Polityka w zakresie przetwarzania danych osobowych

Wersja ważna od 13.5.2019:

zawarta zgodnie z Artykułem 34 Ustawy nr. 110/2019 Coll., o ochronie danych osobowych oraz o nowelizacji niektórych ustaw, ze zmianami („Umowa” lub „Polityka”)

POSTANOWIENIA WSTĘPNE

(A) LMC s.r.o., z siedzibą pod adresem ul. Jankovcova 1569/2c, 170 00, Praga 7, Republika Czeska, numer identyfikacyjny: 264 41 381, zarejestrowana w Rejestrze Handlowym prowadzonym przez Sąd Miejski w Pradze, Dział C, nr akt 82484 (“LMC”) wydała niniejszą politykę w zakresie przetwarzania danych osobowych w formie Zmiany do Ogólnych Warunków Handlowych („Ogólne Warunki”), regulujących stosunki handlowe pomiędzy podmiotami gospodarczymi a LMC, zawartymi w związku z korzystaniem z systemów elektronicznych LMC.

(B) Niniejsza Umowa określa prawa i obowiązki LMC jako Podmiotu Przetwarzającego oraz Klienta jako Administrator Danych (zwanych łącznie dalej „Stronami”) w odniesieniu do przetwarzania danych osobowych przez systemy elektroniczne LMC na podstawie Ogólnych Warunków oraz umowy o świadczenie usług („Umowa o Świadczenie Usług”).

(C) Usługi świadczone na podstawie Umowy o Świadczenie Usług obejmują czynności, w trakcie których może dochodzić do przetwarzania danych osobowych przez Podmiot Przetwarzający na rzecz Administratora w rozumieniu Ustawy nr 110/2019 Coll., o ochronie danych osobowych, ze zmianami („Ustawa”), albo, jeżeli ma to zastosowanie, w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) („Rozporządzenie”), mającego bezpośrednie zastosowanie od dnia 25 maja 2018 r.

(D) Celem niniejszej Polityki jest należyte określenie wszelkich obowiązków Stron wynikających z (i) Ustawy,  (ii) Rozporządzenia.

(E) Zgodnie z Artykułem 6 Ustawy oraz Artykułem 28 Rozporządzenia, Administrator zobowiązany jest do zawarcia pisemnej umowy z Podmiotem Przetwarzającym o powierzenie przetwarzania danych osobowych, w której Podmiot Przetwarzający zobowiąże się, między innymi do wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia ochrony danych osobowych; niniejsza Polityka spełnia wymóg zawarcia w formie pisemnej umowy o powierzenie przetwarzania danych.

1. CEL UMOWY

1.1 Podmiot Przetwarzający, zgodnie z Artykułem 4(e) Ustawy oraz Artykułem 4 punkt (2) Rozporządzenia, w zależności od przypadku, będzie przetwarzał dane osobowe uzyskane przez Administratora w związku z jego działalnością gospodarczą, albo uzyskane przez Podmiot Przetwarzający od Administratora w tym celu („Dane Osobowe”), w ramach wykonywania przez Podmiot Przetwarzający jego obowiązków wynikających z Umowy o Świadczenie Usług.

1.2 Celem niniejszej Umowy jest zdefiniowanie zakresu obowiązków Podmiotu Przetwarzającego, w szczególności w zakresie zapewnienia ochrony Danych Osobowych w trakcie ich przetwarzania.

2. PRZEDMIOT UMOWY

2.1 Przedmiotem Umowy jest określenie wzajemnych praw i obowiązków Stron w odniesieniu do przetwarzania Danych Osobowych w rozumieniu Artykułu 1.1 niniejszej Umowy.

2.2 Niniejsza Umowa definiuje zakres przetwarzanych Danych Osobowych, cel ich przetwarzania oraz warunki i gwarancje, które Podmiot Przetwarzający jest zobowiązany spełnić, w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia ochrony Danych Osobowych.

3. CEL I ZAKRES PRZETWARZANIA DANYCH OSOBOWYCH

3.1 Podmiot Przetwarzający będzie przetwarzał Dane Osobowe na rzecz Administratora w zakresie niezbędnym do realizacji obowiązków Podmiotu Przetwarzającego wynikających z Umowy o Świadczenie Usług, jak również w celu ich wykorzystania przez Administratora w ramach działalności gospodarczej Administratora, w szczególności w celu zarządzania i prowadzenia rejestrów kandydatów do pracy oraz pracowników na rzecz Administratora.

3.2 Zgodnie z niniejszą Umową, Podmiot Przetwarzający będzie przetwarzał Dane Osobowe kandydatów do pracy oraz pracowników Administratora („Osoby, których dane dotyczą”), obejmujące dane umożliwiające identyfikację, dane kontaktowe, stanowisko, dane dotyczące wyników rozmów o pracę oraz referencji od poprzednich pracodawców, wszelkie informacje znajdujące się w CV kandydata do pracy, jak również wszelkie inne dane, które Administrator Danych postanowi przypisać do Osób, których dane dotyczą albo które zostaną podane przez same Osoby, których dane dotyczą. Zakres przetwarzanych danych zależy od funkcjonalności produktu oferowanego przez Administratora i może być zmieniany zgodnie z warunkami określonymi w Artykule 9.4 niniejszej Umowy. Przetwarzane Dane Osobowe mogą również obejmować informacje oraz dane gromadzone w ramach obsługi określonego produktu LMC na skutek aktywności Osób, których dane dotyczą (np. dane lokalizacyjne w aplikacjach mobilnych albo dane dotyczące korzystania z systemów elektronicznych).

3.3 Jeżeli Administrator przekaże Podmiotowi Przetwarzającemu, albo jeżeli w związku z czynnościami Podmiotu Przetwarzającego podejmowanymi na rzecz Administratora, Podmiot Przetwarzający w inny sposób uzyska dostęp do innych Danych Osobowych Osób, których dane dotyczą, albo jeżeli Dane Osobowe innych osób zostaną przekazane Podmiotowi Przetwarzającemu, Podmiot Przetwarzający jest zobowiązany również do przetwarzania takich Danych Osobowych zgodnie z wymogami (i) Ustawy, (ii) Rozporządzenia, (iii) Nowej Ustawy o Ochronie Danych Osobowych, oraz (iv) niniejszej Umowy.

3.4 Podmiot Przetwarzający będzie przetwarzał Dane Osobowe Osób, których dane dotyczą przez okres, który nie będzie dłuższy niż okres obowiązywania niniejszej Umowy, chyba że co innego jest wskazane w szczególnych regulacjach prawnych.

4. OPŁATA ZA USŁUGI PODMIOTU PRZETWARZAJĄCEGO

4.1 Strony uzgodniły, że Podmiot Przetwarzający nie będzie uprawniony do otrzymania odrębnego wynagrodzenia z tytułu przetwarzania Danych Osobowych na podstawie niniejszej Umowy, tj. odpowiednia opłata została wliczona do wynagrodzenia za czynności wykonywane na podstawie Umowy o Świadczenie Usług.

5. PRAWA I OBOWIĄZKI PODMIOTU PRZETWARZAJĄCEGO

5.1 W trakcie przetwarzania Danych Osobowych, Podmiot Przetwarzający zobowiązany jest postępować z zachowaniem należytej dbałości zawodowej, w szczególności nie podejmować żadnych czynności, które stanowiłyby naruszenie Ustawy, a przede wszystkim Artykułu 5 Ustawy w związku z Artykułem 7 Ustawy, albo naruszenie Rozporządzenia lub Nowej Ustawy o Ochronie Danych od dnia określonego w Artykule 8.1 Umowy.

