Ostatnia modyfikacja: 21 marca 2021 r.

Załącznik nr 1 – Umowa Powierzenia Przetwarzania Danych Osobowych

Umowa Powierzenia Przetwarzania Danych Osobowych stanowi integralną część Regulaminu i określa zasady przetwarzania przez Usługodawcę na zlecenie Usługobiorcy danych osobowych Użytkowników za pośrednictwem aplikacji tomHRM.

Umowa Powierzenia Przetwarzania Danych Osobowych stanowi całość zobowiązań oraz warunków powierzenia przetwarzania danych Użytkowników pomiędzy Usługodawcą i Usługobiorcą w związku z Usługą SaaS i zastępuje wszelkie dotychczasowe umowy, porozumienia oraz ustalenia pomiędzy Usługodawcą i Usługobiorcą w tym zakresie.


§1 Definicje

  • Administrator – oznacza Usługobiorcę, który samodzielnie lub wspólnie z innymi podmiotami ustala cele i sposoby przetwarzania Danych Osobowych;
  • Podmiot przetwarzajacy – oznacza Usługodawcę,

§2 Przedmiot przetwarzania danych osobowych

  1. W związku z realizacją umowy o świadczenie usługi drogą elektroniczną na usługę SaaS uregulowaną w Regulaminie (zwana w dalszej części umowy „Umową główną” zawartą między Stronami, Administrator powierza Podmiotowi przetwarzającemu w trybie art. 28 rozporządzenia, dane osobowe do przetwarzania w imieniu i na rzecz Administratora, na zasadach i w celu określonym w Umowie.
  2. Zawarcie Umowy stanowi udokumentowane polecenie Administratora do przetwarzania przez Usługodawcę Danych Osobowych, w tym do Przekazywania Danych Osobowych do Państw Trzecich, o którym mowa w art. 28 ust. 3 lit. a) RODO.
  3. Administrator oświadcza, że jest administratorem danych osobowych w rozumieniu przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), (dalej: „Rozporządzenie”), które powierza Podmiotowi przetwarzającemu.

§3 Zakres i cel przetwarzania danych

  1. Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu wykonywania przez Podmiot przetwarzający na rzecz Administratora usług szczegółowo opisanych w Umowie głównej, o której mowa w §2 ust. 1 i w sposób zgodny z niniejszą Umową oraz właściwymi, powszechnie obowiązującymi przepisami prawa.
  2. Kategoria osób: pracownicy i współpracownicy Administratora, kandydaci do pracy, użytkownicy aplikacji tomHRM.
  3. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone dane osobowe w następującym zakresie:
    • Imię i Nazwisko
    • Wizerunek – zdjęcie załadowane do aplikacji tomHRM
    • Stanowisko
    • Adres zamieszkania
    • Telefon kontaktowy
    • Firmowy adres e-mail
    • Numer identyfikacyjny
    • Dane lokalizacji miejsca pracy
    • Forma zatrudnienia
    • Data urodzin w formie miesiąc i dzień
    • Inne dane zawarte w prechowywanych plikach lub wpisane w inne miejsca.
  4. Czynności przetwarzania: Zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, przeglądanie, przekazywanie, modyfikowanie, usuwanie.
  5. Forma przetwarzania: elektroniczna.

