Warunki & Zasady

Ogólne warunki świadczenia usług przez Hospitality Digital GMBH (usługi internetowe)


Spółka Hospitality Digital GmbH Metro-Strasse 1, 40235 Düsseldorf („H.d”) oferuje przedsiębiorcom z branży hotelarskiej i gastronomicznej („Usługobiorca”) bezpłatne usługi świadczone wyłącznie za pośrednictwem sieci Internet, opisane szczegółowo poniżej („Usługi”). Dostęp do niektórych usług wymaga rejestracji Usługobiorcy.

1. Zakres stosowania

1.1 H.d realizuje Usługi oraz inne świadczenia wyłącznie na podstawie poniższych warunków świadczenia usług („OWS”).
1.2 Wszelkie przyjęte u Usługobiorcy warunki o treści odmiennej nie mają zastosowania, także w przypadku gdy H.d wyraźnie ich nie odrzuca i (lub) świadczy Usługi bez zastrzeżeń z pełną wiedzą o istnieniu sprzecznych i (lub) odmiennych warunków obowiązujących u Usługobiorcy.

2. Zakres Usług

2.1 Usługi obejmują następujące świadczenia H.d w okresie obowiązywania umowy:
(a) H.d zapewni Usługobiorcy Przestrzeń dyskową do korzystania w ramach systemów H.d, do której dostęp Usługobiorca może uzyskać za pośrednictwem sieci Internet („Przestrzeń dyskowa”), patrz par. 4.
(b) H.d udziela Usługobiorcy dostępu za pośrednictwem sieci Internet do programu komputerowego umożliwiającego Usługobiorcy tworzenie prostych stron internetowych na podstawie gotowych szablonów i przechowywanie ich w Przestrzeni dyskowej i (lub) udostępnianie ich osobom trzecim („Program”), patrz par. 5.
(c) H.d oferuje Usługobiorcy subdomenę pod nazwą „eatbu.com” zgodnie z przykładem xyz.eatbu.com, którą zamawiający może wybrać w zależności od dostępności i która jest połączona z Przestrzenią dyskową („Subdomena”), patrz punkt 6.
2.2 H.d może zaoferować Usługobiorcy dodatkowe świadczenia, których zakres zostanie uzgodniony z Usługobiorcą, realizowane z zastrzeżeniem postanowień niniejszych OWS.
2.3 H.d może dostosować Usługi oraz inne świadczenia do aktualnego stanu techniki oraz postępu technicznego lub potrzeb, pod warunkiem że tego rodzaju korekta mieści się w granicach rozsądku z punktu widzenia Usługobiorcy. H.d może zaprzestać świadczenia Usług i innych usług, przy zachowaniu rozsądnego okresu wypowiedzenia. H.d w odpowiednim terminie poinformuje Usługobiorcę o zaprzestaniu świadczenia Usług.

3. Obowiązki Usługobiorcy

3.1 Usługobiorca będzie na bieżąco aktualizował dane dotyczące jego działalności oraz dane kontaktowe podane przy zawieraniu umowy przez cały okres jej obowiązywania, niezwłocznie informując H.d o wszelkich zmianach. Ponadto Usługobiorca będzie systematycznie sprawdzał skrzynkę poczty elektronicznej, której adres został podany H.d, w celu odbierania informacji istotnych dla umowy.
3.2 Usługobiorca zabezpieczy wszystkie dane dostępowe otrzymane od H.d przed nieuprawnionym dostępem osób trzecich. Usługobiorca niezwłocznie poinformuje H.d w razie zaistnienia uzasadnionego podejrzenia lub powzięcia wiedzy o potencjalnym nieuprawnionym wykorzystaniu przekazanych danych dostępowych.
3.3 Usługobiorca przyjmuje do wiadomości, że jego strona internetowa może być kojarzona z H.d. W związku z tym Usługobiorca dołoży wszelkich niezbędnych starań, aby pod względem treści usługi oferowane przez Usługobiorcę pozostały odrębne względem usług oferowanych przez H.d lub osoby trzecie.
3.4 W przypadku stwierdzenia przez Usługobiorcę, że korzystanie przez niego z Usług lub innych świadczeń skutkuje naruszeniem prawa, Usługobiorca jest zobowiązany do niezwłocznego zaprzestania naruszania prawa i usunięcia niezgodnych z prawem treści.