5.2 Jeżeli Podmiot Przetwarzający ustali, że Administrator naruszył lub narusza obowiązki Administratora wynikające z Ustawy lub Rozporządzenia, Podmiot Przetwarzający – zgodnie z Artykułem 8 Ustawy albo z Artykułem 28 punkt (h) zdanie drugie Rozporządzenia, w zależności od przypadku – zawiadomi o tym Administratora bez zbędnej zwłoki. Jeżeli Administrator nie naprawi takiego naruszenia w terminie 15 dni od dnia pisemnego powiadomienia, Podmiot Przetwarzający może zaprzestać przetwarzania Danych Osobowych.

5.3 Podmiot Przetwarzający Dane podczas przetwarzania Danych Osobowych zobowiązany jest do postępowania zgodnie z udokumentowanymi instrukcjami przekazanymi przez Administratora. Instrukcje będą udzielane zgodnie z niniejszą Umową (głównie z wykorzystaniem odpowiednich funkcji produktów/usług) i będą dotyczyły aktualizacji, usuwania, zmiany lub innego przetwarzania Danych Osobowych, za wyjątkiem instrukcji poszerzających środki techniczne i organizacyjne, nieobjętych zakresem niniejszej Umowy. Podmiot Przetwarzający poinformuje Administratora o nieprawidłowym charakterze instrukcji, jeżeli Podmiot Przetwarzający z zachowaniem zawodowej dbałości, mógł stwierdzić nieprawidłowy charakter instrukcji. W takim przypadku Podmiot Przetwarzający jest zobowiązany do postępowania zgodnie z taką instrukcją wyłącznie na pisemne polecenie Administratora.

5.4 Zgodnie z Artykułem 10 Ustawy, Podmiot Przetwarzający zobowiązany jest zapewnić, że prawa Osób, których dane dotyczą, nie zostaną naruszone, w tym w szczególności, prawo do godności ludzkiej, jak również jest zobowiązany do wdrożenia środków chroniących przez nieupoważnioną ingerencją w prywatne i osobiste życie Osób, których dane dotyczą.

5.5 Podmiot Przetwarzający może (ale nie ma obowiązku) spełniać obowiązek w zakresie podawania informacji Osobom, których dane dotyczą zgodnie z Artykułem 11 Ustawy (albo Artykułem 13 Rozporządzenia) oraz może (ale nie ma obowiązku) podawać informacje, Osobom których dane dotyczą zgodnie z Artykułem 12 Ustawy (albo Artykułem 15 Rozporządzenia) na wniosek Osoby, której dane dotyczą.

5.6 Jeżeli cel przetwarzania Danych Osobowych przestanie istnieć albo jeżeli Osoba, której dane dotyczą złoży odpowiedni wniosek zgodnie z Artykułem 21 Ustawy, albo Artykułem 17 Rozporządzenia, Podmiot Przetwarzający, zgodnie z Artykułem 20 Ustawy, na podstawie i zgodnie z instrukcjami Administratora, zobowiązany jest zniszczyć odpowiednie Dane Osobowe albo przekazać je Administratorowi.

5.7 Jeżeli Osoba, której dane dotyczą, uzna że Podmiot Przetwarzający przetwarza Dane Osobowe Osoby, której dane dotyczą z naruszeniem ochrony prywatnego lub osobistego życia Osoby, której dane dotyczą albo z naruszeniem prawa, w szczególności, jeżeli Dane Osobowe nie są adekwatne do celu ich przetwarzania, i jeżeli Osoba, której dane dotyczą zażąda od Podmiotu Przetwarzającego wyjaśnień albo środków naprawczych w rozumieniu Artykułu 21 Ustawy, Podmiot Przetwarzający poinformuje o tym Administratora bez zbędnej zwłoki.

5.8 Podmiot Przetwarzający jest zobowiązany do powiadomienia Administratora o wszelkich kontrolach lub wszczęciu postępowania administracyjnego dotyczącego konieczności wdrożenia środków naprawczych lub grzywny prowadzonego przez Urząd Ochrony Danych Osobowych („Postępowanie Administracyjne”), jeżeli Postępowanie Administracyjne dotyczy Danych Osobowych przetwarzanych na rzecz Administratora, lub parametrów usługi świadczonej na rzecz Administratora, jak również jeżeli można oczekiwać, że przeprowadzenie takiej kontroli albo Postępowania Administracyjnego może mieć wpływ na takie parametry.

5.9 Administrator jest zobowiązany do powiadomienia Podmiotu Przetwarzającego o kontroli albo wszczęciu Postępowania Administracyjnego, jeżeli Postępowanie Administracyjne dotyczy Danych Osobowych przetwarzanych przez Podmiot Przetwarzający na rzecz Administratora, parametrów usługi świadczonej na rzecz Administratora, jak również jeżeli można oczekiwać, że przeprowadzenie takiej kontroli albo Postępowania Administracyjnego może mieć wpływ na takie parametry.

5.10 Podmiot Przetwarzający poinformuje Administratora o wszelkiej utracie lub naruszeniu bezpieczeństwa Danych Osobowych („Naruszenie Bezpieczeństwa Danych”) bez zbędnej zwłoki. Podmiot Przetwarzający, po poinformowaniu Administratora, kontynuuje wsparcie w zakresie usunięcia Naruszenia Bezpieczeństwa Danych lub wdrożeniu środków, które zmniejszyłyby potencjalne negatywne skutki takiego naruszenia lub zapobiegłyby wystąpieniu podobnych zdarzeń w przyszłości.

5.11 Informacje, o których mowa w Artykule 5.10 powyżej obejmują w szczególności:

(a) opis charakteru Naruszenia Bezpieczeństwa Danych, w tym, jeżeli będzie to możliwe, kategorie oraz przybliżoną liczbę Osób, których dane dotyczą, dotkniętych takim naruszeniem, oraz kategorie oraz przybliżoną liczbę rekordów Danych Osobowych dotkniętych takim naruszeniem;

(b) opis prawdopodobnych konsekwencji Naruszenia Bezpieczeństwa Danych;(c) opis podjętych lub proponowanych przez Podmiot Przetwarzający działań w celu naprawienia Naruszenia Bezpieczeństwa Danych, w tym, o ile ma to zastosowanie, środków ograniczających jego negatywne skutki.

6. GWARANCJE W ZAKRESIE TECHNICZNYCH I ORGANIZACYJNYCH ŚRODKÓW GWARANTUJĄCYCH OCHRONĘ DANYCH OSOBOWYCH

6.1 Biorąc pod uwagę stan wiedzy technicznej, koszty wdrożenia, charakter, zakres, kontekst oraz cele przetwarzania oraz ryzyko zróżnicowanego prawdopodobieństwa i powagę zagrożenia dla praw i wolności osób fizycznych, Podmiot Przetwarzający zobowiązuje się zgodnie z Artykułem 13(1) Ustawy i Artykułem 32 Rozporządzenia, w zależności od przypadku, wdrożyć odpowiednie środki techniczne i organizacyjne w celu zapewnienia ochrony Danych Osobowych w sposób opisany w Ustawie, w Rozporządzeniu albo w innych regulacjach prawnych, w celu wykluczenia możliwości nieupoważnionego lub przypadkowego dostępu do Danych Osobowych, ich zmiany, zniszczenia lub utraty, nieuprawnionego przekazywania, przetwarzania lub innego niewłaściwego wykorzystania Danych Osobowych.

