Umowa powierzenia przetwarzania danych | ULTEH
Zaloguj się Wypróbuj za darmo
Zaloguj się Wypróbuj za darmo
Prawne

Umowa powierzenia przetwarzania danych

1. Aneks dotyczący przetwarzania danych

ULTEH zobowiązuje się do zapewnienia prywatności, bezpieczeństwa i zgodności danych klientów z przepisami. Niniejszy Aneks dotyczący przetwarzania danych (DPA) określa warunki regulujące sposób przetwarzania, przechowywania i ochrony danych osobowych zgodnie z obowiązującymi przepisami o ochronie danych. Niniejszy DPA stanowi rozszerzenie naszej głównej umowy z Klientami i ma zastosowanie, gdy ULTEH przetwarza dane osobowe w imieniu Klienta jako podmiot przetwarzający. Ustanawia jasne obowiązki obu stron w zakresie przetwarzania danych, zapewniając zgodność z odpowiednimi przepisami o ochronie prywatności. Korzystając z ULTEH, Klienci potwierdzają i akceptują warunki określone w niniejszym DPA. Jeśli potrzebują Państwo podpisanej kopii niniejszej umowy w celach zgodności, prosimy o kontakt.

2. Definicje

Podmiot powiązany oznacza każdą jednostkę, która bezpośrednio lub pośrednio kontroluje, jest kontrolowana przez lub znajduje się pod wspólną kontrolą z daną stroną. „Kontrola” oznacza bezpośrednie lub pośrednie posiadanie co najmniej 50% udziałów z prawem głosu, udziałów kapitałowych lub podobnych praw w danym podmiocie, umożliwiając wpływ na jego zarządzanie i politykę. Podmioty powiązane są zobowiązane do przestrzegania obowiązków i odpowiedzialności określonych w niniejszym DPA w zakresie, w jakim uczestniczą w przetwarzaniu Danych Osobowych.

Upoważniony podprzetwarzający oznacza każdego zewnętrznego dostawcę, usługodawcę lub wykonawcę zaangażowanego przez Usługodawcę do przetwarzania Danych Osobowych Klienta wyłącznie w imieniu i na polecenie Usługodawcy. Upoważnieni podprzetwarzający pomagają w realizacji obowiązków wynikających z niniejszej DPA oraz głównej Umowy. Wszyscy podprzetwarzający muszą przestrzegać tych samych obowiązków w zakresie ochrony danych, zapewniając bezpieczeństwo, poufność i zgodność z przepisami.

Dane konta oznaczają wszystkie informacje związane z działalnością, które są gromadzone, przechowywane i przetwarzane przez Usługodawcę w związku z jego relacją umowną z Klientem. Obejmuje to, między innymi, imiona i nazwiska, adresy e-mail, numery telefonów, dane płatnicze oraz dane dostępowe osób upoważnionych przez Klienta do zarządzania i obsługi konta na platformie Usługodawcy. Dane konta są wykorzystywane wyłącznie do celów administracyjnych, rozliczeniowych i wsparcia.

Przepisy o ochronie danych obejmują wszystkie obowiązujące ustawy, rozporządzenia i ramy prawne regulujące zbieranie, przetwarzanie, przechowywanie, przekazywanie i ochronę Danych Osobowych. Obejmuje to między innymi Ogólne Rozporządzenie o Ochronie Danych (RODO) Unii Europejskiej, UK GDPR obowiązujące w Wielkiej Brytanii, Kalifornijską Ustawę o Ochronie Prywatności Konsumentów (CCPA) oraz wszelkie inne krajowe lub międzynarodowe przepisy dotyczące prywatności mające zastosowanie do przetwarzania danych w ramach niniejszej Umowy. Przestrzeganie tych przepisów zapewnia, że Dane Osobowe są przetwarzane zgodnie z prawem, przejrzyście i bezpiecznie.

Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („osoby, której dane dotyczą”). Osoba możliwa do zidentyfikowania to taka, którą można zidentyfikować bezpośrednio lub pośrednio, w szczególności na podstawie identyfikatorów takich jak imię i nazwisko, adres e-mail, numer telefonu, dane o lokalizacji, identyfikator internetowy (np. adres IP lub pliki cookie) lub inne unikalne cechy określające jej tożsamość. Dane osobowe nie obejmują danych zanonimizowanych lub zagregowanych, które nie mogą być użyte do identyfikacji osoby.