4. Postanowienia szczególne dotyczące Przestrzeni dyskowej

4.1 Przestrzeń dyskowa zapewniana jest Usługobiorcy nieodpłatnie. W konsekwencji H.d nie może zagwarantować dostępności Przestrzeni dyskowej w danym zakresie. Ponadto przestrzeń dyskowa jest niedostępna w okresach prowadzenia niezbędnych prac konserwacyjnych. H.d dokłada starań, aby niedogodności spowodowane pracami konserwacyjnymi ograniczały się do absolutnego minimum. Przed zawarciem umowy H.d przekaże Usługobiorcy pozostałe dane techniczne dotyczące wydajności Przestrzeni dyskowej.
4.2 Usługobiorca zobowiązuje się i zapewnia, że wszystkie pliki, w tym pliki HTML, a także pozostałe dokumenty, teksty, zdjęcia, grafiki, kroje czcionek, filmy itp. („Treści”) będą przechowywane, publikowane i (lub) udostępniane w Przestrzeni dyskowej i (lub) za pomocą Programu zgodnie z obowiązującymi przepisami prawa. Usługobiorca w Przestrzeni dyskowej i (lub) za pomocą Programu będzie w szczególności przechowywał wyłącznie Treści, do których przysługują mu wymagane prawa, w tym prawa do korzystania i eksploatacji w świetle przepisów o prawie autorskim, a Treści te nie będą naruszały żadnych dóbr i praw osobistych osób trzecich. Ponadto Usługobiorca nie będzie przechowywał, publikował i (lub) udostępniał w Przestrzeni dyskowej i (lub) za pomocą Programu żadnych Treści sprzecznych z dobrymi obyczajami, w szczególności o charakterze pornograficznym, rasistowskim bądź dyskryminacyjnym. H.d ma prawo do usunięcia wszelkich Treści przechowywanych w Przestrzeni dyskowej i (lub) za pomocą Programu z naruszeniem par. 4, o których H.d została poinformowana przez urzędy państwowe, sądy, właściciela praw lub inne osoby trzecie lub o których poweźmie wiedzę w inny sposób.
4.3 Usługobiorca przyznaje H.d niezbędne prawa do całości Treści przechowywanych, publikowanych i (lub) udostępnianych przez niego w Przestrzeni dyskowej i (lub) za pomocą Programu, w szczególności prawa umożliwiające przechowywanie Treści i ich dostosowanie techniczne, publiczne udostępnianie oraz ich kopiowanie. H.d ma możliwość dostępu do Treści Usługobiorcy w Przestrzeni dyskowej w zakresie niezbędnym z technicznego punktu widzenia do przekazywania i (lub) publikowania Treści oraz w zakresie, w jakim jest to zgodne z udzielonymi w umowie upoważnieniami.
4.4 Jednocześnie Usługobiorca nie może uruchamiać ani organizować uruchamiania w Przestrzeni dyskowej automatycznych procesów, skryptów, programów bądź innych danych i (lub) Treści, i (lub) podejmować bezpośrednio bądź pośrednio innych działań (za pomocą Programu), które w bardziej niż nieznacznym stopniu wywarłyby niekorzystny wpływ na pracę systemów, sieci i (lub) innego sprzętu komputerowego i (lub) oprogramowania, m.in. komponentów sieciowych H.d i (lub) osób trzecich. W razie powzięcia przez H.d wiedzy o takich zakłóceniach będzie ona uprawniona do ich powstrzymania i (lub) zapobiegania ich występowaniu.
4.5 Usługobiorca będzie codziennie sporządzał kopie zapasowe umożliwiające odzyskanie Treści w Przestrzeni dyskowej bez dodatkowych kosztów.
4.6 Usługobiorca może udostępniać publicznie w Przestrzeni dyskowej tylko strony internetowe utworzone za pomocą Programu.

5. Szczególne postanowienia dotyczące Programu

5.1 Usługobiorca uzyskuje dostęp do Programu wyłącznie w celu utworzenia swojej strony internetowej oraz administrowania Przestrzenią dyskową. H.d udziela dostępu w punkcie przekazania do sieci publicznej.
5.2 Usługobiorca nie ma prawa do dostępu bądź korzystania z Programu na rzecz osoby trzeciej bądź w innych celach. Usługobiorca w szczególności nie jest upoważniony do kopiowania Programu, udostępniania go osobom trzecim, dokonywania jego dezasemblacji bądź modyfikacji w jakikolwiek inny sposób.

6. Postanowienia szczególne dotyczące Subdomeny

6.1 Rejestrując subdomenę w H.d, zamawiający zobowiązuje się przestrzegać wytycznych Internetowej Korporacji ds. Nadanych Nazw i Numerów („ICANN”) jako dostawcy domen .com jak i wytycznych odpowiednich dostawców dla dalszych „domen najwyższego poziomu”. Zamawiający może w H.d zarejestrować maksymalnie trzy subdomeny.
6.2 Usługobiorca zobowiązuje się i zapewnia, że Subdomena zostanie wybrana w ścisłej zgodności z obowiązującym prawem, w szczególności że do oznaczenia Subdomeny Usługobiorca wybierze wyłącznie nazwy, do których ma odpowiednie prawa, w tym prawa ochronne na znak towarowy i (lub) do nazwy. Usługobiorca ponadto nie zarejestruje dla Subdomeny żadnych nazw domen, które byłyby sprzeczne z zasadami współżycia społecznego i dobrymi obyczajami. H.d ma prawo do usunięcia Subdomen wybranych z naruszeniem niniejszego par. 6 ust. 2, o których zostanie poinformowana przez urzędy państwowe, sądy, właściciela praw lub inne osoby trzecie lub o których poweźmie wiedzę w inny sposób.

7. Postanowienia szczególne dotyczące dodatkowych usług

7.1 Niezależnie od postanowień par. 2 ust. 1 lit. (c) Usługobiorca może zarejestrować własną nazwę domeny i (lub) korzystać z zarejestrowanej wcześniej nazwy domeny oraz połączyć ją z Przestrzenią dyskową. W celu rejestracji H.d skieruje Usługobiorcę do usługodawcy zewnętrznego. Umowa na rejestrację własnej nazwy domeny jest zawierana między Usługobiorcą a usługodawcami zewnętrznymi. H.d nie będzie ani umawiającą się stroną, ani inną stroną takiej umowy.
7.2 H.d zapewni Usługobiorcy pomoc techniczną przy połączeniu jego własnej domeny z Przestrzenią dyskową.

