Umowa powierzenia przetwarzania danych osobowych ( „Umowa”)

Zważywszy, że:

  1. Usługa świadczona Klientowi przez GetResponse („Usługa”) może wymagać przetwarzania Danych Osobowych (określonych poniżej) przez GetResponse, Strony chcą zapewnić zgodność przetwarzania Danych Osobowych z przepisami prawa, w szczególności z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (“RODO”)
  2. Klient jest administratorem danych osobowych, które są przetwarzane przy wykorzystaniu Usługi „(„Dane Osobowe”) lub działa na podstawie upoważnienia administratora Danych Osobowych. Szczegółowy opis Danych Osobowych oraz kategorie osób, których Dane Osobowe dotyczą jest dostępny na stronie www.getresponse.pl/informacje-prawne/max-umowa-powierzenia-opis-przetwarzania.

1. Przedmiot umowy

  1. Zgodnie z art. 28 ust. 3 RODO, Klient powierza GetResponse przetwarzanie Danych Osobowych, a GetResponse powierzenie przyjmuje.
  2. GetResponse zobowiązuje się do przetwarzania Danych Osobowych: (i) zgodnie z obowiązującymi przepisami prawa oraz Umową, (ii) wyłącznie w celu świadczenia przez GetResponse Usługi na rzecz Klienta, (iii) w zakresie i celu zgodnym z opisem rodaju i kategorii przetwarzanych danych osobowych, zamieszczonym na stronie www.getresponse.pl/informacje-prawne/max-umowa-powierzenia-opis-przetwarzania, zgodnie z zakresem opisanym tam czynności i ich charakteru a przetwarzanie nastąpi od momentu rozpoczęcia świadczenia Usługi do momentu rozwiązania Umowy, z zastrzeżeniem §7 ust. 2 Umowy.
  3. Rola GetResponse ograniczona jest do udostępnienia Klientowi narzędzi (poprzez funkcjonalności Usługi) do wykorzystania w celu przetwarzania Danych Osobowych. GetResponse nie ma wpływu na zakres Danych Osobowych przetwarzanych przez Klienta w Usłudze, a rola GetResponse ogranicza się jedynie do wskazania minimalnego zakresu Danych Osobowych niezbędnych do prawidłowego korzystania z Usługi. GetResponse nie ustala celów i sposobów przetwarzania i nie monitoruje zakresu i poprawności tych danych, legalności podstaw ich przetwarzania ani poprawności przetwarzania przez Klienta.

2. Oświadczenia Klienta

  1. Klient oświadcza, że Dane Osobowe zostały pozyskane i są przetwarzane przez niego zgodnie z obowiązującymi przepisami prawa, w tym zgodnie z RODO. Klient potwierdza w szczególności, że (i) zebrał i posiada wymagane przepisami prawa zgody na prowadzenie działań marketingu bezpośredniego, (ii) przekazał osobom, których dane dotyczą informacje o przetwarzaniu ich danych w zakresie i w sposób wymagany przez RODO, oraz że (iii) jest uprawniony do przetwarzania Danych Osobowych i powierzenia ich do przetwarzania GetResponse w zakresie i celu przetwarzania zgodnie z opisem zamieszczonym na stronie www.getresponse.pl/informacje-prawne/max-umowa-powierzenia-opis-przetwarzania .
  2. Ponadto, jeśli Klient nie jest administratorem Danych Osobowych, potwierdza, że uzyskał wymaganą przepisami RODO zgodę właściwego administratora na powierzenie GetResponse dalszego przetwarzania Danych Osobowych w takim celu i zakresie.Klient potwierdza, że techniczne i organizacyjne środki dotyczące ochrony Danych Osobowych wdrożone przez GetResponse, są w jego ocenie odpowiednie i wystarczające dla ochrony praw osób, których Dane Osobowe dotyczą i uznaje, że GetResponse zapewnia wystarczające gwarancje ochrony w tym zakresie. Opis wdrożonych środków jest dostępny na stronie stronie www.getresponse.pl/informacje-prawne/max-umowa-powierzenia-opis-srodkow
  3. W gestii Klienta leży odpowiednie zabezpieczenie danych logowania do Konta w sposób uniemożliwiający dostep do nich osobom nieuprawnionym, zabezpieczenie przesyłu danych, które przesyła GetResponse w celu korzystania z Usługi jak również szyfrowanie i tworzenie własnych kopii zapasowych Danych Osobowych powierzanych GetResponse.

