Ogólne warunki handlowe – narzędzie do obsługi rezerwacji

Hospitality Digital GmbH, Metrostraße 1, 40235 Düsseldorf („H.d”) oferuje przedsiębiorcom z branży hotelarskiej i gastronomicznej („zleceniodawca”) bezpłatne usługi realizowane wyłącznie przez Internet, które dokładniej opisano w dalszej części („usługi”). Niektóre usługi są dostępne wyłącznie dla zarejestrowanych zleceniodawców.

1. Zakres zastosowania

1.1 H.d realizuje usługi i inne świadczenia wyłącznie na podstawie poniższych warunków umownych („OWH”).

1.2 Odmienne warunki zleceniodawcy nie obowiązują także wówczas, gdy H.d wyraźnie ich nie odrzuci i/lub mimo znajomości sprzecznych i/lub odmiennych warunków zleceniodawcy realizuje usługi i/lub świadczenia bez zastrzeżeń.

2. Zakres usług

2.1 Usługi obejmują następujące świadczenia H.d w okresie obowiązywania umowy:

(a) H.d udostępnia zleceniodawcy miejsce na dysku do wykorzystania w systemach H.d, do którego zleceniodawca ma dostęp przez Internet („miejsce na dysku”), patrz punkt 4.

(b) H.d oferuje zleceniodawcy dostęp przez Internet do oprogramowania, które umożliwia zleceniodawcy podłączenie oprogramowania do obsługi rezerwacji online na własnej stronie internetowej, do korzystania z niego i zarządzania nim („oprogramowanie”), patrz punkt 5, oraz do zapisywania zgromadzonych danych na dysku i zarządzania nimi.

2.2 W celu zwiększenia zasięgu H.d może udostępnić rzeczywistą dostępność rezerwacji (czas, stoliki i liczbę osób) również stronom trzecim (np. „Zarezerwuj z Google”). Wpływające w ten sposób zapytania dot. rezerwacji przechodzą jednak wyłącznie przez oprogramowanie H.d. Ponieważ poszczególne strony trzecie w ramach przyjęcia rezerwacji przewidują minimalną liczbę osób, H.d. przewiduje w przypadku automatycznego przyjęcia rezerwacji cztery osoby jako ustawienie podstawowe. To ustawienie może zostać w każdej chwili zmienione przez zleceniodawcę. Jednak taka zmiana może spowodować, że strony trzecie nie będą wyświetlać rezerwacji, które są w rzeczywistości dostępne.

2.3 H.d może dostosować usługi i pozostałe świadczenia do stanu techniki i rozwoju technicznego lub niezbędnych wymagań, o ile jest to możliwe do zaakceptowania przez zleceniodawcę. Ponadto H.d może wstrzymać usługi i pozostałe świadczenia z zachowaniem odpowiedniego terminu. H.d poinformuje zleceniodawcę z odpowiednim wyprzedzeniem o wstrzymaniu usług.

3. Obowiązki Zleceniodawcy

3.1 Zleceniodawca jest zobowiązany do utrzymywania w okresie obowiązywania umowy stałej aktualności danych firmy i danych kontaktowych podanych przy zawieraniu umowy oraz do niezwłocznego poinformowania H.d o każdej zmianie. Ponadto zleceniodawca jest zobowiązany do dbania o to, aby podany firmie H.d adres e-mail był regularnie sprawdzany, aby otrzymywać informacje mające znaczenie dla umowy.

3.2 Dane dostępowe otrzymane od H.d zleceniodawca będzie chronił przed dostępem nieuprawnionych osób trzecich. Zleceniodawca niezwłocznie poinformuje H.d, jeżeli będzie on miał uzasadnione podejrzenie lub wiedzę o potencjalnym nadużyciu przekazanych danych dostępowych.

3.3 Zleceniodawca jest świadom, że korzystanie z oprogramowania do obsługi rezerwacji online może być łączone z firmą H.d. Dlatego zleceniodawca podejmie wszelkie niezbędne działania mające na celu merytoryczne rozdzielenie oferty zleceniodawcy od oferty H.d lub osób trzecich.

3.4 Jeżeli zleceniodawca uzyska wiedzę o tym, że poprzez korzystanie z usług lub pozostałych świadczeń narusza on prawo, wówczas klient jest zobowiązany do natychmiastowego wstrzymania naruszania prawa, łącznie z usunięciem treści naruszających prawo.

4. Postanowienia specjalne dotyczące miejsca na dysku

4.1 Miejsce na dysku jest udostępniane zleceniodawcy bezpłatnie. Dlatego H.d nie może zapewnić określonej dostępności miejsca na dysku. Ponadto miejsce na dysku będzie niedostępne w czasie niezbędnych prac konserwacyjnych. H.d dołoży starań, aby utrudnienia związane z pracami konserwacyjnymi były minimalne. Pozostałe specyfikacje usług dotyczących miejsca na dysku H.d udostępni zleceniodawcy przed zawarciem umowy.

