Wersja 5.2 · Data wejścia w życie:
Warunki przetwarzania danych osób trzecich, gdy Hej Bóbr obsługuje strony, formularze, hosting lub publikację klienta.
Strony
Administratorem danych jest klient korzystający z serwisu w zakresie danych osób trzecich zbieranych lub przetwarzanych na jego stronach. Podmiotem przetwarzającym jest Seidr sp. z o.o., ul. Marsz. Józefa Piłsudskiego 74 / 320, 50-020 Wrocław, KRS 0001189184, NIP 8971958342. Umowa stanowi załącznik do Regulaminu albo odrębną umowę stron.
Przedmiot i czas trwania
Przedmiotem przetwarzania są dane osobowe przetwarzane w związku z tworzeniem, hostingiem, publikacją, formularzami kontaktowymi, analityką i obsługą techniczną stron klienta. Przetwarzanie trwa przez czas umowy głównej oraz okres konieczny do usunięcia, zwrotu lub zabezpieczenia danych po jej zakończeniu.
Charakter i cel
Przetwarzanie obejmuje przechowywanie, organizowanie, wyświetlanie, przesyłanie, zabezpieczanie, usuwanie, eksportowanie i techniczne przetwarzanie danych w celu świadczenia usług na rzecz klienta.
Kategorie osób i danych
- odwiedzający strony klienta, osoby wypełniające formularze, potencjalni klienci, pracownicy, współpracownicy i przedstawiciele klienta
- imię, nazwisko, e-mail, telefon, nazwa firmy, treść wiadomości, adres IP, dane techniczne, dane formularzy i inne dane wprowadzone przez klienta
Instrukcje administratora
Przetwarzamy dane wyłącznie na udokumentowane polecenie administratora, chyba że prawo wymaga inaczej. Regulamin, konfiguracja konta, ustawienia serwisu, zgłoszenia supportowe i ta umowa stanowią udokumentowane instrukcje.
Obowiązki procesora
- zachowanie poufności danych
- dopuszczanie do przetwarzania wyłącznie osób upoważnionych
- stosowanie odpowiednich środków technicznych i organizacyjnych
- rozsądna pomoc przy prawach osób, naruszeniach, DPIA i konsultacjach z organem
- usunięcie lub zwrot danych po zakończeniu umowy, chyba że prawo wymaga przechowywania
- udostępnianie informacji potrzebnych do wykazania zgodności
- umożliwienie audytu w rozsądnym zakresie po wcześniejszym uzgodnieniu
Bezpieczeństwo
- kontrola dostępu i uwierzytelnianie
- separacja danych klientów, gdy jest technicznie właściwa
- kopie zapasowe i szyfrowanie transmisji
- monitoring bezpieczeństwa, procedury incydentowe i ograniczenia dostępu administracyjnego
Podprocesorzy i prawo sprzeciwu
Klient udziela ogólnej zgody na korzystanie z podprocesorów niezbędnych do świadczenia usług. Lista głównych podprocesorów jest publikowana w dokumencie Lista podprocesorów.
O zamiarze dodania nowego podprocesora lub zastąpienia dotychczasowego Usługodawca informuje Klienta w sposób przyjęty w serwisie lub e-mailem. Klient może w terminie 7 dni od poinformowania zgłosić uzasadniony sprzeciw oparty na rzeczywistych podstawach związanych z ochroną danych. Brak sprzeciwu w tym terminie uznaje się za akceptację nowego podprocesora.
W razie uzasadnionego sprzeciwu strony w dobrej wierze poszukają rozwiązania alternatywnego. Jeżeli takie rozwiązanie nie jest możliwe, a sprzeciw uniemożliwia techniczne lub ekonomicznie uzasadnione świadczenie Usługi z wykorzystaniem danego podprocesora, Usługodawca jest uprawniony do rozwiązania umowy powierzenia oraz umowy głównej w części lub w całości, ze skutkiem na koniec opłaconego okresu rozliczeniowego, bez ponoszenia kar umownych ani odpowiedzialności odszkodowawczej z tego tytułu.
Audyty i ich koszty
Usługodawca umożliwia Klientowi audyt zgodności w rozsądnym zakresie, nie częściej niż raz w roku, po wcześniejszym pisemnym uzgodnieniu terminu, zakresu i zasad poufności, z poszanowaniem bezpieczeństwa danych innych klientów. W pierwszej kolejności Usługodawca może wykazać zgodność, udostępniając aktualne certyfikaty, raporty lub odpowiedzi na kwestionariusz bezpieczeństwa.
Wszelkie koszty audytu przeprowadzanego z inicjatywy Klienta, w tym koszty audytora zewnętrznego oraz uzasadniony koszt roboczogodzin personelu Usługodawcy zaangażowanego w obsługę audytu, ponosi w całości Klient. Nie dotyczy to audytu, którego konieczność wynika ze stwierdzonego, zawinionego przez Usługodawcę naruszenia ochrony danych.
Transfery, naruszenia i odpowiedzialność
Transfery poza EOG zabezpieczamy właściwym mechanizmem prawnym, jeśli jest wymagany. O naruszeniu ochrony danych poinformujemy administratora bez zbędnej zwłoki po jego stwierdzeniu.
Łączna odpowiedzialność Usługodawcy z tytułu niniejszej umowy powierzenia oraz z tytułu naruszenia przepisów o ochronie danych osobowych podlega temu samemu ograniczeniu kwotowemu, które przewiduje Regulamin, to jest do wysokości sumy opłat abonamentowych netto zapłaconych przez Klienta w okresie 3 miesięcy poprzedzających zdarzenie powodujące szkodę. Ograniczenie to obejmuje roszczenia regresowe między stronami i nie wyłącza odpowiedzialności, której zgodnie z bezwzględnie obowiązującymi przepisami nie można wyłączyć ani ograniczyć, w szczególności odpowiedzialności wobec osób, których dane dotyczą, oraz wobec organu nadzorczego.