3. Polecenia Klienta

  1. GetResponse będzie przetwarzać Dane Osobowe wyłącznie zgodnie z poleceniami Klienta oraz powszechnie obowiązującymi przepisami prawa.
  2. Polecenia Klienta znajdują się w Umowie oraz Umowie o Świadczenie Usługi lub są zlecane i wykonywane za pośrednictwem funkcjonalności udostępnionych przez GetResponse w Usłudze. Klient jest zobowiązany zapewnić, że wszelkie polecenia przekazywane GetResponse są zgodne z obowiązującymi przepisami prawa.
  3. Dalsze polecenia, które wykraczają poza polecenia określone w ust. 2 powyżej, mogą dotyczyć jedynie przedmiotu Umowy lub Umowy o Świadczenie Usługi. Jeżeli wdrożenie dalszych poleceń może skutkować kosztami dla GetResponse, GetResponse poinformuje Klienta o takich kosztach wraz z wyjaśnieniem wysokości kosztów przed wykonaniem polecenia. Po potwierdzeniu przez Klienta, że poniesie on koszty wykonania polecenia oraz po ich zapłacie przez Klienta, GetResponse jest zobowiązany do realizacji dalszego polecenia pod warunkiem, że pozwalają na to możliwości techniczne i organizacyjne GetResponse. Klient udziela dalszych poleceń na piśmie, chyba że pilny charakter lub inne szczególne okoliczności uzasadniają udzielenie poleceń w formie elektronicznej. Polecenia w formie innej niż pisemna powinny być niezwłocznie odpowiednio udokumentowane.
  4. GetResponse niezwłocznie informuje Klienta,zwracając się do Klienta o wycofanie, zmianę lub potwierdzenie takiego polecenia. Do czasu podjęcia przez Klienta decyzji w zakresie wykonania zakwestionowanego polecenia, GetResponse zawiesza wykonanie takiego polecenia, a w przypadku, w którym wykonanie polecenia pomimo złożenia wyjaśnień prowadziłoby do naruszenia przepisów prawa GetResponse jest uprawniony do dalszego powstrzymania się od jego realizacji.

4. Oświadczenia i zobowiązania GetResponse

  1. GetResponse, zgodnie z art. 32 RODO, wdrożył odpowiednie środki techniczne i organizacyjne, mające na celu zabezpieczenie przetwarzania Danych Osobowych. Opis wdrożonych środków jest opisany na stronie www.getresponse.pl/informacje-prawne/max-umowa-powierzenia-opis-srodkow. GetResponse może zmienić wdrożone środki, pod warunkiem, że nie będą one zapewniały niższego poziomu ochrony niż środki wdrożone w momencie zawarcia Umowy. Na wniosek Klienta GetResponse przekaże Klientowi dalsze informacje niezbędne Klientowi do wykazania spełnienia obowiązków określonych w art. 28 RODO.
  2. GetResponse zobowiązuje się do zabezpieczenia Danych Osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, uszkodzeniem, zniszczeniem lub utratą i podejmie wszelkie niezbędne kroki służące zachowaniu w tajemnicy Danych Osobowych oraz sposobu ich zabezpieczenia zgodnie z obowiązującymi przepisami.
  3. GetResponse oświadcza, że wszystkie osoby upoważnione do przetwarzania Danych Osobowych są zobowiązane do zachowania poufności, a za ich działanie lub zaniechanie GetResponse odpowiada jak za swoje własne.
  4. Na Kliencie spoczywa obowiązek wykonania żądań osób, których dotyczą Dane Osobowe oraz przygotowania odpowiedzi na te żądania. GetResponse zobowiązuje się do wsparcia Klienta, w miarę swoich możliwości i w rozsądnym zakresie, w wywiązywaniu się przez niego z tego obowiązku, w szczególności poprzez zastosowanie odpowiednich i możliwych środków technicznych i organizacyjnych niezbędnych Klientowi do umożliwienia skorzystania przez osoby z uprawnień przysługujących im na mocy Rozdziału III RODO. Jeśli osoba, której dane dotyczą, skontaktuje się bezpośrednio z GetResponse, GetResponse natychmiast przekazuje żądanie tej osoby do Klienta. Bez wyraźnej instrukcji klienta GetResponse nie zrealizuje odpowiedzi na to żądanie.
  5. GetResponse będzie wspierać Klienta w wykonywaniu praw roszczeń i osób, których dane dotyczą, w uzasadniony sposób, który wynika z zakresu świadczonej przez GetResponse, przekazując Klientowi niezbędne informacje. W zakresie wspierania Klienta w prowadzeniu oceny skutków dla ochrony danych i uprzednich konsultacji z organem nadzorczym, GetResponse udzieli Klientowi pomocy w takim zakresie, w jakim obowiązki Klienta nie mogą być wypełnione przez Klienta za pomocą innych środków.
  6. W sytuacji, w której wsparcie GetResponse w realizacji obowiązków Klienta wymaga poniesienia przez GetResponse dodatkowych kosztów, GetResponse poinformuje Klienta o wysokości i uzasadnieniu ponoszenia dodatkowych kosztów. Po potwierdzeniu pokrycia przez Klienta dodatkowych kosztów, o których mowa w poprzednim zdaniu, GetResponse zapewni wymagane wsparcie.
  7. GetResponse jest zobowiązany do powiadomienia Klienta w terminie nie dłuższym niż 48 godzin od momentu powzięcia wiarygodnej, potwierdzonej wiadomości:
  1. o zobowiązaniu GetResponse lub jego podwykonawcy, do przetwarzania Danych Osobowych w sposób wykraczający poza polecenia Klienta; w takim przypadku przed rozpoczęciem takiego przetwarzania GetResponse poinformuje Klienta obowiązku prawnym stanowiącym podstawę takiego zobowiązania, chyba że prawo zabrania udzielania takiej informacji z uwagi na ważny interes publiczny; w takim przypadku powiadomienie dla Klienta określi wymóg prawny wynikający z prawa Unii Europejskiej lub państwa członkowskiego;
  2. o stwierdzonym naruszeniu ochrony Danych Osobowych przez GetResponse lub jego podwykonawcę, które ma wpływ na Dane Osobowe Klienta objęte Umową. W takim przypadku GetResponse zobowiązany jest do wsparcia Klienta w zakresie wykonania przez Klienta, w stosownych przypadkach, obowiązków poinformowania organu nadzorczego lub osoby, której dane dotyczą, dostarczając informacji, do których ma dostęp GetResponse.

