Przejdź do treści
Nextriv

Umowa powierzenia przetwarzania danych (DPA)

WZÓR — wymaga weryfikacji prawnej. Poniższy szkic umowy powierzenia (art. 28 RODO) opisuje zasady, na jakich Nextriv — jako podmiot przetwarzający — przetwarza dane osobowe w imieniu klienta (administratora) korzystającego z usługi Nextriv. Dokument jest udostępniany informacyjnie; wiążąca wersja jest zawierana wraz z umową o świadczenie usługi.

Ostatnia aktualizacja:

Wersja robocza — w trakcie weryfikacji prawnej

Wersja PDF będzie dostępna wkrótce — po zakończeniu weryfikacji prawnej.

§ 1. Strony i charakter umowy

Umowa powierzenia przetwarzania danych osobowych (dalej: „Umowa”) jest zawierana pomiędzy klientem usługi Nextriv — administratorem danych w rozumieniu art. 4 pkt 7 RODO (dalej: „Administrator”) — a Thermonext Michał Sendrowski z siedzibą w Konarzycach (ul. Olszowa 8B, 18-400 Konarzyce), NIP 7182165488, działającą jako podmiot przetwarzający w rozumieniu art. 4 pkt 8 RODO (dalej: „Podmiot przetwarzający”).

Umowa stanowi umowę powierzenia, o której mowa w art. 28 ust. 3 RODO, i jest zawierana jako element umowy o świadczenie usługi Nextriv (dalej: „Umowa główna”). W razie sprzeczności w zakresie ochrony danych osobowych pierwszeństwo ma niniejsza Umowa.

§ 2. Przedmiot i czas trwania powierzenia

Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych w zakresie niezbędnym do świadczenia usługi Nextriv — chmurowego systemu monitoringu warunków środowiskowych (gromadzenie danych pomiarowych, alerty i powiadomienia, raporty, zarządzanie kontami użytkowników w organizacji Administratora).

Powierzenie trwa przez okres obowiązywania Umowy głównej. Zakończenie Umowy głównej oznacza zakończenie powierzenia, z zastrzeżeniem obowiązków opisanych w § 6 (usunięcie lub zwrot danych).

§ 3. Charakter i cel przetwarzania

Charakter przetwarzania: operacje wykonywane w sposób zautomatyzowany w infrastrukturze usługi, w szczególności zbieranie, utrwalanie, przechowywanie, porządkowanie, przeglądanie, wykorzystywanie do generowania powiadomień i raportów, ujawnianie użytkownikom upoważnionym przez Administratora oraz usuwanie.

Cel przetwarzania: świadczenie usługi Nextriv zgodnie z Umową główną i udokumentowanymi poleceniami Administratora. Podmiot przetwarzający nie przetwarza powierzonych danych we własnych celach.

§ 4. Kategorie danych i osób, których dane dotyczą

Powierzenie obejmuje następujące kategorie danych zwykłych:

  • dane identyfikacyjne i kontaktowe użytkowników kont w organizacji Administratora: imię i nazwisko, służbowy adres e-mail, opcjonalnie numer telefonu (powiadomienia SMS), rola w systemie;
  • dane kontaktów zewnętrznych wskazanych przez Administratora jako odbiorcy powiadomień: imię i nazwisko, adres e-mail, numer telefonu;
  • dane o aktywności użytkowników w usłudze: logi zdarzeń, wpisy audit trail, metadane sesji (np. adres IP);
  • treści wprowadzane przez użytkowników (np. nazwy lokalizacji, notatki, komentarze do alarmów) — w zakresie, w jakim zawierają dane osobowe.

§ 5. Osoby, których dane dotyczą, i zakaz danych szczególnych

Osoby, których dane dotyczą, to w szczególności: pracownicy i współpracownicy Administratora korzystający z usługi oraz osoby wskazane przez Administratora jako odbiorcy powiadomień.

Usługa nie jest przeznaczona do przetwarzania szczególnych kategorii danych (art. 9 RODO) ani danych dotyczących wyroków skazujących (art. 10 RODO). Administrator zobowiązuje się nie wprowadzać takich danych do usługi.

