Ostatnia modyfikacja: 14 grudnia 2024 r.

Załącznik nr 1 – Umowa Powierzenia Przetwarzania Danych Osobowych

Umowa Powierzenia Przetwarzania Danych Osobowych stanowi integralną część Umowy głównej i określa zasady przetwarzania przez Usługodawcę na zlecenie Usługobiorcy danych osobowych Użytkowników za pośrednictwem aplikacji tomHRM. Niniejsza Umowa stanowi całość zobowiązań oraz warunków powierzenia przetwarzania danych Użytkowników pomiędzy Usługodawcą i Usługobiorcą w związku z Usługą i zastępuje wszelkie dotychczasowe umowy, porozumienia oraz ustalenia pomiędzy Usługodawcą i Usługobiorcą w tym zakresie.

1. Definicje

  • Administrator – oznacza Usługobiorcę, który samodzielnie lub wspólnie z innymi podmiotami ustala cele i sposoby przetwarzania Danych Osobowych,
  • Podmiot przetwarzający – oznacza Usługodawcę.

2. Przedmiot przetwarzania danych osobowych

  1. W związku z realizacją umowy o świadczenie usługi drogą elektroniczną na usługę SaaS uregulowaną w Regulaminie (zwana w dalszej części umowy „Umową główną”) zawartą między Stronami, Administrator powierza Podmiotowi przetwarzającemu w trybie art. 28 rozporządzenia, dane osobowe do przetwarzania w imieniu i na rzecz Administratora, na zasadach i w celu określonym w Umowie w par.3.
  2. Administrator oświadcza, że jest administratorem danych osobowych w rozumieniu przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), (dalej: „Rozporządzenie”), które powierza Podmiotowi przetwarzającemu.
  3. Zawarcie Umowy stanowi udokumentowane polecenie Administratora do przetwarzania przez Usługodawcę Danych Osobowych, w tym do Przekazywania Danych Osobowych do Państw Trzecich, o którym mowa w art. 28 ust. 3 lit. a) Rozporządzenia.

3. Zakres i cel przetwarzania danych

  1. Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu wykonywania przez Podmiot przetwarzający na rzecz Administratora usług szczegółowo opisanych w Umowie głównej, o której mowa w par.2 ust. 1 i w sposób zgodny z niniejszą Umową oraz właściwymi, powszechnie obowiązującymi przepisami prawa.
  2. Kategoria osób: pracownicy i współpracownicy Administratora, kandydaci do pracy, użytkownicy aplikacji tomHRM.
  3. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone dane osobowe w następującym zakresie:
    • Dane identyfikacyjne (np. imię, nazwisko, numer identyfikacyjny, data urodzin)
    • Dane wizerunkowe – zdjęcie załadowane do aplikacji tomHRM
    • Dane kontaktowe firmowe (np. adres email, numer telefonu)
    • Dane kontaktowe prywatne (np. adres email, numer telefonu, ulica, miejscowość, kraj)
    • Dane dotyczące zatrudnienia (np. stanowisko, forma zatrudnienia)
    • Dane kandydatów związane z procesem rekrutacji (np. imię, nazwisko kandydata, adres email, numer telefon, dane zamieszkania, historia edukacji)
  4. Czynności przetwarzania: Zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, przeglądanie, przekazywanie, modyfikowanie, usuwanie.
  5. Forma przetwarzania: elektroniczna.