5. Korzystanie z podwykonawców (dalsze powierzenie)

  1. W celu zapewnienia prawidłowego świadczenia Usługi, Klient wyraża zgodę na korzystanie przez GetResponse z podwykonawców oraz na dalsze powierzenie im przetwarzania Danych Osobowych. Aktualna lista podwykonawców jest dostępna na stronie www.getresponse.pl/informacje-prawne/max-umowa-powierzenia-lista-podwykonawcow. GetResponse poinformuje Klienta o planowanych zmianach w zakresie podwykonawców, na rzecz których będzie dokonywał dalszego powierzenia przetwarzania Danych Osobowych, w terminie nie krótszym niż 30 dni przed planowaną zmianą podwykonawców, za pośrednictwem strony www.getresponse.pl/informacje-prawne/max-umowa-powierzenia-lista-podwykonawcow.
  2. Klient ma prawo do wyrażenia sprzeciwu (drogą elektroniczną lub w formie pisemnej) w odniesieniu do wskazanego podwykonawcy w ciągu 14 dni od otrzymania informacji o planowanej zmianie aktualnej listy podwykonawców. Jeśli klient nie wyrazi sprzeciwu w ciągu 14 dni od otrzymania informacji o planowanej zmianie, uznaje się, że wyraził zgodę na zmianę.
  3. Po otrzymaniu sprzeciwu Strony wspólnie i w dobrej wierze podejmą próbę znalezienia odpowiedniego rozwiązania umożliwiającego uwzględnienie sprzeciwu Klienta oraz możliwość dalszego korzystania z Usługi. GetResponse może jednocześnie wskazać, że wyrażenie sprzeciwu może spowodować ograniczenie niektórych funkcjonalności Usługi. W przypadku braku ww. porozumienia każda ze Stron może rozwiązać umowę o świadczenie usług, ze skutkiem na koniec następnego okresu rozliczeniowego.
  4. Dalsze powierzenie przetwarzania Danych Osobowych może nastąpić wyłącznie w granicach i w celu realizacji Usługi. GetResponse oświadcza, że wybrani przez niego podwykonawcy spełniają wymogi wynikające z RODO i właściwych przepisów o ochronie danych osobowych, a GetResponse zawarł z podwykonawcami odpowiednie umowy w zakresie przetwarzania Danych Osobowych, które zawierają postanowienia zobowiązujące podwykonawców do analogicznych obowiązków, jakie zostały określone wobec GetResponse, a standard ochrony danych osobowych obowiązujący u współpracujących z nim podwykonawców jest co najmniej równy standardowi ochrony danych obowiązującej w GetResponse.
  5. GetResponse ponosi odpowiedzialność za działania lub zaniechania podwykonawców jak za własne działania lub zaniechania.