6.2 Podmiot Przetwarzający w szczególności zobowiązuje się do wdrożenia następujących środków organizacyjnych i technicznych:

(a) bez uszczerbku dla Artykułu 6.3 niniejszej Umowy, jeżeli Dane Osobowe są przetwarzane przez pracowników Podmiotu Przetwarzającego, Podmiot Przetwarzający powierzy takie czynności wyłącznie wybranym pracownikom, którzy zostaną należycie pouczeni o obowiązku zachowania Danych Osobowych w poufności, jak również o innych obowiązkach, które tacy pracownicy muszą wypełniać, żeby nie naruszyć przepisów Ustawy, Rozporządzenia albo postanowień niniejszej Umowy;

(b) bez uszczerbku dla Artykułów 6.3 i 6.4, Podmiot Przetwarzający nie upoważni żadnej osoby trzeciej do przetwarzania Danych Osobowych bez uprzedniej pisemnej zgody Administratora;

(c) Podmiot Przetwarzający będzie stosował odpowiedni sprzęt techniczny i oprogramowanie w celu wykluczenia nieuprawnionego lub przypadkowego dostępu do Danych Osobowych przez inne osoby niż uprawnieni pracownicy Podmiotu Przetwarzającego;

(d) Podmiot Przetwarzający będzie przechowywał Dane osobowe w należycie zabezpieczonych budynkach i pomieszczeniach;

(e) Podmiot Przetwarzający będzie przechowywał dokumenty w wersji papierowej zawierające Dane Osobowe w bezpiecznym miejscu, jak również będzie prowadził odpowiedni rejestr dotyczący zmian lokalizacji takich dokumentów;

(f) Podmiot Przetwarzający będzie przechowywał Dane Osobowe w formie elektronicznej na bezpiecznych serwerach albo nośnikach danych (pamięciach), dostęp do których posiadać będą wyłącznie uprawnione osoby na podstawie kodów dostępu lub haseł, jak również będzie sporządzał regularnie kopie zapasowe Danych Osobowych;

(g) Podmiot Przetwarzający zapewni, że zdalne przekazywanie Danych Osobowych będzie miało miejsce wyłącznie z wykorzystaniem niepublicznych sieci albo bezpiecznego transferu w sieciach publicznych, w szczególności z wykorzystaniem protokołu bezpieczeństwa komunikacji w sieci. Mając na uwadze charakter, zakres, kontekst oraz ryzyko zróżnicowanego prawdopodobieństwa i powagę zagrożenia, niektóre Dane Osobowe mogą być przekazywane za pośrednictwem poczty elektronicznej;

(h) Podmiot Przetwarzający, dzięki zastosowaniu odpowiednich środków technicznych, zapewni, możliwość terminowego odzyskania dostępności i dostępu do Danych Osobowych w przypadku fizycznego lub technicznego incydentu, zgodnie z parametrami dla danej usługi, uzgodnionymi w Umowie o Świadczenie Usług;

(i) Podmiot Przetwarzający zapewni proces regularnego testowania, badania oraz oceny skuteczności środków technicznych i organizacyjnych wykorzystywanych do zapewnienia bezpieczeństwa przetwarzania; oraz

(j) po zaprzestaniu przetwarzania Danych Osobowych, Podmiot Przetwarzający zapewni, zgodnie z ustaleniami z Administratorem, że Dane Osobowe zostaną fizycznie zniszczone albo przekazane Administratorowi.

6.3 Podmiot Przetwarzający może powierzyć przetwarzanie Danych Osobowych innemu podmiotowi przetwarzającemu („Inny Podmiot Przetwarzający”). Podmiot Przetwarzający za pośrednictwem https://www.lmc.eu/pl/lista-dostawcow/ („Tablica Ogłoszeń”) poinformuje Administratora o wszelkich Innych Podmiotach Przetwarzających, którym Podmiot Przetwarzający zamierza powierzyć Przetwarzanie Danych, o wszelkich zmianach dotyczących dodania lub zastąpienia Innych Podmiotów Przetwarzających, dając Administratorowi możliwość wyrażenia sprzeciwu wobec dodania takich Innych Podmiotów Przetwarzających zgodnie z postanowieniami Umowy o Świadczenie Usług. Za wyjątkiem Innych Podmiotów Przetwarzających, wobec których Administrator nie wyraził sprzeciwu, Podmiot Przetwarzający nie będzie powierzać przetwarzania Danych Osobowych żadnym osobom trzecim. Aktualna lista Innych Podmiotów Przetwarzających jest dostępna na Tablicy Ogłoszeń.

6.4 Jeżeli Podmiot Przetwarzający powierzy Innym Podmiotom Przetwarzającym wykonywanie pewnych określonych czynności w zakresie przetwarzania, na taki Inny Podmiot Przetwarzający nałożone zostaną umownie takie same obowiązki w zakresie ochrony danych osobowych, jakie zostały określone w niniejszej Umowie, w szczególności w zakresie zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych w sposób, który zapewni, że przetwarzanie spełnia wymogi określone w Ustawie i Rozporządzeniu.

6.5 Administrator niniejszym przyjmuje do wiadomości, że usługi świadczone przez Inne Podmioty Przetwarzające wymienione na Tablicy Ogłoszeń mogą obejmować przekazywania Danych Osobowych do krajów nienależących do UE, nieposiadających odpowiedniego poziomu ochrony danych osobowych; takie informacje są podane na Tablicy Ogłoszeń. W tym zakresie Podmiot Przetwarzający gwarantuje, że upoważni do przetwarzania Danych Osobowych wyłącznie te Inne Podmioty Przetwarzające, które wdrożą odpowiednie środki bezpieczeństwa gwarantujące przekazywania danych osobowych zgodne z Artykułami 44 do 49 Rozporządzenia lub Artykułem 27 Ustawy. W zakresie w jakim odpowiednie środki bezpieczeństwa, o których mowa w zdaniu poprzedzającym, zostaną następnie zmienione, wycofane lub uznane za nieważne przez sąd właściwy, a Podmiot Przetwarzający niezwłocznie w dobrej wierze znajdzie odpowiedni alternatywny środek bezpieczeństwa przetwarzania Danych Osobowych za granicą, Administrator zrzeka się prawa do powołania się na naruszenie umowne zasad określonych w niniejszym Artykule 6.5.6.6 Zgodnie z Artykułem 13(2) Ustawy, Podmiot Przetwarzający jest zobowiązany do przyjęcia i udokumentowania przyjętych i wdrożonych środków technicznych i organizacyjnych w celu ochrony Danych Osobowych zgodnie z Ustawą lub innymi regulacjami prawnymi.

7. OKRES OBOWIĄZYWANIA I ROZWIĄZANIE UMOWY

7.1 Niniejsza Umowa wchodzi w życie z dniem jej podpisania przez obie Strony i wygasa w dniu lub po dniu rozwiązania Umowy o Świadczenie Usług. Jeżeli Strony zawarły albo zawrą kiedykolwiek w przyszłości, inną umową, która będzie obejmowała przetwarzanie Danych Osobowych, niniejsza Umowa wygaśnie wraz z wygaśnięciem takiej innej umowy, albo w zależności od przypadku wraz z wygaśnięciem ostatniej z takich zawartych umów.

7.2 Administrator może rozwiązać niniejszą Umowę za powiadomieniem, z zachowaniem trzydniowego (3) okresu wypowiedzenia, jeżeli Podmiot Przetwarzający dopuści się naruszenia swoich obowiązków wynikających z niniejszej Umowy i nie naprawi go w terminie 15 (piętnastu) dni do otrzymania pisemnego wezwania od Administratora, albo jeżeli Administrator sprzeciwia się powierzeniu przetwarzania Innemu Podmiotowi Przetwarzającemu na piśmie, a taki Inny Podmiot Przetwarzający jest, zgodnie z w pełni dyskrecjonalnym oświadczeniem Podmiotu Przetwarzającego, niezbędny do wykonywania Umowy o Świadczenie Usług.

