§ 1 Definicje
W przypadku użycia w Regulaminie poniższych pojęć nadaje im się następujące znaczenie:
- Dane Osobowe – informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej zgromadzone w ramach Zbiorów Danych powierzane przez Klienta, w zakresie wskazanym w Formularzu zlecenia,
- Zbiór Danych – posiadający strukturę zestaw Danych Osobowych, dostępny według określonych kryteriów,
- RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), (Dz. Urz. UE L 119/1),
- Kodeks Cywilny – ustawa z dnia 23 kwietnia 1964 r. Kodeks Cywilny (tekst jednolity – Dz.U. z 2017 r. poz. 459 wraz ze zmianami),
- Przetwarzanie Danych Osobowych – przetwarzanie danych w rozumieniu art. 4 pkt 2 RODO, tj. wykonywanie przez Przetwarzającego (odpowiednio osoby fizyczne zatrudnione przez Przetwarzającego) jakichkolwiek operacji na powierzonych do przetwarzania danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie, a zwłaszcza tych, które wykonywane są w Systemie Informatycznym,
- System Informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu Przetwarzania Danych Osobowych,
- Administrator – organ, instytucja, jednostka organizacyjna, podmiot lub osoba, decydująca o celach i środkach Przetwarzania Danych Osobowych, spełniająca warunki dla uznania za „administratora” zgodnie z przepisami RODO,
- Klient – podmiot, z którym Przetwarzający zawarł umowę o świadczenie usług hostingowych do której ma zastosowanie niniejszy Regulamin,
- Przetwarzający – Dorrak-Błażej Rakowski z siedzibą w Brzeźnie 62-513 przy ul. Zielonej 14
NIP-665-106-17-38 , REGON 367566830 zarejestrowana w CEIDG w dniu 04.09.2017 r.
- Personel – pracownicy, współpracownicy i podwykonawcy Przetwarzającego, którzy bezpośrednio wykonywać będą obowiązki Przetwarzającego wynikające z postanowień Regulaminu,
- Umowa – umowa zawarta pomiędzy Klientem a Przetwarzającym w przedmiocie świadczenia usług hostingu,
- Usługa – usługa hostingowa wykonywana na infrastrukturze Przetwarzającego w ramach Umowy,
- Formularz zlecenia – dokument stanowiący Załącznik nr 2 do Regulaminu, w którym Klient wskazuje rodzaj oraz kategorie osób, których dane dotyczą.
§ 2. Oświadczenia Stron
- Klient oświadcza, że jest Administratorem Danych Osobowych zgromadzonych w Zbiorach oraz że wszystkie Dane Osobowe zebrane zostały zgodnie z odpowiednimi przepisami prawa, w szczególności zaś każdy podmiot Danych Osobowych wyraził zgodę na Przetwarzanie jego Danych Osobowych, gdy jest to wymagane prawem.
- Klient oświadcza, że jest uprawniony do powierzenia Przetwarzania Danych Osobowych Przetwarzającemu w ramach Umowy i że powierzenie powyższe nie narusza przepisów prawa, ani praw osób trzecich.
- Przetwarzający oświadcza, że posiada stosowne środki, by wykonać swoje obowiązki wynikające z postanowień Umowy oraz Regulaminu, w tym w szczególności wymaganą wiedzę, doświadczenie, wyposażenie oraz zasoby ludzkie.
- Przetwarzający oświadcza, że przyjmuje odpowiednie środki techniczne i organizacyjne, aby Przetwarzanie odbywało się zgodnie z RODO chroniło prawa osób, których dane dotyczą, a Przetwarzający będzie mógł to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
- Przetwarzający oświadcza, że jest właścicielem lub licencjobiorcą wszystkich elementów wchodzących w skład Systemu Informatycznego niezbędnego do Przetwarzania Danych Osobowych.
§ 3. Upoważnienie do Przetwarzania Danych Osobowych
- Na podstawie art. 28 ust. 3 RODO Klient niniejszym powierza Przetwarzającemu, a Przetwarzający podejmuje się Przetwarzania Danych Osobowych zgodnie z postanowieniami Regulaminu. Strony oświadczają, że Przetwarzający jest „podmiotem przetwarzającym” w rozumieniu art. 4 pkt 8 RODO.
- Klient upoważnia i zobowiązuje Przetwarzającego do Przetwarzania Danych Osobowych wyłącznie w zakresie następujących czynności:
- kopiowania Danych Osobowych,
- przechowywania Danych Osobowych,
- usuwania Danych Osobowych, w tym na żądanie Klienta.