4.2 Zleceniodawca zobowiązuje się i zapewnia, iż wszelkie pliki, łącznie z dokumentami HTML i innymi dokumentami, tekstami, obrazami, grafikami, pismami, filmami itp. („treści”) są zapisywane na dysku i/lub poprzez oprogramowanie, publikowane i/lub udostępniane wyłącznie zgodnie z prawem, w szczególności zleceniodawca będzie zapisywał na dysku i/lub poprzez oprogramowanie wyłącznie treści, wobec których posiada on niezbędne prawa, łącznie z prawami użytkowania oraz autorskimi prawami majątkowymi zgodnie z przepisami o prawach autorskich, oraz które nie naruszają dóbr osobistych osób trzecich. Ponadto zleceniodawca nie będzie zapisywał na dysku i/lub poprzez oprogramowanie, publikował i/lub udostępniał żadnych treści nieprzyzwoitych, w szczególności pornograficznych, rasistowskich lub dyskryminujących. Treści zapisywane na dysku i/lub poprzez oprogramowanie z naruszeniem niniejszego punktu 4, o których firma H.d zostanie powiadomiona przez urzędy, sądy, właścicieli praw lub inne osoby trzecie lub uzyska wiedzę w inny sposób, mogą zostać usunięte przez H.d.

4.3 Zleceniodawca udziela H.d niezbędnych praw do wszystkich treści zapisywanych przez niego na dysku i/lub poprzez oprogramowanie, przez niego publikowanych i/lub udostępnianych publicznie, w szczególności udziela on prawa do zapisywania, dopasowania technicznego, udostępniania publicznego oraz powielania tych treści. Firma H.d ma dostęp do treści zleceniodawcy na dysku, wyłącznie wówczas, gdy jest to niezbędne ze względów technicznych w celu udostępnienia i/lub publikacji treści oraz w ramach przyznanych umownie uprawnień.

4.4 Ponadto zleceniodawca nie może przeprowadzać ani zlecać wykonywania żadnych procesów automatycznych, skryptów, programów lub innych danych i/lub treści i/lub działań wszelkiego rodzaju na dysku i/lub poprzez oprogramowanie, jeżeli mogłyby one uszkodzić systemy, sieci i/lub inny sprzęt lub oprogramowanie lub składniki sieci H.d i/lub osób trzecich w zakresie większym niż nieznaczny. Jeżeli firma H.d uzyska wiedzę o takim uszkodzeniu, wówczas jest ona uprawniona do zakończenia tego szkodliwego działania i/lub do jego wstrzymania.

4.5 Zleceniodawca będzie każdego dnia wykonywać kopie zapasowe, aby móc odtworzyć treści umieszczone na dysku bez dodatkowych kosztów.

4.6 Ponieważ zleceniodawca występuje jako podmiot odpowiedzialny wobec klienta końcowego/użytkownika, zleceniodawca jest zobowiązany do posiadania zgodnej z prawem i aktualnej własnej stopki redakcyjnej w ramach udostępnionych ogólnych warunków handlowych i postanowień w zakresie ochrony danych.

5. Postanowienia specjalne dotyczące oprogramowania

Dostęp do oprogramowania lub korzystanie z oprogramowania przez zleceniodawcę na rzecz osób trzecich lub do innych celów jest niedozwolony. W szczególności nie udziela się zleceniodawcy prawa do kopiowania oprogramowania, udostępniania go osobom trzecim, do jego dezasemblacji lub zmiany w inny sposób.

6. Zawarcie umowy, okres obowiązywania, wypowiedzenie

6.1 Umowa dochodzi do skutku z chwilą przyjęcia oferty zleceniodawcy dotyczącej zawarcia umowy o usługi i pozostałe świadczenia przez H.d. Przyjęcie oferty następuje z reguły z chwilą rozpoczęcia realizacji zleceń przez H.d.

6.2 Umowa zostaje zawarta na czas nieokreślony i może zostać wypowiedziana przez klienta w każdej chwili, a przez firmę H.d z terminem dwóch (2) tygodni.

6.3 Wypowiedzenia ze strony H.d muszą nastąpić pisemnie lub pocztą elektroniczną. Zleceniodawca wypowiada umowę z reguły poprzez wybranie w programie odpowiedniej opcji usunięcia swoich treści i potwierdzenie.

6.4 Prawo stron do bezterminowego wypowiedzenia umowy z ważnej przyczyny pozostaje nienaruszone. Ważna przyczyna zachodzi w szczególności wówczas, gdy zleceniodawca naruszy zobowiązania wynikające z punktów 3, 4, 5, 6, 10.2 i 10.3.

6.5 Po zakończeniu obowiązywania umowy, obojętnie z jakiego powodu, firma H.d w ciągu trzydziestu (30) dni usunie wszystkie dane zapisane w ramach stosunku umownego przez zleceniodawcę na dysku, o ile zleceniodawca sam nie dokona usunięcia poprzez program.

7. Rękojmia i odpowiedzialność cywilna, wyłączenie

7.1 W odniesieniu do usług i świadczeń udostępnianych zleceniodawcy bezpłatnie przez H.d, firma H.d wynagradza zleceniodawcy wyłącznie takie szkody, które powstały po stronie zleceniodawcy na skutek podstępnie przemilczanych wad. Wykraczająca poza ten zakres odpowiedzialność cywilna firmy H.d za wady prawne i fizyczne w odniesieniu do udostępnianych bezpłatnie usług i świadczeń jest wykluczona.