§4 Obowiązki Podmiotu przetwarzającego

  1. Podmiot Przetwarzający oświadcza, że zapewnia odpowiednie środki techniczne i organizacyjne, aby przetwarzanie spełniało wymogi określone w Rozporządzeniu i chroniło prawa osób, których dane dotyczą, co w szczególności oznacza, że Podmiot Przetwarzający podejmuje adekwatne środki wymagane na mocy art. 32 Rozporządzenia oraz dokłada należytej staranności przy przetwarzaniu powierzonych danych osobowych.
  2. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej Umowy.
  3. Uwzględniając charakter przetwarzania, Podmiot przetwarzający w miarę możliwości pomoże Administratorowi, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw, określonych w III rozdziale Rozporządzenia.
  4. Uwzględniając charakter przetwarzania oraz dostępne mu informacje, Podmiot przetwarzający pomoże Administratorowi wywiązać się z obowiązków określonych w art. 32-36 Rozporządzenia.
  5. Podmiot przetwarzający       zobowiązuje       się       zapewnić       zachowanie       w       tajemnicy, (o której mowa w art. 28 ust 3 pkt b Rozporządzenia) przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej umowy, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.
  6. Podmiot przetwarzający         po          zakończeniu          świadczenia         usług          związanych z przetwarzaniem danych usunie wszystkie dane powierzone przez Administratora po upływie czasu określonego w umowie głównej.
  7. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi.
  8. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 36 godzin od stwierdzenia naruszenia, zgłasza je Administratorowi. Zgłoszenie powinno nastąpić drogą mailową na adres email wpisany przez Administratora w ustawieniach aplikacji w polu „Kontakt RODO”.
  9. Zgłoszenie naruszenia, o którym mowa w ust. 7 powinno zawierać co najmniej informacje o:
    • dacie, czasie trwania oraz lokalizacji naruszenia ochrony danych osobowych;
    • charakterze i skali naruszenia, tj. w szczególności o kategoriach i przybliżonej liczbie osób, których dane dotyczą, oraz kategoriach i przybliżonej liczbie wpisów danych osobowych, których dotyczy naruszenie, a w razie możliwości, także wskazania podmiotów danych, których dotyczyło naruszenie;
    • systemie informatycznym, w którym wystąpiło naruszenie (jeżeli naruszenie nastąpiło w związku
      z przetwarzaniem danych w systemie informatycznym);
    • przewidywanym czasie potrzebnym do naprawienia szkody spowodowanej naruszeniem;
    • charakterze i zakresie danych osobowych objętych naruszeniem;
    • możliwych konsekwencjach naruszenia, z uwzględnieniem konsekwencji dla osób, których dane dotyczą;
    • środkach podjętych w celu zminimalizowania konsekwencji naruszenia oraz proponowanych działaniach zapobiegawczych i naprawczych;
    • danych kontaktowych osoby mogącej udzielić dalszych informacji o naruszeniu.

§5 Środki techniczne i organizacyjne

  1. Uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania Danych Osobowych oraz ryzyko naruszenia praw osób, których dane osobowe dotyczą, Usługodawca zapewni środki techniczne i organizacyjne adekwatne do rodzaju danych osobowych oraz ryzyka naruszenia praw osób, których Dane Osobowe dotyczą.
  2. Odpowiednie środki techniczne i organizacyjne obejmują co najmniej środki określone w Załączniku nr 2 do Umowy Powierzenia Przetwarzania Danych Osobowych.
  3. Usługodawca może zmienić lub wprowadzić inne środki techniczne i organizacyjne niż określone w Załączniku nr 2 do Umowy pod warunkiem, że będą one spełniały wymogi określone w §5 ust. 1 Umowy.

§6 Prawo kontroli przetwarzania

  1. Administrator zgodnie z art. 28 ust. 3 pkt h) Rozporządzenia ma prawo kontroli, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy.
  2. Zawiadomienie o zamiarze przeprowadzenia kontroli lub audytu powinno być przekazane Podmiotowi przetwarzającemu co najmniej 14 dni kalendarzowych przed rozpoczęciem czynności. Koszty przeprowadzenia audytu pokrywa Administrator.
  3. Audytorem wyznaczonym przez Administratora nie może być podmiot prowadzący działalność konkurencyjną wobec Podmiotu przetwarzającego, ani podmiot z nim powiązany, pracownik lub podmiot współpracujący, bez względu na podstawę zatrudnienia lub współpracy. Audytor przed przystąpieniem do czynności sprawdzających jest zobowiązany do złożenia zobowiązania do zachowania pozyskanych informacji w poufności.
  4. Kontrola przetwarzania, w zakresie dotyczącym obszarów przetwarzania danych osobowych, nie może trwać dłużej niż 3 dni robocze.
  5. Kontrola przetwarzania zostanie zakończona podpisaniem przez obie Strony protokołu z Kontroli Przetwarzania. Protokół będzie zawierał wnioski z Kontroli Przetwarzania oraz uzgodniony przez obie Strony zakres ewentualnych zmian w zakresie przetwarzania Danych Osobowych przez Podmiot przetwarzający.
  6. Podmiot przetwarzający zobowiązuje się do zastosowania się do zaleceń Administratora lub podmiotu przez niego upoważnionego, dotyczących poprawy jakości zabezpieczania danych osobowych oraz sposobu ich przetwarzania lub usunięcia uchybień stwierdzonych podczas kontroli lub audytu w terminie wskazanym przez Administratora nie dłuższym niż 14 dni.