8. Zawarcie, okres obowiązywania i rozwiązanie umowy

8.1 Umowę uważa się za zawartą z chwilą przyjęcia przez Usługobiorcę oferty zawarcia umowy regulującej realizację Usług oraz innych świadczeń przez H.d. Co do zasady akceptacja następuje w momencie przystąpienia H.d do świadczenia Usług.
8.2 Umowa zostaje zawarta na czas nieokreślony i może być rozwiązana w każdej chwili przez Usługobiorcę i przez H.d z zastrzeżeniem dwutygodniowego (2-tygodniowego) okresu wypowiedzenia.
8.3 H.d poinformuje o rozwiązaniu umowy w formie pisemnej lub elektronicznej. Usługobiorca co do zasady rozwiązuje umowę, wybierając w Programie odpowiednią opcję usunięcia swoich treści, a następnie potwierdzając swój wybór.
8.4 Powyższe pozostaje bez wpływu na prawa Stron do wypowiedzenia umowy ze skutkiem natychmiastowym z ważnych powodów. Ważnym powodem jest w szczególności niedopełnienie przez Usługobiorcę obowiązków określonych w par. 3, 4, 5, 6, 10 ust. 2 i 10 ust. 3.
8.5 Po rozwiązaniu umowy, bez względu na przyczynę, H.d usunie wszelkie dane przechowywane przez Usługobiorcę w Przestrzeni dyskowej na podstawie stosunku umownego, a także Subdomenę, w terminie 30 (trzydziestu) dni, chyba że Usługobiorca sam dokonał ich usunięcia za pomocą Programu.

9. Gwarancja i zakres odpowiedzialności, zabezpieczenie przed odpowiedzialnością

9.1 W związku z Usługami i świadczeniami realizowanymi przez H.d bezpłatnie na rzecz Usługobiorcy H.d dokona na rzecz Usługobiorcy rekompensaty wyłącznie z tytułu szkody poniesionej przez Usługobiorcę na skutek zatajonych wad. H.d nie ponosi żadnej dodatkowej odpowiedzialności za wady prawne i (lub) wady materiałowe dotyczące Usług i świadczeń zapewnianych na zasadzie nieodpłatnej.
9.2 H.d, osoby działające z jej polecenia lub jej przedstawiciele prawni ponoszą odpowiedzialność za Usługi i świadczenia realizowane bezpłatnie przez H.d na rzecz Usługodawcy wyłącznie w przypadku umyślnego rażącego niedbalstwa lub zawinionej utraty życia, uszkodzenia ciała lub rozstroju zdrowia, a także z tytułu zatajonych wad. W razie utraty danych odpowiedzialność H.d jest jednak ograniczona do kosztów ich odzyskania poniesionych w przypadku ich zapisania w sporządzanej codziennie kopii zapasowej. Zakres odpowiedzialności wynikający z niemieckiej ustawy o odpowiedzialności za produkt oraz ustawy o płacy minimalnej pozostaje bez zmian.
9.3 Odpowiedzialność za Treści i nazwę Subdomeny ponosi wyłącznie Usługobiorca. W związku z tym Usługobiorca na pierwsze żądanie zabezpieczy H.d, osoby działające z jej polecenia oraz jej przedstawicieli prawnych i wszystkie spółki powiązane z H.d w rozumieniu par. 15 niemieckiej ustawy o spółkach akcyjnych (AktG) przed odpowiedzialnością i zwróci im koszty w związku z roszczeniami osób trzecich wniesionymi przeciwko H.d, osobom działającym z jej polecenia, przedstawicielom prawnym i (lub) spółkom powiązanym z H.d z powodu Usług i innych świadczeń lub w związku z nimi. Dotyczy to w szczególności wszelkich naruszeń praw ochronnych na znak towarowy, praw autorskich, przepisów o ochronie danych osobowych i przepisów o ochronie konkurencji. Zabezpieczenie przed odpowiedzialnością i zwrot kosztów obejmują niezbędne koszty sądowe, w tym również koszty postępowania arbitrażowego.

10. Ochrona danych, poufność

10.1 Firma H.d ponosi odpowiedzialność za przetwarzanie danych osobowych zebranych przez Zleceniodawcę. Firma H.d przetwarza dane osobowe wyłącznie w celu realizacji niniejszej umowy, na przykład aby nawiązać kontakt i świadczyć usługi. Realizacja niniejszej umowy bez podania danych osobowych jest niemożliwa. Przetwarzanie danych osobowych oparto na Artykule 6 Par. 1 Klauzuli 1 (b) Ogólnego rozporządzenia o ochronie danych (RODO). Dane osobowe Zleceniodawcy zostaną usunięte po wygaśnięciu umowy, chyba że mają zastosowanie zobowiązania prawne wymagające przechowywania danych osobowych przez dłuższy czas. W takim przypadku nie można użyć danych osobowych do innych celów i są usuwane po upłynięciu ustawowego okresu przechowywania. Dla celów wdrożenia tej umowy firma H.d korzysta z pomocy usługodawców, na przykład z branży hostingu, w celu konserwacji i świadczenia innych usług. Ci usługodawcy mogą być firmami zewnętrznymi, a także firmami współpracującymi z firmą H.d zgodnie z Częścią 15 i kolejnymi Niemieckiej ustawy o spółkach akcyjnych (AktG) za pośrednictwem kontraktów z usługodawcami. Firma H.d zapewnia, że dane osobowe są przetwarzane zgodnie z wymaganiami RODO. Dotyczy to także przypadków przetwarzania danych poza UE/EOG. Aby skorzystać z praw Zleceniodawcy zgodnie z RODO, tj. prawa do:

· otrzymania informacji o przetwarzaniu jego danych osobowych, a także otrzymania kopii tych danych (Art. 15 RODO);

