Umowa Przetwarzania Danych

Niniejsza Umowa Przetwarzania Danych („Umowa“) jest częścią Umowy na Usługi („Umowa Kluczowa“) zawartej między TeleRetro (zwaną „Firmą“) a klientem TeleRetro określonym w odpowiednim dokumencie zamówienia usług TeleRetro („Przetwarzający Danych“) (razem zwani „Stronami“).

PODCZAS GDY

(A) Firma działa jako Administrator Danych.

(B) Firma chce zlecić podwykonawstwo niektórych usług, które obejmują przetwarzanie danych osobowych, Przetwarzającemu Danych.

(C) Strony chcą wdrożyć umowę o przetwarzaniu danych zgodnie z wymaganiami obowiązujących przepisów prawnych związanych z przetwarzaniem danych oraz Rozporządzeniem (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylającym Dyrektywę 95/46/WE (Ogólne Rozporządzenie o Ochronie Danych).

(D) Strony chcą określić swoje prawa i obowiązki.

UZGADNIA SIĘ, CO NASTĘPUJE:

1. Definicje i Interpretacja

1.1 O ile nie określono inaczej, terminy i wyrażenia używane w niniejszej Umowie mają następujące znaczenie:

1.1.1 „Umowa” oznacza niniejszą Umowę Przetwarzania Danych oraz wszystkie Załączniki;

1.1.2 „Dane Osobowe Firmy” oznaczają wszelkie Dane Osobowe przetwarzane przez Zaangażowanego Przetwarzającego na rzecz Firmy zgodnie lub w związku z Umową Kluczową;

1.1.3 „Zaangażowany Przetwarzający” oznacza Podprzetwarzającego;

1.1.4 „Prawo o Ochronie Danych” oznacza Prawo UE o Ochronie Danych oraz, w zakresie, w jakim ma to zastosowanie, przepisy ochrony danych lub prywatności jakiegokolwiek innego kraju;

1.1.5 „EOG” oznacza Europejski Obszar Gospodarczy;

1.1.6 „Prawo UE o Ochronie Danych” oznacza Dyrektywę UE 95/46/EC, jak przekształconą w krajowe ustawodawstwo każdego Państwa Członkowskiego oraz zmienioną, zastąpioną lub zaktualizowaną od czasu do czasu, w tym również przez RODO oraz przepisy wdrażające lub uzupełniające RODO;

1.1.7 „RODO” oznacza Ogólne Rozporządzenie o Ochronie Danych UE 2016/679;

1.1.8 „Przeniesienie Danych” oznacza:

1.1.8.1 przeniesienie Danych Osobowych Firmy z Firmy do Zaangażowanego Przetwarzającego; lub

1.1.8.2 dalsze przeniesienie Danych Osobowych Firmy z Zaangażowanego Przetwarzającego do Podprzetwarzającego, lub między dwoma zakładami Zaangażowanego Przetwarzającego, w każdym przypadku, gdzie takie przeniesienie byłoby zabronione przez Prawo o Ochronie Danych (lub przez warunki umów dotyczących przeniesienia danych, które zostały zawarte w celu rozwiązania ograniczeń przeniesienia danych zgodnie z Prawem o Ochronie Danych);

1.1.9 „Usługi” oznaczają usługi retrospektywy online agile, które Firma świadczy.

1.1.10 „Podprzetwarzający” oznacza każdą osobę wyznaczoną przez lub w imieniu Przetwarzającego do przetwarzania Danych Osobowych na rzecz Firmy w związku z Umową.

1.2 Terminy „Komisja”, „Administrator”, „Osoba, której dane dotyczą”, „Państwo Członkowskie”, „Dane Osobowe”, „Naruszenie Danych Osobowych”, „Przetwarzanie” i „Organ Nadzorczy” mają takie samo znaczenie jak w RODO, a ich odpowiednie terminy będą interpretowane zgodnie z tym.

2. Przetwarzanie Danych Osobowych Firmy

2.1 Przetwarzający:

2.1.1 będzie przestrzegał wszystkich obowiązujących Praw o Ochronie Danych podczas przetwarzania Danych Osobowych Firmy; oraz

2.1.2 nie będzie przetwarzał Danych Osobowych Firmy inaczej niż na podstawie udokumentowanych instrukcji odpowiedniej Firmy.

