Regulamin narzędzia do rezerwacji online należącego do Hospitality Digital GmbH

Hospitality Digital GmbH, Metro-Straße 1, 40235 Düsseldorf („H.D.”) oferuje firmom z branży hotelarsko-gastronomicznej („Klient”) usługi szczegółowo opisane poniżej („Usługi”).

1. Zakres

1.1 H.D. świadczy Usługi dotyczące „Narzędzia do rezerwacji online” wyłącznie na podstawie niniejszego regulaminu („Regulamin”).

1.2 H.D. świadczy Usługi wyłącznie na rzecz Klientów nie będących konsumentami w rozumieniu art. 13 niemieckiego Kodeksu Cywilnego (BGB).

1.3 Ewentualne zmiany Regulaminu Klienta nie będą mieć zastosowania, nawet jeśli H.D. ich wyraźnie nie odrzuci i/lub będzie świadczyć Usługi i/lub inne świadczenia bez zastrzeżenia mając pełną wiedzę o sytuacji przeciwnej i/lub zmianie Regulaminu Klienta.

2. Zakres Usług

2.1 H.D. świadczy następujące Usługi na rzecz Klienta podczas okresu obowiązywania umowy:

(a) H.D. zobowiązuje się zapewnić Klientowi przestrzeń hostingową do wykorzystania przez systemy H.D., do których Klient może uzyskiwać dostęp przez sieć internet („Przestrzeń hostingowa”) - szczegóły w punkcie 4.

(b) H.D. zobowiązuje się zapewnić Klientowi dostęp online do oprogramowania umożliwiającego Klientowi zarządzanie, wdrażanie i wykorzystywanie narzędzia do rezerwacji online na stronie internetowej Klienta („Oprogramowanie”) - szczegóły w punkcie 5 oraz przechowywanie danych zgromadzonych w związku z narzędziem do rezerwacji online w Przestrzeni hostingowej.

(c) H.D. może od czasu do czasu świadczyć dodatkowe usługi na rzecz Klienta, szczególnie w zakresie konfiguracji i korzystania z Oprogramowania („Usługi Doradcze”) - szczegóły w punkcie 6.

2.2 Aby zwiększyć zasięg, H.D. może również udostępniać usługodawcom zewnętrznym rzeczywistą dostępność rezerwacji (czasy, tabele i liczba osób), np. „Rezerwuj z Google”. Jednakże takich żądań rezerwacji można dokonać wyłącznie korzystając z oprogramowania H.D. Ponieważ indywidualni usługodawcy zewnętrzni określają minimalną liczbę osób w kontekście automatycznej akceptacji rezerwacji, H.D. definiuje na te potrzeby domyślne ustawienie czterech osób. Ustawienie to Klient może zmienić w dowolnej chwili. Jednakże usługodawcy zewnętrzni mogą nie być w stanie wyświetlać rzeczywistych dostępnych rezerwacji w wyniku takiej zmiany.

2.3 H.D. może dostosowywać Usługi i inne świadczenia zgodnie z najnowszymi odkryciami oraz rozwojem techniki oraz zależnie od potrzeb, pod warunkiem że odpowiednie korekty są uzasadnione z punktu widzenia Klienta. H.D. może zaprzestać świadczenia Usług i innych świadczeń z zachowaniem uzasadnionego terminu wypowiedzenia. H.D. ma obowiązek informowania Klienta o takim zaprzestaniu świadczenia Usług w odpowiednim czasie.

3. Obowiązki Klienta

3.1 Klient zobowiązany jest utrzymywać aktualność danych handlowych i kontaktowych podanych przy zawieraniu umowy w okresie obowiązywania umowy oraz zobowiązany jest niezwłocznie powiadamiać H.D. o ich zmianie drogą pisemną lub przez e-mail. Klient musi również zapewnić, aby adresy e-mail przekazane H.D. były regularnie aktualizowane, w celu otrzymywania informacji dotyczących umowy.

3.2 Danych dostępowych otrzymanych przez Klienta od H.D. nie wolno ujawniać stronom trzecim oraz należy zapobiegać uzyskiwaniu dostępu przez strony trzecie. Klient niezwłocznie poinformuje H.D. w przypadku uzasadnionego podejrzenia lub wiedzy Klienta o możliwości nadużycia dostarczonych danych dostępowych. W takim przypadku H.D. ma prawo do tymczasowego zablokowania danych dostępowych Klienta do Oprogramowania do czasu rozwiązania podejrzenia nadużycia. W przypadku faktycznego przypadku nadużycia H.D. ma prawo do zablokowania danych dostępowych na stałe oraz do przypisania Klientowi innych danych dostępowych.

3.3 Korzystanie z Oprogramowania dozwolone jest tylko na własne potrzeby firmowe Klienta. Klient niniejszym zobowiązuje się nie wykorzystywać Oprogramowania w sposób niezgodny z prawem ani do celów niezgodnych z prawem.

3.4 Klient rozumie, że jego korzystanie z Oprogramowania może być kojarzone z H.D. W związku z tym Klient musi podjąć wszystkie niezbędne kroki, aby usługi oferowane przez Klienta i usługi oferowane przez H.D. lub strony trzecie były oddzielone pod względem ich zawartości.

