UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (DPA)

Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych („DPA”) zostaje zawarta pomiędzy:

VHN Sp. z o.o. ul. Gliwicka 35 42-600 Tarnowskie Góry Polska

NIP: 6452561131

dalej jako:

„Procesor”

a

Użytkownikiem korzystającym z usług Rezulo,

dalej jako:

„Administrator”.

Akceptacja Regulaminu Rezulo lub rozpoczęcie korzystania z Usługi oznacza zawarcie niniejszej Umowy.

§1. PRZEDMIOT UMOWY

  1. Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie niezbędnym do świadczenia usług Rezulo.

  2. Procesor zobowiązuje się przetwarzać dane osobowe zgodnie z:

a) Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 („RODO”),

b) niniejszą Umową,

c) udokumentowanymi poleceniami Administratora.

  1. Niniejsza Umowa stanowi integralną część dokumentacji prawnej Rezulo.

§2. CHARAKTER I CEL PRZETWARZANIA

  1. Przetwarzanie odbywa się wyłącznie w celu świadczenia usług dostępnych w systemie Rezulo.

  2. Procesor nie wykorzystuje danych powierzonych przez Administratora do własnych celów marketingowych.

  3. Dane nie są wykorzystywane przez Procesora do sprzedaży danych, profilowania marketingowego ani udostępniania podmiotom trzecim w celach reklamowych.

  4. Procesor przetwarza dane wyłącznie przez okres niezbędny do świadczenia Usługi oraz zgodnie z zasadami retencji określonymi w Regulaminie.

§3. CZAS TRWANIA PRZETWARZANIA

  1. Dane przetwarzane są przez okres korzystania przez Administratora z usług Rezulo.

  2. Po zakończeniu korzystania z Usługi zastosowanie mają zasady retencji określone w Regulaminie oraz niniejszej Umowie.

  3. Umowa obowiązuje przez cały okres korzystania z Rezulo.

§4. KATEGORIE DANYCH

Administrator może powierzać między innymi:

Dane klientów

  • imię,
  • nazwisko,
  • adres e-mail,
  • numer telefonu,
  • historię wizyt,
  • historię rezerwacji,
  • informacje dotyczące usług,
  • informacje dotyczące płatności,
  • notatki dotyczące klientów.

Dane pracowników

  • imię,
  • nazwisko,
  • adres e-mail,
  • numer telefonu,
  • harmonogram pracy,
  • dane związane z korzystaniem z kont pracowniczych.

Inne dane

Wszelkie dane wprowadzone przez Administratora do systemu Rezulo.

§5. KATEGORIE OSÓB

Dane mogą dotyczyć:

  • klientów,
  • potencjalnych klientów,
  • osób dokonujących rezerwacji online,
  • pracowników,
  • współpracowników,
  • kontrahentów,
  • innych osób, których dane zostały wprowadzone przez Administratora.

§6. DANE SZCZEGÓLNEJ KATEGORII

  1. Administrator może powierzać dane szczególnej kategorii w rozumieniu art. 9 RODO.

  2. Mogą one obejmować między innymi:

  • alergie,
  • przeciwwskazania do zabiegów,
  • informacje zdrowotne,
  • inne informacje niezbędne do wykonania usług świadczonych przez Administratora.

  1. Administrator odpowiada za posiadanie odpowiedniej podstawy prawnej przetwarzania takich danych.

  2. Procesor nie weryfikuje legalności podstaw prawnych Administratora.

§7. OBOWIĄZKI PROCESORA

Procesor zobowiązuje się:

a) przetwarzać dane wyłącznie na polecenie Administratora,

b) zapewnić poufność osób posiadających dostęp do danych,

c) stosować odpowiednie środki techniczne i organizacyjne,

d) pomagać Administratorowi w realizacji obowiązków wynikających z RODO,

e) informować Administratora o naruszeniach ochrony danych,

f) prowadzić wymaganą dokumentację wynikającą z obowiązujących przepisów prawa.

§8. ŚRODKI BEZPIECZEŃSTWA

Procesor stosuje środki bezpieczeństwa adekwatne do ryzyka.

Mogą one obejmować między innymi:

  • szyfrowanie transmisji danych,
  • kontrolę dostępu,
  • system uprawnień,
  • logowanie zdarzeń,
  • monitorowanie bezpieczeństwa,
  • regularne kopie zapasowe,
  • ochronę infrastruktury serwerowej.

Procesor może aktualizować stosowane środki bezpieczeństwa wraz z rozwojem technologii.