· poprawienia nieprawidłowych danych i uzupełnienia niekompletnych danych osobowych (Art. 16 RODO);

· usunięcia jego danych osobowych i, jeżeli zostały upublicznione, wymagania od firmy H.d poinformowania innych odpowiedzialnych osób o wniosku dotyczącym usunięcia (Art. 17 RODO;

· ograniczenia przetwarzania jego danych osobowych (Art. 18 RODO);

· przenoszalności danych, w celu przekazania jego danych osobowych w formacie uporządkowanym, powszechnie używanym i możliwym do odczytania przez maszyny; wymagania od firmy H.d przekazania danych bez przeszkód innej osobie odpowiedzialnej (Art. 20 RODO);

· odwołania od decyzji o przetwarzaniu danych (Art. 21 RODO),

Zleceniodawca może w dowolnej chwili skontaktować się z inspektorem ochrony danych firmy H.d (privacy@hd.digital). Klient ma także prawo do złożenia skargi do odpowiedniego organu nadzorczego, o ile uzna, że przetwarzanie danych jest niezgodne z RODO (Art. 77 RODO).
10.2 Wobec osób trzecich Usługobiorca odpowiada wyłącznie za przestrzeganie odpowiednich przepisów o ochronie danych, co obejmuje wywiązywanie się z istniejących obowiązków informacyjnych w związku z utworzoną przez Usługobiorcę za pomocą Programu stroną internetową.
10.3 W okresie trwania umowy oraz przez okres dwóch lat od jej zakończenia Strony nie udostępnią osobom trzecim żadnych informacji poufnych i nie będą ich wykorzystywać do celów, które nie służą umowie. Za informacje poufne uważa się wszystkie przekazane Usługobiorcy informacje dotyczące danych technicznych I wiedzy specjalistycznej (know-how), a także informacje opatrzone przez Stronę klauzulą poufności oraz posiadające wartość gospodarczą.
10.4 Obowiązek zachowania poufności nie dotyczy informacji, które stały się znane drugiej Stronie bez naruszenia poufności przez jedną ze Stron lub które stały się lub są już publicznie znane lub podlegają udostępnieniu osobom trzecim ze względu na przepisy ustawowe, postanowienie sądu lub postanowienie organu administracji państwowej, lub też wymagają analizie przez osobę trzecią zobowiązaną do zachowania tajemnicy, w zamiarze nabycia jednej ze spółek.

11. Wynagrodzenie

11.1 Z tytułu świadczenia Usług przez H.d Usługobiorca nie jest zobowiązany do zapłaty żadnego wynagrodzenia. Usługi są realizowane nieodpłatnie.
11.2 Par. 11 ust. 1 nie odnosi się do usługi świadczonych w ramach usług rozszerzonych przez osoby trzecie.

12. Postanowienia różne

12.1 H.d może powierzyć wykonywanie części lub całości swoich zobowiązań wynikających z postanowień niniejszej umowy, w szczególności świadczenie Usług, podwykonawcom. H.d zamierza powierzyć realizację Usług swojej spółce zależnej Hospitality.systems GmbH.
12.2 H.d ma prawo do zmiany niniejszych OWS za uprzednim powiadomieniem Usługobiorcy ze wskazaniem planowanych zmian. H.d może wprowadzić zmiany do niniejszych OWS wyłącznie w zakresie uzasadnionym z punktu widzenia Usługobiorcy, przy czym zmiany takie nie będą dotyczyły głównych obowiązków umownych, nie będą też stawiały Usługobiorcy w ogólnie gorszym położeniu. Zamierzone już przeniesienie praw i obowiązków H.d, o którym mowa w niniejszych warunkach, na spółkę zależną Hospitality.systems GmbH uważa się za uzasadnione. Usługobiorca ma prawo do zgłoszenia zastrzeżeń do zmiany OWS w terminie 6 (sześciu) tygodni od otrzymania zawiadomienia albo do wypowiedzenia umowy ze skutkiem natychmiastowym. W przypadku niezgłoszenia przez Usługobiorcę zastrzeżeń do zmiany OWS lub zgłoszenia ich po upływie terminu przyjmuje się, że wyraził on zgodę na dokonanie zmiany. H.d poinformuje Usługobiorcę o skutkach niezgłoszenia zastrzeżeń i o prawie do wypowiedzenia umowy ze skutkiem natychmiastowym w każdym zawiadomieniu dotyczącym zmiany OWS.
12.3 Jeżeli postanowienie niniejszej umowy okaże się lub stanie się w całości lub częściowo nieważne, bezskuteczne, nierealne lub niewykonalne („postanowienie obarczone błędem”), pozostaje to bez wpływu na skuteczność i wykonalność pozostałych postanowień umowy. Już teraz Strony zobowiązują się w razie stwierdzenia błędu w postanowieniu do uzgodnienia w miejsce postanowienia obarczonego błędem postanowienia, które w zakresie dozwolonym prawem będzie maksymalnie odzwierciedlało zamierzenia Stron zgodnie z sensem i celem umowy. Jeżeli postanowienie jest obarczone błędem ze względu na zakres świadczenia usługi lub określone w nim terminy (termin nieprzekraczalny lub wymagalny), należy w granicach dozwolonych prawem uzgodnić postanowienie, które w maksymalnym stopniu odpowiada pierwotnemu zakresowi uregulowania. To samo dotyczy ewentualnych luk prawnych w niniejszej umowie. Wyraźnym zamiarem Stron nie jest, aby niniejsza klauzula salwatoryjna skutkowała jedynie odwróceniem ciężaru dowodu, ale wyłączenie w całości zastosowania przepisów par. 139 niemieckiego kodeksu cywilnego (BGB).
12.4 Niniejsza umowa oraz wszelkie roszczenia i prawa wynikające z umowy lub w związku z nią podlegają wyłącznie prawu niemieckiemu i zgodnie z nim będą interpretowane i egzekwowane. Przepisy prawa prywatnego międzynarodowego nie mają zastosowania. Nie stosuje się postanowień Konwencji Organizacji Narodów Zjednoczonych w sprawie umów międzynarodowej sprzedaży towarów (CISG).
12.5 Niniejsza umowa została zawarta w języku angielskim oraz w języku [francuskim / włoskim]. Dla uniknięcia wątpliwości Strony uzgadniają, że moc nadrzędną ma wersja angielska.
12.6 Wyłączną właściwość dla wszelkich sporów wynikających z niniejszej umowy, faktu jej zawarcia lub wykonywania lub w związku z nimi – w zakresie dozwolonym prawem – mają sądy w Düsseldorfie.