7.3 Podmiot Przetwarzający może rozwiązać niniejszą Umowę za powiadomieniem, z zachowaniem trzydniowego (3) okresu wypowiedzenia, w przypadku naruszenia przez Administratora obowiązków wynikających z Ustawy, Rozporządzenia lub Nowej Ustawy o Ochronie Danych Osobowych, i nie naprawi go w terminie 15 (piętnastu) dni do otrzymania powiadomienia Podmiotu Przetwarzającego zgodnie z Artykułem 5.2 niniejszej Umowy, albo jeżeli Administrator sprzeciwia się powierzeniu przetwarzania Innemu Podmiotowi Przetwarzającemu na piśmie, a taki Inny Podmiot Przetwarzający jest, zgodnie z w pełni dyskrecjonalnym oświadczeniem Podmiotu Przetwarzającego, niezbędny do wykonywania Umowy o Świadczenie Usług.

7.4 Każda ze Stron może rozwiązać niniejszą Umowę za wypowiedzeniem bez podania przyczyny z zachowaniem trzymiesięcznego (3) okresu wypowiedzenia, rozpoczynającego się w pierwszym dniu miesiąca następującego po miesiącu, w którym takie wypowiedzenie zostało doręczone drugiej Stronie.

7.5 W przypadku rozwiązania niniejszej Umowy zgodnie z Artykułami 7.2 do 7.4 niniejszej Umowy, Podmiot Przetwarzający będzie zobowiązany do zwrotu wszelkich przetwarzanych Danych Osobowych Administratorowi albo do ich zniszczenia zgodnie z Artykułem 5.6 niniejszej Umowy.

7.6 Po rozwiązaniu niniejszej Umowy, Podmiot Przetwarzający będzie zobowiązany do wypełniania wszelkich obowiązków wynikających z Ustawy, a po dniu wskazanym w Artykule 8.1 niniejszej Umowy, również obowiązków wynikających z Rozporządzenia lub Nowej Ustawy o Ochronie Danych Osobowych mających na celu zapobieganie nieuprawnionemu przetwarzaniu Danych Osobowych do czasu przekazania ich Administratorowi przez Podmiot Przetwarzający zgodnie z instrukcjami Administratora albo do czasu ich bezpiecznego zniszczenia przez Podmiot Przetwarzający.

7.7 Rozwiązanie Umowy stanowi okoliczność, która powoduje niemożność wykonywania całości lub części określonych rodzajów czynności wykonywanych przez Podmiot Przetwarzający na rzecz Administratora na podstawie Umowy o Świadczenie Usług, co obejmuje również przetwarzanie Danych Osobowych.

7.8 Obowiązek zachowania Danych Osobowych w poufności pozostaje w mocy po rozwiązaniu niniejszej Umowy.

8. POSTANOWIENIA DOTYCZĄCE WEJŚCIA W ŻYCIE ROZPORZĄDZENIA

8.1 Administrator i Podmiot Przetwarzający, najpóźniej do dnia 25 maja 2018 roku, wdrożą wszelkie środki ochrony określone w Rozporządzeniu oraz w Nowej Ustawie o Ochronie Danych Osobowych.

8.2 Po dacie, o której mowa w Artykule 8.1 niniejszej Umowy, Podmiot Przetwarzający zobowiązuje się udzielić Administratorowi pomocy w zakresie spełnienia przez Administratora obowiązku odpowiadania na żądania Osób, których dane dotyczą w zakresie wykonania ich praw, w szczególności na żądania o uzyskanie dostępu, korektę lub usunięcie Danych Osobowych, ograniczenie przetwarzania lub przenoszalności Danych Osobowych; jeżeli możliwe jest spełnienie takich obowiązków za pośrednictwem odpowiednich funkcji poszczególnych produktów lub usług, Administrator nie może bezzasadnie żądać współpracy ze strony Podmiotu Przetwarzającego.

8.3 Po dacie, o której mowa w Artykule 8.1 niniejszej Umowy, Podmiot Przetwarzający zobowiązuje się do zezwolenia na przeprowadzanie i pomocy w przeprowadzaniu audytów, w tym kontroli przeprowadzanych przez Administratora lub innego audytora upoważnionego przez Administratora. Administrator przyjmuje do wiadomości, że przeprowadzenie takiego audytu nie może naruszać praw osób trzecich (na przykład innych kontrolerów lub osób, których dane dotyczą), w szczególności w zakresie zapewnienia zachowania poufności danych osobowych. Ponadto, Administrator przyjmuje do wiadomości, że przeprowadzenie takiego audytu podlega odrębnej umowie w zakresie kosztów ponoszonych przez Podmiot Przetwarzający albo przez Administratora.

8.4 Po dacie, o której mowa w Artykule 8.1 niniejszej Umowy, wszystkie warunki i postanowienia niniejszej Umowy pozostają w mocy i są skuteczne, pod warunkiem, że obowiązki wynikające z odniesień do Ustawy, w tym w szczególności wprowadzone za pomocą zwrotów „w znaczeniu”, „zgodnie z” i podobnych, będą interpretowane zgodnie z odpowiednimi przepisami Rozporządzenia, które nakładają obowiązki najbardziej zbliżone w swoim charakterze do obowiązków wynikających z przepisów Ustawy.

9. POSTANOWIENIA KOŃCOWE

9.1 Do stosunków prawnych, zobowiązań, praw i obowiązków wynikających z niniejszej Umowy, w tym do zmian do niniejszej Umowy, zastosowanie mają przepisy prawa czeskiego, w szczególności przepisy Ustawy oraz Ustawy nr 89/2012 Coll., Kodeks Cywilny, ze zmianami, i winny one być zgodnie z tymi przepisami interpretowane.

9.2 Jeżeli którekolwiek z postanowień niniejszej Umowy zostanie uznane przez sąd właściwy lub inny organ za nieważne, nieskuteczne, domniemane lub niewykonalne, takie postanowienie uznaje się za usunięte z Umowy, a pozostałe postanowienia Umowy pozostają w pełni wiążące i skuteczne, chyba, że z charakteru takiego postanowienia albo okoliczności, w których zostało zawarte wynika, że nie może zostać ono wyłączone z niniejszej Umowy. W takim przypadku Strony wprowadzą takie zmiany do niniejszej Umowy, żeby osiągnąć taki sam, a jeżeli nie będzie to możliwe, podobny skutek do skutku, który miało wywoływać takie nieważne, nieskuteczne, domniemane lub niewykonalne postanowienie.

9.3 Strony będą rozstrzygały wszelkie spory wynikające lub związane z wykonaniem niniejszej Umowy polubownie. Jeżeli Strony nie rozwiążą sporu polubownie w terminie trzydziestu (30) dni, każda ze Stron może skierować spór do rozstrzygnięcia przez sąd czeski właściwy zgodnie z przepisami prawa.

9.4 Wszelkie uzupełnienia i modyfikacje niniejszej Umowy muszą mieć formę pisemnych zmian, ponumerowanych w porządku rosnącym, podpisanych przez upoważnionych przedstawicieli obydwu Stron. Zakres przetwarzanych danych osobowych, określony w Artykule 3.2 niniejszej Umowy, może zostać rozszerzony lub w inny sposób zmodyfikowany, w zależności od funkcjonalności danego produktu bez konieczności zmiany niniejszej Umowy ani Ogólnych Warunków.

9.5 Terminy niezdefiniowane szczegółowo w niniejszej Umowie mają znaczenie nadane im w Ogólnych Warunkach albo Umowie o Świadczenie Usług.