§7 Podpowierzenie danych do przetwarzania

  1. Podmiot przetwarzający może podpowierzać przetwarzanie danych osobowych przetwarzanych przez siebie w związku ze świadczeniem usługi objętej umową, o której mowa w § 2 ust. 1 Umowy innym podmiotom przetwarzającym (zwanym dalej Podwykonawcami), zgodnie z warunkami korzystania z usług Podwykonawców określonych w Rozporządzeniu. Podmiot przetwarzający poinformuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych Podwykonawców, dając tym samym Podmiotowi przetwarzającemu możliwość wyrażenia sprzeciwu wobec takich zmian.
  2. Administrator wyraża zgodę na podpowierzenie, powierzonych Podmiotowi przetwarzającemu do przetwarzania danych na podstawie Umowy wskazanym w załączniku nr 1 do Umowy.
  3. Podwykonawca, o którym mowa w §7 ust. 1 Umowy winien spełniać te same gwarancje i obowiązki jakie zostały nałożone na Podmiot przetwarzający w niniejszej
  4. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się ze spoczywających na podwykonawcy obowiązków ochrony
  5. Podmioty, którym Podmiot przetwarzający powierzył do dalszego przetwarzania dane osobowe zostały określone w Załączniku nr 1 Umowy.
  6. O dodaniu nowych Podwykonawców Podmiot przetwarzający poinformuje Administratora drogą elektroniczną na adres email wpisany przez Administratora w ustawieniach aplikacji internetowej, której dotyczy umowa główna, w polu o nazwie „Kontakt RODO”. Zmiana (w tym dodanie nowego) Podwykonawców nie stanowi zmiany niniejszej Umowy. W przypadku uzasadnionego sprzeciwu co do nowego podwykonawcy, wniesionego przez Podmiot przetwarzający w terminie 21 dni od otrzymaniu informacji o nowym Podwykonawcy, oraz jednoczesnym braku możliwości korzystania z Usługi bez udziału danego Podwykonawcy – niniejsza umowa ulegnie rozwiązaniu z chwilą otrzymania sprzeciwu. Brak wniesienia sprzeciwu na zasadach wskazanych w niniejszym ustępie jest równoznaczny z wyrażeniem zgody na dodanie nowych Podwykonawców.

§8 Miejsce przetwarzania i transfer danych osobowych

  1. Podmiot przetwarzający nie może przekazywać (transferować) powierzonych danych osobowych do państwa trzeciego, które znajduje się poza Europejskim Obszarem Gospodarczym („EOG”), chyba że Administrator udzieli mu uprzedniej zgody zezwalającej na taki transfer. Lista podmiotów przetwarzających, co do których Zamawiający wyraża zgodę, o której mowa powyżej, jest zawarta w Załączniku nr 1.
  2. Jeśli Administrator udzieli Podmiotowi przetwarzającemu uprzedniej zgody na przekazanie danych osobowych do państwa trzeciego, Podmiot przetwarzający może dokonać transferu tych danych osobowych tylko wtedy, gdy spełnione jest jeden z następujących warunków:
    • przetwarzanie jest realizowane przez Podwykonawcę w państwie trzecim, w stosunku do którego została wydana decyzja stwierdzająca odpowiedni stopień ochrony, o którym mowa w art. 45 Rozporządzenia,
    • przetwarzanie jest realizowane przez Podwykonawcę w ramach wiążących reguł korporacyjnych, o których mowa w art. 4 pkt 20) oraz art. 47 Rozporządzenia,
    • przetwarzanie jest realizowane przez Podwykonawcę na podstawie standardowych klauzul ochrony danych zawartych pomiędzy Podmiotem Przetwarzającym a Podwykonawcą w celu zapewnienia odpowiednich zabezpieczeń zgodnie z art. 46 ust. 2 i 3 Rozporządzenia, oraz sprawdzeniu – gdy ma to zastosowanie – we współpracy z Podwykonawcą, czy prawo państwa trzeciego przeznaczenia, zapewnia właściwą, w świetle prawa Unii Europejskiej, ochronę danych osobowych przekazywanych na podstawie standardowych klauzul ochrony danych, udzielając w razie potrzeby zabezpieczeń dodatkowych w stosunku do tych zapewnianych w tych klauzulach.
    • przestrzegania przez Podwykonawcę zatwierdzonego kodeksu postępowania (zgodnie z art. 40 Rozporządzenia) lub zatwierdzonego mechanizmu certyfikacji (zgodnie z art. 42 Rozporządzenia) wraz z wiążącymi i egzekwowalnymi zobowiązaniami Administratora lub Podwykonawcy w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.