Przetwarzanie oznacza każdą operację lub zestaw operacji wykonywanych na Danych Osobowych, zarówno w sposób zautomatyzowany, jak i ręczny. Obejmuje to między innymi zbieranie, rejestrowanie, organizowanie, strukturyzowanie, przechowywanie, dostosowywanie, zmienianie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie, przekazywanie, ograniczanie, usuwanie lub niszczenie Danych Osobowych. Przetwarzanie odbywa się zgodnie z instrukcjami Klienta oraz obowiązującymi przepisami o ochronie danych.

Środki bezpieczeństwa to techniczne i organizacyjne zabezpieczenia wdrażane w celu zapewnienia poufności, integralności i dostępności Danych Osobowych. Obejmują one szyfrowanie, kontrolę dostępu, zapory sieciowe, maskowanie danych, pseudonimizację, regularne audyty bezpieczeństwa oraz mechanizmy powiadamiania o naruszeniach. Środki bezpieczeństwa mają na celu zapobieganie nieautoryzowanemu dostępowi, przypadkowej utracie lub niezgodnemu z prawem przetwarzaniu Danych Osobowych.

Organ nadzorczy to niezależny organ publiczny odpowiedzialny za monitorowanie i egzekwowanie zgodności z przepisami o ochronie danych. Przykładami są Europejska Rada Ochrony Danych (EDPB) w sprawach związanych z RODO, brytyjskie Biuro Komisarza ds. Informacji (ICO) dla brytyjskiego RODO oraz California Privacy Protection Agency (CPPA) dla egzekwowania CCPA. Organ nadzorczy ma uprawnienia prawne do badania skarg, wydawania wytycznych i nakładania kar za nieprzestrzeganie przepisów.

Prawa osoby, której dane dotyczą to prawa przyznane osobom fizycznym na mocy obowiązujących przepisów o ochronie danych. Obejmują one prawo dostępu, sprostowania, usunięcia, ograniczenia lub przeniesienia swoich Danych Osobowych, a także prawo do sprzeciwu wobec przetwarzania i składania skarg do organu nadzorczego. Usługodawca wspiera Klientów w realizacji tych praw, gdy ma to zastosowanie.

3. Przetwarzanie danych

Klient może występować jako Administrator danych lub Podmiot przetwarzający, w zależności od relacji z osobą, której dane dotyczą, oraz celów przetwarzania danych osobowych. We wszystkich przypadkach ULTEH działa jako Podmiot przetwarzający, przetwarzając dane osobowe w imieniu Klienta i zgodnie z jego instrukcjami.

Klient jest odpowiedzialny za zapewnienie, że wszystkie czynności związane z przetwarzaniem danych realizowane przy użyciu naszych Usług są zgodne z Obowiązującymi przepisami o ochronie danych, w tym między innymi z Ogólnym rozporządzeniem o ochronie danych (RODO), brytyjskim RODO, Kalifornijską ustawą o ochronie prywatności konsumentów (CCPA) oraz innymi obowiązującymi przepisami dotyczącymi prywatności. Klient potwierdza, że posiada podstawę prawną do przetwarzania danych osobowych i zobowiązuje się do zwolnienia nas z odpowiedzialności za wszelkie roszczenia, zobowiązania lub szkody wynikające z nieprzestrzegania tych wymogów prawnych.

Będziemy przetwarzać dane osobowe wyłącznie zgodnie z pisemnymi instrukcjami Klienta i tylko w zakresie niezbędnym do świadczenia Usług, chyba że prawo stanowi inaczej. Nie będziemy wykorzystywać, ujawniać ani udostępniać danych osobowych w żadnym innym celu niż te, na które Klient wyraził zgodę lub które zostały wyraźnie określone w niniejszej Umowie.