7.2 Firma H.d oraz osoby działające na jej zlecenie lub jej ustawowi przedstawiciele ponoszą odpowiedzialność cywilną za usługi i świadczenia, które H.d bezpłatnie udostępnia zleceniodawcy, jedynie w przypadkach działań umyślnych, rażącego niedbalstwa lub zawinionego narażenia życia, zdrowia lub uszkodzenia ciała, a także w przypadku podstępnie przemilczanych wad, przy czym w razie utraty danych odpowiedzialność cywilna firmy H.d jest ograniczona do nakładów związanych z odtworzeniem, jakie powstałyby w przypadku tworzenia kopii zapasowej każdego dnia. Odpowiedzialność cywilna według ustawy o odpowiedzialności za produkt oraz ustawy o wynagrodzeniu minimalnym pozostaje nienaruszona.

7.3 Odpowiedzialność za treści ponosi wyłącznie zleceniodawca. Dlatego zleceniodawca zwolni na pierwsze żądanie firmę H.d, osoby działające na jej zlecenie oraz jej ustawowych przedstawicieli, a także przedsiębiorstwa powiązane z H.d zgodnie z § 15 ustawy o akcjach z wszelkich roszczeń osób trzecich, dochodzonych przez te osoby na podstawie lub w związku z usługami i/lub pozostałymi świadczeniami wobec firmy H.d, osób działających na jej zlecenie, jej ustawowych przedstawicieli i/lub przedsiębiorstw powiązanych z H.d. Dotyczy to w szczególności naruszenia prawa znaków towarowych, praw autorskich, ochrony danych oraz konkurencji. Zwolnienie to obejmuje także niezbędne koszty dochodzenia na drodze prawnej łącznie z kosztami postępowania arbitrażowego.

8. Ochrona danych, zachowanie tajemnicy

8.1 Firma H.d ponosi odpowiedzialność za przetwarzanie danych osobowych zebranych przez Zleceniodawcę. Firma H.d przetwarza dane osobowe wyłącznie w celu realizacji niniejszej umowy, na przykład aby nawiązać kontakt i świadczyć usługi. Realizacja niniejszej umowy bez podania danych osobowych jest niemożliwa. Przetwarzanie danych osobowych oparto na Artykule 6 Par. 1 Klauzuli 1 (b) Ogólnego rozporządzenia o ochronie danych (RODO). Dane osobowe Zleceniodawcy zostaną usunięte po wygaśnięciu umowy, chyba że mają zastosowanie zobowiązania prawne wymagające przechowywania danych osobowych przez dłuższy czas. W takim przypadku nie można użyć danych osobowych do innych celów i są usuwane po upłynięciu ustawowego okresu przechowywania. Dla celów wdrożenia tej umowy firma H.d korzysta z pomocy usługodawców, na przykład z branży hostingu, w celu konserwacji i świadczenia innych usług. Ci usługodawcy mogą być firmami zewnętrznymi, a także firmami współpracującymi z firmą H.d zgodnie z Częścią 15 i kolejnymi Niemieckiej ustawy o spółkach akcyjnych (AktG) za pośrednictwem kontraktów z usługodawcami. Firma H.d zapewnia, że dane osobowe są przetwarzane zgodnie z wymaganiami RODO. Dotyczy to także przypadków przetwarzania danych poza UE/EOG. Aby skorzystać z praw przysługujących Zleceniodawcy zgodnie z RODO, tj. prawa do:

• otrzymania informacji o przetwarzaniu jego danych osobowych, a także otrzymania kopii tych danych (Art. 15 RODO);

• poprawienia nieprawidłowych danych i uzupełnienia niekompletnych danych osobowych (Art. 16 RODO);

• usunięcia jego danych osobowych i, jeżeli zostały upublicznione, wymagania od firmy H.d poinformowania innych odpowiedzialnych osób o wniosku dotyczącym usunięcia (Art. 17 RODO;

• ograniczenia przetwarzania jego danych osobowych (Art. 18 RODO);

• przenoszalności danych, w celu przekazania jego danych osobowych w formacie uporządkowanym, powszechnie używanym i możliwym do odczytania przez maszyny; wymagania od firmy H.d przekazania danych bez przeszkód innej osobie odpowiedzialnej (Art. 20 RODO);

• odwołania od decyzji o przetwarzaniu danych (Art. 21 RODO),

klient może w dowolnej chwili skontaktować się z inspektorem ochrony danych firmy H.d (privacy@hd.digital). Klient ma także prawo do złożenia skargi do odpowiedniego organu nadzorczego, o ile uzna, że przetwarzanie danych jest niezgodne z RODO (Art. 77 RODO)

8.2 Zleceniodawca jest samodzielnie odpowiedzialny wobec osób trzecich za przestrzeganie określonych wytycznych w zakresie prawa ochrony danych, łącznie z przestrzeganiem istniejących obowiązków udzielenia informacji w związku ze stroną internetową utworzoną przez zleceniodawcę za pomocą oprogramowania.