Stand: Mai 2018/ AG

PRZETWARZANIE ZAMÓWIENIA

Potwierdzając Ogólne warunki handlowe, Zleceniodawca („Osoba odpowiedzialna”) i H.d („Podmiot przetwarzający”), określane wspólną nazwą „Strony”, pojedynczo „Strona”, zawierają także następującą Umowę o przetwarzaniu danych („UPD”).

Wstęp

W kontekście działalności biznesowej oraz zgodnie z powyższymi Ogólnymi warunkami handlowymi, Podmiot przetwarzający otrzymuje dane osobowe, za które odpowiada Osoba odpowiedzialna. Strony zgadzają się na postanowienia tej umowy UPD w celu spełnienia zobowiązań stron do ochrony danych zgodnie z europejskimi przepisami o ochronie danych, a w szczególności z Rozporządzeniem o ochronie danych (Artykuł 28 RODO).

1. Definicje

1.1 Dane osobowe oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do identyfikacji osoby fizycznej („Osoba zainteresowana”). Osobę fizyczną uznaje się za możliwą do identyfikacji, gdy można ją zidentyfikować bezpośrednio lub pośrednio, w szczególności przez skojarzenie z identyfikatorem, takim jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator online albo co najmniej jedną cechę specjalną, która określa tożsamość fizyczną, fizjologiczną, genetyczną, umysłową, ekonomiczną, kulturową lub społeczną tej osoby fizycznej (zwane dalej „Danymi”).

1.2 Przetwarzanie danych w imieniu innej osoby to gromadzenie, przetwarzanie lub używanie danych przez Podmiot przetwarzający w imieniu Osoby odpowiedzialnej.

2. Przedmiot i treść zamówienia

2.1 Przedmiot i okres realizacji zamówienia

Szczegóły i okres realizacji zamówienia wynikają z powyższych Ogólnych warunków handlowych.

2.2 Rodzaj danych

Rodzaj danych jest szczegółowo opisany w Ogólnych warunkach handlowych w Oświadczeniu o ochronie danych.

2.3 Cel gromadzenia, przetwarzania lub wykorzystania danych

Cel gromadzenia, przetwarzania lub wykorzystania danych jest szczegółowo opisany w Ogólnych warunkach handlowych w Oświadczeniu o ochronie danych.

2.4 Charakter i zakres gromadzenia, przetwarzania i wykorzystania danych

Charakter i zakres gromadzenia, przetwarzania lub wykorzystania danych jest szczegółowo opisany w Ogólnych warunkach handlowych w Oświadczeniu o ochronie danych.

2.5 Kategoria osób zainteresowanych

(a) Własne dane Zleceniodawcy

(b) Klienci

2.6 Środki techniczne i organizacyjne

(a) Środki techniczne i organizacyjne, która musi zastosować podmiot przetwarzający będą określone w Załączniku (patrz poniżej) do tej umowy UPD. Podmiot przetwarzający dane będzie regularnie dostosowywał te środki do aktualnego stanu technicznego na własny koszt, pod warunkiem że uzgodniony poziom ochrony nie został obniżony, a Osoby odpowiedzialne zostaną natychmiast poinformowane.

(b) Wymagane jest, aby Podmiot przetwarzający zezwolił Osobie odpowiedzialnej na weryfikacje lokalnej zgodności ze środkami technicznymi i organizacyjnymi przed rozpoczęciem przetwarzania zgodnie z tą umową. Nie wpływa to na prawo do audytu Osoby odpowiedzialnej zgodnie z Punktem 2.10.(c) Podmiot przetwarzający zapewni, że systemy przetwarzania danych używane na podstawie umowy UPD będą zgodne ze standardami „ochrony danych już w fazie projektowania” oraz „ochrony danych jako opcji domyślnej” zgodnie z aktualnym stanem technicznym.

2.7 Poprawianie, usuwanie i blokowanie danych, prawo do przenoszenia danych i prawo do sprzeciwu

(a) Prawa osób zaangażowanych do przetwarzania danych przez podmiot przetwarzający, w szczególności do sprostowania, wymazania i zablokowania, przenoszenia danych i sprzeciwu będą zapewnione administratorowi danych. Jest on odpowiedzialny za ochronę tych praw.

