OGÓLNE WARUNKI HANDLOWE FIRMY HOSPITALITY DIGITAL GMBH DOTYCZĄCE NARZĘDZIA DO REZERWACJI STOLIKÓW

Operatorem niniejszego narzędzia do rezerwacji stolików (zwanego dalej „ NRS”) jest Hospitality Digital GmbH, Metro-Straße 1, 40235 Düsseldorf, („H.d”).

1. Zakres zastosowania

1.1 H.d realizuje usługi i inne świadczenia wyłącznie na podstawie poniższych warunków umownych (zwanych dalej „OWH”).

1.2 Niniejsze OWH obowiązują w odniesieniu do korzystania z NRS udostępnianego użytkownikowi (zwanemu dalej „gościem”) przez stronę internetową restauracji stosujących to narzędzie (zwanych dalej „restauracjami”). NRS umożliwia gościowi zarezerwowanie stolika w wybranej przez niego restauracji (czynności zwane dalej „usługami”).

2. Przedmiot i dostępność usług

2.1 Przedmiotem usług jest pośrednictwo w rezerwacji stolików oraz innych usługach restauracji udostępnianych gościowi bezpośrednio przez restaurację. Wszystkie obowiązki wynikające z rezerwacji lub innych oferowanych usług restauracji istnieją bezpośrednio i wyłącznie w stosunku między gościem a restauracją. Stosunek umowny między gościem a H.d wykraczający poza pośrednictwo w rezerwacji stolików nie istnieje.

2.2 H.d niezwłocznie przekazuje dokonaną przez gościa rezerwację stolika wybranej przez gościa restauracji jako doręczyciel oświadczenia. Gość ponosi odpowiedzialność za prawidłowość podanych przez siebie danych, w szczególności danych kontaktowych gościa oraz szczegółów dotyczących rezerwacji (data, godzina, liczba gości).

2.3 Realizacja usług przez H.d na rzecz gościa następuje bezpłatnie, dlatego H.d nie gwarantuje mu stałego dostępu do usług.

3. Potwierdzenie rezerwacji, zmiany i anulowania

3.1 Rezerwacja stolika przez gościa jest wiążąca dla restauracji dopiero wówczas, gdy restauracja wyśle potwierdzenie rezerwacji na podany przez gościa adres e-mail. Podanie nieprawidłowego adresu e-mail nie narusza skuteczności potwierdzenia. Krótko przed terminem rezerwacji użytkownik otrzyma od nas SMS lub wiadomość e-mail z przypomnieniem.

3.2 Dokonana przez gościa rezerwacja może być objęta innymi warunkami określanymi przez restaurację i obowiązującymi dodatkowo oprócz niniejszych OWH. Gość jest zobowiązany do zapoznania się z dodatkowymi warunkami restauracji.

3.3 Anulowanie rezerwacji przez gościa jest możliwe w każdej chwili w drodze powiadomienia na dane kontaktowe podane przez restaurację. Gość przyjmuje do wiadomości, że w przypadku anulowania potwierdzonej rezerwacji Restauracja może, w stosownych przypadkach, naliczyć opłatę za anulowanie, za którą firma H.d nie ponosi odpowiedzialności w żadnych okolicznościach.

3.4 Szczegóły dotyczące anulowania lub zmian rezerwacji gość musi omówić bezpośrednio z restauracją jako swoim bezpośrednim partnerem w zakresie rezerwacji. Jeżeli w terminie zarezerwowania stolika użytkownik nie pojawi się w restauracji, może on otrzymać SMS lub wiadomość e-mail z przypomnieniem. W tym SMS-ie lub wiadomości e-mail użytkownik zostanie poproszony o zgłoszenie się lub o wykorzystanie rezerwacji do określonej godziny; w przeciwnym razie rezerwacja zostanie anulowana.