3.5 W przypadku odkrycia przez Klienta, że jego korzystanie z Usług lub innych świadczeń prowadzi do naruszenia prawa, Klient zobowiązany jest niezwłocznie zaprzestać i zaniechać naruszania prawa i usunąć całość nielegalnej treści.

4. Przepisy szczególne dotyczące Przestrzeni hostingowej

4.1 Przestrzeń hostingowa udostępniana jest Klientowi nieodpłatnie. W związku z tym, H.D. nie może zagwarantować określonej dostępności Przestrzeni hostingowej. Ponadto Przestrzeń hostingowa będzie niedostępna podczas niezbędnych prac konserwacyjnych. H.D. dołoży wszelkich starań, aby ewentualne zakłócenia spowodowane pracami konserwacyjnymi były jak najmniejsze. Przed zawarciem umowy H.D. zapewni Klientowi inne specyfikacje funkcjonalne Przestrzeni hostingowej.

4.2 Klient zobowiązuje się i gwarantuje, że wszystkie pliki, w tym dokumenty HTML i inne dokumenty, teksty, obrazy, grafiki, czcionki, filmy wideo itp. („Treść”) będą przechowywane, publikowane i/lub udostępniane w Przestrzeni hostingowej i/lub za pomocą Oprogramowania zgodnie z obowiązującym prawem. W szczególności Klient ma prawo przechowywać w Przestrzeni hostingowej i/lub za pomocą Oprogramowania wyłącznie Treści, do których Klient posiada wymagane prawa, włącznie z prawami do użytkowania i eksploatacji zgodnie z prawem autorskim oraz które to Treści nie naruszają jakichkolwiek dóbr osobistych stron trzecich. Ponadto Klient nie ma prawa do przechowywania, publikowania i/lub udostępniania w Przestrzeni hostingowej i/lub za pomocą Oprogramowania jakichkolwiek Treści o niemoralnym charakterze, w szczególności treści pornograficznych, rasistowskich lub o charakterze dyskryminującym. H.D. ma prawo do usuwania wszelkich Treści przechowywanych w Przestrzeni hostingowej i/lub za pomocą oprogramowania naruszających niniejszy punkt 4 oraz o których dowie się od agencji rządowych, sądów, właściciela praw lub innych stron trzecich lub o których dowie się w inny sposób.

4.3 Klient przyznaje H.D. niezbędne prawa do wszelkich Treści przechowywanych, publikowanych i/lub udostępnianych publicznie przez Klienta w Przestrzeni hostingowej i/lub za pomocą oprogramowania, w szczególności prawa wymagane do przechowywania Treści, do wprowadzania do nich technicznych poprawek oraz do udostępniania Treści publicznie oraz do ich kopiowania. H.D. może mieć dostęp wyłącznie do Treści klienta w Przestrzeni hostingowej w zakresie technicznie niezbędnym do zapewnienia i/lub opublikowania Treści oraz w zakresie, w jakim odpowiada to uprawnieniom przyznanym na mocy umowy.

4.4 Ponadto Klient nie może uruchamiać ani zlecać uruchamiania jakichkolwiek zautomatyzowanych procesów, skryptów, oprogramowania lub innych danych i/lub Treści w Przestrzeni hostingowej i/lub podejmować jakichkolwiek kroków ani pozwalać na jakiekolwiek kroki (za pomocą Oprogramowania), które w stopniu większym niż nieznaczny osłabiłyby systemy, sieci i/lub inny sprzęt i oprogramowanie, takie jak komponenty sieci H.D. i/lub stron trzecich. W przypadku, kiedy H.D. dowie się o takim naruszeniu, H.D. będzie mieć prawo do zatrzymania takiego naruszenia i/lub zapobiegania mu.

4.5 Klient zobowiązany jest do regularnego wykonywania kopii zapasowych danych, w celu umożliwienia odzyskania Treści znajdujących się w Przestrzeni hostingowej bez jakichkolwiek dodatkowych kosztów.

4.6 Ponieważ Klient działa jako strona odpowiedzialna wobec użytkownika/użytkownika końcowego, Klient jest zobowiązany do umieszczenia na swojej stronie internetowej znacznika zawierającego wszystkie obowiązkowe informacje.

5. Specjalne przepisy dotyczące Oprogramowania

Klient nie może uzyskiwać dostępu ani korzystać z Oprogramowania w imieniu strony trzeciej ani w innych celach. Klient w szczególności nie będzie mieć prawa do kopiowania Oprogramowania, do udostępniania go stronom trzecim, do dekompilacji Oprogramowania, ani do modyfikowania go w jakikolwiek inny sposób.

6. Przepisy szczególne dotyczące Usług Doradczych

6.1 H.D. może oferować Usługi Doradcze Klientowi, w szczególności dotyczące początkowej konfiguracji Oprogramowania, najlepszego możliwego długoterminowego korzystania z Oprogramowania (np. jakie funkcje warto dodać) oraz tego, w jaki sposób takie korzystanie może poprawić ogólną sytuację biznesową Klienta. Usługi Doradcze mogą ponadto obejmować polecanie Klientowi dodatkowych narzędzi i usług odpowiednich dla Oprogramowania.