Po zakończeniu Umowy lub na żądanie Klienta, według wyboru Klienta: (a) Bezpiecznie usuniemy wszystkie Dane Osobowe przetwarzane na mocy tej Umowy, zapewniając, że nie pozostaną żadne kopie, chyba że wymaga tego prawo, lub (b) Zwrócimy Dane Osobowe Klientowi w ustrukturyzowanym, powszechnie używanym i możliwym do odczytu maszynowego formacie przed ich usunięciem. Klient musi zgłosić takie żądania w rozsądnym terminie przed zakończeniem umowy.

Jeśli jesteśmy prawnie zobowiązani do przechowywania Danych Osobowych po zakończeniu umowy, poinformujemy o tym Klienta (chyba że prawo tego zabrania) i zapewnimy, że dane te pozostaną chronione zgodnie z przepisami o ochronie danych.

4. Bezpieczeństwo i poufność

ULTEH zobowiązuje się do ochrony bezpieczeństwa i poufności Danych Osobowych przetwarzanych w imieniu Klienta. Aby zapewnić integralność i bezpieczeństwo danych, wdrażamy i utrzymujemy wiodące w branży środki bezpieczeństwa mające na celu zapobieganie nieautoryzowanemu dostępowi, ujawnieniu, modyfikacji lub zniszczeniu Danych Osobowych.

Te środki bezpieczeństwa obejmują między innymi:

  • Szyfrowanie danych: Dane osobowe są szyfrowane zarówno podczas przesyłania, jak i przechowywania, z wykorzystaniem branżowych protokołów szyfrowania, aby chronić je przed nieautoryzowanym dostępem.
  • Kontrola dostępu: Surowe zasady zarządzania dostępem zapewniają, że tylko upoważniony personel ma dostęp do danych osobowych, zgodnie z zasadą najmniejszych uprawnień.
  • Bezpieczeństwo sieci i systemów: Zapory sieciowe, systemy wykrywania włamań oraz ciągły monitoring pomagają zapobiegać nieautoryzowanemu dostępowi i zagrożeniom cybernetycznym.
  • Anonimizacja i pseudonimizacja danych: W stosownych przypadkach dane osobowe mogą być anonimizowane lub pseudonimizowane, aby zmniejszyć ryzyko związane z ujawnieniem danych.
  • Regularne audyty bezpieczeństwa: Przeprowadzamy okresowe oceny bezpieczeństwa, testy podatności oraz kontrole zgodności, aby zidentyfikować i ograniczyć ryzyka.
  • Plan reagowania na incydenty: Ustrukturyzowany protokół reagowania na incydenty zapewnia szybkie wykrycie, ograniczenie i zgłoszenie każdego naruszenia bezpieczeństwa zgodnie z obowiązującymi przepisami o ochronie danych.

Każda osoba, w tym pracownicy, kontrahenci i upoważnieni dostawcy usług, która przetwarza Dane Osobowe w naszym imieniu, jest zobowiązana do ścisłego zachowania poufności. Obejmuje to podpisanie prawnie wiążących umów o zachowaniu poufności (NDA) oraz przestrzeganie wewnętrznych polityk przetwarzania danych w celu zapewnienia zgodności ze standardami prywatności i bezpieczeństwa danych.

Niezwłocznie powiadomimy Klienta o każdym potwierdzonym naruszeniu bezpieczeństwa, które może skutkować przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, zmianą, nieautoryzowanym ujawnieniem lub dostępem do Danych Osobowych. Powiadomienia te będą zawierać szczegóły incydentu, potencjalny wpływ oraz podjęte działania naprawcze w celu ograniczenia ryzyka.

Nieustannie przeglądamy i aktualizujemy nasze środki bezpieczeństwa zgodnie z ewoluującymi standardami branżowymi i wymaganiami regulacyjnymi, aby zapewnić stałą ochronę danych klientów.

5. Podwykonawcy

ULTEH może angażować zewnętrznych Podprzetwarzających do pomocy w świadczeniu i utrzymaniu Usług. Podprzetwarzający realizują określone zadania, takie jak przechowywanie danych, hosting infrastruktury, analityka czy wsparcie klienta. Zapewniamy, że wszyscy zaangażowani Podprzetwarzający przestrzegają surowych obowiązków w zakresie ochrony danych równoważnych tym określonym w niniejszej DPA.