§9 Zgłaszanie naruszeń

  1. Podmiot przetwarzający jest zobowiązany do wdrożenia i stosowania procedur służących wykrywaniu naruszeń ochrony danych osobowych oraz wdrażaniu właściwych środków naprawczych. Podmiot przetwarzający jest zobowiązany do udostępniania procedur, o których mowa w zdaniu poprzedzającym, na każde żądanie Administratora, nie później niż w terminie 14 dni roboczych od dnia złożenia takiego żądania.
  2. Po stwierdzeniu naruszenia ochrony powierzonych mu przez Administratora danych osobowych Podmiot przetwarzający, bez zbędnej zwłoki, od wykrycia naruszenia, zgłasza je Administratorowi. Zgłoszenie powinno zawierać co najmniej informacje o:
    1. dacie, czasie trwania oraz lokalizacji naruszenia ochrony danych osobowych;
    2. charakterze i skali naruszenia, tj. w szczególności o kategoriach i przybliżonej liczbie osób, których dane dotyczą, oraz kategoriach i przybliżonej liczbie wpisów danych osobowych, których dotyczy naruszenie, a w razie możliwości, także wskazania podmiotów danych, których dotyczyło naruszenie;
    3. systemie informatycznym, w którym wystąpiło naruszenie (jeżeli naruszenie nastąpiło w związku z przetwarzaniem danych w systemie informatycznym);
    4. przewidywanym czasie potrzebnym do naprawienia szkody spowodowanej naruszeniem;
    5. charakterze i zakresie danych osobowych objętych naruszeniem;
    6. możliwych konsekwencjach naruszenia, z uwzględnieniem konsekwencji dla osób, których dane dotyczą;
    7. środkach podjętych  w  celu  zminimalizowania  konsekwencji  naruszenia  oraz proponowanych  działaniach zapobiegawczych i naprawczych;
    8. danych kontaktowych osoby mogącej udzielić dalszych informacji o naruszeniu.
  3. Jeżeli Podmiot przetwarzający nie jest w stanie w tym samym czasie przekazać Administratorowi wszystkich informacji, o których mowa w ust. 2, powinien je udzielać sukcesywnie, bez zbędnej zwłoki.
  4. Do czasu uzyskania instrukcji od Administratora, Podmiot przetwarzający podejmuje wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków naruszenia.

§10 Odpowiedzialność Podmiotu przetwarzającego

  1. Podmiot przetwarzający odpowiada za szkody, jakie powstały wobec Administratora lub osób trzecich, spowodowane przetwarzaniem danych osobowych wyłącznie, gdy (I) przetwarzał dane osobowe niezgodnie z niniejszą Umową, (II) nie dopełnił obowiązków, które Rozporządzenie lub inne przepisy dotyczące ochrony danych osobowych nakładają na podmioty przetwarzające lub gdy (III) działał wbrew zgodnym z prawem pisemnym instrukcjom Administratora lub poza tymi instrukcjami.
  2. Z zastrzeżeniem bezwzględnie obowiązujących przepisów prawa, Podmiot przetwarzający ponosi względem Administratora odpowiedzialność z tytułu niewykonania lub nienależytego wykonania niniejszej Umowy wyłącznie do udokumentowanej szkody rzeczywistej (damnum emergens) Administratora, ograniczonej do wysokości ostatnio uiszczonej opłaty za Subskrypcję Aplikacji jako wynagrodzenia przysługującego Podmiotowi przetwarzającemu od Administratora, stosownie do postanowień Umowy głównej.
  3. Ograniczenie odpowiedzialności, o którym mowa w ust. 2, nie znajduje zastosowania przy odpowiedzialności wobec osób, których dane dotyczą oraz w sytuacji, gdy szkoda spowodowana jest umyślnym działaniem Podmiotu przetwarzającego.
  4. Strona, która zapłaciła odszkodowanie za całą wyrządzoną szkodę, ma prawo do żądania od drugiej Strony, która uczestniczyła w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą druga Strona ponosi odpowiedzialność, na podstawie prawa regresu opisanego w art. 82 ust. 5 Rozporządzenia. Ograniczenie odpowiedzialności, o którym mowa ust. 2, nie odnosi się do roszczeń regresowych opisanych w niniejszym ust. 4.
  5. Podmiot przetwarzający ponosi odpowiedzialność za działania lub zaniechania Podwykonawcy, dotyczące przetwarzania powierzonych danych osobowych, jak za działania lub zaniechania własne, przez co postanowienia dotyczące odpowiedzialności Podmiotu przetwarzającego na warunkach opisanych powyżej obejmują także odpowiedzialność Podmiotu przetwarzającego za działania lub zaniechania jego Podwykonawców.