4. Obowiązki Podmiotu przetwarzającego i Administratora

  1. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą Umową oraz Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
  2. Przy przetwarzaniu danych osobowych, o których mowa w par.3, Podmiot przetwarzający zobowiązuje się wdrożyć wszelkie środki wymagane przez Rozporządzenie, a zwłaszcza wskazane w art. 32 Rozporządzenia, w tym odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa przetwarzania danych osobowych odpowiadający ryzyku naruszenia praw i wolności osób fizycznych. Wdrażając odpowiednie środki, Zleceniobiorca uwzględni stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko, o którym mowa w zdaniu poprzednim. Odpowiednie środki techniczne i organizacyjne obejmują co najmniej środki określone w Załączniku nr 2 do niniejszej Umowy. Usługodawca może zmienić lub wprowadzić inne środki techniczne i organizacyjne niż określone w Załączniku nr 2 do Umowy pod warunkiem, że będą one spełniały wymogi określone w niniejszym punktu.
  3. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej Umowy.
  4. Uwzględniając charakter przetwarzania, Podmiot przetwarzający w miarę możliwości czasowych pomoże Administratorowi, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw, określonych w III rozdziale Rozporządzenia.
  5. Uwzględniając charakter przetwarzania oraz dostępne mu informacje, Podmiot przetwarzający pomoże Administratorowi wywiązać się z obowiązków określonych w art. 32-36 Rozporządzenia.
  6. Podmiot przetwarzający       zobowiązuje       się       zapewnić       zachowanie       w       tajemnicy, (o której mowa w art. 28 ust. 3 pkt. b Rozporządzenia) przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej Umowy, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.
  7. Podmiot przetwarzający         po          zakończeniu          świadczenia         usług          związanych z przetwarzaniem danych usunie wszystkie dane powierzone przez Administratora po upływie czasu określonego w Umowie głównej.
  8. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 36 godzin od stwierdzenia naruszenia, zgłasza je Administratorowi. Zgłoszenie powinno nastąpić na adres email wpisany w ustawieniach aplikacji tomHRM w polu „Kontakt RODO”.
  9. Administrator jest odpowiedzialny za zapoznanie się z informacjami udostępnianymi przez Podmiot przetwarzający dotyczącymi bezpieczeństwa danych i zobowiązuje się do przeprowadzenia niezależnej oceny mającej na celu sprawdzenie, czy usługa z Umowy głównej spełnia jego wymagania i zobowiązania prawne wynikające z prawa o ochronie danych osobowych. Administrator przyjmuje do wiadomości, że Podmiot przetwarzający może od czasu do czasu aktualizować lub modyfikować standardy bezpieczeństwa Aplikacji, pod warunkiem że takie aktualizacje i modyfikacje nie powodują pogorszenia ogólnego bezpieczeństwa Aplikacji zakupionej przez Administratora.
  10. Administrator potwierdza, że powiadomił i otrzymał wszystkie niezbędne zgody i uprawnienia zgodnie z prawem o ochronie danych osobowych, aby umożliwić Podmiot przetwarzający przetwarzanie danych osobowych przekazywanych przez Administratora i świadczenie Usług.
  11. Administrator jest odpowiedzialny za kontrolę danych osobowych i musi przestrzegać swoich obowiązków jako Administratora wynikających z prawa o ochronie danych osobowych, w szczególności w zakresie uzasadnienia jakiegokolwiek przekazania danych osobowych do Podmiotu przetwarzającego oraz swoich decyzji i działań dotyczących przetwarzania i wykorzystania danych osobowych.