9.6 Niniejsza Polityka jest wiążąca dla Stron zgodnie z zasadami określonymi w Ogólnych Warunkach.  

Wersja ważna do 13.5.2019:

zawarta zgodnie z Artykułem 6 Ustawy nr 101/2000 Coll., o ochronie danych osobowych oraz o nowelizacji niektórych ustaw, ze zmianami („Umowa” lub „Polityka”)

POSTANOWIENIA WSTĘPNE

(A) LMC s.r.o., z siedzibą pod adresem ul. Jankovcova 1569/2c, 170 00, Praga 7, Republika Czeska, numer identyfikacyjny: 264 41 381, zarejestrowana w Rejestrze Handlowym prowadzonym przez Sąd Miejski w Pradze, Dział C, nr akt 82484 (“LMC”) wydała niniejszą politykę w zakresie przetwarzania danych osobowych w formie Zmiany do Ogólnych Warunków Handlowych („Ogólne Warunki”), regulujących stosunki handlowe pomiędzy podmiotami gospodarczymi a LMC, zawartymi w związku z korzystaniem z systemów elektronicznych LMC.

(B) Niniejsza Umowa określa prawa i obowiązki LMC jako Podmiotu Przetwarzającego oraz Klienta jako Administrator Danych (zwanych łącznie dalej „Stronami”) w odniesieniu do przetwarzania danych osobowych przez systemy elektroniczne LMC na podstawie Ogólnych Warunków oraz umowy o świadczenie usług („Umowa o Świadczenie Usług”).

(C) Usługi świadczone na podstawie Umowy o Świadczenie Usług obejmują czynności, w trakcie których może dochodzić do przetwarzania danych osobowych przez Podmiot Przetwarzający na rzecz Administratora w rozumieniu Ustawy nr 101/2000 Coll., o ochronie danych osobowych, ze zmianami („Ustawa”), albo, jeżeli ma to zastosowanie, w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) („Rozporządzenie”), mającego bezpośrednie zastosowanie od dnia 25 maja 2018 r.

(D) Celem niniejszej Polityki jest należyte określenie wszelkich obowiązków Stron wynikających z (i) Ustawy, (ii) Rozporządzenia, oraz (iii) innych regulacji prawnych zmieniających niektóre postanowienia Rozporządzenia, które zastąpią Ustawę z dniem 25 maja 2018 r. („Nowa Ustawa o Ochronie Danych Osobowych”).

(E) Zgodnie z Artykułem 6 Ustawy oraz Artykułem 28 Rozporządzenia, Administrator zobowiązany jest do zawarcia pisemnej umowy z Podmiotem Przetwarzającym o powierzenie przetwarzania danych osobowych, w której Podmiot Przetwarzający zobowiąże się, między innymi do wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia ochrony danych osobowych; niniejsza Polityka spełnia wymóg zawarcia w formie pisemnej umowy o powierzenie przetwarzania danych.

1. CEL UMOWY

1.1 Podmiot Przetwarzający, zgodnie z Artykułem 4(e) Ustawy oraz Artykułem 4 punkt (2) Rozporządzenia, w zależności od przypadku, będzie przetwarzał dane osobowe uzyskane przez Administratora w związku z jego działalnością gospodarczą, albo uzyskane przez Podmiot Przetwarzający od Administratora w tym celu („Dane Osobowe”), w ramach wykonywania przez Podmiot Przetwarzający jego obowiązków wynikających z Umowy o Świadczenie Usług.

1.2 Celem niniejszej Umowy jest zdefiniowanie zakresu obowiązków Podmiotu Przetwarzającego, w szczególności w zakresie zapewnienia ochrony Danych Osobowych w trakcie ich przetwarzania.

2. PRZEDMIOT UMOWY

2.1 Przedmiotem Umowy jest określenie wzajemnych praw i obowiązków Stron w odniesieniu do przetwarzania Danych Osobowych w rozumieniu Artykułu 1.1 niniejszej Umowy.

2.2 Niniejsza Umowa definiuje zakres przetwarzanych Danych Osobowych, cel ich przetwarzania oraz warunki i gwarancje, które Podmiot Przetwarzający jest zobowiązany spełnić, w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia ochrony Danych Osobowych.

3. CEL I ZAKRES PRZETWARZANIA DANYCH OSOBOWYCH

3.1 Podmiot Przetwarzający będzie przetwarzał Dane Osobowe na rzecz Administratora w zakresie niezbędnym do realizacji obowiązków Podmiotu Przetwarzającego wynikających z Umowy o Świadczenie Usług, jak również w celu ich wykorzystania przez Administratora w ramach działalności gospodarczej Administratora, w szczególności w celu zarządzania i prowadzenia rejestrów kandydatów do pracy oraz pracowników na rzecz Administratora.

3.2 Zgodnie z niniejszą Umową, Podmiot Przetwarzający będzie przetwarzał Dane Osobowe kandydatów do pracy oraz pracowników Administratora („Osoby, których dane dotyczą”), obejmujące dane umożliwiające identyfikację, dane kontaktowe, stanowisko, dane dotyczące wyników rozmów o pracę oraz referencji od poprzednich pracodawców, wszelkie informacje znajdujące się w CV kandydata do pracy, jak również wszelkie inne dane, które Administrator Danych postanowi przypisać do Osób, których dane dotyczą albo które zostaną podane przez same Osoby, których dane dotyczą. Zakres przetwarzanych danych zależy od funkcjonalności produktu oferowanego przez Administratora i może być zmieniany zgodnie z warunkami określonymi w Artykule 9.4 niniejszej Umowy. Przetwarzane Dane Osobowe mogą również obejmować informacje oraz dane gromadzone w ramach obsługi określonego produktu LMC na skutek aktywności Osób, których dane dotyczą (np. dane lokalizacyjne w aplikacjach mobilnych albo dane dotyczące korzystania z systemów elektronicznych).

3.3 Jeżeli Administrator przekaże Podmiotowi Przetwarzającemu, albo jeżeli w związku z czynnościami Podmiotu Przetwarzającego podejmowanymi na rzecz Administratora, Podmiot Przetwarzający w inny sposób uzyska dostęp do innych Danych Osobowych Osób, których dane dotyczą, albo jeżeli Dane Osobowe innych osób zostaną przekazane Podmiotowi Przetwarzającemu, Podmiot Przetwarzający jest zobowiązany również do przetwarzania takich Danych Osobowych zgodnie z wymogami (i) Ustawy, (ii) Rozporządzenia, (iii) Nowej Ustawy o Ochronie Danych Osobowych, oraz (iv) niniejszej Umowy.

3.4 Podmiot Przetwarzający będzie przetwarzał Dane Osobowe Osób, których dane dotyczą przez okres, który nie będzie dłuższy niż okres obowiązywania niniejszej Umowy, chyba że co innego jest wskazane w szczególnych regulacjach prawnych.

4. OPŁATA ZA USŁUGI PODMIOTU PRZETWARZAJĄCEGO

4.1 Strony uzgodniły, że Podmiot Przetwarzający nie będzie uprawniony do otrzymania odrębnego wynagrodzenia z tytułu przetwarzania Danych Osobowych na podstawie niniejszej Umowy, tj. odpowiednia opłata została wliczona do wynagrodzenia za czynności wykonywane na podstawie Umowy o Świadczenie Usług.

5. PRAWA I OBOWIĄZKI PODMIOTU PRZETWARZAJĄCEGO

5.1 W trakcie przetwarzania Danych Osobowych, Podmiot Przetwarzający zobowiązany jest postępować z zachowaniem należytej dbałości zawodowej, w szczególności nie podejmować żadnych czynności, które stanowiłyby naruszenie Ustawy, a przede wszystkim Artykułu 5 Ustawy w związku z Artykułem 7 Ustawy, albo naruszenie Rozporządzenia lub Nowej Ustawy o Ochronie Danych od dnia określonego w Artykule 8.1 Umowy.