§11 Czas obowiązywania umowy

  1. Niniejsza Umowa obowiązuje od dnia jej zawarcia przez czas określony związany z obowiązywaniem umowy o której mowa w §2 ust.1.
  2. Niniejsza Umowa obowiązuje od dnia jej zawarcia na czas trwania Umowy głównej o której mowa w §2.
  3. Podmiot Przetwarzający może przetwarzać dane osobowe powierzone na podstawie niniejszej wyłącznie przez okres obowiązywania Umowy Głównej, chyba że Administrator i Podmiot Przetwarzający ustalą inny okres przetwarzania danych osobowych w drodze odrębnego porozumienia, za odrębnym wynagrodzeniem, albo niniejsza Umowa ulegnie rozwiązaniu w przypadkach określonych w §11 niniejszej Umowy.
  4. Umowa ulega rozwiązaniu również w przypadku, gdy do wykonania Umowy Głównej nie jest już konieczne przetwarzanie danych osobowych przekazanych Przetwarzającemu przez Administratora.
  5. Strony mogą wypowiedzieć niniejszą Umowę z zachowaniem 1-miesięcznego okresu wypowiedzenia lub zawierając stosowne porozumienie, zważając iż wypowiedzenie niniejszej Umowy może uniemożliwić realizację Umowy Głównej, a tym samym skutkować jej rozwiązaniem.

§12 Rozwiązanie umowy

  1. Administrator może rozwiązać niniejszą umowę ze skutkiem natychmiastowym, gdy Podmiot przetwarzający:
    • pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie,
    • przetwarza dane osobowe w sposób niezgodny z umową,
    • powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Administratora.
  2. Podmiot przetwarzający przyjmuje do wiadomości, że rozwiązanie niniejszej Umowy może mieć wpływ na niemożliwość kontynuowania umowy, o której mowa w §2 ust. 1. W przypadku gdy niniejsza Umowa zostanie rozwiązana z przyczyn wskazanych w ust. 1 uważa się, że umowa, o której mowa w § 2 ust. 1 zostanie rozwiązana z przyczyn leżących po stronie Podmiotu przetwarzającego.

§13 Zasady zachowania poufności

  1. Wszelkie informacje uzyskane przez strony w trakcie trwania Umowy stanowiące tajemnicę przedsiębiorstwa w rozumieniu ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz.U. z 1993r. Nr 47, poz. 211), mogą być wykorzystywane wyłącznie w celu prawidłowej realizacji Umowy przez każdą ze stron, chyba że druga strona zwolni ją z obowiązku zachowania poufności lub obowiązek ich ujawnienia wynika z obowiązujących przepisów prawa.

§14 Postanowienia końcowe

  1. Wynagrodzenie z tytułu świadczenia przez Podmiot przetwarzający usług Umowy, obejmuje również wynagrodzenie za realizację niniejszej umowy.
  2. W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego oraz Rozporządzenia.

 

Załącznik nr 1 – wykaz podmiotów (podwykonawców)

 