5. Prawo kontroli przetwarzania

  1. Administrator zgodnie z art. 28 ust. 3 pkt h) Rozporządzenia ma prawo kontroli, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia Umowy. W związku z tym Podmiot przetwarzający umożliwi Administratorowi (bezpośrednio lub za pośrednictwem zewnętrznego audytora podlegającego pisemnym zobowiązaniom do zachowania poufności) przeprowadzenie audytu procedur Podmiotu przetwarzającego istotnych dla ochrony danych osobowych Administratora w celu weryfikacji przestrzegania przez Podmiot przetwarzający zobowiązań wynikających z niniejszej Umowy. W takim przypadku:
    – Zawiadomi Podmiot przetwarzający o zamiarze przeprowadzenia audytu w formie pisemnej co najmniej 14 dni kalendarzowych o każdym zamiarze przeprowadzenia audytu,
    – Administrator przeprowadzi audyt nie częściej niż raz w ciągu 12-miesięcznego okresu, z wyjątkiem sytuacji, kiedy wymaga tego właściwy organ nadzorczy lub jeśli audyt jest wymagany z powodu naruszenia danych Administratora,
    – Przeprowadzi każdy audyt w sposób mający na celu zminimalizowanie zakłócenia normalnego trybu prowadzenia działalności przez Przedmiot przetwarzający.
  2. Ewentualne koszty przeprowadzenia audytu pokrywa Administrator.
  3. Audytorem wyznaczonym przez Administratora nie może być podmiot prowadzący działalność konkurencyjną wobec Podmiotu przetwarzającego, ani podmiot z nim powiązany, pracownik lub podmiot współpracujący, bez względu na podstawę zatrudnienia lub współpracy. Audytor przed przystąpieniem do czynności sprawdzających jest zobowiązany do złożenia zapewnienia zachowania pozyskanych informacji w poufności w formie pisemnej do Podmiotu przetwarzającego.
  4. Kontrola przetwarzania, w zakresie dotyczącym obszarów przetwarzania danych osobowych, nie może trwać dłużej niż 3 dni robocze.
  5. Kontrola przetwarzania zostanie zakończona podpisaniem przez obie Strony protokołu z Kontroli Przetwarzania. Protokół będzie zawierał wnioski z Kontroli Przetwarzania oraz uzgodniony przez obie Strony zakres ewentualnych zmian w zakresie przetwarzania Danych Osobowych przez Podmiot przetwarzający.
  6. Podmiot przetwarzający zobowiązuje się do zastosowania się do zaleceń Administratora lub podmiotu przez niego upoważnionego, dotyczących poprawy jakości zabezpieczania danych osobowych oraz sposobu ich przetwarzania lub usunięcia uchybień stwierdzonych podczas kontroli lub audytu w terminie wskazanym przez Administratora nie krótszym niż 30 dni kalendarzowych.

6. Podpowierzenie danych do przetwarzania

  1. Podmiot przetwarzający może podpowierzać przetwarzanie danych osobowych przetwarzanych przez siebie w związku ze świadczeniem usługi objętej Umową główną, o której mowa w par.2 ust. 1 Umowy innym podmiotom przetwarzającym (zwanym dalej Podwykonawcami), zgodnie z warunkami korzystania z usług Podwykonawców określonych w Rozporządzeniu. Podmiot przetwarzający poinformuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych Podwykonawców, dając tym samym Administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
  2. Administrator wyraża zgodę na podpowierzenie, powierzonych Podmiotowi przetwarzającemu do przetwarzania danych na podstawie Umowy wskazanym w załączniku nr 1 do Umowy.
  3. Podwykonawca, o którym mowa w ust. 1 niniejszego paragrafu winien spełniać te same gwarancje i obowiązki jakie zostały nałożone na Podmiot przetwarzający w niniejszej Umowie.
  4. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się ze spoczywających na Podwykonawcy obowiązków ochrony danych osobowych.
  5. Podmioty, którym Podmiot przetwarzający powierzył do dalszego przetwarzania dane osobowe zostały określone w Załączniku nr 1 Umowy.
  6. O dodaniu nowych Podwykonawców Podmiot przetwarzający poinformuje Administratora drogą elektroniczną na adres email Administratora Konta oraz adres email wpisany w pole o nazwie “Kontakt RODO” na Koncie w Aplikacji, której dotyczy Umowa główna. Zmiana (w tym dodanie nowego) Podwykonawców nie stanowi zmiany niniejszej Umowy. W przypadku sprzeciwu co do nowego Podwykonawcy, wniesionego przez Administratora, w terminie 21 dni od otrzymania informacji o nowym Podwykonawcy, oraz jednoczesnym braku możliwości korzystania z Usługi bez udziału danego Podwykonawcy – niniejsza Umowa ulegnie rozwiązaniu z chwilą otrzymania sprzeciwu. Brak wniesienia sprzeciwu w terminie 21 dni od otrzymania informacji o nowym Podwykonawcy na zasadach wskazanych w niniejszym ustępie jest równoznaczny z wyrażeniem zgody na dodanie nowych Podwykonawców.