6.2 Usługi Doradcze mogą być świadczone przez Spółki zależne H.D. Załącznik do niniejszego regulaminu zawiera informację, która Spółka zależna świadczy Usługi Doradcze w miejscu prowadzenia działalności Klienta. Akceptując niniejszy regulamin Klient wyraża zgodę na świadczenie Usług Doradczych przez Spółkę zależną mającą siedzibę w miejscu prowadzenia działalności przez Klienta.

6.3 W celu świadczenia Usług Doradczych H.D. udostępnia dane osobowe i inne dane odpowiedniej Spółce zależnej, aby umożliwić jej świadczenie Usług Doradczych.

6.4 H.D. nie gwarantuje jakiegokolwiek określonego poziomu świadczenia usługi ani specyficznej lub stałej dostępności Usług Doradczych.

7. Zawarcie umowy, okres obowiązywania, rozwiązanie umowy

7.1 Klient proponuje zawarcie umowy na korzystanie z Oprogramowania na podstawie niniejszego regulaminu rejestrując się w celu uzyskania dostępu do Oprogramowania na stronie internetowej udostępnianej przez H.D. Akceptacją propozycji ze strony H.D. jest zazwyczaj rozpoczęcie świadczenia usług przez H.D.

7.2 Umowa zawierana jest na czas nieokreślony i może zostać rozwiązana przez Klienta w dowolnej chwili, natomiast przez H.D. z zachowaniem dwutygodniowego okresu wypowiedzenia.

7.3 Rozwiązanie umowy wymaga formy pisemnej lub elektronicznej.

7.4 Strony zastrzegają sobie prawo do rozwiązania umowy bez okresu wypowiedzenia z uzasadnionych przyczyn. Uzasadnione przyczyny obejmują w szczególności przypadki naruszenia przez Klienta obowiązków wynikających z punktów 3 i 5 Regulaminu.

7.5 W przypadku rozwiązania umowy, wszelkie dane Klienta zostaną usunięte przez H.D., o ile nie będzie prawnego obowiązku przechowywania tych danych. W takim przypadku dane są usuwane po upływie odpowiedniego terminu wymaganego do przechowywania tych danych.

8. Gwarancja i odpowiedzialność prawna, odpowiedzialność odszkodowawcza

8.1 H.D. zrekompensuje Klientowi wyłącznie szkody wynikające z nieuczciwie ukrytych wad Usług. H.D. nie ponosi jakiejkolwiek dalszej odpowiedzialności prawnej za wady prawne i/lub wady fizyczne Usług i świadczeń zapewnianych nieodpłatnie.

8.2 H.D., jej pełnomocnicy i przedstawiciele prawni ponoszą odpowiedzialność prawną za usługi wyłącznie w przypadku celowych działań, przypadków rażącej niedbałości lub zawinionego narażenia życia, spowodowania obrażeń ciała lub zagrożenia zdrowia, a także działania intencjonalnego. Powyższe zapisy pozostają bez uszczerbku dla odpowiedzialności wynikającej z niemieckiej ustawy o odpowiedzialności producenta za produkt.

8.3 Ograniczenia odpowiedzialności prawnej określone w punktach 8.1 i 8.2 dotyczą odpowiednio Spółek zależnych H.D.

8.4 Klient zwalnia H.D., jej pełnomocników i przedstawicieli prawnych oraz spółki zależne H.D. zgodnie z art. 15 niemieckiej ustawy o spółkach akcyjnych – AktG („Spółki zależne”) na ich pierwsze żądanie z tytułu roszczeń stron trzecich dochodzonych przeciwko H.D., jej pełnomocnikom i przedstawicielom prawnym i/lub spółkom stowarzyszonym z H.D. w związku z lub w odniesieniu do Usług, włącznie z roszczeniami stron trzecich wynikającymi z nielegalnego wykorzystania danych i/lub braku zgody podmiotów danych i/lub naruszeniami praw osobistych pracowników Klienta. Taka odpowiedzialność odszkodowawcza obejmuje również konieczne koszty prawne i koszty arbitrażu.

8.5 Za Treść odpowiada wyłącznie Klient. W związku z tym Klient na pierwszy wniosek zabezpieczy i zwolni z odpowiedzialności H.D., jej pełnomocników i przedstawicieli prawnych oraz wszelkie spółki stowarzyszone z H.D. zgodnie z art. 15 niemieckiej ustawy o spółkach akcyjnych („AktG”) od wszelkich roszczeń stron trzecich dochodzonych przeciwko H.D., jej pełnomocnikom i przedstawicielom prawnym i/lub spółkom stowarzyszonym z H.D. w związku z lub w odniesieniu do Usług i innych świadczeń. Dotyczy to w szczególności wszystkich znaków towarowych, praw autorskich, ochrony danych i naruszeń zasad konkurencyjności. Takie odszkodowanie musi obejmować wszelkie niezbędne koszty prawne z kosztami postępowania arbitrażowego włącznie.

9. Ochrona danych, poufność

9.1 Przetwarzanie danych osobowych w związku ze świadczeniem usług przez H.D. podlega polityce prywatności, do której można uzyskać dostęp w dowolnym momencie, i która znajduje się na stronie internetowej wskazanej w opisie Usługi.