PodmiotRegionZakres przetwarzania danych
Amazon, LuxemburgUEŚrodowisko serwerowe na którym uruchomiona jest aplikacja, przechowywane są bazy danych, kopie zapasowe.
OVH S.A., PolskaUEŚrodowisko serwerowe wykorzystywane jest do tworzenia kopii zapasowych.
UserEngage Sp. z o.o, PolskaUEImię, nazwisko, email osoby, adres IP, nazwa organizacji, stanowisko, zakładającej konto lub kontaktującej się za pomocą czat.
Hotjar Ltd., MaltaUEHotjar wykorzystuje pliki cookies i inne technologie, by gromadzić informacje na temat zachowania na stronie i urządzeń wykorzystywanych do korzystania ze strony, takie jak numer IP (zanonimizowany), wielkość ekrany, informacje o przeglądarce, lokalizacja, język. Hotjar przechowuje te informacje w ramach psedunonimizowanego profilu. Informacje nie są wykorzystywane do celów identyfikacji.
Google Ireland Limited, IrlandiaUEUsługi Google wykorzystywane są w zakresie:
– logowania do aplikacji (Google Sign in)
– połączenia kalendarza tomHRM z kalendarzem Google.
Zakres danych przekazywanych do kalendarzy zależy od Modułów posiadanych na koncie:
– Szkolenia: informacje o szkoleniu, imię, nazwisko trenera
– Spotkania z kandydatem: imię, nazwisko kandydata, email kandydata.
– Spotkania 1-1: imię, nazwisko pracownika
– Urlopy: imię, nazwisko pracownika
– Rocznice zatrudnienia: imię, nazwisko pracownika
– Urodziny: imię, nazwisko pracownika
Microsoft, IrlandiaUEUsługi Google wykorzystywane są w zakresie:
– logowania do aplikacji
Zakres danych przekazywanych do kalendarzy zależy od modułów posiadanych na koncie:
– Szkolenia: informacje o szkoleniu
– Zadanie: tytuł, treść zadania
– Spotkania z kandydatem: imię, nazwisko kandydata, email kandydata.
– Spotkania 1-1: imię, nazwisko pracownika
– Urlopy: imię, nazwisko pracownika
– Rocznice zatrudnienia: imię, nazwisko pracownika
– Urodziny: imię, nazwisko pracownika
Slack Technologies Limited, IrlandiaUEEmail osoby zakładającej konto
Braintree Payment Services (Paypal Sàrl et Cie, SCA, a limited liability partnership registered), LuxembourgUEOperator płatności służy do obsługi płatności online. Przechowuje informacje kontaktowe do osoby zakładającej konto: imię, nazwisko, email, adres IP, dane firmy do wystawienia rachunku.
Sendgrid Denver, Colorado, USAPoza UEUsługi SMTP służące do wysyłki wiadomości email z aplikacji tomHRM. Zakres danych: email, adres IP.
Twilio Inc., San Francisco, CA, USAPoza UEUsługa służąca do
– wysyłki wiadomości SMS z aplikacji tomHRM; zakres danych: nr telefonu komórkowego,
– nawiązywania połączeń video pomiędzy uczestnikami spotkania (dane nie są przechowywane).
Chargebee Inc. USAPoza UESystem bilingowy służący do zarządzania  abonamentam. Przechowuje informacje kontaktowe do osoby zakładającej konto: imię, nazwisko, email, adres IP, dane firmy do wystawienia rachunku.

 

 Załącznik nr 2 – Bezpieczeństwo


Bezpieczeństwo danych osobowych

 

  1. Zabezpieczenia fizyczne
    1. Stosowane są środki bezpieczeństwa tj. ochronę fizyczną, kontrolę dostępu.
    2. Aplikacja i dane przechowywane są w centrum hostingowym posiadającym certyfikaty ISO27001, SOC 2, SOC 3, spełniające wymogi rozporządzenia GDPR 2016/679.
  2. Zabezpieczenia informatyczne:
    1. Wykonywane są raz na dobę kopie zapasowe, kopie zapasowe kopii zapasowych. Kopie zapasowe przechowywane są w dwóch odrębnych regionach oraz dwóch różnych dostawcach usług przechowywania kopii. Wykonywane są cyklicznie testy przywracania kopii zapasowych,
    2. Połączenia z serwerem i z usługami realizowane są za pomocą protokołu SSL/TLS,
    3. Każda osoba odpowiedzialna po stronie Usługodawcy za przetwarzanie danych osobowych posiada odrębne konto dostępowe do systemów informatycznych w których przetwarzane są dane osobowe,
    4. Stosowane są mechanizmu podwójnej autentykacji (2FA) w miejscach gdzie jest to możliwe,
    5. Stosowana jest silna polityka haseł dostępowych, do systemów wspomagających zarządzanie Usługą, cyklicznością zmian haseł oraz blokowania kont,
    6. Stosowana jest ochrona przed nieuprawnionym dostępem do systemów i sieci, m.in. z wykorzystaniem zapory ogniowej (firewall), kluczy autoryzujących oraz innych  mechanizmów zabezpieczających,
    7. Stosowane są aktualizacje systemów i oprogramowania.
  3. Zabezpieczenia organizacyjne
    1. Stosowane są cykliczne szkolenia dla pracowników i współpracowników w zakresie ochrony danych osobowych,
    2. Prowadzone są cykliczne audyty wewnętrzne w zakresie przestrzegania zasad przetwarzania danych osobowych,
    3. Stosowana jest polityka zarządzania incydentami.