5.2 Jeżeli Podmiot Przetwarzający ustali, że Administrator naruszył lub narusza obowiązki Administratora wynikające z Ustawy lub Rozporządzenia, Podmiot Przetwarzający – zgodnie z Artykułem 8 Ustawy albo z Artykułem 28 punkt (h) zdanie drugie Rozporządzenia, w zależności od przypadku – zawiadomi o tym Administratora bez zbędnej zwłoki. Jeżeli Administrator nie naprawi takiego naruszenia w terminie 15 dni od dnia pisemnego powiadomienia, Podmiot Przetwarzający może zaprzestać przetwarzania Danych Osobowych.

5.3 Podmiot Przetwarzający Dane podczas przetwarzania Danych Osobowych zobowiązany jest do postępowania zgodnie z udokumentowanymi instrukcjami przekazanymi przez Administratora. Instrukcje będą udzielane zgodnie z niniejszą Umową (głównie z wykorzystaniem odpowiednich funkcji produktów/usług) i będą dotyczyły aktualizacji, usuwania, zmiany lub innego przetwarzania Danych Osobowych, za wyjątkiem instrukcji poszerzających środki techniczne i organizacyjne, nieobjętych zakresem niniejszej Umowy. Podmiot Przetwarzający poinformuje Administratora o nieprawidłowym charakterze instrukcji, jeżeli Podmiot Przetwarzający z zachowaniem zawodowej dbałości, mógł stwierdzić nieprawidłowy charakter instrukcji. W takim przypadku Podmiot Przetwarzający jest zobowiązany do postępowania zgodnie z taką instrukcją wyłącznie na pisemne polecenie Administratora.

5.4 Zgodnie z Artykułem 10 Ustawy, Podmiot Przetwarzający zobowiązany jest zapewnić, że prawa Osób, których dane dotyczą, nie zostaną naruszone, w tym w szczególności, prawo do godności ludzkiej, jak również jest zobowiązany do wdrożenia środków chroniących przez nieupoważnioną ingerencją w prywatne i osobiste życie Osób, których dane dotyczą.

5.5 Podmiot Przetwarzający może (ale nie ma obowiązku) spełniać obowiązek w zakresie podawania informacji Osobom, których dane dotyczą zgodnie z Artykułem 11 Ustawy (albo Artykułem 13 Rozporządzenia) oraz może (ale nie ma obowiązku) podawać informacje, Osobom których dane dotyczą zgodnie z Artykułem 12 Ustawy (albo Artykułem 15 Rozporządzenia) na wniosek Osoby, której dane dotyczą.

5.6 Jeżeli cel przetwarzania Danych Osobowych przestanie istnieć albo jeżeli Osoba, której dane dotyczą złoży odpowiedni wniosek zgodnie z Artykułem 21 Ustawy, albo Artykułem 17 Rozporządzenia, Podmiot Przetwarzający, zgodnie z Artykułem 20 Ustawy, na podstawie i zgodnie z instrukcjami Administratora, zobowiązany jest zniszczyć odpowiednie Dane Osobowe albo przekazać je Administratorowi.

5.7 Jeżeli Osoba, której dane dotyczą, uzna że Podmiot Przetwarzający przetwarza Dane Osobowe Osoby, której dane dotyczą z naruszeniem ochrony prywatnego lub osobistego życia Osoby, której dane dotyczą albo z naruszeniem prawa, w szczególności, jeżeli Dane Osobowe nie są adekwatne do celu ich przetwarzania, i jeżeli Osoba, której dane dotyczą zażąda od Podmiotu Przetwarzającego wyjaśnień albo środków naprawczych w rozumieniu Artykułu 21 Ustawy, Podmiot Przetwarzający poinformuje o tym Administratora bez zbędnej zwłoki.

5.8 Podmiot Przetwarzający jest zobowiązany do powiadomienia Administratora o wszelkich kontrolach lub wszczęciu postępowania administracyjnego dotyczącego konieczności wdrożenia środków naprawczych lub grzywny prowadzonego przez Urząd Ochrony Danych Osobowych („Postępowanie Administracyjne”), jeżeli Postępowanie Administracyjne dotyczy Danych Osobowych przetwarzanych na rzecz Administratora, lub parametrów usługi świadczonej na rzecz Administratora, jak również jeżeli można oczekiwać, że przeprowadzenie takiej kontroli albo Postępowania Administracyjnego może mieć wpływ na takie parametry.

5.9 Administrator jest zobowiązany do powiadomienia Podmiotu Przetwarzającego o kontroli albo wszczęciu Postępowania Administracyjnego, jeżeli Postępowanie Administracyjne dotyczy Danych Osobowych przetwarzanych przez Podmiot Przetwarzający na rzecz Administratora, parametrów usługi świadczonej na rzecz Administratora, jak również jeżeli można oczekiwać, że przeprowadzenie takiej kontroli albo Postępowania Administracyjnego może mieć wpływ na takie parametry.

5.10 Podmiot Przetwarzający poinformuje Administratora o wszelkiej utracie lub naruszeniu bezpieczeństwa Danych Osobowych („Naruszenie Bezpieczeństwa Danych”) bez zbędnej zwłoki. Podmiot Przetwarzający, po poinformowaniu Administratora, kontynuuje wsparcie w zakresie usunięcia Naruszenia Bezpieczeństwa Danych lub wdrożeniu środków, które zmniejszyłyby potencjalne negatywne skutki takiego naruszenia lub zapobiegłyby wystąpieniu podobnych zdarzeń w przyszłości.5.11 Informacje, o których mowa w Artykule

5.10 powyżej obejmują w szczególności:

(a) opis charakteru Naruszenia Bezpieczeństwa Danych, w tym, jeżeli będzie to możliwe, kategorie oraz przybliżoną liczbę Osób, których dane dotyczą, dotkniętych takim naruszeniem, oraz kategorie oraz przybliżoną liczbę rekordów Danych Osobowych dotkniętych takim naruszeniem;

(b) opis prawdopodobnych konsekwencji Naruszenia Bezpieczeństwa Danych;

(c) opis podjętych lub proponowanych przez Podmiot Przetwarzający działań w celu naprawienia Naruszenia Bezpieczeństwa Danych, w tym, o ile ma to zastosowanie, środków ograniczających jego negatywne skutki.

6. GWARANCJE W ZAKRESIE TECHNICZNYCH I ORGANIZACYJNYCH ŚRODKÓW GWARANTUJĄCYCH OCHRONĘ DANYCH OSOBOWYCH

6.1 Biorąc pod uwagę stan wiedzy technicznej, koszty wdrożenia, charakter, zakres, kontekst oraz cele przetwarzania oraz ryzyko zróżnicowanego prawdopodobieństwa i powagę zagrożenia dla praw i wolności osób fizycznych, Podmiot Przetwarzający zobowiązuje się zgodnie z Artykułem 13(1) Ustawy i Artykułem 32 Rozporządzenia, w zależności od przypadku, wdrożyć odpowiednie środki techniczne i organizacyjne w celu zapewnienia ochrony Danych Osobowych w sposób opisany w Ustawie, w Rozporządzeniu albo w innych regulacjach prawnych, w celu wykluczenia możliwości nieupoważnionego lub przypadkowego dostępu do Danych Osobowych, ich zmiany, zniszczenia lub utraty, nieuprawnionego przekazywania, przetwarzania lub innego niewłaściwego wykorzystania Danych Osobowych.