3.5 Firma H.d jest uprawniona do anulowania rezerwacji gościa w określonych przypadkach i/lub do ograniczenia lub zablokowania z ważnego powodu korzystania z usług przez gościa, jeżeli istnieją rzeczywiste przesłanki co do nadużycia w ramach korzystania z usług przez gościa. Anulowanie możliwe jest w szczególności wówczas, gdy gość w przeszłości nie wykorzystał rezerwacji bez wcześniejszego anulowania lub w przypadku niedozwolonych zdublowanych rezerwacji.

4. Rękojmia i odpowiedzialność cywilna

4.1 Wszelkie informacje restauracji dotyczące dostępności (oraz ewentualnie inne informacje, jak ceny) są udostępniane wyłącznie przez restaurację. Restauracja ponosi całkowitą odpowiedzialność za prawidłowość i aktualność udostępnianych informacji. H.d nie sprawdza informacji udostępnianych przez restaurację i nie udziela rękojmi ani nie ponosi odpowiedzialności cywilnej za prawidłowość tych informacji, chyba że przyczyniła się do nieprawidłowości w tym zakresie.

4.2 H.d nie ponosi odpowiedzialności cywilnej za realizację umowy między restauracją a gościem, a co za tym idzie także za szkody powstałe po stronie gościa w związku z realizacją usług, do jakich zobowiązała się restauracja, chyba że przyczyniła się do nieprawidłowości w tym zakresie.

4.3 Firma H.d nie gwarantuje dostępności ani nieprzerwanego dostępu do narzędzia NRS ani ciągłości działania usługi. Oznacza to, że firma H.d nie ponosi żadnej odpowiedzialności za brak dostępu do narzędzia NRS ani za żadne szkody lub straty, które mogą wynikać z braku możliwości korzystania z narzędzia NRS w zakresie dozwolonym przez obowiązujące przepisy.

4.4 Ponadto firma H.d nie ponosi odpowiedzialności, bez względu na podstawy prawe, za szkody lub straty spowodowane przez Gościa spowodowane

(a) zawinionym naruszeniem istotnych zobowiązań umownych, czyli takich których wypełnienie umożliwia w pierwszej kolejności prawidłową realizację umowy oraz na zgodności z którymi ma prawo polegać Gość. W takim przypadku odpowiedzialność firmy H.d jest ograniczona do szkód lub strat, których wystąpienie firma H.d mogła standardowo przewidzieć w warunkach występujących w momencie zawarcia umowy;

(b) rażącego zaniedbania lub umyślnego działania H.d;

(c) w przypadku naruszenia ciała lub zdrowia lub naruszenia Ustawy o odpowiedzialności za produkty lub innego prawnie wiążącego zobowiązania.

4.5 Roszczenia wynikające z gwarancji i roszczenia za szkody przedawniają się nie później niż po roku od momentu, gdy Gość dowiedział się o zdarzeniu powodującym szkody. Nie dotyczy to roszczeń spowodowanych przez czyny bezprawne.

4.6 Gość jest odpowiedzialny za (i) prawidłowość i wiarygodność informacji oraz danych podanych za pośrednictwem narzędzia NRS, (ii) zobowiązania przyjęte, w stosownych przypadkach, wobec odpowiedniej restauracji, a także (iii) wszelkie szkody wynikowe i / lub utracone dochody, które mogą wynikać z niewłaściwego użycia, zaniedbania lub niezgodności dotyczącej korzystania z narzędzia NRS przez Gościa.

5. Własność intelektualna

5.1 Gość przyjmuje do wiadomości i zgadza się, że firma H.d jest jedynym właścicielem praw własności intelektualnej dotyczących narzędzia NRS (w tym jego oprogramowania i kodu źródłowego. Na podstawie obecnych OWH Gościowi nie są przyznawane żadne prawa własności intelektualnej ani żadnej innej własności dotyczącej narzędzia NRS lub jego oprogramowania oprócz prawa do korzystania z niego na obecnych warunkach.

5.2 Zgodnie z powyższym Gość zobowiązuje się do niekorzystania z narzędzia NRS w sposób niewłaściwy lub niezgodny z prawem, niemanipulowania nim w jakikolwiek sposób ani do nienaruszania ogólnych praw własności intelektualnej firmy H.d.