7. Miejsce przetwarzania i transfer danych osobowych

  1. Podmiot przetwarzający nie może przekazywać (transferować) powierzonych danych osobowych do państwa trzeciego, które znajduje się poza Europejskim Obszarem Gospodarczym („EOG”), chyba że Administrator udzieli mu uprzedniej zgody zezwalającej na taki transfer oraz z zastrzeżeniem ust. 3 niniejszego paragrafu. Lista podmiotów przetwarzających, co do których Administrator wyraża zgodę, o której mowa powyżej, jest zawarta w Załączniku nr 1.
  2. Jeśli Administrator udzieli Podmiotowi przetwarzającemu uprzedniej zgody na przekazanie danych osobowych do państwa trzeciego, Podmiot przetwarzający może dokonać transferu tych danych osobowych tylko wtedy, gdy spełniony jest jeden z następujących warunków:
    • przetwarzanie jest realizowane przez Podwykonawcę w państwie trzecim, w stosunku do którego została wydana decyzja stwierdzająca odpowiedni stopień ochrony, o którym mowa w art. 45 Rozporządzenia,
    • przetwarzanie jest realizowane przez Podwykonawcę w ramach wiążących reguł korporacyjnych, o których mowa w art. 4 pkt 20) oraz art. 47 Rozporządzenia,
    • przetwarzanie jest realizowane przez Podwykonawcę na podstawie standardowych klauzul ochrony danych zawartych pomiędzy Podmiotem Przetwarzającym a Podwykonawcą w celu zapewnienia odpowiednich zabezpieczeń zgodnie z art. 46 ust. 2 i 3 Rozporządzenia, oraz sprawdzeniu – gdy ma to zastosowanie – we współpracy z Podwykonawcą, czy prawo państwa trzeciego przeznaczenia, zapewnia właściwą, w świetle prawa Unii Europejskiej, ochronę danych osobowych przekazywanych na podstawie standardowych klauzul ochrony danych, udzielając w razie potrzeby zabezpieczeń dodatkowych w stosunku do tych zapewnianych w tych klauzulach.
    • przestrzegania przez Podwykonawcę zatwierdzonego kodeksu postępowania (zgodnie z art. 40 Rozporządzenia) lub zatwierdzonego mechanizmu certyfikacji (zgodnie z art. 42 Rozporządzenia) wraz z wiążącymi i egzekwowalnymi zobowiązaniami Administratora lub Podwykonawcy w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.
  3. Podstawą prawną poza Europejski Obszar Gospodarczy transferu danych do Stanów Zjednoczonych przez Procesora może być decyzja Komisji Europejskiej z dnia 10 lipca 2023 roku stwierdzająca odpowiedni stopień ochrony danych osobowych zapewniony przez tzw. „Ramy ochrony danych UE-USA” (EU-US Data Privacy Framework). Na mocy tej decyzji Komisja Europejska stwierdziła, że wprowadzone przez Stany Zjednoczone Ameryki (dalej w skrócie „USA”) zmiany w swoim prawodawstwie zapewniają odpowiedni stopień ochrony danych osobowych przekazywanych przez podmioty prywatne i publiczne z terytorium Europejskiego Obszaru Gospodarczego do organizacji w USA, które zapewniają zgodność z nowymi „Ramami ochrony danych UE-USA”. Lista tych organizacji została opublikowana przez Departament Handlu USA. Przekazywanie danych do tych organizacji możliwe jest bez konieczności uzyskiwania dodatkowych zezwoleń, czy stosowania takich instrumentów prawnych jak standardowe klauzule umowne. W zakresie podmiotów ze Stanów Zjednoczonych, które nie są wpisane do Data Privacy Framework Program, podstawą prawną transferu jest stosowanie postanowień standardowych klauzul ochrony danych o których mowa w ust. 2-2.3 powyżej.