2.2 Firma instruuje Przetwarzającego do przetwarzania Danych Osobowych Firmy.

3. Personel Przetwarzającego

Przetwarzający podejmie rozsądne kroki w celu zapewnienia wiarygodności każdego pracownika, agenta lub wykonawcy jakiegokolwiek Zaangażowanego Przetwarzającego, który może mieć dostęp do Danych Osobowych Firmy, zapewniając, że dostęp jest ściśle ograniczony do tych osób, które muszą mieć wiedzę/dostęp do odpowiednich Danych Osobowych Firmy, ściśle w celach Umowy Kluczowej, oraz do przestrzegania obowiązujących przepisów w kontekście obowiązków tej osoby w odniesieniu do Zaangażowanego Przetwarzającego, zapewniając, że wszystkie takie osoby są poddane zobowiązaniom do zachowania poufności lub zobowiązaniom zawodowym lub statutowym o zachowaniu poufności.

4. Bezpieczeństwo

4.1 Biorąc pod uwagę stan techniki, koszty wdrożenia i charakter, zakres, kontekst i cele Przetwarzania, a także ryzyko o różnym prawdopodobieństwie i ciężkości dla praw i wolności osób fizycznych, Przetwarzający wdroży odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do tego ryzyka, w tym, jeśli to właściwe, środki wymienione w art. 32(1) RODO.

4.2 Przy ocenie odpowiedniego poziomu bezpieczeństwa Przetwarzający w szczególności uwzględni ryzyka, które wiążą się z Przetwarzaniem, w szczególności wynikające z Naruszenia Danych Osobowych.

5. Podprzetwarzanie

5.1 Przetwarzający nie wyznaczy (ani nie ujawni żadnych Danych Osobowych Firmy) żadnego Podprzetwarzającego, chyba że jest to wymagane lub upoważnione przez Firmę.

6. Prawa osoby, której dotyczą dane

6.1 Biorąc pod uwagę charakter Przetwarzania, Przetwarzający wspomoże Firmę poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych, o ile to możliwe, w celu spełnienia obowiązków Firmy, zgodnie z uzasadnionymi oczekiwaniami Firmy, w odpowiedzi na żądania dotyczące wykonywania praw osób, których dane dotyczą, zgodnie z Prawem o Ochronie Danych.

6.2 Przetwarzający:

6.2.1 niezwłocznie powiadomi Firmę, jeśli otrzyma żądanie od Osoby, której dotyczą dane, na podstawie jakiegokolwiek Prawa o Ochronie Danych w odniesieniu do Danych Osobowych Firmy; oraz

6.2.2 upewni się, że nie odpowie na to żądanie, chyba że zgodnie z udokumentowanymi instrukcjami Firmy lub jeśli wymagają tego obowiązujące przepisy, którym podlega Przetwarzający, w takim przypadku Przetwarzający, o ile jest to dozwolone przez obowiązujące przepisy, powiadomi Firmę o tym wymogu przed odpowiedzią Zaangażowanego Przetwarzającego na żądanie.

7. Naruszenie Danych Osobowych

7.1 Przetwarzający niezwłocznie powiadomi Firmę po stwierdzeniu Naruszenia Danych Osobowych dotyczącego Danych Osobowych Firmy, dostarczając Firmie wystarczające informacje, aby umożliwić Firmie spełnienie jakichkolwiek obowiązków związanych ze zgłoszeniem Naruszenia Danych Osobowych lub powiadomieniem Osób, których dotyczą dane, o Naruszeniu Danych Osobowych zgodnie z Prawem o Ochronie Danych.

7.2 Przetwarzający będzie współpracować z Firmą i podejmie rozsądne komercyjne kroki zgodnie z wytycznymi Firmy w celu wsparcia w dochodzeniu, łagodzeniu i naprawieniu każdego takiego Naruszenia Danych Osobowych.

