Ostatnia modyfikacja: 19 czerwca 2024 r.
Załącznik nr 1 – Umowa Powierzenia Przetwarzania Danych Osobowych
Umowa Powierzenia Przetwarzania Danych Osobowych stanowi integralną część Regulaminu i określa zasady przetwarzania przez Usługodawcę na zlecenie Usługobiorcy danych osobowych Użytkowników za pośrednictwem aplikacji tomHRM.
Umowa Powierzenia Przetwarzania Danych Osobowych stanowi całość zobowiązań oraz warunków powierzenia przetwarzania danych Użytkowników pomiędzy Usługodawcą i Usługobiorcą w związku z Usługą SaaS i zastępuje wszelkie dotychczasowe umowy, porozumienia oraz ustalenia pomiędzy Usługodawcą i Usługobiorcą w tym zakresie.
1 Definicje
- Administrator – oznacza Usługobiorcę, który samodzielnie lub wspólnie z innymi podmiotami ustala cele i sposoby przetwarzania Danych Osobowych;
- Podmiot przetwarzający – oznacza Usługodawcę,
2 Przedmiot przetwarzania danych osobowych
- W związku z realizacją umowy o świadczenie usługi drogą elektroniczną na usługę SaaS uregulowaną w Regulaminie (zwana w dalszej części umowy „Umową główną” zawartą między Stronami, Administrator powierza Podmiotowi przetwarzającemu w trybie art. 28 rozporządzenia, dane osobowe do przetwarzania w imieniu i na rzecz Administratora, na zasadach i w celu określonym w Umowie.
- Zawarcie Umowy stanowi udokumentowane polecenie Administratora do przetwarzania przez Usługodawcę Danych Osobowych, w tym do Przekazywania Danych Osobowych do Państw Trzecich, o którym mowa w art. 28 ust. 3 lit. a) RODO.
- Administrator oświadcza, że jest administratorem danych osobowych w rozumieniu przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), (dalej: „Rozporządzenie”), które powierza Podmiotowi przetwarzającemu.
3 Zakres i cel przetwarzania danych
- Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu wykonywania przez Podmiot przetwarzający na rzecz Administratora usług szczegółowo opisanych w Umowie głównej, o której mowa w §2 ust. 1 i w sposób zgodny z niniejszą Umową oraz właściwymi, powszechnie obowiązującymi przepisami prawa.
- Kategoria osób: pracownicy i współpracownicy Administratora, kandydaci do pracy, użytkownicy aplikacji tomHRM.
- Podmiot przetwarzający zobowiązuje się przetwarzać powierzone dane osobowe w następującym zakresie:
- Imię i Nazwisko
- Wizerunek – zdjęcie załadowane do aplikacji tomHRM
- Stanowisko
- Adres zamieszkania
- Telefon kontaktowy
- Firmowy adres e-mail
- Prywatny adres e-mail
- Numer identyfikacyjny
- Adres miejsca pracy
- Forma zatrudnienia
- Data urodzin Inne dane zawarte w przechowywanych plikach lub wpisane w inne miejsca.
- Czynności przetwarzania: Zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, przeglądanie, przekazywanie, modyfikowanie, usuwanie.
- Forma przetwarzania: elektroniczna.
4 Obowiązki Podmiotu przetwarzającego
- Podmiot Przetwarzający oświadcza, że zapewnia odpowiednie środki techniczne i organizacyjne, aby przetwarzanie spełniało wymogi określone w Rozporządzeniu i chroniło prawa osób, których dane dotyczą, co w szczególności oznacza, że Podmiot Przetwarzający podejmuje adekwatne środki wymagane na mocy art. 32 Rozporządzenia oraz dokłada należytej staranności przy przetwarzaniu powierzonych danych osobowych.
- Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej Umowy.
- Uwzględniając charakter przetwarzania, Podmiot przetwarzający w miarę możliwości pomoże Administratorowi, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw, określonych w III rozdziale Rozporządzenia.
- Uwzględniając charakter przetwarzania oraz dostępne mu informacje, Podmiot przetwarzający pomoże Administratorowi wywiązać się z obowiązków określonych w art. 32-36 Rozporządzenia.
- Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, (o której mowa w art. 28 ust 3 pkt b Rozporządzenia) przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej umowy, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.
- Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem danych usunie wszystkie dane powierzone przez Administratora po upływie czasu określonego w umowie głównej.
- Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi.
- Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 36 godzin od stwierdzenia naruszenia, zgłasza je Administratorowi. Zgłoszenie powinno nastąpić na adres email wpisany w ustawieniach aplikacji w polu „Kontakt RODO”.
5 Środki techniczne i organizacyjne
- Uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania Danych Osobowych oraz ryzyko naruszenia praw osób, których dane osobowe dotyczą, Usługodawca zapewni środki techniczne i organizacyjne adekwatne do rodzaju danych osobowych oraz ryzyka naruszenia praw osób, których Dane Osobowe dotyczą.
- Odpowiednie środki techniczne i organizacyjne obejmują co najmniej środki określone w Załączniku nr 2 do Umowy Powierzenia Przetwarzania Danych Osobowych.
- Usługodawca może zmienić lub wprowadzić inne środki techniczne i organizacyjne niż określone w Załączniku nr 2 do Umowy pod warunkiem, że będą one spełniały wymogi określone w §5 ust. 1 Umowy.
6 Prawo kontroli przetwarzania
- Administrator zgodnie z art. 28 ust. 3 pkt h) Rozporządzenia ma prawo kontroli, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy.
- Zawiadomienie o zamiarze przeprowadzenia kontroli lub audytu powinno być przekazane Podmiotowi przetwarzającemu co najmniej 14 dni kalendarzowych przed rozpoczęciem czynności. Ewentualne koszty przeprowadzenia audytu pokrywa Administrator.
- Audytorem wyznaczonym przez Administratora nie może być podmiot prowadzący działalność konkurencyjną wobec Podmiotu przetwarzającego, ani podmiot z nim powiązany, pracownik lub podmiot współpracujący, bez względu na podstawę zatrudnienia lub współpracy. Audytor przed przystąpieniem do czynności sprawdzających jest zobowiązany do złożenia zapewnienia zachowania pozyskanych informacji w poufności.
- Kontrola przetwarzania, w zakresie dotyczącym obszarów przetwarzania danych osobowych, nie może trwać dłużej niż 3 dni robocze.
- Kontrola przetwarzania zostanie zakończona podpisaniem przez obie Strony protokołu z Kontroli Przetwarzania. Protokół będzie zawierał wnioski z Kontroli Przetwarzania oraz uzgodniony przez obie Strony zakres ewentualnych zmian w zakresie przetwarzania Danych Osobowych przez Podmiot przetwarzający.
- Podmiot przetwarzający zobowiązuje się do zastosowania się do zaleceń Administratora lub podmiotu przez niego upoważnionego, dotyczących poprawy jakości zabezpieczania danych osobowych oraz sposobu ich przetwarzania lub usunięcia uchybień stwierdzonych podczas kontroli lub audytu w terminie wskazanym przez Administratora nie dłuższym niż 14 dni.
7 Podpowierzenie danych do przetwarzania
- Podmiot przetwarzający może podpowierzać przetwarzanie danych osobowych przetwarzanych przez siebie w związku ze świadczeniem usługi objętej umową, o której mowa w § 2 ust. 1 Umowy innym podmiotom przetwarzającym (zwanym dalej „Podwykonawcami”), zgodnie z warunkami korzystania z usług Podwykonawców określonych w Rozporządzeniu. Podmiot przetwarzający poinformuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych Podwykonawców, dając tym samym Podmiotowi przetwarzającemu możliwość wyrażenia sprzeciwu wobec takich zmian.
- Administrator wyraża zgodę na podpowierzenie, powierzonych Podmiotowi przetwarzającemu do przetwarzania danych na podstawie Umowy wskazanym w załączniku nr 1 do Umowy.
- Podwykonawca, o którym mowa w §7 ust. 1 Umowy winien spełniać te same gwarancje i obowiązki jakie zostały nałożone na Podmiot przetwarzający w niniejszej umowie.
- Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się ze spoczywających na podwykonawcy obowiązków ochrony danych osobowych.
- Podmioty, którym Podmiot przetwarzający powierzył do dalszego przetwarzania dane osobowe zostały określone w Załączniku nr 1 Umowy.