8.3 Strony są zobowiązane do nieudostępniania osobom trzecim informacji poufnych w okresie dwóch lat po zakończeniu okresu obowiązywania umowy oraz do niewykorzystywania ich do innych celów, niezwiązanych z umową. Informacje poufne to wszystkie informacje dotyczące wszystkich udostępnionych klientowi informacji technicznych i wiedzy oraz pozostałych informacji oznaczonych przez jedną ze stron jako poufne oraz posiadających wartość gospodarczą.

8.4 Zobowiązanie do zachowania tajemnicy nie dotyczy informacji, które bez naruszenia zobowiązania do zachowania tajemnicy strony stały się znane lub są już znane drugiej stronie lub stały się lub są znane publicznie, lub które należy udostępnić osobom trzecim na podstawie ustawowego, sądowego lub urzędowego zarządzenia lub które w ramach planowanego zakupu przedsiębiorstwa są udostępniane osobom trzecim zobowiązanym do zachowania tajemnicy.

9. Wynagrodzenie

9.1 Zleceniodawca nie jest zobowiązany do zapłaty wynagrodzenia za realizację usług przez H.d. Usługi są realizowane bezpłatnie.

9.2 Świadczenia osób trzecich, realizowane w ramach świadczeń rozszerzonych, nie są objęte punktem 9.1.

10. Pozostałe postanowienia

10.1 H.d może realizować pojedyncze lub wszystkie świadczenia, do jakich firma H.d jest zobowiązana w ramach niniejszej umowy, w szczególności usługi, poprzez podwykonawców. H.d planuje w przyszłości realizować te usługi poprzez swoją spółkę zależną Hospitality.Systems GmbH.

10.2 H.d może zmienić wobec zleceniodawcy niniejsze OWH po wcześniejszej zapowiedzi, łącznie z planowanymi zmianami. H.d może dokonać zmian OWH tylko w zakresie możliwym do zaakceptowania przez zleceniodawcę, pod warunkiem że zmiany nie dotyczą istotnych obowiązków umownych lub zleceniodawca nie poniesie negatywnych skutków w wyniku zmiany. Planowane już dzisiaj przeniesienie opisanych tutaj praw i obowiązków firmy H.d na spółkę zależną Hospitality.Systems GmbH jest traktowane jako możliwe do zaakceptowania. W ciągu czterech (4) tygodni od wpłynięcia zawiadomienia zleceniodawca może sprzeciwić się zmianie OWH lub wypowiedzieć umowę bez zachowania terminu. Jeżeli zleceniodawca nie sprzeciwi się zmianie OWH lub nie złoży sprzeciwu w terminie, jego zgoda na zmianę OWH traktowana jest jako udzielona. Firma H.d poinformuje zleceniodawcę o skutkach zaniechania sprzeciwu oraz o prawie do bezterminowego wypowiedzenia umowy każdorazowo przy podawaniu informacji o zmianie OWH.

10.3 Jeżeli któreś z postanowień niniejszej umowy byłoby lub stałoby się w całości lub w części nieważne, nieskuteczne, niewykonalne lub niemożliwe do spełnienia („wadliwe postanowienie”), nie narusza to skuteczności i możliwości spełnienia pozostałych postanowień niniejszej umowy. Strony zobowiązują się już teraz do uzgodnienia w miejsce wadliwego postanowienia takiego postanowienia, które w ramach możliwości prawnych będzie najbliższe temu, co strony uzgodniłyby zgodnie z treścią i celem niniejszej umowy, gdyby rozpoznały wadliwość postanowienia. Jeżeli wadliwość postanowienia polega na określonym w niej wymiarze świadczenia lub czasu (termin), wówczas należy uzgodnić postanowienie z dopuszczalnym prawnie wymiarem, który będzie najbliższy pierwotnemu wymiarowi. Powyższy zapis odnosi się również do ewentualnych luk w regulacjach występujących w niniejszej umowie. Wyraźną wolą stron jest, aby niniejsza klauzula salwatoryjna nie skutkowała jedynie odwróceniem ciężaru dowodu, lecz aby § 139 kodeksu cywilnego był w całości wyłączony.

10.4 Umowa i wszystkie roszczenia i prawa wynikające z umowy lub z nią związane podlegają wyłącznie prawu niemieckiemu z wyłączeniem prawa kolizyjnego i należy je interpretować i realizować zgodnie z prawem niemieckim. Zastosowanie Konwencji Narodów Zjednoczonych o Umowach Międzynarodowej Sprzedaży Towarów (CISG) jest wykluczone.

10.5 Wyłącznym sądem właściwym dla wszystkich sporów wynikających z niniejszej umowy lub związanych z nią, jej powstaniem lub jej realizacją jest – o ile jest to dopuszczalne prawnie – Düsseldorf.

Stand: Febr. 2019/AG



PRZETWARZANIE ZAMÓWIENIA

Potwierdzając Ogólne warunki handlowe, Zleceniodawca („Osoba odpowiedzialna”) i H.d („Podmiot przetwarzający”), określane wspólną nazwą „Strony”, pojedynczo „Strona”, zawierają także następującą Umowę o przetwarzaniu danych („UPD”).