Utrzymujemy aktualną listę Podprzetwarzających, wraz z ich rolami i lokalizacjami przetwarzania. Klienci mogą w każdej chwili poprosić o informacje na temat aktualnych Podprzetwarzających, kontaktując się z nami.

Prawa i zastrzeżenia klienta:

  • Poinformujemy klientów o każdym nowym podprocesorze z co najmniej 10-dniowym wyprzedzeniem.
  • Klienci mogą w ciągu tych 10 dni zgłosić pisemny sprzeciw wobec korzystania z nowego podprocesora, jeśli mają uzasadnione obawy dotyczące ochrony danych.
  • Po otrzymaniu sprzeciwu podejmiemy rozmowy w dobrej wierze, aby rozwiązać zgłoszone obawy, co może obejmować poszukiwanie alternatywnych rozwiązań.
  • Jeśli nie zostanie osiągnięte rozwiązanie akceptowalne dla obu stron, Klient może mieć prawo do zakończenia korzystania z objętych usług zgodnie z Umową.

Pozostajemy w pełni odpowiedzialni i zobowiązani za działania naszych Podprzetwarzających i zapewniamy, że przestrzegają oni:

  • Przepisy o ochronie danych, w tym RODO, CCPA oraz inne obowiązujące regulacje.
  • Umowy o zachowaniu poufności w celu ochrony danych osobowych.
  • Standardowe środki bezpieczeństwa branżowe zapobiegające nieautoryzowanemu dostępowi lub niewłaściwemu wykorzystaniu danych.

Zastrzegamy sobie prawo do aktualizacji lub wymiany naszych podprocesorów w razie potrzeby, z uwzględnieniem obaw klientów oraz bieżących zobowiązań dotyczących zgodności.

6. Przekazywanie danych osobowych

ULTEH może przekazywać dane osobowe poza Europejski Obszar Gospodarczy (EOG), Wielką Brytanię (UK) lub Szwajcarię w celu świadczenia usług. W przypadku takich transferów zapewniamy odpowiednie zabezpieczenia prawne chroniące przekazywane dane zgodnie z obowiązującymi przepisami o ochronie danych.

Korzystamy z uznanych mechanizmów transferu danych, w tym między innymi:

  • Standardowe klauzule umowne (SCC): Stosujemy SCC zatwierdzone przez Komisję Europejską lub inne właściwe organy, aby zapewnić legalność transferów danych.
  • Dodatkowe środki: W razie potrzeby stosujemy dodatkowe zabezpieczenia techniczne, organizacyjne i umowne w celu zwiększenia ochrony danych.
  • Wiążące reguły korporacyjne (BCR): W stosownych przypadkach nasze podmioty powiązane przestrzegają BCR, zapewniając wysoki poziom ochrony danych w operacjach międzynarodowych.
  • Inne zatwierdzone mechanizmy transferu: Przestrzegamy wszelkich dodatkowych ram, certyfikatów lub instrumentów prawnych uznanych za zgodne z prawem transfery danych za granicę.

Prawa klienta i pomoc: Zobowiązujemy się wspierać Klienta w zapewnieniu zgodności z prawami osób, których dane dotyczą zgodnie z obowiązującymi przepisami o ochronie danych. Obejmuje to między innymi:

  • Żądania dostępu: Umożliwienie osobom, których dane dotyczą, dostępu do ich danych osobowych.
  • Wnioski o sprostowanie: Umożliwiają poprawę nieprawidłowych lub niekompletnych danych.
  • Wnioski o usunięcie („Prawo do bycia zapomnianym”): Pomoc w usunięciu danych osobowych na żądanie, jeśli jest to prawnie dozwolone.
  • Sprzeciw i ograniczenie przetwarzania: Wsparcie osób, których dane dotyczą, w korzystaniu z prawa do sprzeciwu lub ograniczenia przetwarzania danych.
  • Przenoszalność danych: Umożliwiamy przekazanie danych osobowych do innego administratora, jeśli ma to zastosowanie.

Nieustannie monitorujemy globalne przepisy dotyczące prywatności, aby zapewnić zgodność z wymaganiami dotyczącymi transferu danych za granicę i powiadomimy Klienta, jeśli zmiany w przepisach wpłyną na nasze obowiązki w zakresie przetwarzania danych.