8. Zgłaszanie naruszeń

  1. Podmiot przetwarzający jest zobowiązany do wdrożenia i stosowania procedur służących wykrywaniu naruszeń ochrony danych osobowych oraz wdrażaniu właściwych środków naprawczych. Podmiot przetwarzający jest zobowiązany do udostępniania procedur, o których mowa w zdaniu poprzedzającym, na każde żądanie Administratora, nie później niż w terminie 14 dni roboczych od dnia złożenia takiego żądania.
  2. Po stwierdzeniu naruszenia ochrony powierzonych mu przez Administratora danych osobowych Podmiot przetwarzający, bez zbędnej zwłoki, zgłasza je Administratorowi. Zgłoszenie powinno zawierać co najmniej informacje o:
    • dacie, czasie trwania oraz lokalizacji naruszenia ochrony danych osobowych;
    • charakterze i skali naruszenia, tj. w szczególności o kategoriach i przybliżonej liczbie osób, których dane dotyczą, oraz kategoriach i przybliżonej liczbie wpisów danych osobowych, których dotyczy naruszenie, a w razie możliwości, także wskazania podmiotów danych, których dotyczyło naruszenie;
    • systemie informatycznym, w którym wystąpiło naruszenie (jeżeli naruszenie nastąpiło w związku z przetwarzaniem danych w systemie informatycznym);
    • przewidywanym czasie potrzebnym do naprawienia szkody spowodowanej naruszeniem;
    • charakterze i zakresie danych osobowych objętych naruszeniem;
    • możliwych konsekwencjach naruszenia, z uwzględnieniem konsekwencji dla osób, których dane dotyczą;
    • środkach podjętych  w  celu  zminimalizowania  konsekwencji  naruszenia  oraz proponowanych  działaniach zapobiegawczych i naprawczych;
    • danych kontaktowych osoby mogącej udzielić dalszych informacji o naruszeniu.
  3. Jeżeli Podmiot przetwarzający nie jest w stanie w tym samym czasie przekazać Administratorowi wszystkich informacji, o których mowa w ust. 2, powinien je udzielać sukcesywnie, bez zbędnej zwłoki.
  4. Do czasu uzyskania instrukcji od Administratora, Podmiot przetwarzający podejmuje wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków naruszenia.