- Klient może dodatkowo upoważnić i zobowiązać Przetwarzającego do Przetwarzania Danych Osobowych w zakresie innych czynności, niż te, które zostały wskazane w ust. 2 powyżej, przekazując Przetwarzającemu dodatkowe zlecenie w tym względzie drogą pisemną lub elektroniczną.
- Klient powierza Przetwarzającemu Przetwarzanie Danych Osobowych co do rodzaju danych oraz kategorii osób, których dane dotyczą w zakresie wskazanym w Formularzu zlecenia stanowiącym Załącznik nr 2 do Regulaminu.
- Przetwarzanie Danych Osobowych odbywać będzie się wyłącznie w celu wykonania Umowy zawartej przez Klienta z Przetwarzającym.
- Przetwarzający przyjmuje upoważnienie oraz zobowiązania wskazane w § 3 ust. 2 i 3 oraz zobowiązuje się nie Przetwarzać Danych Osobowych w inny sposób i dla innych celów niż wskazane w § 3 ust. 2 i 3.
- Regulamin zostaje przyjęty w celu zapewnienia bezpieczeństwa Danych Osobowych Przetwarzanych w Systemie Informatycznym.
§ 4. Sposób przekazania i miejsce przechowywania Danych Osobowych
- Dane Osobowe zostaną przekazane Przetwarzającemu samodzielnie przez Klienta:
- automatycznie – przez sieć Internet z wykorzystaniem połączenia szyfrowanego,
- w wyjątkowych przypadkach, gdy przekaz automatyczny jest niemożliwy, manualnie – za pomocą urządzeń do przechowywania danych, jak płyty, dyski lub nośniki pamięci USB.
- Przetwarzający oświadcza, że powierzone mu do przetwarzania Dane Osobowe przetwarzane będą wyłącznie na terytorium Unii Europejskiej lub Europejskiego Obszaru Gospodarczego.
§ 5. Zobowiązania Przetwarzającego
- Przetwarzający Przetwarza Dane Osobowe wyłącznie na udokumentowane polecenie Klienta zawarte w Regulaminie, Umowie lub w inny sposób przekazane Przetwarzającemu, co dotyczy też przekazywania Danych Osobowych do państwa trzeciego lub organizacji międzynarodowej, chyba, że obowiązek taki nakłada na niego prawo. W takim przypadku przed rozpoczęciem Przetwarzania Przetwarzający informuje Klienta o tym obowiązku prawnym.
- Przetwarzający może korzystać z usług innych podmiotów przetwarzających, którzy pełnić będą rolę podwykonawcy przy świadczeniu usług w ramach Umowy, na co Klient wyraża ogólną zgodę. Lista innych podmiotów przetwarzających (dalej: „Lista”), o których mowa w zdaniu poprzednim stanowi Załącznik nr 1 do Regulaminu. Przetwarzający ma prawo do jednostronnej aktualizacji i modyfikacji tej Listy. Aktualizacja lub modyfikacja Listy nie stanowi zmiany Regulaminu. Lista oraz jej aktualizacje i modyfikacje są publikowane w panelu administracyjnym Usługi z 30 dniowym wyprzedzeniem.
- W przypadku wykonywania w imieniu Klienta konkretnych czynności Przetwarzania Przetwarzający korzystając z usług innego podmiotu przetwarzającego, o którym mowa w ust. 2 powyżej, nakłada na ten inny podmiot przetwarzający na mocy umowy podpowierzenia Danych Osobowych, te same obowiązki ochrony danych jak te wskazane w Regulaminie, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by Przetwarzanie odpowiadało wymogom RODO. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Klienta za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na Przetwarzającym.
- W terminie 21 dni licząc od dnia opublikowania aktualizacji lub modyfikacji Listy, Klient może wnieść sprzeciw wobec takich zmian, w którym wyjaśni podstawy do nieudzielenia akceptacji nowemu podmiotowi. Wniesienie sprzeciwu oznacza brak zgody na dodanie lub zastąpienie takiego podmiotu w zakresie podpowierzenia Przetwarzania Danych Osobowych przekazywanych na podstawie Regulaminu. W takim przypadku, o ile nie jest możliwe realizowanie usług na podstawie Umowy, z wyłączeniem podmiotu, co do którego Klient wniósł sprzeciw, Stronom przysługuje prawo rozwiązania Umowy ze skutkiem natychmiastowym.
- Przetwarzający przy Przetwarzaniu Danych Osobowych zobowiązany jest stosować środki techniczne i organizacyjne zapewniające ochronę Danych Osobowych, zgodnie z art. 32 RODO, a w szczególności Przetwarzający powinien zabezpieczyć Dane Osobowe przed ich udostępnieniem osobom nieupoważnionym, utratą, uszkodzeniem lub zniszczeniem, w tym między innymi w stosownym przypadku:
- pseudonimizację i szyfrowanie Danych Osobowych;
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług Przetwarzania;
- zdolność do szybkiego przywrócenia dostępności Danych Osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo Przetwarzania.