Wstęp

W kontekście działalności biznesowej oraz zgodnie z powyższymi Ogólnymi warunkami handlowymi, Podmiot przetwarzający otrzymuje dane osobowe, za które odpowiada Osoba odpowiedzialna. Strony zgadzają się na postanowienia tej umowy UPD w celu spełnienia zobowiązań stron do ochrony danych zgodnie z europejskimi przepisami o ochronie danych, a w szczególności z Rozporządzeniem o ochronie danych (Artykuł 28 RODO).

1. Definicje

1.1 Dane osobowe oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do identyfikacji osoby fizycznej („Osoba zainteresowana”). Osobę fizyczną uznaje się za możliwą do identyfikacji, gdy można ją zidentyfikować bezpośrednio lub pośrednio, w szczególności przez skojarzenie z identyfikatorem, takim jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator online albo co najmniej jedną cechę specjalną, która określa tożsamość fizyczną, fizjologiczną, genetyczną, umysłową, ekonomiczną, kulturową lub społeczną tej osoby fizycznej (zwane dalej „Danymi”).

1.2 Przetwarzanie danych w imieniu innej osoby to gromadzenie, przetwarzanie lub używanie danych przez Podmiot przetwarzający w imieniu Osoby odpowiedzialnej.

2. Przedmiot i treść zamówienia

2.1 Przedmiot i okres realizacji zamówienia

Szczegóły i okres realizacji zamówienia wynikają z powyższych Ogólnych warunków handlowych.

2.2 Rodzaj danych

Rodzaj danych jest szczegółowo opisany w Ogólnych warunkach handlowych w Oświadczeniu o ochronie danych.

2.3 Cel gromadzenia, przetwarzania lub wykorzystania danych

Cel gromadzenia, przetwarzania lub wykorzystania danych jest szczegółowo opisany w Ogólnych warunkach handlowych w Oświadczeniu o ochronie danych.

2.4 Charakter i zakres gromadzenia, przetwarzania i wykorzystania danych

Charakter i zakres gromadzenia, przetwarzania lub wykorzystania danych jest szczegółowo opisany w Ogólnych warunkach handlowych w Oświadczeniu o ochronie danych.

2.5 Kategoria osób zainteresowanych

(a) Własne dane Zleceniodawcy

(b) Klienci

2.6 Środki techniczne i organizacyjne

(a) Środki techniczne i organizacyjne, która musi zastosować podmiot przetwarzający będą określone w Załączniku (patrz poniżej) do tej umowy UPD. Podmiot przetwarzający dane będzie regularnie dostosowywał te środki do aktualnego stanu technicznego na własny koszt, pod warunkiem że uzgodniony poziom ochrony nie został obniżony, a Osoby odpowiedzialne zostaną natychmiast poinformowane.

(b) Wymagane jest, aby Podmiot przetwarzający zezwolił Osobie odpowiedzialnej na weryfikacje lokalnej zgodności ze środkami technicznymi i organizacyjnymi przed rozpoczęciem przetwarzania zgodnie z tą umową. Nie wpływa to na prawo do audytu Osoby odpowiedzialnej zgodnie z Punktem 2.10.(c) Podmiot przetwarzający zapewni, że systemy przetwarzania danych używane na podstawie umowy UPD będą zgodne ze standardami „ochrony danych już w fazie projektowania” oraz „ochrony danych jako opcji domyślnej” zgodnie z aktualnym stanem technicznym.

2.7 Poprawianie, usuwanie i blokowanie danych, prawo do przenoszenia danych i prawo do sprzeciwu

(a) Prawa osób zaangażowanych do przetwarzania danych przez podmiot przetwarzający, w szczególności do sprostowania, wymazania i zablokowania, przenoszenia danych i sprzeciwu będą zapewnione administratorowi danych. Jest on odpowiedzialny za ochronę tych praw.

(b) W ramach prac wykonywanych dla Osoby odpowiedzialnej Podmiot przetwarzający jest zobowiązany do niezwłocznego przekazania wszystkich żądań skierowanych do niej przez osoby, których dotyczą dane do osoby odpowiedzialnej za właściwe przetwarzanie. Jeżeli Osoba odpowiedzialna i Podmiot przetwarzający działają wspólnie jako zewnętrzne osoby odpowiedzialne, Podmiot przetwarzający jest uprawniony do niezależnego udzielenia odpowiedzi na to żądanie.

(c) Wymagane jest także, aby Podmiot przetwarzający udzielił Osobie odpowiedzialnej pomocy dotyczącej odpowiednich środków technicznych i organizacyjnych w celu wypełnienia jej zobowiązania do udzielenia odpowiedzi osobom, które dotyczą dane.

(d) Zgodnie z instrukcjami Osoby odpowiedzialnej Podmiot przetwarzający sprostuje, zawiesi przetwarzanie i/lub usunie dane natychmiast, ale nie później niż w ciągu pięciu (5) dni i poinformuje Podmiot przetwarzający do tego dnia.

2.8 Obowiązki Podmiotu przetwarzającego

(a) Podmiot przetwarzający może gromadzić, przetwarzać i wykorzystywać dane wyłącznie w kontekście zamówienia i udokumentowanych instrukcji Osoby odpowiedzialnej.