9. Odpowiedzialność Podmiotu przetwarzającego

  1. Podmiot przetwarzający odpowiada za szkody, jakie powstały wobec Administratora lub osób trzecich, spowodowane przetwarzaniem danych osobowych wyłącznie, gdy (I) przetwarzał dane osobowe niezgodnie z niniejszą Umową, (II) nie dopełnił obowiązków, które Rozporządzenie lub inne przepisy dotyczące ochrony danych osobowych nakładają na podmioty przetwarzające lub gdy (III) działał wbrew zgodnym z prawem pisemnym instrukcjom Administratora lub poza tymi instrukcjami.
  2. Z zastrzeżeniem bezwzględnie obowiązujących przepisów prawa, Podmiot przetwarzający ponosi względem Administratora odpowiedzialność z tytułu niewykonania lub nienależytego wykonania niniejszej Umowy wyłącznie do udokumentowanej szkody rzeczywistej (damnum emergens) Administratora, ograniczonej do wysokości ostatnio uiszczonej Opłaty za Okres Subskrypcyjny jako wynagrodzenia przysługującego Podmiotowi przetwarzającemu od Administratora, stosownie do postanowień Umowy głównej.
  3. Ograniczenie odpowiedzialności, o którym mowa w ust. 2, nie znajduje zastosowania przy odpowiedzialności wobec osób, których dane dotyczą oraz w sytuacji, gdy szkoda spowodowana jest umyślnym działaniem Podmiotu przetwarzającego.
  4. Strona, która zapłaciła odszkodowanie za całą wyrządzoną szkodę wynikającą z naruszenia niniejszej Umowy lub przepisów w Rozporządzeniu, ma prawo do żądania od drugiej Strony, która uczestniczyła w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej szkodzie, za którą druga Strona ponosi odpowiedzialność, na podstawie prawa regresu opisanego w art. 82 ust. 5 Rozporządzenia. Do roszczeń regresowych, o których mowa w zdaniu poprzednim, stosuje się ograniczenie odpowiedzialności określone w ust. 2 niniejszego paragrafu, chyba że szkoda została wyrządzona umyślnie lub dotyczy odpowiedzialności wobec osób, których dane dotyczą.
  5. Podmiot przetwarzający ponosi odpowiedzialność za działania lub zaniechania Podwykonawcy, dotyczące przetwarzania powierzonych danych osobowych, jak za działania lub zaniechania własne, przez co postanowienia dotyczące odpowiedzialności Podmiotu przetwarzającego na warunkach opisanych powyżej obejmują także odpowiedzialność Podmiotu przetwarzającego za działania lub zaniechania jego Podwykonawców.
  6. Ograniczenia odpowiedzialności określone w niniejszej Umowie dotyczą wyłącznie odpowiedzialności umownej między stronami i nie naruszają odpowiedzialności administracyjnej wynikającej z Rozporządzenia, w szczególności z art. 83 Rozporządzenia.

10. Czas obowiązywania umowy

  1. Niniejsza Umowa obowiązuje od dnia jej zawarcia przez czas określony związany z obowiązywaniem Umowy głównej, o której mowa w par.2 ust.1.
  2. Podmiot Przetwarzający może przetwarzać dane osobowe powierzone na podstawie niniejszej wyłącznie przez okres obowiązywania Umowy głównej, chyba że Administrator i Podmiot Przetwarzający ustalą inny okres przetwarzania danych osobowych w drodze odrębnego porozumienia, za odrębnym wynagrodzeniem, albo niniejsza Umowa ulegnie rozwiązaniu w przypadkach określonych w par.11 niniejszej Umowy.
  3. Umowa ulega rozwiązaniu również w przypadku, gdy do wykonania Umowy głównej nie jest już konieczne przetwarzanie danych osobowych przekazanych Przetwarzającemu przez Administratora.
  4. Strony mogą wypowiedzieć niniejszą Umowę z zachowaniem 1-miesięcznego okresu wypowiedzenia lub zawierając stosowne porozumienie, zważając iż wypowiedzenie niniejszej Umowy może uniemożliwić realizację Umowy Głównej, a tym samym skutkować jej rozwiązaniem.

11. Rozwiązanie umowy

  1. Administrator może rozwiązać niniejszą Umowę ze skutkiem natychmiastowym, gdy Podmiot przetwarzający:
    • pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie,
    • przetwarza dane osobowe w sposób niezgodny z niniejszą Umową,
    • powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Administratora.
  2. Podmiot przetwarzający przyjmuje do wiadomości, że rozwiązanie niniejszej Umowy może mieć wpływ na niemożliwość kontynuowania Umowy głównej, o której mowa w par.2 ust. 1. W przypadku gdy niniejsza Umowa zostanie rozwiązana z przyczyn wskazanych w ust. 1 uważa się, że Umowa główna, o której mowa w par.2 ust. 1 zostanie rozwiązana z przyczyn leżących po stronie Podmiotu przetwarzającego.