6. Ochrona danych

6.1 W ramach niniejszej umowy H.d gromadzi, przetwarza i wykorzystuje dane osobowe gościa zasadniczo wyłącznie w celu realizacji usług, o ile istnieje zgoda lub o ile przepisy prawne zezwalają na gromadzenie, przetwarzanie i wykorzystanie danych.

6.2 Przekazanie danych do restauracji następuje w zakresie niezbędnym do realizacji rezerwacji.

6.3 Szczegóły dotyczące ochrony danych podano w oświadczeniu o ochronie danych.

7. Pozostałe postanowienia

7.1 Firma H.d zastrzega sobie prawo do dopasowania niniejszych OWH z ważnych przyczyn, ze skutkiem na przyszłość. Gość może zaakceptować zmienioną wersję OWH przy dokonywaniu rezerwacji w przyszłości. Jeżeli jednak gość nie zaakceptuje zmienionych OWH, wówczas korzystanie z usług jest niemożliwe.

7.2 Niniejsze OWH i wszystkie roszczenia i prawa wynikające z OWH lub z nimi związane podlegają wyłącznie prawu niemieckiemu z wyłączeniem prawa kolizyjnego i należy je interpretować i realizować zgodnie z prawem niemieckim. Zastosowanie Konwencji Narodów Zjednoczonych o Umowach Międzynarodowej Sprzedaży Towarów (CISG) jest wykluczone.

7.3 Miejsce wykonania to Düsseldorf. O ile jest to dozwolone przez prawo, jako miejsce jurysdykcji uzgodniono Düsseldorf w Niemczech. W przeciwnym wypadku ma zastosowanie jurysdykcja zgodna z prawem.

7.4 Pod poniższym linkiem dostępna jest platforma Komisji Europejskiej służąca do polubownego rozstrzygania sporów: https://ec.europa.eu/consumers/odr/main/index.cfm?event=main.home2.show&lng=DE Firma H.d nie uczestniczy w procesie polubownego rozstrzygania sporu przed organem arbitrażowym dla konsumentów i nie jest do tego zobowiązana.

7.5 Jeżeli któreś z postanowień niniejszych OWH byłoby lub stałoby się w całości lub w części nieważne, nieskuteczne, niewykonalne lub niemożliwe do spełnienia („wadliwe postanowienie”), nie narusza to skuteczności i możliwości spełnienia pozostałych postanowień niniejszych OWH. Strony zobowiązują się już teraz do uzgodnienia w miejsce wadliwego postanowienia takiego postanowienia, które w ramach możliwości prawnych będzie najbliższe temu, co strony uzgodniłyby zgodnie z treścią i celem niniejszych OWH, gdyby rozpoznały wadliwość postanowienia.

Stand: Mai 2018/AG




PRZETWARZANIE ZAMÓWIENIA

Potwierdzając Ogólne warunki handlowe, Zleceniodawca („Osoba odpowiedzialna”) i H.d („Podmiot przetwarzający”), określane wspólną nazwą „Strony”, pojedynczo „Strona”, zawierają także następującą Umowę o przetwarzaniu danych („UPD”).

Wstęp

W kontekście działalności biznesowej oraz zgodnie z powyższymi Ogólnymi warunkami handlowymi, Podmiot przetwarzający otrzymuje dane osobowe, za które odpowiada Osoba odpowiedzialna. Strony zgadzają się na postanowienia tej umowy UPD w celu spełnienia zobowiązań stron do ochrony danych zgodnie z europejskimi przepisami o ochronie danych, a w szczególności z Rozporządzeniem o ochronie danych (Artykuł 28 RODO).

1. Definicje

1.1 Dane osobowe oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do identyfikacji osoby fizycznej („Osoba zainteresowana”). Osobę fizyczną uznaje się za możliwą do identyfikacji, gdy można ją zidentyfikować bezpośrednio lub pośrednio, w szczególności przez skojarzenie z identyfikatorem, takim jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator online albo co najmniej jedną cechę specjalną, która określa tożsamość fizyczną, fizjologiczną, genetyczną, umysłową, ekonomiczną, kulturową lub społeczną tej osoby fizycznej (zwane dalej „Danymi”).