(b) Podmiot przetwarzający musi regularnie stosować się do środków technicznych i organizacyjnych zdefiniowanych w Klauzuli 2.6 tej umowy UPD i na żądanie przesyłać informacje na ten temat.

(c) Inspektor ochrony danych jest wyznaczony jako osoba kontaktowa do ochrony danych u Podmiotu przetwarzającego. Można się z nim skontaktować pod adresem privacy@hd.digital. W razie potrzeby Podmiot przetwarzający wyznacza także przedstawiciela zgodnie z wymaganiami art. 27 RODO.

(d) Podmiot przetwarzający jest odpowiedzialny za zachowanie poufności. Dowolna osoba u Podmiotu przetwarzającego upoważniona do dostępu do danych Osoby odpowiedzialnej będzie zobowiązana do zachowania poufności lub objęta odpowiednią tajemnicą zawodową i musi zostać poinformowana o szczególnych zobowiązaniach do ochrony danych wynikających z tej umowy UPD, a ponadto, istniejących instrukcjach i celu. Podmiot przetwarzający udokumentuje te zobowiązania na piśmie i przekaże je na żądanie Osoby odpowiedzialnej.

2.9 Uzasadnienie warunków podzlecenia

(a) Uzasadnienie relacji podzlecenia jest dozwolone. Podmiot przetwarzający poinformuje wcześniej Osobę odpowiedzialną o odpowiedniej zmianie. Osoba odpowiedzialna ma prawo do sprzeciwu.

(b) W przypadku przejmowania od innych podmiotów przetwarzających Podmiot przetwarzający zapewni za pomocą umowy, że zobowiązania Podmiotu przetwarzającego przypisane zgodnie z tą umową UPD będą mieć także zastosowanie do drugiego Podmiotu przetwarzającego.

(c) Podmiot przetwarzający będzie regularnie i doraźnie kontrolował środki techniczne i organizacyjne stosowane przez inne podmioty przetwarzające w okresie podzlecenia w celu ochrony przekazanych danych. Przesyłanie danych jest dozwolone, wyłącznie jeśli drugi Podmiot przetwarzający zastosował wymagane środki techniczne i organizacyjne co najmniej w zakresie określonym w tej umowie UPD.

(d) Podmiot przetwarzający ponosi pełną odpowiedzialność za zatrudnianych podwykonawców.

2.10 Prawa do audytu przysługujące Osobie odpowiedzialnej

Osoba odpowiedzialna jest upoważniona do weryfikacji zgodności z odpowiednimi przepisami o ochronie danych i umową UPD w standardowych godzinach pracy. Podmiot przetwarzający zgadza się przekazać Osobie odpowiedzialnej wszystkie informacje uznane za wymagane do przeprowadzenia kontroli w uzasadnionym terminie. W przypadku gdy Osoba odpowiedzialna uzna, że wymagany jest audyt w siedzibie Podmiotu przetwarzającego, Podmiot przetwarzający zapewni, że osoba odpowiedzialna za przeprowadzenie audytu będzie miała dostęp do biura oraz możliwość lokalnej inspekcji przechowywanych danych i programów do przetwarzania danych Podmiotu przetwarzającego. Osoba odpowiedzialna jest upoważniona do przeprowadzenia testu przez osobę trzecią (egzaminatora) wyznaczonego w indywidualnych przypadkach. Osoba odpowiedzialna musi zgłosić wykonanie takiego audytu na piśmie co najmniej dwadzieścia (20) dni roboczych wcześniej. Koszt przeprowadzenia audytu i koszty poniesione przez Podmiot przetwarzający przy normalnych stawkach rynkowych ponosi Osoba odpowiedzialna.

2.11 Powiadomienia o naruszeniach przez Podmiot przetwarzający

(a) Podmiot przetwarzający powiadomi Osobę odpowiedzialną niezwłocznie, a najpóźniej w ciągu (48) godzin po wykryciu, o wszystkich przypadkach naruszenia zasad określających ochronę danych Osoby odpowiedzialnej lub warunków wymienionych w tej umowie UPD przez Podmiot przetwarzający lub osoby albo podwykonawców przez niego zatrudnione.

(b) Osoba odpowiedzialna zostanie powiadomiona o wszystkich przypadkach utraty lub niezgodnego z prawem przesłania albo odbioru przez inne firmy, bez względu na przyczynę. Podmiot przetwarzający, w porozumieniu z Osobą odpowiedzialną, podejmą odpowiednie środki, aby zabezpieczyć dane i uniknąć ewentualnych niepożądanych konsekwencji dla osób, których dotyczą dane. W zakresie, w jakim osoby odpowiedzialne wypełnią zobowiązania do powiadomienia Podmiot przetwarzający pomoże Osobie odpowiedzialnej w wypełnieniu tych zobowiązań.

2.12 Instrukcje Osoby odpowiedzialnej

(a) Przetwarzanie danych Osoby odpowiedzialnej przez Podmiot przetwarzający będzie miało miejsce wyłącznie w kontekście umowy UPD i określonych instrukcji podanych przez Podmiot przetwarzający.