- O dodaniu nowych Podwykonawców Podmiot przetwarzający poinformuje Administratora drogą elektroniczną na adres email wpisany przez Administratora w ustawieniach Aplikacji , której dotyczy umowa główna, w polu o nazwie „Kontakt RODO”. Zmiana (w tym dodanie nowego) Podwykonawców nie stanowi zmiany niniejszej Umowy. W przypadku sprzeciwu co do nowego podwykonawcy, wniesionego przez Podmiot przetwarzający, w terminie 21 dni od otrzymaniu informacji o nowym Podwykonawcy, oraz jednoczesnym braku możliwości korzystania z Usługi bez udziału danego Podwykonawcy – niniejsza umowa ulegnie rozwiązaniu z chwilą otrzymania sprzeciwu. Brak wniesienia sprzeciwu w terminie 21 dni od otrzymania informacji o nowym Podwykonawcy na zasadach wskazanych w niniejszym ustępie jest równoznaczny z wyrażeniem zgody na dodanie nowych Podwykonawców.
8 Miejsce przetwarzania i transfer danych osobowych
- Podmiot przetwarzający nie może przekazywać (transferować) powierzonych danych osobowych do państwa trzeciego, które znajduje się poza Europejskim Obszarem Gospodarczym („EOG”), chyba że Administrator udzieli mu uprzedniej zgody zezwalającej na taki transfer oraz z zastrzeżeniem par. 8 ust. 3. Lista podmiotów przetwarzających, co do których Administrator wyraża zgodę, o której mowa powyżej, jest zawarta w Załączniku nr 1.
- Jeśli Administrator udzieli Podmiotowi przetwarzającemu uprzedniej zgody na przekazanie danych osobowych do państwa trzeciego, Podmiot przetwarzający może dokonać transferu tych danych osobowych tylko wtedy, gdy spełniony jest jeden z następujących warunków:
- przetwarzanie jest realizowane przez Podwykonawcę w państwie trzecim, w stosunku do którego została wydana decyzja stwierdzająca odpowiedni stopień ochrony, o którym mowa w art. 45 Rozporządzenia,
- przetwarzanie jest realizowane przez Podwykonawcę w ramach wiążących reguł korporacyjnych, o których mowa w art. 4 pkt 20) oraz art. 47 Rozporządzenia,
- przetwarzanie jest realizowane przez Podwykonawcę na podstawie standardowych klauzul ochrony danych zawartych pomiędzy Podmiotem Przetwarzającym a Podwykonawcą w celu zapewnienia odpowiednich zabezpieczeń zgodnie z art. 46 ust. 2 i 3 Rozporządzenia, oraz sprawdzeniu – gdy ma to zastosowanie – we współpracy z Podwykonawcą, czy prawo państwa trzeciego przeznaczenia, zapewnia właściwą, w świetle prawa Unii Europejskiej, ochronę danych osobowych przekazywanych na podstawie standardowych klauzul ochrony danych, udzielając w razie potrzeby zabezpieczeń dodatkowych w stosunku do tych zapewnianych w tych klauzulach.
- przestrzegania przez Podwykonawcę zatwierdzonego kodeksu postępowania (zgodnie z art. 40 Rozporządzenia) lub zatwierdzonego mechanizmu certyfikacji (zgodnie z art. 42 Rozporządzenia) wraz z wiążącymi i egzekwowalnymi zobowiązaniami Administratora lub Podwykonawcy w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.
- Podstawą prawną transferu danych osobowych poza Europejski Obszar Gospodarczy do Stanów Zjednoczonych przez Procesora może być decyzja Komisji Europejskiej z dnia 13 lipca 2023 roku stwierdzająca odpowiedni stopień ochrony danych osobowych zapewniony przez tzw. „Ramy ochrony danych UE-USA” (EU-US Data Privacy Framework). Na mocy tej decyzji Komisja Europejska stwierdziła, że wprowadzone przez Stany Zjednoczone Ameryki (dalej w skrócie „USA”) zmiany w swoim prawodawstwie zapewniają odpowiedni stopień ochrony danych osobowych przekazywanych przez podmioty prywatne i publiczne z terytorium Europejskiego Obszaru Gospodarczego do organizacji w USA, które zapewniają zgodność z nowymi „Ramami ochrony danych UE-USA”. Lista tych organizacji została opublikowana przez Departament Handlu USA. Przekazywanie danych do tych organizacji możliwe jest bez konieczności uzyskiwania dodatkowych zezwoleń, czy stosowania takich instrumentów prawnych jak standardowe klauzule umowne. W zakresie podmiotów ze Stanów Zjednoczonych, które nie są wpisane do Data Privacy Framework Program, podstawą prawną transferu jest stosowanie postanowień standardowych klauzul ochrony danych o których mowa w ust. 2-2.3 powyżej.