1.2 Przetwarzanie danych w imieniu innej osoby to gromadzenie, przetwarzanie lub używanie danych przez Podmiot przetwarzający w imieniu Osoby odpowiedzialnej.

2. Przedmiot i treść zamówienia

2.1 Przedmiot i okres realizacji zamówienia

Szczegóły i okres realizacji zamówienia wynikają z powyższych Ogólnych warunków handlowych.

2.2 Rodzaj danych

Rodzaj danych jest szczegółowo opisany w Ogólnych warunkach handlowych w Oświadczeniu o ochronie danych.

2.3 Cel gromadzenia, przetwarzania lub wykorzystania danych

Cel gromadzenia, przetwarzania lub wykorzystania danych jest szczegółowo opisany w Ogólnych warunkach handlowych w Oświadczeniu o ochronie danych.

2.4 Charakter i zakres gromadzenia, przetwarzania i wykorzystania danych

Charakter i zakres gromadzenia, przetwarzania lub wykorzystania danych jest szczegółowo opisany w Ogólnych warunkach handlowych w Oświadczeniu o ochronie danych.

2.5 Kategoria osób zainteresowanych

(a) Własne dane Zleceniodawcy

(b) Klienci

2.6 Środki techniczne i organizacyjne

(a) Środki techniczne i organizacyjne, która musi zastosować podmiot przetwarzający będą określone w Załączniku (patrz poniżej) do tej umowy UPD. Podmiot przetwarzający dane będzie regularnie dostosowywał te środki do aktualnego stanu technicznego na własny koszt, pod warunkiem że uzgodniony poziom ochrony nie został obniżony, a Osoby odpowiedzialne zostaną natychmiast poinformowane.

(b) Wymagane jest, aby Podmiot przetwarzający zezwolił Osobie odpowiedzialnej na weryfikacje lokalnej zgodności ze środkami technicznymi i organizacyjnymi przed rozpoczęciem przetwarzania zgodnie z tą umową. Nie wpływa to na prawo do audytu Osoby odpowiedzialnej zgodnie z Punktem 2.10.(c) Podmiot przetwarzający zapewni, że systemy przetwarzania danych używane na podstawie umowy UPD będą zgodne ze standardami „ochrony danych już w fazie projektowania” oraz „ochrony danych jako opcji domyślnej” zgodnie z aktualnym stanem technicznym.

2.7 Poprawianie, usuwanie i blokowanie danych, prawo do przenoszenia danych i prawo do sprzeciwu

(a) Prawa osób zaangażowanych do przetwarzania danych przez podmiot przetwarzający, w szczególności do sprostowania, wymazania i zablokowania, przenoszenia danych i sprzeciwu będą zapewnione administratorowi danych. Jest on odpowiedzialny za ochronę tych praw.

(b) W ramach prac wykonywanych dla Osoby odpowiedzialnej Podmiot przetwarzający jest zobowiązany do niezwłocznego przekazania wszystkich żądań skierowanych do niej przez osoby, których dotyczą dane do osoby odpowiedzialnej za właściwe przetwarzanie. Jeżeli Osoba odpowiedzialna i Podmiot przetwarzający działają wspólnie jako zewnętrzne osoby odpowiedzialne, Podmiot przetwarzający jest uprawniony do niezależnego udzielenia odpowiedzi na to żądanie.

(c) Wymagane jest także, aby Podmiot przetwarzający udzielił Osobie odpowiedzialnej pomocy dotyczącej odpowiednich środków technicznych i organizacyjnych w celu wypełnienia jej zobowiązania do udzielenia odpowiedzi osobom, które dotyczą dane.