9.2 W zakresie, w jakim H.D. przetwarza dane osobowe w imieniu Klienta, zastosowanie ma Umowa powierzenia przetwarzania danych osobowych załączona do niniejszego regulaminu.

9.3 Strony są zobowiązane do nieujawniania informacji poufnych stronom trzecim nawet po zakończeniu okresu obowiązywania umowy i niewykorzystywania ich do innych celów, niezwiązanych z umową. Wszelkie informacje dotyczące danych technicznych i know-how udostępnione Klientowi a także inne informacje oznaczone jako poufne przez jedną ze stron bez wartości ekonomicznej uznaje się za poufne. Dotyczy to wyraźnie tajemnic przedsiębiorstwa i tajemnic handlowych.

9.4 Obowiązek zachowania poufności nie dotyczy informacji, które zostały przekazane drugiej ze stron wcześniej lub stały się publiczne bez naruszania punktu 9.3 przez którąkolwiek ze stron, lub które trzeba udostępnić z powodów prawnych, sądowych lub w wyniku nakazu urzędowego, lub które podlegać będą zamkniętej kontroli ze strony stron trzecich zobowiązanych do zachowania poufności w zakresie planowanego przejęcia spółki.

10. Wynagrodzenie

10.1 Klient nie będzie zobowiązany do zapłaty jakiegokolwiek wynagrodzenia za świadczenie Usług przez H.D. Usługi świadczone są nieodpłatnie.

10.2 Punkt 10.1 nie dotyczy jakichkolwiek usług stron trzecich świadczonych w kontekście usług rozszerzonych.

11. Pozostałe postanowienia

11.1 H.D. może podzlecać część lub całość zobowiązań H.D. wynikających z niniejszej umowy; dotyczy to w szczególności Usług. H.D. może dokonać cesji niniejszej umowy na spółkę stowarzyszoną zgodnie z art. 15 AktG z zastrzeżeniem wcześniejszego powiadomienia, o ile nie jest to bezzasadne z punktu widzenia Klienta.

11.2 H.D. może wprowadzić zmiany do niniejszego Regulaminu po uprzednim powiadomieniu, włącznie ze zmianami oczekiwanymi przez Klienta. H.D. może wprowadzić zmiany do Regulaminu jedynie w zakresie uzasadnionym z punktu widzenia Klienta, o ile zmiany te nie mają wpływu na kluczowe obowiązki umowne oraz o ile w wyniku zmian sytuacja Klienta nie ulega pogorszeniu. Klient może sprzeciwić się zmianie Regulaminu w ciągu 4 (czterech) tygodni od odbioru powiadomienia lub rozwiązać umowę bez okresu wypowiedzenia. W zakresie, w jakim Klient nie sprzeciwi się zmianie Regulaminu lub nie zrobi tego na czas, umowa z Klientem zmieniająca Regulamin zostanie uznana za zawartą. H.D. powiadomi Klienta o konsekwencjach braku sprzeciwu i prawie do rozwiązania umowy bez okresu wypowiedzenia w przypadku powiadomienia o zmianach w Regulaminie.

11.3 Jeśli jakikolwiek zapis niniejszej umowy okaże się lub stanie się całkowicie lub częściowo bezskuteczny, nieważny, niepraktyczny lub niewykonalny („Wadliwy zapis”), nie będzie to miało wpływu na ważność ani wykonalność pozostałych zapisów. Natomiast strony zobowiązują się teraz do zastąpienia Wadliwego zapisu zapisem, który będzie zbliżony do tego, co strony uzgodniłyby zgodnie z sensem i celem umowy, gdyby wcześniej uznały dany zapis za wadliwy. Jeśli wadliwość zapisu wynika z miernika realizacji lub okresu określonego w nim (okres lub termin), dany zapis musi zostać zamieniony na najbardziej zbliżony do ustalonego wcześniej poziomu, dozwolonego przez prawo. To samo dotyczy ewentualnych luk prawnych zawartych w niniejszej umowie. Wyraźnym zamiarem stron jest nie to, aby niniejsza klauzula salwatoryjna prowadziła jedynie do odwrócenia ciężaru dowodu, ale całkowite zniesienie Wadliwych zapisów (art. 139 niemieckiego Kodeksu Cywilnego).

11.4 Umowa i wszelkie roszczenia i prawa wynikające z lub związane z niniejszą umową podlegają wyłącznie prawu niemieckiemu z wyłączeniem uregulowań dotyczących norm kolizyjnych, i muszą być interpretowane i wdrażane zgodnie z prawem niemieckim. Zastosowanie Konwencji Narodów Zjednoczonych o umowach międzynarodowej sprzedaży towarów (CISG) jest wyłączone. Miejscem wykonania umowy jest Düsseldorf.

11.5 Wyłącznym miejscem właściwym do rozstrzygania wszelkich sporów wynikających z niniejszej umowy lub z nią związanych, jej zawarcia lub wykonania jest, w przypadku gdy jest to prawnie dopuszczalne, Düsseldorf.