6.2 Podmiot Przetwarzający w szczególności zobowiązuje się do wdrożenia następujących środków organizacyjnych i technicznych:

(a) bez uszczerbku dla Artykułu 6.3 niniejszej Umowy, jeżeli Dane Osobowe są przetwarzane przez pracowników Podmiotu Przetwarzającego, Podmiot Przetwarzający powierzy takie czynności wyłącznie wybranym pracownikom, którzy zostaną należycie pouczeni o obowiązku zachowania Danych Osobowych w poufności, jak również o innych obowiązkach, które tacy pracownicy muszą wypełniać, żeby nie naruszyć przepisów Ustawy, Rozporządzenia albo postanowień niniejszej Umowy;

(b) bez uszczerbku dla Artykułów 6.3 i 6.4, Podmiot Przetwarzający nie upoważni żadnej osoby trzeciej do przetwarzania Danych Osobowych bez uprzedniej pisemnej zgody Administratora;

(c) Podmiot Przetwarzający będzie stosował odpowiedni sprzęt techniczny i oprogramowanie w celu wykluczenia nieuprawnionego lub przypadkowego dostępu do Danych Osobowych przez inne osoby niż uprawnieni pracownicy Podmiotu Przetwarzającego;

(d) Podmiot Przetwarzający będzie przechowywał Dane osobowe w należycie zabezpieczonych budynkach i pomieszczeniach;

(e) Podmiot Przetwarzający będzie przechowywał dokumenty w wersji papierowej zawierające Dane Osobowe w bezpiecznym miejscu, jak również będzie prowadził odpowiedni rejestr dotyczący zmian lokalizacji takich dokumentów;

(f) Podmiot Przetwarzający będzie przechowywał Dane Osobowe w formie elektronicznej na bezpiecznych serwerach albo nośnikach danych (pamięciach), dostęp do których posiadać będą wyłącznie uprawnione osoby na podstawie kodów dostępu lub haseł, jak również będzie sporządzał regularnie kopie zapasowe Danych Osobowych;

(g) Podmiot Przetwarzający zapewni, że zdalne przekazywanie Danych Osobowych będzie miało miejsce wyłącznie z wykorzystaniem niepublicznych sieci albo bezpiecznego transferu w sieciach publicznych, w szczególności z wykorzystaniem protokołu bezpieczeństwa komunikacji w sieci. Mając na uwadze charakter, zakres, kontekst oraz ryzyko zróżnicowanego prawdopodobieństwa i powagę zagrożenia, niektóre Dane Osobowe mogą być przekazywane za pośrednictwem poczty elektronicznej;

(h) Podmiot Przetwarzający, dzięki zastosowaniu odpowiednich środków technicznych, zapewni, możliwość terminowego odzyskania dostępności i dostępu do Danych Osobowych w przypadku fizycznego lub technicznego incydentu, zgodnie z parametrami dla danej usługi, uzgodnionymi w Umowie o Świadczenie Usług;

(i) Podmiot Przetwarzający zapewni proces regularnego testowania, badania oraz oceny skuteczności środków technicznych i organizacyjnych wykorzystywanych do zapewnienia bezpieczeństwa przetwarzania; oraz

(j) po zaprzestaniu przetwarzania Danych Osobowych, Podmiot Przetwarzający zapewni, zgodnie z ustaleniami z Administratorem, że Dane Osobowe zostaną fizycznie zniszczone albo przekazane Administratorowi.

6.3 Podmiot Przetwarzający może powierzyć przetwarzanie Danych Osobowych innemu podmiotowi przetwarzającemu („Inny Podmiot Przetwarzający”). Podmiot Przetwarzający za pośrednictwem https://www.lmc.eu/pl/lista-dostawcow/ („Tablica Ogłoszeń”) poinformuje Administratora o wszelkich Innych Podmiotach Przetwarzających, którym Podmiot Przetwarzający zamierza powierzyć Przetwarzanie Danych, o wszelkich zmianach dotyczących dodania lub zastąpienia Innych Podmiotów Przetwarzających, dając Administratorowi możliwość wyrażenia sprzeciwu wobec dodania takich Innych Podmiotów Przetwarzających zgodnie z postanowieniami Umowy o Świadczenie Usług. Za wyjątkiem Innych Podmiotów Przetwarzających, wobec których Administrator nie wyraził sprzeciwu, Podmiot Przetwarzający nie będzie powierzać przetwarzania Danych Osobowych żadnym osobom trzecim. Aktualna lista Innych Podmiotów Przetwarzających jest dostępna na Tablicy Ogłoszeń.

6.4 Jeżeli Podmiot Przetwarzający powierzy Innym Podmiotom Przetwarzającym wykonywanie pewnych określonych czynności w zakresie przetwarzania, na taki Inny Podmiot Przetwarzający nałożone zostaną umownie takie same obowiązki w zakresie ochrony danych osobowych, jakie zostały określone w niniejszej Umowie, w szczególności w zakresie zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych w sposób, który zapewni, że przetwarzanie spełnia wymogi określone w Ustawie i Rozporządzeniu.

6.5 Administrator niniejszym przyjmuje do wiadomości, że usługi świadczone przez Inne Podmioty Przetwarzające wymienione na Tablicy Ogłoszeń mogą obejmować przekazywania Danych Osobowych do krajów nienależących do UE, nieposiadających odpowiedniego poziomu ochrony danych osobowych; takie informacje są podane na Tablicy Ogłoszeń. W tym zakresie Podmiot Przetwarzający gwarantuje, że upoważni do przetwarzania Danych Osobowych wyłącznie te Inne Podmioty Przetwarzające, które wdrożą odpowiednie środki bezpieczeństwa gwarantujące przekazywania danych osobowych zgodne z Artykułami 44 do 49 Rozporządzenia lub Artykułem 27 Ustawy. W zakresie w jakim odpowiednie środki bezpieczeństwa, o których mowa w zdaniu poprzedzającym, zostaną następnie zmienione, wycofane lub uznane za nieważne przez sąd właściwy, a Podmiot Przetwarzający niezwłocznie w dobrej wierze znajdzie odpowiedni alternatywny środek bezpieczeństwa przetwarzania Danych Osobowych za granicą, Administrator zrzeka się prawa do powołania się na naruszenie umowne zasad określonych w niniejszym Artykule 6.5.

6.6 Zgodnie z Artykułem 13(2) Ustawy, Podmiot Przetwarzający jest zobowiązany do przyjęcia i udokumentowania przyjętych i wdrożonych środków technicznych i organizacyjnych w celu ochrony Danych Osobowych zgodnie z Ustawą lub innymi regulacjami prawnymi.

7. OKRES OBOWIĄZYWANIA I ROZWIĄZANIE UMOWY

7.1 Niniejsza Umowa wchodzi w życie z dniem jej podpisania przez obie Strony i wygasa w dniu lub po dniu rozwiązania Umowy o Świadczenie Usług. Jeżeli Strony zawarły albo zawrą kiedykolwiek w przyszłości, inną umową, która będzie obejmowała przetwarzanie Danych Osobowych, niniejsza Umowa wygaśnie wraz z wygaśnięciem takiej innej umowy, albo w zależności od przypadku wraz z wygaśnięciem ostatniej z takich zawartych umów.

7.2 Administrator może rozwiązać niniejszą Umowę za powiadomieniem, z zachowaniem trzydniowego (3) okresu wypowiedzenia, jeżeli Podmiot Przetwarzający dopuści się naruszenia swoich obowiązków wynikających z niniejszej Umowy i nie naprawi go w terminie 15 (piętnastu) dni do otrzymania pisemnego wezwania od Administratora, albo jeżeli Administrator sprzeciwia się powierzeniu przetwarzania Innemu Podmiotowi Przetwarzającemu na piśmie, a taki Inny Podmiot Przetwarzający jest, zgodnie z w pełni dyskrecjonalnym oświadczeniem Podmiotu Przetwarzającego, niezbędny do wykonywania Umowy o Świadczenie Usług.