9 Zgłaszanie naruszeń
- Podmiot przetwarzający jest zobowiązany do wdrożenia i stosowania procedur służących wykrywaniu naruszeń ochrony danych osobowych oraz wdrażaniu właściwych środków naprawczych. Podmiot przetwarzający jest zobowiązany do udostępniania procedur, o których mowa w zdaniu poprzedzającym, na każde żądanie Administratora, nie później niż w terminie 14 dni roboczych od dnia złożenia takiego żądania.
- Po stwierdzeniu naruszenia ochrony powierzonych mu przez Administratora danych osobowych Podmiot przetwarzający, bez zbędnej zwłoki, od wykrycia naruszenia, zgłasza je Administratorowi. Zgłoszenie powinno zawierać co najmniej informacje o:
- dacie, czasie trwania oraz lokalizacji naruszenia ochrony danych osobowych;
- charakterze i skali naruszenia, tj. w szczególności o kategoriach i przybliżonej liczbie osób, których dane dotyczą, oraz kategoriach i przybliżonej liczbie wpisów danych osobowych, których dotyczy naruszenie, a w razie możliwości, także wskazania podmiotów danych, których dotyczyło naruszenie;
- systemie informatycznym, w którym wystąpiło naruszenie (jeżeli naruszenie nastąpiło w związku z przetwarzaniem danych w systemie informatycznym);
- przewidywanym czasie potrzebnym do naprawienia szkody spowodowanej naruszeniem;
- charakterze i zakresie danych osobowych objętych naruszeniem;
- możliwych konsekwencjach naruszenia, z uwzględnieniem konsekwencji dla osób, których dane dotyczą;
- środkach podjętych w celu zminimalizowania konsekwencji naruszenia oraz proponowanych działaniach zapobiegawczych i naprawczych;
- danych kontaktowych osoby mogącej udzielić dalszych informacji o naruszeniu.
- Jeżeli Podmiot przetwarzający nie jest w stanie w tym samym czasie przekazać Administratorowi wszystkich informacji, o których mowa w ust. 2, powinien je udzielać sukcesywnie, bez zbędnej zwłoki.
- Do czasu uzyskania instrukcji od Administratora, Podmiot przetwarzający podejmuje wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków naruszenia.
10 Odpowiedzialność Podmiotu przetwarzającego
- Podmiot przetwarzający odpowiada za szkody, jakie powstały wobec Administratora lub osób trzecich, spowodowane przetwarzaniem danych osobowych wyłącznie, gdy (I) przetwarzał dane osobowe niezgodnie z niniejszą Umową, (II) nie dopełnił obowiązków, które Rozporządzenie lub inne przepisy dotyczące ochrony danych osobowych nakładają na podmioty przetwarzające lub gdy (III) działał wbrew zgodnym z prawem pisemnym instrukcjom Administratora lub poza tymi instrukcjami.
- Z zastrzeżeniem bezwzględnie obowiązujących przepisów prawa, Podmiot przetwarzający ponosi względem Administratora odpowiedzialność z tytułu niewykonania lub nienależytego wykonania niniejszej Umowy wyłącznie do udokumentowanej szkody rzeczywistej (damnum emergens) Administratora, ograniczonej do wysokości ostatnio uiszczonej opłaty za Subskrypcję Aplikacji jako wynagrodzenia przysługującego Podmiotowi przetwarzającemu od Administratora, stosownie do postanowień Umowy głównej.
- Ograniczenie odpowiedzialności, o którym mowa w ust. 2, nie znajduje zastosowania przy odpowiedzialności wobec osób, których dane dotyczą oraz w sytuacji, gdy szkoda spowodowana jest umyślnym działaniem Podmiotu przetwarzającego.
- Strona, która zapłaciła odszkodowanie za całą wyrządzoną szkodę, ma prawo do żądania od drugiej Strony, która uczestniczyła w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą druga Strona ponosi odpowiedzialność, na podstawie prawa regresu opisanego w art. 82 ust. 5 Rozporządzenia. Ograniczenie odpowiedzialności, o którym mowa ust. 2, nie odnosi się do roszczeń regresowych opisanych w niniejszym ust. 4.
- Podmiot przetwarzający ponosi odpowiedzialność za działania lub zaniechania Podwykonawcy, dotyczące przetwarzania powierzonych danych osobowych, jak za działania lub zaniechania własne, przez co postanowienia dotyczące odpowiedzialności Podmiotu przetwarzającego na warunkach opisanych powyżej obejmują także odpowiedzialność Podmiotu przetwarzającego za działania lub zaniechania jego Podwykonawców.