(b) Podmiot przetwarzający, niezwłocznie lub – w stosownych przypadkach – w czasie określonym przez Osobę odpowiedzialną, zastosuje się do (poszczególnych) instrukcji dotyczących charakteru, zakresu i metody przetwarzania.

(c) Podmiot przetwarzający niezwłocznie powiadomi Osobę odpowiedzialną, jeżeli według Podmiotu przetwarzającego instrukcje podane przez Osobę odpowiedzialną naruszają przepisy o ochronie danych. Podmiot przetwarzający będzie uprawniony do zawieszenia wykonania odpowiedniej instrukcji do momentu jej potwierdzenia lub zmiany przez Osobę odpowiedzialną.

2.13 Usunięcie po zrealizowaniu zamówienia

Po wykonaniu prac wynikających z umowy Podmiot przetwarzający musi przekazać wszystkie dane przetworzone dla Osoby odpowiedzialnej lub, po wcześniejszym uzyskaniu zgody Osoby odpowiedzialnej, zniszczyć je zgodnie z zasadami ochrony danych lub usunąć zgodnie z aktualnym stanem technicznym. Prawo do przechowywania jest wykluczone w odniesieniu do dokumentów, danych, wyników przetwarzania i wykorzystania oraz powiązanych nośników danych, chyba że prawo Unii Europejskiej lub państwa członkowskiego UE wymaga przechowywania danych.

3. Dodatkowe zobowiązania podmiotu przetwarzającego

3.1 Podmiot przetwarzający wykorzystuje podane dane do ich przetwarzania tylko w określonym celu. Nie można tworzyć kopii ani duplikatów danych bez wiedzy i wcześniejszej pisemnej zgody Osoby odpowiedzialnej, chyba że wynika to z usług zamówionych na podstawie umowy UPD. Podmiot przetwarzający zapewni, że dane przetworzone przez niego dla Osoby odpowiedzialnej będą oddzielone od innych danych. Przesyłanie danych osoby odpowiedzialnej przez Podmiot przetwarzający do innych firm nie odbywa się bez pisemnej zgody Osoby odpowiedzialnej.

3.2 Osoba odpowiedzialna udzieli uzasadnionej pomocy osobom odpowiedzialnym za ochronę przed roszczeniami na podstawie rzekomego lub rzeczywistego niespełnienia wymagań dotyczących ochrony danych. Osoba odpowiedzialna zbada skargi podmiotów, których dotyczą dane w kontekście odpowiedzialności Osoby odpowiedzialnej za ochronę danych w odpowiedni sposób i i rozpatrzy skargi osób, których dotyczą dane.

3.3 Podmiot przetwarzający przyjmuje do wiadomości, że informacje są przekazywane odpowiednim osobom na podstawie prawa do informacji wyłącznie przez Osobę odpowiedzialną lub osobę przez nią upoważnioną. Podmiot przetwarzający jest zobowiązany do podania Osobie odpowiedzialnej wymaganych informacji w odpowiednim czasie i udzielenia jej pomocy. Jeśli Podmiot przetwarzający działa jako zewnętrzna Osoba odpowiedzialna, na te zapytania można także udzielić odpowiedzi i poinformować osobę odpowiedzialną.

3.4 W stosownych przypadkach Podmiot przetwarzający udzieli pomocy administratorowi danych w przygotowaniu wymaganych spisów procedur.

3.5 Podmiot przetwarzający udzieli pomocy Osobie odpowiedzialnej w przeprowadzeniu oceny wpływu na ochronę danych, gdy typ przetwarzania może spowodować duże ryzyko dla praw i swobód osób fizycznych.

3.6 Podmiot przetwarzający zgadza się niezwłocznie poinformować Osobę odpowiedzialną o wynikach kontroli przeprowadzonej przez organy nadzorujące ochronę danych, o ile są one związane z tą umową UPD. Podmiot przetwarzający poinformuje osoby odpowiedzialne o wszelkich skargach organów nadzorujących ochronę danych dotyczących zakresu odpowiedzialności Podmiotu przetwarzającego i naprawi szkody związane ze skargami zgodnie z wymaganiami prawa.

4. Odpowiedzialność

4.1 Do obowiązków Osoby odpowiedzialnej należy dopuszczalność przetwarzania danych, a także za ochrona praw osób, których dotyczą dane.

4.2 Na zasadzie odstępstwa od części 4.1, Podmiot przetwarzający dane jest odpowiedzialny za roszczenia osób, których dotyczą dane spowodowane naruszenie odpowiednich postanowień prawnych lub postanowień umowy UPD.

4.3 W odniesieniu do Osoby odpowiedzialnej Podmiot przetwarzający odpowiada tylko za umyślne działanie i rażące zaniedbanie w zakresie prawnie dozwolonego wykluczenia odpowiedzialności i ograniczeń.

5. Postanowienia końcowe

5.1 Administrator danych niezwłocznie i dokładnie poinformuje podmiot przetwarzający, jeśli w trakcie kontroli wykryje błędy lub nieprawidłowości w przetwarzaniu danych przez Podmiot przetwarzający.

5.2 Niniejsza umowa UPD może być modyfikowana i wypowiedziana zgodnie z tymi samymi warunkami handlowymi, co powyższe Ogólne warunki handlowe.