(d) Zgodnie z instrukcjami Osoby odpowiedzialnej Podmiot przetwarzający sprostuje, zawiesi przetwarzanie i/lub usunie dane natychmiast, ale nie później niż w ciągu pięciu (5) dni i poinformuje Podmiot przetwarzający do tego dnia.

2.8 Obowiązki Podmiotu przetwarzającego

(a) Podmiot przetwarzający może gromadzić, przetwarzać i wykorzystywać dane wyłącznie w kontekście zamówienia i udokumentowanych instrukcji Osoby odpowiedzialnej.

(b) Podmiot przetwarzający musi regularnie stosować się do środków technicznych i organizacyjnych zdefiniowanych w Klauzuli 2.6 tej umowy UPD i na żądanie przesyłać informacje na ten temat.

(c) Inspektor ochrony danych jest wyznaczony jako osoba kontaktowa do ochrony danych u Podmiotu przetwarzającego. Można się z nim skontaktować pod adresem privacy@hd.digital. W razie potrzeby Podmiot przetwarzający wyznacza także przedstawiciela zgodnie z wymaganiami art. 27 RODO.

(d) Podmiot przetwarzający jest odpowiedzialny za zachowanie poufności. Dowolna osoba u Podmiotu przetwarzającego upoważniona do dostępu do danych Osoby odpowiedzialnej będzie zobowiązana do zachowania poufności lub objęta odpowiednią tajemnicą zawodową i musi zostać poinformowana o szczególnych zobowiązaniach do ochrony danych wynikających z tej umowy UPD, a ponadto, istniejących instrukcjach i celu. Podmiot przetwarzający udokumentuje te zobowiązania na piśmie i przekaże je na żądanie Osoby odpowiedzialnej.

2.9 Uzasadnienie warunków podzlecenia

(a) Uzasadnienie relacji podzlecenia jest dozwolone. Podmiot przetwarzający poinformuje wcześniej Osobę odpowiedzialną o odpowiedniej zmianie. Osoba odpowiedzialna ma prawo do sprzeciwu.

(b) W przypadku przejmowania od innych podmiotów przetwarzających Podmiot przetwarzający zapewni za pomocą umowy, że zobowiązania Podmiotu przetwarzającego przypisane zgodnie z tą umową UPD będą mieć także zastosowanie do drugiego Podmiotu przetwarzającego.

(c) Podmiot przetwarzający będzie regularnie i doraźnie kontrolował środki techniczne i organizacyjne stosowane przez inne podmioty przetwarzające w okresie podzlecenia w celu ochrony przekazanych danych. Przesyłanie danych jest dozwolone, wyłącznie jeśli drugi Podmiot przetwarzający zastosował wymagane środki techniczne i organizacyjne co najmniej w zakresie określonym w tej umowie UPD.

(d) Podmiot przetwarzający ponosi pełną odpowiedzialność za zatrudnianych podwykonawców.

2.10 Prawa do audytu przysługujące Osobie odpowiedzialnej

Osoba odpowiedzialna jest upoważniona do weryfikacji zgodności z odpowiednimi przepisami o ochronie danych i umową UPD w standardowych godzinach pracy. Podmiot przetwarzający zgadza się przekazać Osobie odpowiedzialnej wszystkie informacje uznane za wymagane do przeprowadzenia kontroli w uzasadnionym terminie. W przypadku gdy Osoba odpowiedzialna uzna, że wymagany jest audyt w siedzibie Podmiotu przetwarzającego, Podmiot przetwarzający zapewni, że osoba odpowiedzialna za przeprowadzenie audytu będzie miała dostęp do biura oraz możliwość lokalnej inspekcji przechowywanych danych i programów do przetwarzania danych Podmiotu przetwarzającego. Osoba odpowiedzialna jest upoważniona do przeprowadzenia testu przez osobę trzecią (egzaminatora) wyznaczonego w indywidualnych przypadkach. Osoba odpowiedzialna musi zgłosić wykonanie takiego audytu na piśmie co najmniej dwadzieścia (20) dni roboczych wcześniej. Koszt przeprowadzenia audytu i koszty poniesione przez Podmiot przetwarzający przy normalnych stawkach rynkowych ponosi Osoba odpowiedzialna.