11 Czas obowiązywania umowy
- Niniejsza Umowa obowiązuje od dnia jej zawarcia przez czas określony związany z obowiązywaniem umowy o której mowa w §2 ust.1.
- Podmiot Przetwarzający może przetwarzać dane osobowe powierzone na podstawie niniejszej wyłącznie przez okres obowiązywania Umowy Głównej, chyba że Administrator i Podmiot Przetwarzający ustalą inny okres przetwarzania danych osobowych w drodze odrębnego porozumienia, za odrębnym wynagrodzeniem, albo niniejsza Umowa ulegnie rozwiązaniu w przypadkach określonych w §11 niniejszej Umowy.
- Umowa ulega rozwiązaniu również w przypadku, gdy do wykonania Umowy Głównej nie jest już konieczne przetwarzanie danych osobowych przekazanych Przetwarzającemu przez Administratora.
- Strony mogą wypowiedzieć niniejszą Umowę z zachowaniem 1-miesięcznego okresu wypowiedzenia lub zawierając stosowne porozumienie, zważając iż wypowiedzenie niniejszej Umowy może uniemożliwić realizację Umowy Głównej, a tym samym skutkować jej rozwiązaniem.
12 Rozwiązanie umowy
- Administrator może rozwiązać niniejszą umowę ze skutkiem natychmiastowym, gdy Podmiot przetwarzający:
- pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie,
- przetwarza dane osobowe w sposób niezgodny z umową,
- powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Administratora.
- Podmiot przetwarzający przyjmuje do wiadomości, że rozwiązanie niniejszej Umowy może mieć wpływ na niemożliwość kontynuowania umowy, o której mowa w §2 ust. 1. W przypadku gdy niniejsza Umowa zostanie rozwiązana z przyczyn wskazanych w ust. 1 uważa się, że umowa, o której mowa w § 2 ust. 1 zostanie rozwiązana z przyczyn leżących po stronie Podmiotu przetwarzającego.
13 Zasady zachowania poufności
- Wszelkie informacje uzyskane przez strony w trakcie trwania Umowy stanowiące tajemnicę przedsiębiorstwa w rozumieniu ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz.U. z 1993r. Nr 47, poz. 211), mogą być wykorzystywane wyłącznie w celu prawidłowej realizacji Umowy przez każdą ze stron, chyba że druga strona zwolni ją z obowiązku zachowania poufności lub obowiązek ich ujawnienia wynika z obowiązujących przepisów prawa.
14 Postanowienia końcowe
- Wynagrodzenie z tytułu świadczenia przez Podmiot przetwarzający usług Umowy, obejmuje również wynagrodzenie za realizację niniejszej umowy.
- W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego oraz Rozporządzenia.
Załącznik nr 1 – wykaz podmiotów (podwykonawców)
Podmiot | Region | Podstawa prawna transferu danych | Zakres przetwarzania danych |
Amazon, Luxemburg | UE | Przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 | Środowisko serwerowe na którym uruchomiona jest Aplikacja. Przechowywane są bazy danych, kopie zapasowe. |
OVH S.A., Polska | UE | Przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 | Środowisko serwerowe wykorzystywane jest do tworzenia kopii zapasowych. |
UserEngage Sp. z o.o, Polska | UE | Przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 | Imię, nazwisko, email osoby, adres IP, nazwa organizacji, stanowisko, zakładającej konto lub kontaktującej się za pomocą czat. |
Google Ireland Limited, Irlandia | UE | Przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 | Usługi wykorzystywane są w zakresie: – logowania do aplikacji (Google Sign in) – – przekazywania wpisów z tomHRM do kalendarza Zakres danych przekazywanych do kalendarzy zależy od Modułów posiadanych na koncie: – Szkolenia: informacje o szkoleniu, imię, nazwisko trenera – Spotkania z kandydatem: imię, nazwisko kandydata, email kandydata. – Spotkania 1-1: imię, nazwisko pracownika – Urlopy: imię, nazwisko pracownika – Rocznice zatrudnienia: imię, nazwisko pracownika – Urodziny: imię, nazwisko pracownika |
Microsoft, Irlandia | UE | Przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 | Usługi wykorzystywane są w zakresie: – logowania do aplikacji – przekazywania wpisów z tomHRM do kalendarza Zakres danych przekazywanych do kalendarzy zależy od modułów posiadanych na koncie: – Szkolenia: informacje o szkoleniu – Zadanie: tytuł, treść zadania – Spotkania z kandydatem: imię, nazwisko kandydata, email kandydata. – Spotkania 1-1: imię, nazwisko pracownika – Urlopy: imię, nazwisko pracownika – Rocznice zatrudnienia: imię, nazwisko pracownika – Urodziny: imię, nazwisko pracownika |