5.3 Nieważność co najmniej jednego postanowienia tej umowy UPD nie wpływa na skuteczność umowy UPD. W przypadku nieskuteczności co najmniej jednego postanowienia tej umowy UPD Strony przyjmą prawnie skuteczne postanowienie zastępcze w możliwie najoszczędniejszy sposób w przypadku nieskutecznego postanowienia. Dotyczy to także luk prawnych.

5.4 Umowa UPD podlega tym samym prawom, co powyższe Ogólne warunki handlowe.

5.5 W przypadku sprzeczności umowy UPD i innych umów między stronami, pierwszeństwo mają postanowienia tej umowy UPD.

Stan: 2018/AG


Środki techniczne i organizacyjne

Uwzględniając aktualny stan techniczny, koszty wdrożenia oraz charakter, zakres, okoliczności i cele przetwarzania, a także różne prawdopodobieństwo i wagę ryzyka dotyczącego praw i swobód osób fizycznych, aby zapewnić poziom ochrony proporcjonalny do ryzyka, Podmiot przetwarzający zastosuje odpowiednie środki techniczne i organizacyjne, takie jak:

• pseudonimizację i szyfrowanie danych;

• możliwość stałego zapewnienia poufności, spójności, dostępności i bezpieczeństwa systemów i usług przetwarzania;

• możliwość szybkiego przywrócenia dostępności danych w przypadku incydentów fizycznych lub technicznych;

• proces okresowej weryfikacji, oceny i analizy skuteczności środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania.

Bez uszczerbku dla powyższych postanowień zostaną podjęte następujące określone działania:

1. Kontrola dostępu

Środki uniemożliwiające osobom nieupoważnionym uzyskanie dostępu do systemu przetwarzania danych służącego do przetwarzania danych:

• określenie grupy osób upoważnionych i utworzenie odpowiedniej dokumentacji;

• elektroniczna kontrola dostępu;

• wydanie identyfikatorów dostępu;

• przekazanie wytycznych osobom z zewnątrz;

• alarm lub ochrona poza godzinami pracy;

• podział obiektu na różne strefy ochrony;

• przekazanie wytycznych dotyczących korzystania z kluczy (kart);

• zabezpieczone drzwi (elektroniczny zamek, czytnik identyfikatorów, kamera przemysłowa);

• zastosowanie lokalnych środków zabezpieczeń (np. wykrywanie/powiadamianie o wtargnięciu).

2. Kontrola dostępu

Środki uniemożliwiające osobom nieupoważnionym korzystanie z systemów i procedur przetwarzania danych:

• określenie grupy osób, które mają dostęp do systemów przetwarzania danych;

• przekazanie wytycznych osobom z zewnątrz;

• ochrona komputerów osobistych hasłem.

3. Kontrola dostępu

Środki zapewniające, że osoby upoważnione do korzystania z technik przetwarzania danych mają dostęp tylko do danych zgodnych z ich upoważnieniem:

• zastosowanie uprawnień ograniczonego dostępu na podstawie odpowiednich danych i funkcji;

• obowiązek identyfikacji urządzeń do przetwarzania danych (np. za pomocą identyfikatora i uwierzytelniania);

• wprowadzenie zasad dotyczących dostępu i ról użytkowników;

• ocena protokołów na wypadek szkodliwego zdarzenia.

4. Kontrola przesyłania

Środki zapewniające ochronę przed odczytaniem, skopiowaniem, zmianą lub usunięciem podczas przesyłania w formie elektronicznej albo podczas transportu lub przechowywania na nośnikach danych, a także możliwość sprawdzenia i określenia, na którym etapie możliwe jest przesyłanie danych.

• Szyfrowanie

5. Kontrola wprowadzania

Środki umożliwiające późniejszą weryfikację i określenie, czy i przez kogo dane zostały wprowadzone, zmienione lub usunięte z systemów IT.

• Rejestrowanie wprowadzania danych.

6. Kontrola zleceń

Środki zapewniające, że przetwarzanie danych na zlecenie odbywa się wyłącznie zgodnie z instrukcjami Osoby odpowiedzialnej.

• dokumentacja różnych kompetencji i obowiązków Osoby odpowiedzialnej i Podmiotu przetwarzającego;

• oficjalne przekazanie do eksploatacji;

• kontrola wyników pracy.

7. Kontrola dostępu

Środki zapewniające ochronę danych przed przypadkowym zniszczeniem lub utratą.

• wdrożenie planu regularnego tworzenia kopii zapasowych;

• bezpieczne przechowywanie kopii zapasowych danych w szafach ognioodpornych i zabezpieczonych przed zalaniem;

• regularna kontrola systemu zasilania awaryjnego i systemu przeciwprzepięciowego;

• wprowadzenie planu działania w sytuacjach awaryjnych;

• protokół wprowadzania działań na wypadek sytuacji kryzysowej i/lub awaryjnej.

8. Kontrola rozdzielenia

Środki zapewniające, że dane gromadzone dla różnych celów mogą być przetwarzane osobno.

• rozdzielenie danych poszczególnych klientów Podmiotu przetwarzającego.

Stan: maj 2018/AG