6. Uprawnienia kontrolne Klienta

  1. Klientowi przysługuje prawo kontroli zgodności przetwarzania Danych Osobowych przez GetResponse z postanowieniami Umowy („Audyt”). Kwestie dotyczące Audytu nie wskazane w nieniejszej Umowie zostaną uzgodnione przez Strony przed jego rozpoczęciem.
  2. Audyt może zostać przeprowadzony bezpośrednio przez Klienta albo za pośrednictwem niezależnego audytora upoważnionego przez Klienta.
  3. Klient zobowiązuje się, że jako upoważniony audytor nie zostanie wyznaczony podmiot prowadzący działalność konkurencyjną w stosunku do działalności prowadzonej przez GetResponse oraz podmiot świadczący usługi w zakresie prowadzenia webinarów oraz konferencji online. Przez działalność konkurencyjną Strony rozumieją: pośrednią lub bezpośrednią działalność pokrywającą się z działalnością GetResponse, bez ograniczeń terytorialnych.
  4. W przypadku zlecenia przeprowadzenia Audytu podmiotom wskazanym w ust. 3 powyżej GetResponse może odmówić przeprowadzenia Audytu do czasu wyznaczenia innego podmiotu przeprowadzającego Audyt w imieniu Klienta lub do czasu ustalenia dalszego sposobu postępowania pomiędzy GetResponse a Klientem.
  5. Audyt może dotyczyć Danych Osobowych powierzonych do przetwarzania GetResponse na podstawie Umowy i będzie ograniczony do siedziby GetResponse, urządzeń służących do przetwarzania Danych Osobowych i personelu zaangażowanego w czynności przetwarzania objęte zakresem Umowy.
  6. Strony postanawiają także, że Audyt będzie prowadzony sprawnie i tak szybko jak to jest możliwe, a termin jego realizacji i czas trwania zostanie uzgodniony przez Strony przed jego rozpoczęciem.
  7. Strony postanawiają ponadto, ze Audyt może zostać wykonany także na odległość, za pośrednictwem adresu e-mail: privacy@getresponse.com poprzez skierowanie listy pytań kontrolnych lub wniosków, na które GetResponse zobowiązuje się udzielić odpowiedzi, w wiadomości zwrotnej.
  8. Klient ponosi wszelkie koszty przeprowadzenia Audytu, za wyjątkiem przypadków, w których ujawnione zostanie poważne naruszenie zasad bezpieczeństwa Danych Osobowych, dotyczące lub zagrażające Danym Osobowym Klienta; (vii) Audyt nie może zmierzać ani prowadzić do ujawnienia tajemnic prawnie chronionych (w tym tajemnicy przedsiębiorstwa GetResponse).
  9. W ramach Audytu Klient sporządzi raport i przekaże jego kopię GetResponse. Jeżeli raport zawierał będzie informacje poufne o GetResponse Klient nie ujawni go stronom trzecim.
  10. W przypadku posiadania przez GetResponse certyfikacji, o której mowa w art. 42 RODO lub stosowania kodeksu postępowania, o którym mowa w art. 40 RODO, uprawnienia kontrolne Klienta mogą być realizowane również poprzez odwołanie się przez GetResponse do wyników monitorowania zasad certyfikacji lub kodeksu postępowania.

7. Zwrot lub usunięcie danych osobowych

  1. Po zakończeniu powierzenia przetwarzania Danych Osobowych, GetResponse wedle oświadczenia Klienta, usunie Dane Osobowe (usuwając wszystkie istniejące kopie Danych Osobowych) lub zwróci je Klientowi, chyba że powszechnie obowiązujące przepisy prawa upoważnia GetResponse do przechowywania danych osobowych w oparciu o niezależną podstawę prawną przez dłuższy okres. W przypadku nieotrzymania przez GetResponse oświadczenia, o którym mowa w zdaniu poprzedzającym, drogą elektroniczną lub w formie pisemnej, w terminie 5 dni od zakończenia stosunku powierzenia Danych Osobowych, uznaje się, że Klient żąda usunięcia powierzonych Danych Osobowych. W przypadku wyboru zwrócenia Danych Osobowych, GetResponse przekaże lub umożliwi Klientowi pobranie danych w powszechnie używanym formacie służącym do zapisu maszynowego.
  2. Klient może uzyskać kopię przetwarzanych Danych Osobowych w trakcie trwania Umowy o Świadczenie Usługi, lecz nie później niż w ciągu 30 (trzydziestu) dni po zamknięciu Konta Klienta, w czasie których Dane Osobowe będą przetwarzane przez GetResponse wyłącznie w celu ewentualnej reaktywacji konta przez Klienta. GetResponse zobowiązuje się do przetwarzania Danych Osobowych w czasie 30 (trzydziestu) dni po zamknięciu Konta jedynie poprzez przechowywanie tych Danych na rzecz Klienta z wyłączeniem jakichkolwiek innych operacji na Danych, chyba, że co innego wynikałoby z przepisów prawa lub nałożonych na GetResponse przez uprawnione organy. Po upływie tego terminu Dane Osobowe zostaną usunięte z bazy głównej i nie będzie możliwe ich odzyskanie. Przez czas określony kolejnych 15 (piętnastu) dni Dane Osobowe będą przechowywane w postaci zaszyfrowanej jedynie w kopiach zapasowych, który to okres wymagany jest ze względu na specyfikę działania kopii zapasowych do całkowitego usunięcia Danych Osobowych.