8. Ocena wpływu na ochronę danych i wcześniejsze konsultacje

8.1 Przetwarzający zapewni Firmie rozsądne wsparcie w zakresie wszelkich ocen wpływu na ochronę danych oraz wcześniejszych konsultacji z organami nadzorczymi lub innymi właściwymi organami ochrony prywatności, które Firma uzna za niezbędne zgodnie z artykułem 35 lub 36 RODO lub odpowiednimi przepisami Prawa o Ochronie Danych, w każdym przypadku wyłącznie w odniesieniu do Przetwarzania Danych Osobowych Firmy przez, oraz biorąc pod uwagę charakter Przetwarzania i informacje dostępne dla, Zaangażowanych Przetwarzających.

9. Usunięcie lub zwrot Danych Osobowych Firmy

9.1 Z zastrzeżeniem niniejszej sekcji 9 Przetwarzający niezwłocznie, a w każdym przypadku w ciągu 10 dni roboczych od daty zaprzestania świadczenia jakichkolwiek Usług obejmujących Przetwarzanie Danych Osobowych Firmy ("Data Zakończenia"), usunie i zapewni usunięcie wszystkich kopii tych danych Osobowych Firmy.

10. Prawa do audytu

10.1 Z zastrzeżeniem niniejszej sekcji 10, Przetwarzający udostępni Firmie na żądanie wszystkie informacje niezbędne do wykazania zgodności z niniejszą Umową oraz umożliwi przeprowadzenie audytów, w tym inspekcji, przez Firmę lub audytora upoważnionego przez Firmę w odniesieniu do Przetwarzania Danych Osobowych Firmy przez Zaangażowanych Przetwarzających.

10.2 Prawo do informacji i audytu Firmy powstaje na mocy sekcji 10.1 w zakresie, w jakim Umowa nie przyznaje im już praw do informacji i audytu spełniających odpowiednie wymagania Prawa o Ochronie Danych.

11. Przeniesienie Danych

11.1 Przetwarzający nie może przenosić ani zezwalać na przenoszenie Danych do krajów poza UE i/lub Europejski Obszar Gospodarczy (EOG) bez uprzedniej pisemnej zgody Firmy. Jeśli dane osobowe przetwarzane na podstawie niniejszej Umowy są przenoszone z kraju w Europejskim Obszarze Gospodarczym do kraju poza Europejskim Obszarem Gospodarczym, Strony zapewnią odpowiednią ochronę danych osobowych. W tym celu Strony, chyba że uzgodniono inaczej, będą polegać na standardowych klauzulach umownych zatwierdzonych przez UE dotyczących przenoszenia danych osobowych.

12. Warunki Ogólne

12.1 Poufność. Każda ze Stron musi zachować poufność niniejszej Umowy oraz informacji, które otrzymuje o drugiej Stronie i jej działalności w związku z niniejszą Umową („Informacje Poufne”) oraz nie może używać ani ujawniać tych Informacji Poufnych bez uprzedniej pisemnej zgody drugiej Strony, z wyjątkiem przypadków, gdy: (a) ujawnienie jest wymagane przez prawo; (b) odpowiednie informacje są już publicznie dostępne.

12.2 Powiadomienia. Wszystkie powiadomienia i komunikaty przekazywane na mocy niniejszej Umowy muszą być w formie pisemnej i będą dostarczone osobiście, wysłane pocztą lub wysłane pocztą elektroniczną na adres lub adres e-mail wskazany w nagłówku niniejszej Umowy albo na taki zaktualizowany adres, o którym Strony powiadomiły się nawzajem.

13. Prawo właściwe i jurysdykcja

13.1 Niniejsza Umowa Przetwarzania Danych jest regulowana i interpretowana zgodnie z przepisami prawa i jurysdykcją, jak określono poniżej:

Kraj lub region	Prawo właściwe	Jurysdykcja
Wszystkie inne kraje i regiony, w których dostępne jest TeleRetro	Prawo Anglii i Walii	Wyłączna
Stany Zjednoczone	Prawo Stanu Kalifornia, Stany Zjednoczone	Wyłączna; sądy stanowe i federalne w Północnej Kalifornii, Kalifornia

13.2 Wszelkie spory wynikające w związku z niniejszą Umową Przetwarzania Danych, których Strony nie będą w stanie rozwiązać polubownie, będą poddane wyłącznej jurysdykcji sądów, jak określono w powyższej tabeli, w zależności od kraju lub regionu klienta.