(b) W ramach prac wykonywanych dla Osoby odpowiedzialnej Podmiot przetwarzający jest zobowiązany do niezwłocznego przekazania wszystkich żądań skierowanych do niej przez osoby, których dotyczą dane do osoby odpowiedzialnej za właściwe przetwarzanie. Jeżeli Osoba odpowiedzialna i Podmiot przetwarzający działają wspólnie jako zewnętrzne osoby odpowiedzialne, Podmiot przetwarzający jest uprawniony do niezależnego udzielenia odpowiedzi na to żądanie.

(c) Wymagane jest także, aby Podmiot przetwarzający udzielił Osobie odpowiedzialnej pomocy dotyczącej odpowiednich środków technicznych i organizacyjnych w celu wypełnienia jej zobowiązania do udzielenia odpowiedzi osobom, które dotyczą dane.

(d) Zgodnie z instrukcjami Osoby odpowiedzialnej Podmiot przetwarzający sprostuje, zawiesi przetwarzanie i/lub usunie dane natychmiast, ale nie później niż w ciągu pięciu (5) dni i poinformuje Podmiot przetwarzający do tego dnia.

2.8 Obowiązki Podmiotu przetwarzającego

(a) Podmiot przetwarzający może gromadzić, przetwarzać i wykorzystywać dane wyłącznie w kontekście zamówienia i udokumentowanych instrukcji Osoby odpowiedzialnej.

(b) Podmiot przetwarzający musi regularnie stosować się do środków technicznych i organizacyjnych zdefiniowanych w Klauzuli 2.6 tej umowy UPD i na żądanie przesyłać informacje na ten temat.

(c) Inspektor ochrony danych jest wyznaczony jako osoba kontaktowa do ochrony danych u Podmiotu przetwarzającego. Można się z nim skontaktować pod adresem privacy@hd.digital. W razie potrzeby Podmiot przetwarzający wyznacza także przedstawiciela zgodnie z wymaganiami art. 27 RODO.

(d) Podmiot przetwarzający jest odpowiedzialny za zachowanie poufności. Dowolna osoba u Podmiotu przetwarzającego upoważniona do dostępu do danych Osoby odpowiedzialnej będzie zobowiązana do zachowania poufności lub objęta odpowiednią tajemnicą zawodową i musi zostać poinformowana o szczególnych zobowiązaniach do ochrony danych wynikających z tej umowy UPD, a ponadto, istniejących instrukcjach i celu. Podmiot przetwarzający udokumentuje te zobowiązania na piśmie i przekaże je na żądanie Osoby odpowiedzialnej.

2.9 Uzasadnienie warunków podzlecenia

(a) Uzasadnienie relacji podzlecenia jest dozwolone. Podmiot przetwarzający poinformuje wcześniej Osobę odpowiedzialną o odpowiedniej zmianie. Osoba odpowiedzialna ma prawo do sprzeciwu.

(b) W przypadku przejmowania od innych podmiotów przetwarzających Podmiot przetwarzający zapewni za pomocą umowy, że zobowiązania Podmiotu przetwarzającego przypisane zgodnie z tą umową UPD będą mieć także zastosowanie do drugiego Podmiotu przetwarzającego.

(c) Podmiot przetwarzający będzie regularnie i doraźnie kontrolował środki techniczne i organizacyjne stosowane przez inne podmioty przetwarzające w okresie podzlecenia w celu ochrony przekazanych danych. Przesyłanie danych jest dozwolone, wyłącznie jeśli drugi Podmiot przetwarzający zastosował wymagane środki techniczne i organizacyjne co najmniej w zakresie określonym w tej umowie UPD.

(d) Podmiot przetwarzający ponosi pełną odpowiedzialność za zatrudnianych podwykonawców.

2.10 Prawa do audytu przysługujące Osobie odpowiedzialnej

Osoba odpowiedzialna jest upoważniona do weryfikacji zgodności z odpowiednimi przepisami o ochronie danych i umową UPD w standardowych godzinach pracy. Podmiot przetwarzający zgadza się przekazać Osobie odpowiedzialnej wszystkie informacje uznane za wymagane do przeprowadzenia kontroli w uzasadnionym terminie. W przypadku gdy Osoba odpowiedzialna uzna, że wymagany jest audyt w siedzibie Podmiotu przetwarzającego, Podmiot przetwarzający zapewni, że osoba odpowiedzialna za przeprowadzenie audytu będzie miała dostęp do biura oraz możliwość lokalnej inspekcji przechowywanych danych i programów do przetwarzania danych Podmiotu przetwarzającego. Osoba odpowiedzialna jest upoważniona do przeprowadzenia testu przez osobę trzecią (egzaminatora) wyznaczonego w indywidualnych przypadkach. Osoba odpowiedzialna musi zgłosić wykonanie takiego audytu na piśmie co najmniej dwadzieścia (20) dni roboczych wcześniej. Koszt przeprowadzenia audytu i koszty poniesione przez Podmiot przetwarzający przy normalnych stawkach rynkowych ponosi Osoba odpowiedzialna.

2.11 Powiadomienia o naruszeniach przez Podmiot przetwarzający

(a) Podmiot przetwarzający powiadomi Osobę odpowiedzialną niezwłocznie, a najpóźniej w ciągu (48) godzin po wykryciu, o wszystkich przypadkach naruszenia zasad określających ochronę danych Osoby odpowiedzialnej lub warunków wymienionych w tej umowie UPD przez Podmiot przetwarzający lub osoby albo podwykonawców przez niego zatrudnione.