8. Odpowiedzialność

  1. Klient i GetResponse ponoszą odpowiedzialność za naruszenie ochrony danych osobowych stosownie do powierzonego im zakresu przetwarzania Danych Osobowych. Zasady ponoszenia odpowiedzialności przez GetResponse określa regulaminin Usługi dostępny na stronie www.getresponse.pl/informacje-prawne/max-regulamin-uslugi.
  2. GetResponse odpowiada za zaspokojenie roszczeń osób, których Dane Osobowe są przetwarzane, z tytułu szkód wywołanych na skutek nieprawidłowego przetwarzania Danych Osobowych w ramach Umowy, jeżeli Klient wykaże, że szkoda wynikła z wyłącznej winy GetResponse lub jego podwykonawców.
  3. GetResponse ponosi odpowiedzialność w przypadku naruszenia postanowień Umowy lub obowiązujących w tym zakresie przepisów prawa, z przyczyn leżących po stronie GetResponse, w następstwie których Klient zostanie zobowiązany do wypłaty odszkodowania lub zostanie ukarany karą – wyłącznie w sytuacji, w której GetResponse nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy GetResponse działałał w sposób niezgodny z instrukcjami Klienta.

9. Inspektor ochrony danych osobowych

GetResponse wyznaczył inspektora ochrony danych osobowych, z którym można się skontaktować za pośrednictwem adresu e-mail: privacy@getresponse.com lub pisemnie: Inspektor Ochrony Danych, GetResponse Sp. z o.o., ul. Arkońska 6/A3, 80-387 Gdańsk.

10. Postanowienia końcowe

  1. Strony zgodnie potwierdzają, że z zastrzeżeniem wyjątków wskazanych w Umowie, wynagrodzenie GetResponse z tytułu czynności realizowanych w ramach Umowy uwzględnione jest w wynagrodzeniu wynikającym z tytułu świadczenia Usługi na rzecz Klienta.
  2. Umowa została zawarta na czas nieokreślony i Umowa ulega rozwiązaniu najpóźniej z dniem usunięcia lub zwrotu Danych Osobowych stosownie do postanowień §7 Umowy.
  3. Umowa zastępuje wszelkie istniejące między Stronami porozumienia dotyczące powierzenia Danych Osobowych a zmiany Umowy mogą następować poprzez przesłanie skanu podpisanego dokumentu mailem lub w drodze wymiany podpisów za pośrednictwem systemu DocuSign (bądź innego podobnego systemu elektronicznego wybranego przez GetResponse). Wszelkie zmiany i uzupełnienia Umowy musza być uprzednio uzgodnione i zaakceptowane przez obydwie Strony.
  4. Wszelka komunikacja pomiędzy stronami Umowy związana z przetwarzaniem danych osbowych będzie odbywała się wyłącznie na adresy e-mail GetResponse: privac@getresponse.com oraz adres email wskazany przez Klienta.
  5. Prawem obowiązującym dla Umowy jest prawo polskie. W sprawach nieuregulowanych w Umowie zastosowanie będą mieć przepisy RODO, właściwe przepisy prawa polskiego, postanowienia Polityki Prywatności dostępnej na stronie https://www.getresponse.pl/informacje-prawne/max-polityka-prywatnosci i postanowienia Umowy o świadczenie Usługi.
  6. W przypadku niezgodności zapisów Umowy o Świadczenie Usługi z Umową, zapisy Umowy w odniesieniu do ochrony danych osobowych mają przeważające znaczenie.