DDD
• Dane dotyczące przeprowadzonych inspekcji
• Podpisy i dane z dokumentów związanych z usługami DDD
• Historia świadczonych usług pest control
• Inne dane wprowadzone przez Administratora w ramach prowadzonej działalności

Cele przetwarzania

• Zarządzanie placówkami i lokalizacjami klientów
• Dokumentowanie przeprowadzonych inspekcji DDD
• Generowanie raportów i statystyk dla Administratora
• Prowadzenie historii świadczonych usług
• Komunikacja z klientami końcowymi (w przyszłości)
• Zapewnienie funkcjonalności aplikacji PestRaport

Czas trwania

Umowa zostaje zawarta na czas korzystania z aplikacji PestRaport przez Administratora.

• Umowa zostaje zawarta na czas korzystania z aplikacji PestRaport przez Administratora.

Po zakończeniu umowy:

• Dane zostaną usunięte w ciągu 30 dni roboczych
• Na żądanie Administratora dane mogą być udostępnione w powszechnie używanym formacie elektronicznym przed usunięciem
• Dane wymagane prawem (księgowość) będą przechowywane przez okres wymagany przepisami

Obowiązki Procesora

Zgodność z prawem

• Przetwarzanie danych odbywa się zgodnie z RODO i tylko na udokumentowane polecenie Administratora
• Procesor nie przetwarza danych dla własnych celów
• Przestrzeganie zasad minimalizacji danych

Bezpieczeństwo techniczne

• Szyfrowanie danych podczas przesyłania (TLS/SSL) i przechowywania
• Kontrola dostępu i autoryzacja użytkowników
• Regularne kopie zapasowe (przez dostawców usług)
• Monitoring bezpieczeństwa i wykrywanie anomalii
• Aktualizacje zabezpieczeń

Bezpieczeństwo organizacyjne

• Dostęp do danych mają tylko upoważnione osoby
• Szkolenia personelu w zakresie ochrony danych
• Procedury reagowania na incydenty bezpieczeństwa
• Dokumentowanie wszystkich operacji na danych

Poufność

• Procesor zapewnia, że osoby upoważnione do przetwarzania danych są zobowiązane do zachowania poufności
• Zakaz ujawniania danych osobom trzecim bez zgody Administratora

Ograniczenia geograficzne

• Dane nie będą przekazywane poza Europejski Obszar Gospodarczy bez zgody Administratora
• W przypadku dostawców spoza EOG - tylko na podstawie odpowiednich zabezpieczeń (standardowe klauzule umowne)

Obowiązki Administratora

Podstawa prawna

• Administrator zapewnia, że posiada odpowiednią podstawę prawną do przetwarzania danych osobowych swoich klientów
• Uzyskanie niezbędnych zgód od osób, których dane dotyczą

Informowanie osób, których dane dotyczą

• Poinformowanie klientów końcowych o przetwarzaniu ich danych w aplikacji PestRaport
• Przekazanie informacji o Procesorze i celach przetwarzania
• Zapewnienie możliwości realizacji praw osób, których dane dotyczą

Zgodność instrukcji

• Instrukcje przetwarzania muszą być zgodne z obowiązującymi przepisami prawa
• Administrator ponosi odpowiedzialność za zgodność z prawem przekazywanych danych

Prawa Administratora

Administrator ma prawo do:

Kontroli i audytu

• Kontroli sposobu przetwarzania danych
• Żądania informacji o środkach bezpieczeństwa
• Przeprowadzenia audytu zgodności przetwarzania z umową (po wcześniejszym uzgodnieniu)

Dostępu do danych

• Dostępu do wszystkich danych swoich klientów w aplikacji
• Eksportu danych w powszechnie używanym formacie
• Żądania sprostowania lub usunięcia danych

Instrukcji przetwarzania

• Wydawania wiążących instrukcji dotyczących przetwarzania danych
• Żądania ograniczenia lub zaprzestania określonych operacji przetwarzania

Podpowierzenie

Podmiot trzeci może przetwarzać dane na zlecenie Procesora w następujących przypadkach

• Dostawcy usług technicznych: Supabase (baza danych), OVH (hosting), Upstash (cache)
• Dostawcy usług płatniczych: Stripe (rozliczenia)
• Dostawcy usług komunikacyjnych: Resend (e-mail), usługi SMS (w przyszłości)
• Dostawcy usług analitycznych: monitoring i bezpieczeństwo
• Dostawcy usług księgowych: biuro księgowe Procesora

Warunki podpowierzenia

• Wszystkie podmioty zapewniają równoważny poziom ochrony danych zgodnie z RODO
• Procesor zawiera z nimi odpowiednie umowy powierzenia
• Procesor pozostaje w pełni odpowiedzialny wobec Administratora za działania podprowierzających

Powiadomienie o zmianach

• Procesor poinformuje Administratora o planowanych zmianach dotyczących podprowierzających
• Administrator ma prawo do wniesienia sprzeciwu uzasadnionego względami ochrony danych