Status: July 2019/AG


Umowa powierzenia przetwarzania danych osobowych

Akceptując powyższy Regulamin, Klient („Administrator”) i H.D. („Podmiot przetwarzający”), łącznie zwani „Stronami”, indywidualnie „Stroną”, zawierają również niniejszą Umowę powierzenia przetwarzania danych osobowych („Umowa powierzenia”).

Preambuła

W ramach swojej działalności gospodarczej i zgodnie z powyższym Regulaminem, Podmiot przetwarzający otrzymuje dane osobowe, za które odpowiada Administrator. Strony zgadzają się z zapisami niniejszej Umowy powierzenia, w celu zapewnienia zgodności ze zobowiązaniami Stron w zakresie ochrony danych osobowych wynikającymi z europejskich przepisów dotyczących ochrony danych osobowych, w szczególności ogólnego rozporządzenia o ochronie danych (Artykuł 28 ogólnego rozporządzenia o ochronie danych).

1. Definicje

1.1 Dane osobowe oznaczają dowolne informacje o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych („Osoba, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej (odtąd „Dane”).

1.2 Przetwarzanie danych w czyimś imieniu oznacza gromadzenie, przetwarzanie lub wykorzystywanie danych przez Podmiot przetwarzający w imieniu Administratora.

2. Przedmiot i treść zlecenia

2.1 Przedmiot i czas trwania zlecenia

Szczegóły i czas trwania zlecenia wynika z powyższego Regulaminu.

2.2 Typ danych

· Dane identyfikacyjne (np. imię, nazwisko, data urodzenia)

· Dane kontaktowe (np. telefon, e-mail, adres)

· Miejsce, data i czas rezerwacji klienta dokonanych za pośrednictwem Oprogramowania

  • Adresy IP

2.3 Cel gromadzenia, przetwarzania lub wykorzystywania danych

Cele gromadzenia, przetwarzania lub wykorzystywania danych opisano szczegółowo w Regulaminie i Polityce prywatności.

2.4 Charakter i zakres gromadzenia, przetwarzania lub wykorzystywania danych

Charakter i zakres gromadzenia, przetwarzania lub wykorzystywania danych opisano szczegółowo w Regulaminie i Polityce prywatności.

2.5 Kategoria osób, których dane dotyczą

Klienci Klienta

2.6 Środki techniczne i organizacyjne

(a) Środki techniczne i organizacyjne do zastosowania przez Podmiot przetwarzający określone są w Załączniku (poniżej) do niniejszej Umowy powierzenia. Podmiot przetwarzający będzie regularnie aktualizował te środki na własny koszt, pod warunkiem że ustalony poziom ochrony nie ulegnie pogorszeniu a Osoby odpowiedzialne zostaną niezwłocznie powiadomione.

(b) Przed rozpoczęciem przetwarzania na mocy niniejszej umowy Podmiot przetwarzający musi umożliwić Administratorowi przeprowadzenie na miejscu weryfikacji zgodności ze środkami technicznymi i organizacyjnymi. Bez uszczerbku dla prawa Administratora do przeprowadzenia audytu na mocy punktu 2.10.

(c) Podmiot przetwarzający ma obowiązek zapewnienia, aby systemy przetwarzania danych wykorzystywane w przypadku Umowy przetwarzania były zgodne z zasadą prywatności w fazie projektowania oraz zasadą prywatności w ustawieniach domyślnych, zgodnie z najnowszą wiedzą.

2.7 Poprawianie, usuwanie i blokowanie danych, prawo do przenoszenia danych oraz prawo do wyrażenia sprzeciwu

(a) Prawa osób, których dane są przetwarzane przez Podmiot przetwarzający, w szczególności do poprawiania, usuwania i blokowania, prawo do przenoszenia danych oraz prawo do wyrażenia sprzeciwu należy egzekwować od Administratora. Za ochronę tych praw odpowiada wyłącznie Administrator.

(b) W czasie wykonywania prac na rzecz Administratora Podmiot przetwarzający zobowiązany jest przekazywać wszelkie żądania kierowane do niego przez osoby, których dane dotyczą Administratorowi, w celu odpowiedniego przetworzenia ich, bez opóźnień. Jeśli Administrator i Podmiot przetwarzający działają wspólnie jako zewnętrzne strony odpowiedzialne, Podmiot przetwarzający ma prawo do niezależnego reagowania na takie żądania.

(c) Podmiot przetwarzający ma również obowiązek wspierania Administratora w zakresie odpowiednich środków technicznych i organizacyjnych, w celu wypełniania swojego obowiązku odpowiadania osobom, których dane dotyczą.

(d) Zgodnie z poleceniami Administratora Podmiot przetwarzający ma obowiązek poprawiania, zawieszania i/lub usuwania danych niezwłocznie, lecz nie później niż w ciągu 5 (pięciu) dni, oraz informowania Podmiotu przetwarzającego przed tym terminem.

2.8 Obowiązki Podmiotu przetwarzającego

(a) Podmiot przetwarzający może gromadzić, przetwarza i wykorzystywać dane wyłącznie na potrzeby zlecenia i zgodnie z udokumentowanymi poleceniami Administratora.

(b) Podmiot przetwarzający musi stosować środki techniczne i organizacyjne, zgodnie z punktem 2.6 niniejszej Umowy przetwarzania w regularnych odstępach czasu i przedstawiać je na żądanie.