12. Postanowienia końcowe

  1. Administrator zapewnia, że decyzja o wyrażeniu zgody na warunki niniejszej Umowy stanowiącej Załącznik do Regulaminu została podjęta zgodnie z prawem przez Administratora, w przypadku gdy Administrator jest osobą fizyczną, lub przez dyrektora Administratora, upoważnionego przedstawiciela lub inną osobę posiadającą uprawnienia do reprezentacji, w przypadku gdy Administrator jest osobą prawną.
  2. Wszelkie informacje uzyskane przez Strony w trakcie trwania Umowy stanowiące tajemnicę przedsiębiorstwa w rozumieniu ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz.U. z 1993r. Nr 47, poz. 211), mogą być wykorzystywane wyłącznie w celu prawidłowej realizacji Umowy przez każdą ze stron, chyba że druga Strona zwolni ją z obowiązku zachowania poufności lub obowiązek ich ujawnienia wynika z obowiązujących przepisów prawa.
  3. Wynagrodzenie z tytułu świadczenia przez Podmiot przetwarzający usług Umowy głównej, obejmuje również wynagrodzenie za realizację niniejszej Umowy.
  4. W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego oraz Rozporządzenia.

 

Załącznik nr 1 – wykaz Podwykonawców

 

PodwykonawcaRegionPodstawa prawna transferu danychZakres przetwarzania danych
Amazon, LuxemburgUEPrzepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679Środowisko serwerowe na którym uruchomiona jest Aplikacja. Przechowywane są bazy danych, kopie zapasowe.
OVH S.A., PolskaUEPrzepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679Środowisko serwerowe wykorzystywane jest do tworzenia kopii zapasowych.
UserEngage Sp. z o.o, PolskaUEPrzepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679Imię, nazwisko, email osoby, adres IP, nazwa organizacji, stanowisko, zakładającej konto lub kontaktującej się za pomocą czat.
Google Ireland Limited, IrlandiaUEPrzepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679Usługi wykorzystywane są w zakresie:
– logowania do aplikacji (Google Sign in)
– przekazywania wpisów z tomHRM do kalendarza
Zakres danych przekazywanych do kalendarzy zależy od Modułów posiadanych na koncie:
– Szkolenia: informacje o szkoleniu, imię, nazwisko trenera
– Spotkania z kandydatem: imię, nazwisko kandydata, email kandydata.
– Spotkania 1-1: imię, nazwisko pracownika
– Urlopy: imię, nazwisko pracownika
– Rocznice zatrudnienia: imię, nazwisko pracownika
– Urodziny: imię, nazwisko pracownika, data w postaci miesiąca i dnia
Microsoft, IrlandiaUEPrzepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679Usługi wykorzystywane są w zakresie:
– logowania do aplikacji
– przekazywania wpisów z tomHRM do kalendarza
Zakres danych przekazywanych do kalendarzy zależy od modułów posiadanych na koncie:
– Szkolenia: informacje o szkoleniu
– Zadanie: tytuł, treść zadania
– Spotkania z kandydatem: imię, nazwisko kandydata, email kandydata.
– Spotkania 1-1: imię, nazwisko pracownika
– Urlopy: imię, nazwisko pracownika
– Rocznice zatrudnienia: imię, nazwisko pracownika
– Urodziny: imię, nazwisko pracownika, data w postaci miesiąca i dnia
Braintree Payment Services (Paypal Sàrl et Cie, SCA, a limited liability partnership registered), LuxembourgUEPrzepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679Operator płatności obsługujący płatności online. Przechowuje dane osoby zakładającej Konto: imię, nazwisko, email, adres IP, dane firmy do wystawienia rachunku.
Sendgrid Denver, Colorado, USAPoza UECertyfikacja dostawcy usług zgodnie z programem Data Privacy Framework (DPF).Usługi SMTP służące do wysyłki wiadomości email z aplikacji tomHRM do odbiorcy (użytkownik tomHRM lub adres email podany w polu odbiorcy w aplikacji tomHRM, kandydat).
Zakres danych: email, adres IP
Twilio Inc., San Francisco, CA, USAPoza UECertyfikacja dostawcy usług zgodnie z programem Data Privacy Framework (DPF).Usługa służąca do
– wysyłki wiadomości SMS z aplikacji tomHRM; zakres danych: nr telefonu komórkowego podanego w profilu pracownika, kandydata,
– umożliwienie nawiązywania połączeń video pomiędzy uczestnikami spotkania (dane nie są przechowywane).
Chargebee Inc. USAPoza UECertyfikacja dostawcy usług zgodnie z programem Data Privacy Framework (DPF).System bilingowy służący do zarządzania informacją o abonamencie Usługobiorcy oraz realizacji płatności online. Przechowuje informacje kontaktowe do osoby zakładającej konto: imię, nazwisko, email, adres IP, dane firmy do wystawienia rachunku.
MailerLite LimitedIrlandiaPrzepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679Usługi wysyłki masowej wiadomości email, np. newsletter do klientów, istotne powiadomienia o zakresie świadczenia usługi.
Zakres danych: email, adres IP.
Pipedrive Inc.Poza UECertyfikacja dostawcy usług zgodnie z programem Data Privacy Framework (DPF).