- W celu wykonania obowiązku, o którym mowa w ustępie poprzedzającym, Przetwarzający zobowiązany jest prowadzić dokumentację opisującą sposób Przetwarzania Danych Osobowych oraz środki wskazane w ustępie poprzednim.
- Czynności w ramach Przetwarzania Danych Osobowych mogą podejmować wyłącznie członkowie Personelu, którzy uprzednio uzyskali od Przetwarzającego pisemne upoważnienie. Każde upoważnienie lub jego cofnięcie Przetwarzający zobowiązany jest wpisać do „Ewidencji osób upoważnionych do Przetwarzania Danych Osobowych”, który powinien zawierać następujące dane:
- imię i nazwisko osoby upoważnionej,
- data udzielenia i wygaśnięcia, jak i zakres upoważnienia do dostępu do Danych
Osobowych,
- identyfikator, jeżeli Przetwarzanie Danych Osobowych odbywa się z wykorzystaniem Systemu Informatycznego.
- Członkowie Personelu, przy pomocy, których Przetwarzający realizować będzie przedmiot Regulaminu, zobowiązani zostaną przez Przetwarzającego do zachowania w tajemnicy Danych Osobowych i środków ochrony ich Przetwarzania.
- Przetwarzający zobowiązany jest do przeszkolenia Personelu w zakresie sposobów zabezpieczenia Przetwarzanych Danych Osobowych.
- Gdy będzie to miało zastosowanie, Przetwarzający, uwzględniając charakter Przetwarzania oraz dostępne mu informacje, będzie pomagał Klientowi oraz udzielał niezbędnych informacji, w celu należytego wywiązania się przez Klienta z obowiązków przewidzianych prawem, w szczególności tych określonych w Rozdziale III oraz art. 32-36 RODO.
- Przetwarzający zobowiązuje się udostępnić Klientowi, na żądanie Klienta, wszelkie informacje niezbędne do wykazania spełniania obowiązków określonych w Regulaminie. W związku z powyższym obowiązkiem Przetwarzający niezwłocznie poinformuje Klienta, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub inne przepisy ochrony Danych Osobowych.
- Bez uszczerbku dla przepisów odrębnych, jeżeli Przetwarzający naruszy RODO przy określaniu celów i sposobów Przetwarzania, uznaje się go za administratora w odniesieniu do tego Przetwarzania.
§ 6. Kontrole
- Klient może przeprowadzać kontrole zgodności działań Przetwarzającego z Regulaminem.
- Klient zobowiązany jest poinformować Przetwarzającego, co najmniej na 21 dni przed kontrolą, jeżeli ma ją wykonywać osoba trzecia.
- Kontrola powinna być przeprowadzona w czasie godzin pracy obowiązujących w siedzibie Przetwarzającego lub innym miejscu wskazanym przez Przetwarzającego i nie powinna w nieuzasadniony sposób zakłócać normalnej działalności Przetwarzającego.
- Sprawozdania z kontroli stanowią dane poufne Stron.
- Koszty przeprowadzenia kontroli ponosi Klient z wyłączeniem czasu pracy Personelu Przetwarzającego.
- Przetwarzający zobowiązuje się dostosować do zaleceń pokontrolnych mających na celu usunięcie uchybień i poprawę bezpieczeństwa Przetwarzania Danych Osobowych, o ile takie zaistnieją.
- Kontrola, o której mowa w niniejszym paragrafie, powinna być przeprowadzona w taki sposób, aby zabezpieczone były Dane Osobowe lub informacje poufne Przetwarzającego oraz osób trzecich, w szczególności innych podmiotów powierzających Przetwarzającemu Przetwarzanie Danych Osobowych.
- Strony oświadczają, że w przypadku kontroli Prezesa Urzędu Ochrony Danych Osobowych prowadzonej u jednej ze Stron, dotyczącej Przetwarzania powierzonych Danych Osobowych w ramach umowy, Strona będzie przekazywać drugiej Stronie w zakresie dopuszczalnym prawem niezbędne informacje i wyjaśnienia.
§ 7. Zobowiązania Klienta
- Klient zobowiązuje się do realizowania Umowy oraz Regulaminu powierzenia Przetwarzania zgodnie z obowiązującymi przepisami prawa w zakresie ochrony danych osobowych, w tym RODO, w szczególności do umieszczania w Systemie informatycznym Przetwarzającego danych Przetwarzanych legalnie, z poszanowaniem praw osób, których dane dotyczą.