2.11 Powiadomienia o naruszeniach przez Podmiot przetwarzający

(a) Podmiot przetwarzający powiadomi Osobę odpowiedzialną niezwłocznie, a najpóźniej w ciągu (48) godzin po wykryciu, o wszystkich przypadkach naruszenia zasad określających ochronę danych Osoby odpowiedzialnej lub warunków wymienionych w tej umowie UPD przez Podmiot przetwarzający lub osoby albo podwykonawców przez niego zatrudnione.

(b) Osoba odpowiedzialna zostanie powiadomiona o wszystkich przypadkach utraty lub niezgodnego z prawem przesłania albo odbioru przez inne firmy, bez względu na przyczynę. Podmiot przetwarzający, w porozumieniu z Osobą odpowiedzialną, podejmą odpowiednie środki, aby zabezpieczyć dane i uniknąć ewentualnych niepożądanych konsekwencji dla osób, których dotyczą dane. W zakresie, w jakim osoby odpowiedzialne wypełnią zobowiązania do powiadomienia Podmiot przetwarzający pomoże Osobie odpowiedzialnej w wypełnieniu tych zobowiązań.

2.12 Instrukcje Osoby odpowiedzialnej

(a) Przetwarzanie danych Osoby odpowiedzialnej przez Podmiot przetwarzający będzie miało miejsce wyłącznie w kontekście umowy UPD i określonych instrukcji podanych przez Podmiot przetwarzający.

(b) Podmiot przetwarzający, niezwłocznie lub – w stosownych przypadkach – w czasie określonym przez Osobę odpowiedzialną, zastosuje się do (poszczególnych) instrukcji dotyczących charakteru, zakresu i metody przetwarzania.

(c) Podmiot przetwarzający niezwłocznie powiadomi Osobę odpowiedzialną, jeżeli według Podmiotu przetwarzającego instrukcje podane przez Osobę odpowiedzialną naruszają przepisy o ochronie danych. Podmiot przetwarzający będzie uprawniony do zawieszenia wykonania odpowiedniej instrukcji do momentu jej potwierdzenia lub zmiany przez Osobę odpowiedzialną.

2.13 Usunięcie po zrealizowaniu zamówienia

Po wykonaniu prac wynikających z umowy Podmiot przetwarzający musi przekazać wszystkie dane przetworzone dla Osoby odpowiedzialnej lub, po wcześniejszym uzyskaniu zgody Osoby odpowiedzialnej, zniszczyć je zgodnie z zasadami ochrony danych lub usunąć zgodnie z aktualnym stanem technicznym. Prawo do przechowywania jest wykluczone w odniesieniu do dokumentów, danych, wyników przetwarzania i wykorzystania oraz powiązanych nośników danych, chyba że prawo Unii Europejskiej lub państwa członkowskiego UE wymaga przechowywania danych.

3. Dodatkowe zobowiązania podmiotu przetwarzającego

3.1 Podmiot przetwarzający wykorzystuje podane dane do ich przetwarzania tylko w określonym celu. Nie można tworzyć kopii ani duplikatów danych bez wiedzy i wcześniejszej pisemnej zgody Osoby odpowiedzialnej, chyba że wynika to z usług zamówionych na podstawie umowy UPD. Podmiot przetwarzający zapewni, że dane przetworzone przez niego dla Osoby odpowiedzialnej będą oddzielone od innych danych. Przesyłanie danych osoby odpowiedzialnej przez Podmiot przetwarzający do innych firm nie odbywa się bez pisemnej zgody Osoby odpowiedzialnej.

3.2 Osoba odpowiedzialna udzieli uzasadnionej pomocy osobom odpowiedzialnym za ochronę przed roszczeniami na podstawie rzekomego lub rzeczywistego niespełnienia wymagań dotyczących ochrony danych. Osoba odpowiedzialna zbada skargi podmiotów, których dotyczą dane w kontekście odpowiedzialności Osoby odpowiedzialnej za ochronę danych w odpowiedni sposób i i rozpatrzy skargi osób, których dotyczą dane.