7.3 Podmiot Przetwarzający może rozwiązać niniejszą Umowę za powiadomieniem, z zachowaniem trzydniowego (3) okresu wypowiedzenia, w przypadku naruszenia przez Administratora obowiązków wynikających z Ustawy, Rozporządzenia lub Nowej Ustawy o Ochronie Danych Osobowych, i nie naprawi go w terminie 15 (piętnastu) dni do otrzymania powiadomienia Podmiotu Przetwarzającego zgodnie z Artykułem 5.2 niniejszej Umowy, albo jeżeli Administrator sprzeciwia się powierzeniu przetwarzania Innemu Podmiotowi Przetwarzającemu na piśmie, a taki Inny Podmiot Przetwarzający jest, zgodnie z w pełni dyskrecjonalnym oświadczeniem Podmiotu Przetwarzającego, niezbędny do wykonywania Umowy o Świadczenie Usług.

7.4 Każda ze Stron może rozwiązać niniejszą Umowę za wypowiedzeniem bez podania przyczyny z zachowaniem trzymiesięcznego (3) okresu wypowiedzenia, rozpoczynającego się w pierwszym dniu miesiąca następującego po miesiącu, w którym takie wypowiedzenie zostało doręczone drugiej Stronie.

7.5 W przypadku rozwiązania niniejszej Umowy zgodnie z Artykułami 7.2 do 7.4 niniejszej Umowy, Podmiot Przetwarzający będzie zobowiązany do zwrotu wszelkich przetwarzanych Danych Osobowych Administratorowi albo do ich zniszczenia zgodnie z Artykułem 5.6 niniejszej Umowy.

7.6 Po rozwiązaniu niniejszej Umowy, Podmiot Przetwarzający będzie zobowiązany do wypełniania wszelkich obowiązków wynikających z Ustawy, a po dniu wskazanym w Artykule 8.1 niniejszej Umowy, również obowiązków wynikających z Rozporządzenia lub Nowej Ustawy o Ochronie Danych Osobowych mających na celu zapobieganie nieuprawnionemu przetwarzaniu Danych Osobowych do czasu przekazania ich Administratorowi przez Podmiot Przetwarzający zgodnie z instrukcjami Administratora albo do czasu ich bezpiecznego zniszczenia przez Podmiot Przetwarzający.

7.7 Rozwiązanie Umowy stanowi okoliczność, która powoduje niemożność wykonywania całości lub części określonych rodzajów czynności wykonywanych przez Podmiot Przetwarzający na rzecz Administratora na podstawie Umowy o Świadczenie Usług, co obejmuje również przetwarzanie Danych Osobowych.

7.8 Obowiązek zachowania Danych Osobowych w poufności pozostaje w mocy po rozwiązaniu niniejszej Umowy.

8. POSTANOWIENIA DOTYCZĄCE WEJŚCIA W ŻYCIE ROZPORZĄDZENIA

8.1 Administrator i Podmiot Przetwarzający, najpóźniej do dnia 25 maja 2018 roku, wdrożą wszelkie środki ochrony określone w Rozporządzeniu oraz w Nowej Ustawie o Ochronie Danych Osobowych.

8.2 Po dacie, o której mowa w Artykule 8.1 niniejszej Umowy, Podmiot Przetwarzający zobowiązuje się udzielić Administratorowi pomocy w zakresie spełnienia przez Administratora obowiązku odpowiadania na żądania Osób, których dane dotyczą w zakresie wykonania ich praw, w szczególności na żądania o uzyskanie dostępu, korektę lub usunięcie Danych Osobowych, ograniczenie przetwarzania lub przenoszalności Danych Osobowych; jeżeli możliwe jest spełnienie takich obowiązków za pośrednictwem odpowiednich funkcji poszczególnych produktów lub usług, Administrator nie może bezzasadnie żądać współpracy ze strony Podmiotu Przetwarzającego.

8.3 Po dacie, o której mowa w Artykule 8.1 niniejszej Umowy, Podmiot Przetwarzający zobowiązuje się do zezwolenia na przeprowadzanie i pomocy w przeprowadzaniu audytów, w tym kontroli przeprowadzanych przez Administratora lub innego audytora upoważnionego przez Administratora. Administrator przyjmuje do wiadomości, że przeprowadzenie takiego audytu nie może naruszać praw osób trzecich (na przykład innych kontrolerów lub osób, których dane dotyczą), w szczególności w zakresie zapewnienia zachowania poufności danych osobowych. Ponadto, Administrator przyjmuje do wiadomości, że przeprowadzenie takiego audytu podlega odrębnej umowie w zakresie kosztów ponoszonych przez Podmiot Przetwarzający albo przez Administratora.

8.4 Po dacie, o której mowa w Artykule 8.1 niniejszej Umowy, wszystkie warunki i postanowienia niniejszej Umowy pozostają w mocy i są skuteczne, pod warunkiem, że obowiązki wynikające z odniesień do Ustawy, w tym w szczególności wprowadzone za pomocą zwrotów „w znaczeniu”, „zgodnie z” i podobnych, będą interpretowane zgodnie z odpowiednimi przepisami Rozporządzenia, które nakładają obowiązki najbardziej zbliżone w swoim charakterze do obowiązków wynikających z przepisów Ustawy.

9. POSTANOWIENIA KOŃCOWE

9.1 Do stosunków prawnych, zobowiązań, praw i obowiązków wynikających z niniejszej Umowy, w tym do zmian do niniejszej Umowy, zastosowanie mają przepisy prawa czeskiego, w szczególności przepisy Ustawy oraz Ustawy nr 89/2012 Coll., Kodeks Cywilny, ze zmianami, i winny one być zgodnie z tymi przepisami interpretowane.

9.2 Jeżeli którekolwiek z postanowień niniejszej Umowy zostanie uznane przez sąd właściwy lub inny organ za nieważne, nieskuteczne, domniemane lub niewykonalne, takie postanowienie uznaje się za usunięte z Umowy, a pozostałe postanowienia Umowy pozostają w pełni wiążące i skuteczne, chyba, że z charakteru takiego postanowienia albo okoliczności, w których zostało zawarte wynika, że nie może zostać ono wyłączone z niniejszej Umowy. W takim przypadku Strony wprowadzą takie zmiany do niniejszej Umowy, żeby osiągnąć taki sam, a jeżeli nie będzie to możliwe, podobny skutek do skutku, który miało wywoływać takie nieważne, nieskuteczne, domniemane lub niewykonalne postanowienie.

9.3 Strony będą rozstrzygały wszelkie spory wynikające lub związane z wykonaniem niniejszej Umowy polubownie. Jeżeli Strony nie rozwiążą sporu polubownie w terminie trzydziestu (30) dni, każda ze Stron może skierować spór do rozstrzygnięcia przez sąd czeski właściwy zgodnie z przepisami prawa.

9.4 Wszelkie uzupełnienia i modyfikacje niniejszej Umowy muszą mieć formę pisemnych zmian, ponumerowanych w porządku rosnącym, podpisanych przez upoważnionych przedstawicieli obydwu Stron. Zakres przetwarzanych danych osobowych, określony w Artykule 3.2 niniejszej Umowy, może zostać rozszerzony lub w inny sposób zmodyfikowany, w zależności od funkcjonalności danego produktu bez konieczności zmiany niniejszej Umowy ani Ogólnych Warunków.

9.5 Terminy niezdefiniowane szczegółowo w niniejszej Umowie mają znaczenie nadane im w Ogólnych Warunkach albo Umowie o Świadczenie Usług.

9.6 Niniejsza Polityka jest wiążąca dla Stron zgodnie z zasadami określonymi w Ogólnych Warunkach.