7. Prawa osoby, której dane dotyczą

ULTEH uznaje i szanuje prawa Osób, których dane dotyczą, wynikające z obowiązujących przepisów o ochronie danych. Będziemy pomagać Klientowi, jako Administratorowi Danych, w odpowiadaniu na żądania osób dotyczące ich Danych Osobowych.

Osoby, których dane dotyczą, mogą korzystać z następujących praw:

  • Prawo dostępu: Możliwość żądania i uzyskania potwierdzenia, czy dane są przetwarzane, wraz z dostępem do danych.
  • Prawo do sprostowania: Prawo do poprawienia lub zaktualizowania niedokładnych lub niekompletnych Danych Osobowych.
  • Prawo do usunięcia ("Prawo do bycia zapomnianym"): Prawo do żądania usunięcia Danych Osobowych, z zastrzeżeniem zobowiązań prawnych i umownych.
  • Prawo do ograniczenia przetwarzania: Możliwość ograniczenia przetwarzania Danych Osobowych pod pewnymi warunkami.
  • Prawo do przenoszenia danych: Możliwość uzyskania i przeniesienia Danych Osobowych do innego dostawcy usług, gdy jest to technicznie wykonalne.
  • Prawo do sprzeciwu: Prawo do sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionych interesach, marketingu bezpośrednim lub zautomatyzowanym podejmowaniu decyzji.
  • Prawo do wycofania zgody: Jeśli przetwarzanie opiera się na zgodzie, Osoba, której dane dotyczą, może wycofać zgodę w dowolnym momencie.

Obowiązki Klienta: Klient, działając jako Administrator Danych, jest odpowiedzialny za obsługę żądań Osób, których dane dotyczą. Na żądanie zapewnimy rozsądną pomoc, dbając o to, aby odpowiedzi były udzielane terminowo i zgodnie z obowiązującymi przepisami.

Nie będziemy odpowiadać bezpośrednio na żądanie Osoby, której dane dotyczą, chyba że jest to prawnie wymagane lub wyraźnie upoważnione przez Klienta.

8. Powiadomienie o naruszeniu danych

ULTEH poważnie traktuje bezpieczeństwo i wdraża środki zapobiegawcze w celu ochrony Danych Osobowych. Jednak w przypadku Naruszenia Danych Osobowych będziemy działać szybko i przejrzyście.

Plan reagowania na naruszenia danych: Jeśli dowiemy się o potwierdzonym Naruszeniu Danych Osobowych, które może skutkować nieautoryzowanym dostępem, utratą, zmianą lub ujawnieniem Danych Osobowych, podejmiemy następujące działania:

  • Ocenić wpływ naruszenia i podjąć natychmiastowe kroki w celu ograniczenia ryzyka.
  • Powiadomić Klienta bez zbędnej zwłoki (zazwyczaj w ciągu 48 godzin od potwierdzenia).
  • Przekazać szczegóły obejmujące:
    • Charakter i zakres naruszenia.
    • Rodzaj danych, których dotyczy naruszenie.
    • Potencjalne konsekwencje.
    • Środki podjęte lub zaproponowane w celu zaradzenia naruszeniu.
  • Pomagać Klientowi w wypełnianiu wszelkich obowiązków regulacyjnych, w tym powiadamianiu organów i poszkodowanych Osób, których dane dotyczą, w stosownych przypadkach.
  • Wdrożyć działania naprawcze w celu zapobiegania przyszłym naruszeniom.

Obowiązki Klienta: Klient jest odpowiedzialny za podjęcie decyzji, czy powiadamiać organy regulacyjne i Osoby, których dane dotyczą, zgodnie z obowiązującymi Przepisami o ochronie danych.

Będziemy dokumentować wszystkie naruszenia i prowadzić rejestry naszych dochodzeń, działań łagodzących i naprawczych.

9. Przechowywanie i usuwanie danych

ULTEH przechowuje Dane Osobowe wyłącznie przez okres niezbędny do realizacji swoich zobowiązań wynikających z niniejszej Umowy lub wymagany przez obowiązujące przepisy prawa.