3.3 Podmiot przetwarzający przyjmuje do wiadomości, że informacje są przekazywane odpowiednim osobom na podstawie prawa do informacji wyłącznie przez Osobę odpowiedzialną lub osobę przez nią upoważnioną. Podmiot przetwarzający jest zobowiązany do podania Osobie odpowiedzialnej wymaganych informacji w odpowiednim czasie i udzielenia jej pomocy. Jeśli Podmiot przetwarzający działa jako zewnętrzna Osoba odpowiedzialna, na te zapytania można także udzielić odpowiedzi i poinformować osobę odpowiedzialną.

3.4 W stosownych przypadkach Podmiot przetwarzający udzieli pomocy administratorowi danych w przygotowaniu wymaganych spisów procedur.

3.5 Podmiot przetwarzający udzieli pomocy Osobie odpowiedzialnej w przeprowadzeniu oceny wpływu na ochronę danych, gdy typ przetwarzania może spowodować duże ryzyko dla praw i swobód osób fizycznych.

3.6 Podmiot przetwarzający zgadza się niezwłocznie poinformować Osobę odpowiedzialną o wynikach kontroli przeprowadzonej przez organy nadzorujące ochronę danych, o ile są one związane z tą umową UPD. Podmiot przetwarzający poinformuje osoby odpowiedzialne o wszelkich skargach organów nadzorujących ochronę danych dotyczących zakresu odpowiedzialności Podmiotu przetwarzającego i naprawi szkody związane ze skargami zgodnie z wymaganiami prawa.

4. Odpowiedzialność

4.1 Do obowiązków Osoby odpowiedzialnej należy dopuszczalność przetwarzania danych, a także za ochrona praw osób, których dotyczą dane.

4.2 Na zasadzie odstępstwa od części 4.1, Podmiot przetwarzający dane jest odpowiedzialny za roszczenia osób, których dotyczą dane spowodowane naruszenie odpowiednich postanowień prawnych lub postanowień umowy UPD.

4.3 W odniesieniu do Osoby odpowiedzialnej Podmiot przetwarzający odpowiada tylko za umyślne działanie i rażące zaniedbanie w zakresie prawnie dozwolonego wykluczenia odpowiedzialności i ograniczeń.

5. Postanowienia końcowe

5.1 Administrator danych niezwłocznie i dokładnie poinformuje podmiot przetwarzający, jeśli w trakcie kontroli wykryje błędy lub nieprawidłowości w przetwarzaniu danych przez Podmiot przetwarzający.

5.2 Niniejsza umowa UPD może być modyfikowana i wypowiedziana zgodnie z tymi samymi warunkami handlowymi, co powyższe Ogólne warunki handlowe.

5.3 Nieważność co najmniej jednego postanowienia tej umowy UPD nie wpływa na skuteczność umowy UPD. W przypadku nieskuteczności co najmniej jednego postanowienia tej umowy UPD Strony przyjmą prawnie skuteczne postanowienie zastępcze w możliwie najoszczędniejszy sposób w przypadku nieskutecznego postanowienia. Dotyczy to także luk prawnych.

5.4 Umowa UPD podlega tym samym prawom, co powyższe Ogólne warunki handlowe.

5.5 W przypadku sprzeczności umowy UPD i innych umów między stronami, pierwszeństwo mają postanowienia tej umowy UPD.

Stan: 2018/AG





Środki techniczne i organizacyjne

Uwzględniając aktualny stan techniczny, koszty wdrożenia oraz charakter, zakres, okoliczności i cele przetwarzania, a także różne prawdopodobieństwo i wagę ryzyka dotyczącego praw i swobód osób fizycznych, aby zapewnić poziom ochrony proporcjonalny do ryzyka, Podmiot przetwarzający zastosuje odpowiednie środki techniczne i organizacyjne, takie jak:

• pseudonimizację i szyfrowanie danych;

• możliwość stałego zapewnienia poufności, spójności, dostępności i bezpieczeństwa systemów i usług przetwarzania;

• możliwość szybkiego przywrócenia dostępności danych w przypadku incydentów fizycznych lub technicznych;

• proces okresowej weryfikacji, oceny i analizy skuteczności środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania.