- Wszelkie oprogramowanie w ramach infrastruktury Przetwarzającego, jest instalowane na koszt, ryzyko i odpowiedzialność Klienta. Klient ponosi wyłączną odpowiedzialność za działanie lub nienależyte działanie, luki, błędy oraz skutki powstałe w wyniku korzystania z oprogramowania, o którym mowa w zdaniu poprzednim.
- Klient ponosi całkowitą odpowiedzialność za korzystanie z nieaktualnych wersji interpreterów poleceń takich jak PHP, Python, Ruby, Perl, które nie są już wspierane pod względem poprawek bezpieczeństwa przez podmioty będące ich producentami lub twórcami. Przetwarzający umożliwia korzystanie z tych wersji w celu zapewnienia kompatybilności dla starszego oprogramowania Klienta (nie dotyczy systemów administrowanych przez Klienta).
- Klient odpowiada za podmioty lub osoby trzecie, które będą na zlecenie Klienta administrowały Usługą na infrastrukturze Przetwarzającego. Jednocześnie Klient odpowiada za udostępnienie haseł dostępu do Usługi osobom trzecim oraz za przechowywanie niedostatecznie zabezpieczonych haseł dostępu do Usługi na swoich urządzeniach.
- Jeżeli Klient utraci możliwość dostępu do swojej usługi w której Przetwarzane są Dane Osobowe, to ze względów bezpieczeństwa jest on zobowiązany zgłosić ten fakt niezwłocznie Przetwarzającemu.
§ 8. Odpowiedzialność Stron
- Każda ze Stron odpowiada za szkody wyrządzone drugiej Stronie oraz osobom trzecim w związku z wykonywaniem Regulaminu, zgodnie z przepisami Kodeksu Cywilnego oraz przepisami RODO oraz zgodnie z postanowieniami Regulaminu.
- Przetwarzający ponosi całkowitą odpowiedzialność za swoje działania, działania swojego Personelu, jak również innych podmiotów przetwarzających, za które Przetwarzający odpowiada, a którym Przetwarzający podpowierzył Przetwarzanie Danych Osobowych.
§ 9. Czas trwania i wypowiedzenie Umowy
- Umowa powierzenia Przetwarzania w oparciu o Regulamin zawarta zostaje na czas trwania Umowy. Z chwilą wygaśnięcia lub rozwiązania Umowy z jakiejkolwiek przyczyny, rozwiązaniu ulega umowa powierzenia Przetwarzania.
- Każda ze Stron może wypowiedzieć umowę powierzenia Przetwarzania ze skutkiem natychmiastowym w przypadku naruszenia istotnych postanowień Regulaminu oraz po wezwaniu drugiej Strony do zaprzestania naruszeń w terminie nie krótszym niż siedem dni. W takim przypadku z chwilą rozwiązania tej umowy powierzenia Przetwarzania, rozwiązaniu ulega Umowa.
- W przypadku zakończenia trwania umowy powierzenia Przetwarzania Przetwarzający niezwłocznie zwróci Klientowi lub umożliwi mu w jakikolwiek inny sposób odzyskanie Danych Osobowych. Po zwrocie Danych Osobowych Przetwarzający usunie wszelkie kopie Zbioru Danych lub w jakikolwiek inny sposób uczyni niemożliwym dostęp do nich, chyba że obowiązek zachowania kopii wynikać będzie z przepisów prawa.
§ 10. Postanowienia końcowe
- Regulamin wchodzi w życie z dniem 25 maja 2018 r. i jego postanowienia mają zastosowanie także do wcześniejszych czynności podjętych pomiędzy Stronami oraz zastępuje wszystkie wcześniejsze umowy, porozumienia i ustalenia dotyczące ochrony danych osobowych.
- W sprawach nieuregulowanych Regulaminem zastosowanie mają obowiązujące przepisy polskiego prawa, a w szczególności Kodeks cywilny oraz RODO.
- Jeżeli jakiekolwiek postanowienie Regulaminu jest lub stanie się nieważne, reszta Regulaminu pozostaje w mocy, zaś Przetwarzający podejmie czynności w celu niezwłocznego zastąpienia tego postanowienia przez odpowiednie postanowienie, które jest ważne i najbliższe zamierzonemu przez Strony znaczeniu.
- Wszelkie zmiany lub uzupełnienia umowy powierzenia zawartej na podstawie Regulaminu z wyłączeniem Załącznika nr 1 oraz Załącznika nr 2 wymagają zachowania formy dokumentowej pod rygorem nieważności.
- Załączniki do Regulaminu stanowią jego integralną część.
- Sądem właściwym miejscowo dla rozstrzygania sporów powstałych na gruncie Regulaminu jest sąd właściwy dla siedziby Przetwarzającego.