Braintree Payment Services (Paypal Sàrl et Cie, SCA, a limited liability partnership registered), Luxembourg | UE | Przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 | Operator płatności obsługujący płatności online. Przechowuje dane osoby zakładającej Konto: imię, nazwisko, email, adres IP, dane firmy do wystawienia rachunku. |
Sendgrid Denver, Colorado, USA | Poza UE | Certyfikacja dostawcy usług zgodnie z programem Data Privacy Framework (DPF). | Usługi SMTP służące do wysyłki wiadomości email z aplikacji tomHRM do odbiorcy (użytkownik tomHRM lub adres email podany w polu odbiorcy w aplikacji tomHRM, kandydat). Zakres danych: email, adres IP |
Twilio Inc., San Francisco, CA, USA | Poza UE | Certyfikacja dostawcy usług zgodnie z programem Data Privacy Framework (DPF). | Usługa służąca do – wysyłki wiadomości SMS z aplikacji tomHRM; zakres danych: nr telefonu komórkowego podanego w profilu pracownika, kandydata, – umożliwienie nawiązywania połączeń video pomiędzy uczestnikami spotkania (dane nie są przechowywane). |
Chargebee Inc. USA | Poza UE | Standardowe klauzule ochrony danych wydanych na mocy decyzji wykonawczej Komisji Europejskiej 2021/914 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679.
| System bilingowy służący do zarządzania informacją o abonamencie Usługobiorcyoraz realizacji płatności online. . Przechowuje informacje kontaktowe do osoby zakładającej konto: imię, nazwisko, email, adres IP, dane firmy do wystawienia rachunku. |
MailerLite Limited, | Irlandia | Standardowe klauzule ochrony danych wydanych na mocy decyzji wykonawczej Komisji Europejskiej 2021/914 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679.
| Usługi wysyłki masowej wiadomości email, np. newsletter do klientów, istotne powiadomienia o zakresie świadczenia usługi. Zakres danych: email, adres IP. |
Załącznik nr 2 – Bezpieczeństwo
Bezpieczeństwo danych osobowych
- Zabezpieczenia fizyczne w centrum hostingowym
- Stosowane są środki bezpieczeństwa tj. ochronę fizyczną, kontrolę dostępu.
- Aplikacja i dane przechowywane są w centrum hostingowym posiadającym certyfikaty ISO27001, SOC 2, SOC 3, spełniające wymogi rozporządzenia GDPR 2016/679.
- Zabezpieczenia informatyczne stosowane przez Usługodawcę w zakresie świadczenia usługi:
- Wykonywane są dwa razy na dobę kopie zapasowe oraz raz kopia zapasowa kopii zapasowych. Kopie zapasowe przechowywane są w dwóch odrębnych regionach (na terenie UE) oraz u dwóch różnych dostawców usług przechowywania kopii.
- Wykonywane są cyklicznie testy przywracania kopii zapasowych.
- Kopie zapasowe służą do przywrócenie danych w przypadku najpoważniejszych awarii.
- Połączenia z serwerem i z usługami realizowane są za pomocą protokołu SSL/TLS,
- Każda osoba odpowiedzialna po stronie Usługodawcy za przetwarzanie danych osobowych posiada imienne konto dostępowe do systemów informatycznych w których przetwarzane są dane osobowe,
- Stosowane są mechanizmu podwójnej autentykacji (2FA) w miejscach gdzie jest to możliwe,
- Stosowana jest silna polityka haseł dostępowych, do systemów wspomagających zarządzanie Usługą, cyklicznością zmian haseł oraz blokowania kont,
- Stosowana jest ochrona przed nieuprawnionym dostępem do systemów i sieci, m.in. z wykorzystaniem zapory ogniowej (firewall), kluczy autoryzujących lub/i innych mechanizmów zabezpieczających,
- Stosowane są aktualizacje systemów i oprogramowania wykorzystywanych do zarządzania i świadczenia Usługi.
- Zabezpieczenia organizacyjne Usługodawcy
- Stosowane są cykliczne szkolenia dla pracowników i współpracowników w zakresie ochrony danych osobowych,
- Prowadzone są audyty wewnętrzne w zakresie przestrzegania zasad przetwarzania danych osobowych,
- Stosowana jest polityka zarządzania incydentami.