(c) Inspektor Ochrony Danych wymieniany jest jako osoba do kontaktu w sprawach związanych z ochroną danych po stronie Podmiotu przetwarzającego. Adres e-mail Inspektora Ochrony Danych to privacy@hd.digital. W razie potrzeby, Podmiot przetwarzający wyznaczy przedstawiciela zgodnie z wymogami Art. 27 ogólnego rozporządzenia o ochronie danych.

(d) Podmiot przetwarzający odpowiada za zachowanie poufności. Wszelkie osoby upoważnione po stronie Podmiotu przetwarzającego do dostępu do danych Administratora muszą zostać zobowiązane do zachowania poufności lub podlegać uzasadnionej tajemnicy zawodowej oraz muszą być informowane o szczególnych obowiązkach z zakresu ochrony danych wynikających z niniejszej Umowy przetwarzania, a także o istniejących poleceniach i celach przetwarzania. Podmiot przetwarzający będzie dokumentował te obowiązki w formie pisemnej i przedstawi je na wniosek Administratora.

2.9 Uzasadnienie warunków podzlecenia

(a) Dozwolone jest uzasadnienie relacji podzlecania. Podmiot przetwarzający ma obowiązek informowania Administratora o odpowiedniej zmianie z wyprzedzeniem. Administratorowi przysługuje prawo sprzeciwu.

(b) W przypadku zleceń od innych podmiotów przetwarzających, Podmiot przetwarzający ma obowiązek umownego zapewnienia, aby obowiązki Podmiotu przetwarzającego wynikające z niniejszej Umowy powierzenia miały również zastosowanie w przypadku kolejnego podmiotu przetwarzającego.

(c) Podmiot przetwarzający ma obowiązek kontrolowania środków technicznych i organizacyjnych wdrażanych przez kolejne podmioty przetwarzające ad hoc i w regularnych odstępach podczas okresu podzlecania, w celu ochrony przekazanych danych. Przekazywanie danych jest dozwolone wyłącznie jeśli kolejny podmiot przetwarzający wprowadzi niezbędne środki techniczne i organizacyjne co najmniej zgodne ze specyfikacją niniejszej Umowy powierzenia.

(d) Podmiot przetwarzający w pełni odpowiada za wybieranych przez siebie podwykonawców.

2.10 Prawa Administratora do przeprowadzania audytów

Administrator ma prawo do weryfikowania zgodności z odpowiednimi rozporządzeniami o ochronie danych oraz Umową powierzenia w standardowych godzinach pracy. Podmiot przetwarzający zgadza się zapewnić Administratorowi wszelkie uzasadnione informacje niezbędne do przeprowadzenia inspekcji w uzasadnionym okresie czasu. W przypadku uznania przez Administratora, że przeprowadzenie audytu Podmiotu przetwarzającego na miejscu jest konieczne, Podmiot przetwarzający zobowiązany będzie do zapewnienia, aby Administrator na potrzeby prowadzonego audytu miał dostęp do biura Podmiotu przetwarzającego oraz miał możliwość przeprowadzenia inspekcji na miejscu przechowywanych danych i programów do przetwarzania danych. Administrator ma prawo do zlecenia przeprowadzenia badania ustalanej każdorazowo stronie trzeciej (weryfikator). Administrator musi zgłosić przeprowadzanie takiego audytu pisemnie z wyprzedzeniem wynoszącym co najmniej 20 (dwadzieścia) dni roboczych. Koszt przeprowadzenia audytu i koszty Podmiotu przetwarzającego w standardowych cenach rynkowych ponosi Administrator.

2.11 Powiadamianie o naruszeniach realizowane przez Podmiot przetwarzający

(a) Podmiot przetwarzający zobowiązany jest powiadamiać Administratora bezzwłocznie, i najpóźniej w ciągu 48 (czterdziestu ośmiu) godzin od ich odkrycia, o wszelkich przypadkach, w których Podmiot przetwarzający lub jego pracownicy lub podwykonawcy naruszyli przepisy dotyczące ochrony danych Administratora lub warunki określone w niniejszej Umowie powierzenia.

(b) Administrator musi zostać powiadomiony o wszelkich przypadkach utraty lub niezgodnego z prawem przykazania lub odbioru danych przez strony trzecie, niezależnie od ich przyczyny. Podmiot przetwarzający musi, w konsultacji z Administratorem, wprowadzać odpowiednie środki, w celu zabezpieczenia danych i ograniczenia możliwych niekorzystnych konsekwencji dla osób, których dane dotyczą. O ile osoby odpowiedzialne wypełnią obowiązki w zakresie powiadamiania, Podmiot przetwarzający zobowiązany jest wspierać Administratora w wypełnianiu tych obowiązków.

2.12 Polecenia Administratora

(a) Przetwarzanie danych Administratora przez Podmiot przetwarzający musi się odbywać wyłącznie w ramach niniejszej Umowy powierzenia oraz zgodnie z poleceniami Podmiotu przetwarzającego.