Bez uszczerbku dla powyższych postanowień zostaną podjęte następujące określone działania:

1. Kontrola dostępu

Środki uniemożliwiające osobom nieupoważnionym uzyskanie dostępu do systemu przetwarzania danych służącego do przetwarzania danych:

• określenie grupy osób upoważnionych i utworzenie odpowiedniej dokumentacji;

• elektroniczna kontrola dostępu;

• wydanie identyfikatorów dostępu;

• przekazanie wytycznych osobom z zewnątrz;

• alarm lub ochrona poza godzinami pracy;

• podział obiektu na różne strefy ochrony;

• przekazanie wytycznych dotyczących korzystania z kluczy (kart);

• zabezpieczone drzwi (elektroniczny zamek, czytnik identyfikatorów, kamera przemysłowa);

• zastosowanie lokalnych środków zabezpieczeń (np. wykrywanie/powiadamianie o wtargnięciu).

2. Kontrola dostępu

Środki uniemożliwiające osobom nieupoważnionym korzystanie z systemów i procedur przetwarzania danych:

• określenie grupy osób, które mają dostęp do systemów przetwarzania danych;

• przekazanie wytycznych osobom z zewnątrz;

• ochrona komputerów osobistych hasłem.

3. Kontrola dostępu

Środki zapewniające, że osoby upoważnione do korzystania z technik przetwarzania danych mają dostęp tylko do danych zgodnych z ich upoważnieniem:

• zastosowanie uprawnień ograniczonego dostępu na podstawie odpowiednich danych i funkcji;

• obowiązek identyfikacji urządzeń do przetwarzania danych (np. za pomocą identyfikatora i uwierzytelniania);

• wprowadzenie zasad dotyczących dostępu i ról użytkowników;

• ocena protokołów na wypadek szkodliwego zdarzenia.

4. Kontrola przesyłania

Środki zapewniające ochronę przed odczytaniem, skopiowaniem, zmianą lub usunięciem podczas przesyłania w formie elektronicznej albo podczas transportu lub przechowywania na nośnikach danych, a także możliwość sprawdzenia i określenia, na którym etapie możliwe jest przesyłanie danych.

• Szyfrowanie

5. Kontrola wprowadzania

Środki umożliwiające późniejszą weryfikację i określenie, czy i przez kogo dane zostały wprowadzone, zmienione lub usunięte z systemów IT.

• Rejestrowanie wprowadzania danych.

6. Kontrola zleceń

Środki zapewniające, że przetwarzanie danych na zlecenie odbywa się wyłącznie zgodnie z instrukcjami Osoby odpowiedzialnej.

• dokumentacja różnych kompetencji i obowiązków Osoby odpowiedzialnej i Podmiotu przetwarzającego;

• oficjalne przekazanie do eksploatacji;

• kontrola wyników pracy.

7. Kontrola dostępu

Środki zapewniające ochronę danych przed przypadkowym zniszczeniem lub utratą.

• wdrożenie planu regularnego tworzenia kopii zapasowych;

• bezpieczne przechowywanie kopii zapasowych danych w szafach ognioodpornych i zabezpieczonych przed zalaniem;

• regularna kontrola systemu zasilania awaryjnego i systemu przeciwprzepięciowego;

• wprowadzenie planu działania w sytuacjach awaryjnych;

• protokół wprowadzania działań na wypadek sytuacji kryzysowej i/lub awaryjnej.

8. Kontrola rozdzielenia

Środki zapewniające, że dane gromadzone dla różnych celów mogą być przetwarzane osobno.

• rozdzielenie danych poszczególnych klientów Podmiotu przetwarzającego.

Stan: maj 2018/AG

Imprint