§9. SUBPROCESORZY

  1. Administrator wyraża ogólną zgodę na korzystanie przez Procesora z usług Subprocesorów.

  2. Subprocesorami mogą być między innymi dostawcy:

  • hostingu,
  • infrastruktury chmurowej,
  • płatności,
  • usług SMS,
  • usług analitycznych,
  • usług bezpieczeństwa,
  • usług informatycznych.
  1. Aktualna lista Subprocesorów może obejmować między innymi:
  • OVHcloud,
  • Stripe,
  • Twilio,
  • Google,
  • Meta.

  1. Procesor może dodawać nowych Subprocesorów, jeżeli jest to niezbędne do świadczenia Usługi.

  2. O istotnych zmianach dotyczących Subprocesorów Administrator może zostać poinformowany poprzez stronę internetową, system Rezulo lub wiadomość e-mail.

§10. TRANSFERY MIĘDZYNARODOWE

  1. Niektórzy Subprocesorzy mogą przetwarzać dane poza Europejskim Obszarem Gospodarczym.

  2. W takich przypadkach Procesor zapewnia odpowiednie zabezpieczenia wymagane przez RODO.

  3. Mogą one obejmować:

  • Standardowe Klauzule Umowne Komisji Europejskiej (SCC),
  • decyzje stwierdzające odpowiedni stopień ochrony,
  • inne mechanizmy przewidziane przez obowiązujące przepisy prawa.

§11. NARUSZENIA OCHRONY DANYCH

  1. W przypadku stwierdzenia naruszenia ochrony danych osobowych Procesor poinformuje Administratora bez zbędnej zwłoki po uzyskaniu potwierdzonych informacji o incydencie.

  2. Informacja może obejmować:

  • charakter naruszenia,
  • możliwe konsekwencje,
  • zakres danych objętych naruszeniem,
  • działania naprawcze podjęte przez Procesora.

§12. WSPARCIE DLA ADMINISTRATORA

Procesor, w zakresie możliwym technicznie i organizacyjnie, pomaga Administratorowi w realizacji obowiązków wynikających z RODO, w szczególności dotyczących:

  • realizacji praw osób, których dane dotyczą,
  • zgłaszania naruszeń,
  • oceny skutków dla ochrony danych,
  • konsultacji z organami nadzorczymi.

§13. AUDYTY I INFORMACJE O BEZPIECZEŃSTWIE

  1. Administrator może zwrócić się do Procesora o informacje dotyczące stosowanych środków ochrony danych.

  2. Procesor może realizować obowiązki informacyjne poprzez:

  • dokumentację bezpieczeństwa,
  • odpowiedzi na zapytania,
  • raporty dotyczące bezpieczeństwa,
  • inne rozsądne środki.

  1. Audyty powinny być przeprowadzane w sposób nienaruszający bezpieczeństwa innych klientów oraz tajemnicy przedsiębiorstwa Procesora.

  2. Procesor może odmówić przeprowadzenia audytu, jeżeli jego zakres byłby nieproporcjonalny, prowadziłby do ujawnienia tajemnicy przedsiębiorstwa lub mógłby zagrozić bezpieczeństwu innych klientów.

§14. USUNIĘCIE LUB ZWROT DANYCH

  1. Administrator może pobrać dane dostępne w Rezulo przed zakończeniem korzystania z Usługi.

  2. Dane mogą być przechowywane przez okres do 90 dni od usunięcia Konta, w szczególności w kopiach zapasowych.

  3. Po upływie okresów retencji dane są usuwane lub anonimizowane, chyba że przepisy prawa wymagają ich dalszego przechowywania.

§15. ODPOWIEDZIALNOŚĆ STRON

  1. Każda ze stron odpowiada za naruszenie obowiązków wynikających z RODO w zakresie przewidzianym przez obowiązujące przepisy prawa.

  2. Procesor nie odpowiada za:

  • legalność danych wprowadzanych przez Administratora,
  • brak podstawy prawnej przetwarzania danych przez Administratora,
  • działania lub zaniechania Administratora.

§16. WERSJE JĘZYKOWE

Niniejsza Umowa może być publikowana w różnych wersjach językowych.

Tłumaczenia mają charakter pomocniczy.

W przypadku rozbieżności pomiędzy wersjami językowymi wiążąca jest wersja wskazana przez Procesora dla danego rynku lub użytkownika.

§17. POSTANOWIENIA KOŃCOWE

  1. W sprawach nieuregulowanych zastosowanie mają przepisy RODO oraz prawa polskiego.

  2. Niniejsza Umowa stanowi integralną część dokumentacji prawnej Rezulo.

  3. Aktualna wersja DPA publikowana jest na stronie internetowej Rezulo.

  4. Akceptacja Regulaminu Rezulo oznacza jednocześnie akceptację niniejszej Umowy Powierzenia Przetwarzania Danych Osobowych.

  5. Umowa obowiązuje od dnia rozpoczęcia korzystania z Usługi lub zaakceptowania Regulaminu.