(b) Podmiot przetwarzający musi, bez opóźnienia, stosować się do (indywidualnych) poleceń dotyczących charakteru, zakresu i sposobu przetwarzania danych lub, w odpowiednich przypadkach, w terminie określonym przez Administratora.

(c) Podmiot przetwarzający ma obowiązek powiadomienia Administratora bez opóźnienia jeśli, według Podmiotu przetwarzającego, polecenia Administratora naruszają przepisy dotyczące ochrony danych. Podmiot przetwarzający ma prawo zawieszenia realizacji odpowiednich poleceń do ich potwierdzenia lub zmiany przez Administratora.

2.13 Usuwanie danych po zrealizowaniu zlecenia

Po ukończeniu umówionej pracy Podmiot przetwarzający musi przekazać wszystkie przetwarzane dane Administratorowi, lub za uprzednią zgodą Administratora, zniszczyć je zgodnie z przepisami o ochronie danych lub usunąć je zgodnie z aktualnym stanem rozwoju techniki. Prawo zachowania danych jest wyłączone w przypadku dokumentów, danych, przetwarzania i wykorzystywania wyników i odpowiednich nośników danych, o ile przepisy Unii Europejskiej lub ustawodawstwo państwa członkowskiego nie wymaga zachowania danych.

3. Pozostałe obowiązki Podmiotu przetwarzającego

3.1 Podmiot przetwarzający nie wykorzystuje danych zapewnionych do przetwarzania do jakichkolwiek innych celów. Kopie ani duplikaty nie mogą być tworzone bez wiedzy i uprzedniej pisemnej zgody Administratora, chyba że wynika to z usług zleconych w Umowie powierzenia. Podmiot przetwarzający ma obowiązek zapewnienia, aby dane przez niego przetwarzane w imieniu Administratora były odseparowane od innych danych. Przekazywanie danych Administratora przez Podmiot przetwarzający stronom trzecim nie może mieć miejsca bez pisemnej zgody Administratora.

3.2 Podmiot przetwarzający ma obowiązek zapewnienia uzasadnionego wsparcia osobom odpowiedzialnym za ochronę przed roszczeniami w przypadku domniemanego lub rzeczywistego naruszenia wymogów ochrony danych. Administrator ze swojej strony będzie, badał skargi osób, których dane dotyczą w kontekście odpowiedzialności Administratora w zakresie ochrony danych w odpowiedni sposób oraz będzie odpowiadał na skargi osób, których dane dotyczą.

3.3 Podmiot przetwarzający przyjmuje do wiadomości, że przekazywanie informacji odpowiednim osobom na podstawie prawa do informacji może mieć miejsce wyłącznie poprzez Administratora lub osobę upoważnioną przez Administratora. Podmiot przetwarzający zobowiązany jest do zapewnienia Administratorowi wymaganych informacji na czas oraz wspierania Administratora. Jeśli Podmiot przetwarzający działa również jako Administrator zewnętrzny na zapytania takie może odpowiednio reagować i informować odpowiednio Administratora.

3.4 Podmiot przetwarzający musi, w odpowiednich przypadkach, wspierać Administratora w przygotowywaniu niezbędnych indeksów procedur.

3.5 Podmiot przetwarzający musi wspierać Administratora w przygotowywaniu ocen skutków dla ochrony danych, kiedy rodzaj przetwarzania będzie mógł spowodować wysokie zagrożenie dla praw i wolności osób fizycznych.

3.6 Podmiot przetwarzający zgadza się na informowanie Administratora bezzwłocznie o wynikach inspekcji organów nadzorujących ochronę danych, w zakresie w jakim dotyczyć one będą niniejszej Umowy powierzenia. Podmiot przetwarzający poinformuje osoby odpowiedzialne o wszelkich skargach ze strony organów nadzorujących ochronę danych dotyczących obszaru odpowiedzialności Podmiotu przetwarzającego i podejmie kroki mające na celu naprawę ewentualnych zidentyfikowanych skarg, zgodnie z wymogami prawa.

4. Odpowiedzialność prawna

4.1 Administrator odpowiada za dopuszczalność prawną przetwarzania danych, a także za ochronę praw osób, których dane dotyczą.

4.2 W drodze odstępstwa od sekcji 4.1, Podmiot przetwarzający odpowiada za roszczenia osób, których dane dotyczą w związku z naruszeniami obowiązujących przepisów prawnych lub postanowień Umowy powierzenia.

4.3 W odniesieniu do Administratora, Podmiot przetwarzający odpowiada wyłącznie za przypadki zamierzonego działania i rażącego niedbalstwa w zakresie prawnie dopuszczalnego wyłączenia odpowiedzialności i ograniczeń.

5. Postanowienia końcowe

5.1 Administrator ma obowiązek informowania Podmiotu przetwarzającego niezwłocznie i w pełni w przypadku znalezienia błędów i nieprawidłowości w przetwarzaniu danych przez Podmiot przetwarzający w wyniku audytu.

5.2 Niniejsza Umowa powierzenia może zostać zmieniona lub rozwiązana na warunkach określonych w powyższym Regulaminie.

5.3 Nieważność jednego lub wielu zapisów niniejszej Umowy powierzenia nie wpływa na ważność Umowy powierzenia. W przypadku nieważności jednego lub wielu zapisów niniejszej Umowy powierzenia, Strony podejmą prawnie skuteczny zapis zastępczy w sposób jak najbardziej uzasadniony i zbliżony do zapisu nieważnego. To samo dotyczy luk prawnych.