 

CRM do przechowywania i zarządzania kontaktami z właścicielem konta tomHRM, osobami kontaktowymi po stronie Usługobiorcy lub potencjalnego Usługobiorcy.
Zakres danych: dane kontaktowe firmowe (m.in. adres email, numer telefonu, stanowisko)

 

Załącznik nr 2 – Bezpieczeństwo danych osobowych

 

  1. Zabezpieczenia fizyczne w centrum hostingowym
    1. Stosowane są środki bezpieczeństwa tj. ochronę fizyczną, kontrolę dostępu.
    2. Aplikacja i dane przechowywane są w centrum hostingowym posiadającym certyfikaty ISO27001, SOC 2, SOC 3, spełniające wymogi rozporządzenia GDPR 2016/679.
  2. Zabezpieczenia informatyczne stosowane przez Usługodawcę w zakresie świadczenia usługi:
    1. Wykonywane są dwa razy na dobę kopie zapasowe oraz raz kopia zapasowa kopii zapasowych. Kopie zapasowe przechowywane są w dwóch odrębnych regionach (na terenie UE) oraz u dwóch różnych dostawców usług przechowywania kopii.
    2. Wykonywane są cyklicznie testy przywracania kopii zapasowych.
    3. Kopie zapasowe służą do przywrócenie danych w przypadku najpoważniejszych awarii.
    4. Połączenia z serwerem i z usługami realizowane są za pomocą protokołu SSL/TLS.
    5. Każda osoba odpowiedzialna po stronie Usługodawcy za przetwarzanie danych osobowych posiada imienne konto dostępowe do systemów informatycznych w których przetwarzane są dane osobowe.
    6. Stosowane są mechanizmu podwójnej autentykacji (2FA) w miejscach gdzie jest to możliwe.
    7. Stosowana jest silna polityka haseł dostępowych, do systemów wspomagających zarządzanie Usługą, cyklicznością zmian haseł oraz blokowania kont.
    8. Stosowana jest ochrona przed nieuprawnionym dostępem do systemów i sieci, m.in. z wykorzystaniem zapory ogniowej (firewall), kluczy autoryzujących lub/i innych mechanizmów zabezpieczających.
    9. Stosowane są aktualizacje systemów i oprogramowania wykorzystywanych do zarządzania i świadczenia Usługi.
  3. Zabezpieczenia organizacyjne Usługodawcy
    1. Stosowane są cykliczne szkolenia dla pracowników i współpracowników w zakresie ochrony danych osobowych.
    2. Prowadzone są audyty wewnętrzne w zakresie przestrzegania zasad przetwarzania danych osobowych.
    3. Stosowana jest polityka zarządzania incydentami.