Polityka przechowywania danych:

  • Stosujemy zasady minimalizacji danych, przechowując je wyłącznie na potrzeby uzasadnionych celów biznesowych i zgodności.
  • Dane zostaną usunięte lub zanonimizowane, gdy nie będą już potrzebne do celów przetwarzania.
  • Okresy przechowywania mogą się różnić w zależności od wymogów prawnych, umownych lub regulacyjnych.

Usuwanie danych kontrolowane przez klienta:

  • Klienci mogą w każdej chwili zażądać usunięcia danych osobowych.
  • Po zakończeniu świadczenia usług usuniemy lub zwrócimy Dane Osobowe zgodnie z instrukcjami Klienta.
  • Jeśli nie zostanie złożony wniosek o usunięcie, automatycznie usuniemy Dane Osobowe w rozsądnym terminie, chyba że prawo wymaga ich zachowania.

Wyjątki od usuwania danych: W niektórych przypadkach możemy przechowywać Dane Osobowe dłużej niż ustalony okres przechowywania, w tym:

  • Aby spełnić obowiązki prawne (np. wymagania podatkowe, audytowe lub regulacyjne).
  • Ze względu na uzasadnione interesy, takie jak zapobieganie oszustwom lub dochodzenia w sprawie bezpieczeństwa.
  • Gdy jest to wymagane przez wiążące żądanie prawne (np. nakaz sądowy).

Zapewniamy stosowanie bezpiecznych procedur usuwania, zapobiegając nieautoryzowanemu odzyskaniu lub niewłaściwemu wykorzystaniu Danych Osobowych.

10. Prawo właściwe i rozstrzyganie sporów

Niniejszy Aneks do Przetwarzania Danych (DPA) podlega tym samym przepisom prawa i jurysdykcji, które zostały określone w głównej umowie pomiędzy ULTEH a Klientem.

Proces rozstrzygania sporów: W przypadku powstania sporu dotyczącego niniejszego DPA, obie strony zobowiązują się do przestrzegania uporządkowanego procesu rozstrzygania, obejmującego:

  • Negocjacje w dobrej wierze: Strony w pierwszej kolejności podejmą próbę rozwiązania sporów poprzez bezpośrednie rozmowy i negocjacje.
  • Mediacja lub arbitraż: Jeśli negocjacje się nie powiodą, spór może zostać skierowany do mediacji lub arbitrażu zgodnie z główną umową.
  • Postępowanie sądowe: Jeśli nie zostanie osiągnięte porozumienie, spory mogą być rozstrzygane w drodze formalnych postępowań sądowych w odpowiedniej jurysdykcji.

W przypadku jakiegokolwiek konfliktu pomiędzy niniejszym DPA a główną umową, postanowienia niniejszego DPA mają pierwszeństwo wyłącznie w zakresie ochrony danych, zapewniając zgodność z obowiązującymi Przepisami o Ochronie Danych.

11. Postanowienia końcowe

Niniejszy Aneks do Przetwarzania Danych stanowi integralną część ogólnej umowy pomiędzy ULTEH a Klientem. Kontynuując korzystanie z Usług, Klient potwierdza i akceptuje warunki niniejszego DPA.

Jeśli jakiekolwiek postanowienie niniejszego DPA zostanie uznane za nieważne lub niewykonalne, pozostałe postanowienia pozostają w mocy. Strony zobowiązują się zastąpić niewykonalne postanowienie takim, które jak najwierniej odzwierciedla pierwotny zamiar i jest zgodne z obowiązującym prawem.

Zmiany i aktualizacje: Zastrzegamy sobie prawo do modyfikacji lub aktualizacji niniejszego DPA w celu odzwierciedlenia zmian w obowiązujących przepisach o praktykach branżowych lub potrzebach operacyjnych. Klienci zostaną powiadomieni o wszelkich istotnych zmianach, a dalsze korzystanie z Usług oznacza akceptację zaktualizowanych warunków.

Dane kontaktowe: W przypadku pytań, wątpliwości lub chęci otrzymania podpisanej kopii niniejszego DPA, klienci mogą się z nami skontaktować pod adresem: [email protected].

Ostatnia aktualizacja: 19 lutego 2026