5.4 Umowa powierzenia podlega takiemu samemu prawu co powyższy Regulamin.

5.5 W przypadku rozbieżności pomiędzy Umową powierzenia a innymi umowami zawartymi między Stronami, rozstrzygające są przepisy niniejszej Umowy powierzenia.

Status: July 2019/AG


Środki techniczne i organizacyjne

Biorąc pod uwagę aktualny stan wiedzy technicznej, koszty wdrożenia oraz charakter, zakres, okoliczności i cele przetwarzania oraz różne prawdopodobieństwo i skalę zagrożenia praw i wolności osób fizycznych, Podmiot przetwarzający zobowiązany jest wprowadzać odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu ochrony proporcjonalnego do zagrożenia. Środki te obejmują, między innymi:

• pseudonimizację i szyfrowanie danych;

• zdolność stałego zapewnienia poufności, integralności, dostępności i niezawodności usług i systemów przetwarzania danych;

• zdolność szybkiego przywrócenia gotowości danych i ich dostępności w przypadku wystąpienia incydentu fizycznego lub technicznego;

• proces okresowego przeglądu, analizy i oceny skuteczności środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania.

Z zastrzeżeniem powyższych postanowień, podjęte zostaną następujące szczególne środki:

1. Kontrola dostępu

Środki zapobiegające uzyskaniu dostępu do systemu przetwarzania danych wykorzystywanego do przetwarzania danych przez osoby nieupoważnione:

• Specyfikacja upoważnionej grupy osób i odpowiednia dokumentacja;

• Elektroniczne systemy kontroli dostępu;

• Wydawanie kart dostępu;

• Wprowadzenie wytycznych dla osób z zewnątrz;

• Alarm lub ochrona poza godzinami pracy;

• Rozmieszczenie własności w różnych strefach bezpieczeństwa;

• Wprowadzenie wytycznych dotyczących posługiwania się kluczami (kartami);

• Drzwi antywłamaniowe (zamki elektroniczne, czytniki kart, kamery CCTV);

• Wprowadzenie środków bezpieczeństwa w miejscu pracy (np. wykrywanie/zgłaszanie włamań).

2. Kontrola dostępu

Środki zapobiegające wykorzystaniu systemu i procedur przetwarzania danych przez osoby nieuprawnione:

• Zdefiniowanie grupy osób mających dostęp do systemów przetwarzania danych;

• Wprowadzenie wytycznych dla osób z zewnątrz;

• Zabezpieczenie komputerów osobistych hasłem.

3. Kontrola dostępu

Środki zapewniające, aby osoby uprawnione do wykorzystania technik przetwarzania danych mogły uzyskiwać dostęp wyłącznie do danych zgodnych z ich uprawnieniami:

• Wprowadzenie ograniczonych praw dostępu w oparciu o odpowiednie dane i funkcje;

• Obowiązek identyfikacji w przypadku sprzętu do przetwarzania danych (np. przez identyfikację i uwierzytelnianie);

• Wprowadzenie zasad dotyczących dostępu i funkcji użytkowników;

• Analiza protokołów w przypadku wystąpienia szkodliwego zdarzenia.

4. Kontrola przekazywania danych

Środki zapewniające, aby dane nie mogły być odczytywane, kopiowane, zmieniane ani usuwane podczas przekazu elektronicznego lub podczas ich transportu lub przechowywania na nośnikach danych oraz aby możliwe było sprawdzanie i określanie, kiedy odbywa się przekazywanie danych w formie transmisji danych.

• Szyfrowanie

5. Kontrola wstępu

Środki zapewniające, aby możliwe było późniejsze zweryfikowanie i określenie czy i kto wprowadza, zmienia lub usuwa dane z systemów IT.

• Rejestrowanie wprowadzania danych.

6. Kontrola zlecenia

Środki zapewniające, aby dane przetwarzane na zlecenie mogły być przetwarzane wyłącznie zgodnie z poleceniami Administratora.

• Dokumentacja różnych kompetencji i obowiązków pomiędzy Administratorem a Podmiotem przetwarzającym;

• Formalne zlecanie;

• Kontrola wyników pracy.

7. Kontrola dostępności

Środki zapewniająca ochronę danych przed przypadkowym zniszczeniem lub utratą.

• Wdrożenie planu regularnego tworzenia kopii zapasowych;

• Bezpieczne przechowywanie kopii zapasowych danych w ognioodpornych i wodoodpornych szafach kartotekowych;

• Wprowadzenie i regularna kontrola systemu zasilania awaryjnego i systemu ochrony przeciwprzepięciowej;

• Wdrożenie planu awaryjnego;

• Protokół w sprawie wprowadzenia zarządzania kryzysowego i/lub awaryjnego.

8. Kontrola odseparowania

Środki zapewniające, aby dane zgromadzone w różnych celach mogły być przetwarzane osobno.

• Rozdzielenie danych poszczególnych klientów Podmiotu przetwarzającego.

Status: July 2019/AG