(b) Osoba odpowiedzialna zostanie powiadomiona o wszystkich przypadkach utraty lub niezgodnego z prawem przesłania albo odbioru przez inne firmy, bez względu na przyczynę. Podmiot przetwarzający, w porozumieniu z Osobą odpowiedzialną, podejmą odpowiednie środki, aby zabezpieczyć dane i uniknąć ewentualnych niepożądanych konsekwencji dla osób, których dotyczą dane. W zakresie, w jakim osoby odpowiedzialne wypełnią zobowiązania do powiadomienia Podmiot przetwarzający pomoże Osobie odpowiedzialnej w wypełnieniu tych zobowiązań.

2.12 Instrukcje Osoby odpowiedzialnej

(a) Przetwarzanie danych Osoby odpowiedzialnej przez Podmiot przetwarzający będzie miało miejsce wyłącznie w kontekście umowy UPD i określonych instrukcji podanych przez Podmiot przetwarzający.

(b) Podmiot przetwarzający, niezwłocznie lub – w stosownych przypadkach – w czasie określonym przez Osobę odpowiedzialną, zastosuje się do (poszczególnych) instrukcji dotyczących charakteru, zakresu i metody przetwarzania.

(c) Podmiot przetwarzający niezwłocznie powiadomi Osobę odpowiedzialną, jeżeli według Podmiotu przetwarzającego instrukcje podane przez Osobę odpowiedzialną naruszają przepisy o ochronie danych. Podmiot przetwarzający będzie uprawniony do zawieszenia wykonania odpowiedniej instrukcji do momentu jej potwierdzenia lub zmiany przez Osobę odpowiedzialną.

2.13 Usunięcie po zrealizowaniu zamówienia

Po wykonaniu prac wynikających z umowy Podmiot przetwarzający musi przekazać wszystkie dane przetworzone dla Osoby odpowiedzialnej lub, po wcześniejszym uzyskaniu zgody Osoby odpowiedzialnej, zniszczyć je zgodnie z zasadami ochrony danych lub usunąć zgodnie z aktualnym stanem technicznym. Prawo do przechowywania jest wykluczone w odniesieniu do dokumentów, danych, wyników przetwarzania i wykorzystania oraz powiązanych nośników danych, chyba że prawo Unii Europejskiej lub państwa członkowskiego UE wymaga przechowywania danych.

3. Dodatkowe zobowiązania podmiotu przetwarzającego

3.1 Podmiot przetwarzający wykorzystuje podane dane do ich przetwarzania tylko w określonym celu. Nie można tworzyć kopii ani duplikatów danych bez wiedzy i wcześniejszej pisemnej zgody Osoby odpowiedzialnej, chyba że wynika to z usług zamówionych na podstawie umowy UPD. Podmiot przetwarzający zapewni, że dane przetworzone przez niego dla Osoby odpowiedzialnej będą oddzielone od innych danych. Przesyłanie danych osoby odpowiedzialnej przez Podmiot przetwarzający do innych firm nie odbywa się bez pisemnej zgody Osoby odpowiedzialnej.

3.2 Osoba odpowiedzialna udzieli uzasadnionej pomocy osobom odpowiedzialnym za ochronę przed roszczeniami na podstawie rzekomego lub rzeczywistego niespełnienia wymagań dotyczących ochrony danych. Osoba odpowiedzialna zbada skargi podmiotów, których dotyczą dane w kontekście odpowiedzialności Osoby odpowiedzialnej za ochronę danych w odpowiedni sposób i i rozpatrzy skargi osób, których dotyczą dane.

3.3 Podmiot przetwarzający przyjmuje do wiadomości, że informacje są przekazywane odpowiednim osobom na podstawie prawa do informacji wyłącznie przez Osobę odpowiedzialną lub osobę przez nią upoważnioną. Podmiot przetwarzający jest zobowiązany do podania Osobie odpowiedzialnej wymaganych informacji w odpowiednim czasie i udzielenia jej pomocy. Jeśli Podmiot przetwarzający działa jako zewnętrzna Osoba odpowiedzialna, na te zapytania można także udzielić odpowiedzi i poinformować osobę odpowiedzialną.

3.4 W stosownych przypadkach Podmiot przetwarzający udzieli pomocy administratorowi danych w przygotowaniu wymaganych spisów procedur.

3.5 Podmiot przetwarzający udzieli pomocy Osobie odpowiedzialnej w przeprowadzeniu oceny wpływu na ochronę danych, gdy typ przetwarzania może spowodować duże ryzyko dla praw i swobód osób fizycznych.

3.6 Podmiot przetwarzający zgadza się niezwłocznie poinformować Osobę odpowiedzialną o wynikach kontroli przeprowadzonej przez organy nadzorujące ochronę danych, o ile są one związane z tą umową UPD. Podmiot przetwarzający poinformuje osoby odpowiedzialne o wszelkich skargach organów nadzorujących ochronę danych dotyczących zakresu odpowiedzialności Podmiotu przetwarzającego i naprawi szkody związane ze skargami zgodnie z wymaganiami prawa.

4. Odpowiedzialność

4.1 Do obowiązków Osoby odpowiedzialnej należy dopuszczalność przetwarzania danych, a także za ochrona praw osób, których dotyczą dane.

4.2 Na zasadzie odstępstwa od części 4.1, Podmiot przetwarzający dane jest odpowiedzialny za roszczenia osób, których dotyczą dane spowodowane naruszenie odpowiednich postanowień prawnych lub postanowień umowy UPD.

4.3 W odniesieniu do Osoby odpowiedzialnej Podmiot przetwarzający odpowiada tylko za umyślne działanie i rażące zaniedbanie w zakresie prawnie dozwolonego wykluczenia odpowiedzialności i ograniczeń.