Naruszenia ochrony danych

Obowiązki Procesora w przypadku naruszenia

• Niezwłoczne poinformowanie Administratora o naruszeniu (nie później niż w ciągu 24 godzin od wykrycia)
• Przekazanie wszystkich dostępnych informacji o naruszeniu
• Współpraca przy analizie przyczyn i skutków naruszenia
• Natychmiastowe podjęcie działań naprawczych

Informacje o naruszeniu muszą zawierać

• Opis charakteru naruszenia i kategorii danych, których dotyczy
• Liczbę osób, których dane dotyczą oraz liczbę naruszeń
• Prawdopodobne konsekwencje naruszenia
• Środki podjęte w celu usunięcia naruszenia i jego skutków

Współpraca z organami

• Procesor współpracuje z Administratorem przy zgłoszeniu naruszenia do UODO
• Procesor udziela wsparcia przy powiadomieniu osób, których dane dotyczą (jeśli wymagane)

Wsparcie dla Administratora

Procesor udziela Administratorowi wsparcia w zakresie:

Realizacji praw osób, których dane dotyczą

• Prawo dostępu do danych
• Prawo do sprostowania i usunięcia danych
• Prawo do ograniczenia przetwarzania
• Prawo do przenoszenia danych

Oceny skutków dla ochrony danych (DPIA)

• Udostępnienie informacji o środkach bezpieczeństwa
• Współpraca przy analizie ryzyka związanego z przetwarzaniem

Współpracy z organami nadzorczymi

• Udzielanie informacji wymaganych przez UODO
• Współpraca przy kontrolach i postępowaniach

Zwrot i usunięcie danych

Po zakończeniu świadczenia usług

• Procesor usuwa wszystkie dane osobowe oraz ich kopie
• Na żądanie Administratora zwraca dane w ustrukturyzowanym formacie elektronicznym
• Usunięcie następuje w ciągu 30 dni od zakończenia umowy

Wyjątki od usunięcia

• Dane wymagane prawem (np. dokumenty księgowe) są przechowywane przez okres wymagany przepisami
• Dane w kopiach zapasowych automatycznie wygasają zgodnie z polityką retencji dostawców

Potwierdzenie usunięcia

• Procesor na żądanie potwierdza usunięcie danych osobowych

Odpowiedzialność

Odpowiedzialność Procesora

• Procesor odpowiada za szkody wynikające z naruszenia obowiązków wynikających z RODO
• Odpowiedzialność ograniczona do wysokości rocznej opłaty za korzystanie z aplikacji

Wykluczenia odpowiedzialności

• Działania wykraczające poza instrukcje Administratora
• Nieprawidłowe instrukcje Administratora niezgodne z prawem
• Przypadki siły wyższej i działania osób trzecich

Ubezpieczenie

• Procesor utrzymuje odpowiednie ubezpieczenie odpowiedzialności cywilnej

Zmiany umowy

Prawo do zmian

• Zmiany przepisów prawa dotyczących ochrony danych osobowych
• Zmiany funkcjonalności aplikacji wpływającej na przetwarzanie danych
• Zmiany dostawców usług technicznych

Procedura zmian

• Zmiany wymagają poinformowania Administratora z 14-dniowym wyprzedzeniem
• Zmiany wchodzą w życie po zaakceptowaniu przez Administratora przy kolejnym logowaniu
• W przypadku braku akceptacji Administrator może rozwiązać umowę

Tryb pilny

• W przypadku zmian wynikających z naruszeń bezpieczeństwa lub wymogów prawnych, zmiany mogą wejść w życie natychmiast

Rozwiązanie umowy

Rozwiązanie przez Administratora

• W każdym czasie bez podania przyczyny
• Ze skutkiem natychmiastowym w przypadku naruszenia umowy przez Procesora
• W przypadku braku akceptacji zmian umowy

Rozwiązanie przez Procesora

• W przypadku zaprzestania świadczenia usług aplikacji PestRaport
• W przypadku naruszenia obowiązków przez Administratora

Skutki rozwiązania

• Zaprzestanie przetwarzania danych osobowych
• Zwrot lub usunięcie danych zgodnie z ustaleniami w sekcji "Zwrot i usunięcie danych"

Postanowienia końcowe

Integralność z Regulaminem

• Umowa stanowi integralny załącznik do Regulaminu aplikacji PestRaport
• W przypadku sprzeczności pierwszeństwo ma niniejsza Umowa DPA

Prawo właściwe

• Prawem właściwym dla niniejszej Umowy jest prawo polskie
• Wszelkie spory będą rozstrzygane przez sądy polskie właściwe dla siedziby Procesora

Wejście w życie

• Umowa wchodzi w życie z dniem akceptacji przez Administratora
• Akceptacja następuje poprzez zaznaczenie odpowiedniego pola podczas rejestracji lub logowania

Język umowy

• Umowa sporządzona została w języku polskim
• W przypadku tłumaczeń wiążąca jest wersja polska

Klauzula salwatoryjna

• W przypadku nieważności pojedynczych postanowień umowy, pozostałe postanowienia pozostają w mocy
• Nieważne postanowienia zastępowane są przepisami prawa