5. Postanowienia końcowe

5.1 Administrator danych niezwłocznie i dokładnie poinformuje podmiot przetwarzający, jeśli w trakcie kontroli wykryje błędy lub nieprawidłowości w przetwarzaniu danych przez Podmiot przetwarzający.

5.2 Niniejsza umowa UPD może być modyfikowana i wypowiedziana zgodnie z tymi samymi warunkami handlowymi, co powyższe Ogólne warunki handlowe.

5.3 Nieważność co najmniej jednego postanowienia tej umowy UPD nie wpływa na skuteczność umowy UPD. W przypadku nieskuteczności co najmniej jednego postanowienia tej umowy UPD Strony przyjmą prawnie skuteczne postanowienie zastępcze w możliwie najoszczędniejszy sposób w przypadku nieskutecznego postanowienia. Dotyczy to także luk prawnych.

5.4 Umowa UPD podlega tym samym prawom, co powyższe Ogólne warunki handlowe.

5.5 W przypadku sprzeczności umowy UPD i innych umów między stronami, pierwszeństwo mają postanowienia tej umowy UPD.

Stan: 2018/AG


Środki techniczne i organizacyjne

Uwzględniając aktualny stan techniczny, koszty wdrożenia oraz charakter, zakres, okoliczności i cele przetwarzania, a także różne prawdopodobieństwo i wagę ryzyka dotyczącego praw i swobód osób fizycznych, aby zapewnić poziom ochrony proporcjonalny do ryzyka, Podmiot przetwarzający zastosuje odpowiednie środki techniczne i organizacyjne, takie jak:

• pseudonimizację i szyfrowanie danych;

• możliwość stałego zapewnienia poufności, spójności, dostępności i bezpieczeństwa systemów i usług przetwarzania;

• możliwość szybkiego przywrócenia dostępności danych w przypadku incydentów fizycznych lub technicznych;

• proces okresowej weryfikacji, oceny i analizy skuteczności środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania.

Bez uszczerbku dla powyższych postanowień zostaną podjęte następujące określone działania:

1. Kontrola dostępu

Środki uniemożliwiające osobom nieupoważnionym uzyskanie dostępu do systemu przetwarzania danych służącego do przetwarzania danych:

• określenie grupy osób upoważnionych i utworzenie odpowiedniej dokumentacji;

• elektroniczna kontrola dostępu;

• wydanie identyfikatorów dostępu;

• przekazanie wytycznych osobom z zewnątrz;

• alarm lub ochrona poza godzinami pracy;

• podział obiektu na różne strefy ochrony;

• przekazanie wytycznych dotyczących korzystania z kluczy (kart);

• zabezpieczone drzwi (elektroniczny zamek, czytnik identyfikatorów, kamera przemysłowa);

• zastosowanie lokalnych środków zabezpieczeń (np. wykrywanie/powiadamianie o wtargnięciu).

2. Kontrola dostępu

Środki uniemożliwiające osobom nieupoważnionym korzystanie z systemów i procedur przetwarzania danych:

• określenie grupy osób, które mają dostęp do systemów przetwarzania danych;

• przekazanie wytycznych osobom z zewnątrz;

• ochrona komputerów osobistych hasłem.

3. Kontrola dostępu

Środki zapewniające, że osoby upoważnione do korzystania z technik przetwarzania danych mają dostęp tylko do danych zgodnych z ich upoważnieniem:

• zastosowanie uprawnień ograniczonego dostępu na podstawie odpowiednich danych i funkcji;

• obowiązek identyfikacji urządzeń do przetwarzania danych (np. za pomocą identyfikatora i uwierzytelniania);

• wprowadzenie zasad dotyczących dostępu i ról użytkowników;

• ocena protokołów na wypadek szkodliwego zdarzenia.

4. Kontrola przesyłania

Środki zapewniające ochronę przed odczytaniem, skopiowaniem, zmianą lub usunięciem podczas przesyłania w formie elektronicznej albo podczas transportu lub przechowywania na nośnikach danych, a także możliwość sprawdzenia i określenia, na którym etapie możliwe jest przesyłanie danych.

• Szyfrowanie

5. Kontrola wprowadzania

Środki umożliwiające późniejszą weryfikację i określenie, czy i przez kogo dane zostały wprowadzone, zmienione lub usunięte z systemów IT.

• Rejestrowanie wprowadzania danych.

6. Kontrola zleceń

Środki zapewniające, że przetwarzanie danych na zlecenie odbywa się wyłącznie zgodnie z instrukcjami Osoby odpowiedzialnej.

• dokumentacja różnych kompetencji i obowiązków Osoby odpowiedzialnej i Podmiotu przetwarzającego;

• oficjalne przekazanie do eksploatacji;

• kontrola wyników pracy.

7. Kontrola dostępu

Środki zapewniające ochronę danych przed przypadkowym zniszczeniem lub utratą.

• wdrożenie planu regularnego tworzenia kopii zapasowych;

• bezpieczne przechowywanie kopii zapasowych danych w szafach ognioodpornych i zabezpieczonych przed zalaniem;

• regularna kontrola systemu zasilania awaryjnego i systemu przeciwprzepięciowego;

• wprowadzenie planu działania w sytuacjach awaryjnych;

• protokół wprowadzania działań na wypadek sytuacji kryzysowej i/lub awaryjnej.

8. Kontrola rozdzielenia

Środki zapewniające, że dane gromadzone dla różnych celów mogą być przetwarzane osobno.

• rozdzielenie danych poszczególnych klientów Podmiotu przetwarzającego.

Stan: maj 2018/AG