§ 6. Obowiązki Podmiotu przetwarzającego

Podmiot przetwarzający zobowiązuje się:

  • przetwarzać dane wyłącznie na udokumentowane polecenie Administratora (za które uznaje się Umowę główną i konfigurację usługi dokonaną przez Administratora), chyba że obowiązek przetwarzania nakłada prawo Unii lub państwa członkowskiego;
  • zapewnić, by osoby upoważnione do przetwarzania zobowiązały się do zachowania tajemnicy lub podlegały ustawowemu obowiązkowi poufności;
  • stosować środki techniczne i organizacyjne wymagane przez art. 32 RODO — w tym szyfrowanie transmisji (TLS), izolację danych pomiędzy organizacjami (Row-Level Security), kontrolę dostępu opartą na rolach, uwierzytelnianie dwuskładnikowe oraz rejestrowanie zdarzeń bezpieczeństwa;
  • pomagać Administratorowi, w miarę możliwości i z uwzględnieniem charakteru przetwarzania, w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą (art. 12–22 RODO), oraz w wywiązywaniu się z obowiązków z art. 32–36 RODO;
  • zgłaszać Administratorowi naruszenia ochrony powierzonych danych bez zbędnej zwłoki po ich stwierdzeniu, przekazując informacje niezbędne do oceny naruszenia i ewentualnego zgłoszenia do organu nadzorczego;
  • po zakończeniu świadczenia usługi — zależnie od decyzji Administratora — usunąć powierzone dane lub umożliwić ich zwrot (eksport w otwartych formatach), a następnie usunąć istniejące kopie, chyba że prawo Unii lub państwa członkowskiego nakazuje ich przechowywanie;
  • udostępniać Administratorowi informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.

§ 7. Podpowierzenie (podprocesorzy)

Administrator wyraża ogólną zgodę na korzystanie przez Podmiot przetwarzający z usług dalszych podmiotów przetwarzających (podprocesorów) w zakresie niezbędnym do świadczenia usługi — w szczególności dostawców infrastruktury chmurowej i hostingu, dostawców usług wysyłki wiadomości e-mail (Resend), bramki SMS (SMSAPI), usług sieciowych i bezpieczeństwa (Cloudflare) oraz narzędzi Google i Microsoft.

Aktualna lista podprocesorów jest udostępniana Administratorowi [MIEJSCE PUBLIKACJI LISTY PODPROCESORÓW — do uzupełnienia]. Podmiot przetwarzający informuje Administratora o zamierzonych zmianach dotyczących dodania lub zastąpienia podprocesorów, dając Administratorowi możliwość wyrażenia sprzeciwu w terminie 14 dni od powiadomienia.

Podmiot przetwarzający nakłada na każdego podprocesora — w drodze umowy — te same obowiązki ochrony danych, jakie przewiduje niniejsza Umowa, i odpowiada wobec Administratora za wypełnienie obowiązków przez podprocesorów.

W przypadku podprocesorów przetwarzających dane poza Europejskim Obszarem Gospodarczym przekazanie odbywa się z zastosowaniem mechanizmów rozdziału V RODO (decyzje o adekwatności, standardowe klauzule umowne).

§ 8. Prawo kontroli (audyt)

Administrator ma prawo do przeprowadzania audytów lub inspekcji zgodności przetwarzania z niniejszą Umową — samodzielnie lub przez upoważnionego audytora niebędącego konkurentem Podmiotu przetwarzającego.

Audyt jest zapowiadany z co najmniej 14-dniowym wyprzedzeniem, przeprowadzany w godzinach pracy, w sposób nieuzasadnienie niezakłócający działalności Podmiotu przetwarzającego, nie częściej niż raz w roku — chyba że audyt jest następstwem stwierdzonego naruszenia lub żądania organu nadzorczego.

W pierwszej kolejności Podmiot przetwarzający realizuje prawo kontroli przez udostępnienie dokumentacji, opisów środków bezpieczeństwa i wyników audytów wewnętrznych. Strony mogą uzgodnić, że koszty audytu wykraczającego poza ten zakres ponosi Administrator.

§ 9. Odpowiedzialność

Każda ze stron odpowiada za szkody spowodowane swoim przetwarzaniem niezgodnym z RODO lub z niniejszą Umową, na zasadach określonych w art. 82 RODO.

Ograniczenia odpowiedzialności przewidziane w Umowie głównej stosuje się do niniejszej Umowy w zakresie dopuszczalnym przez bezwzględnie obowiązujące przepisy prawa. [DO WERYFIKACJI PRAWNEJ: zakres i limity odpowiedzialności.]

§ 10. Postanowienia końcowe

Umowa obowiązuje przez czas obowiązywania Umowy głównej i wygasa wraz z nią, z zastrzeżeniem obowiązków, które ze swojej natury trwają po jej zakończeniu (poufność, usunięcie/zwrot danych).

Prawem właściwym jest prawo polskie. W sprawach nieuregulowanych stosuje się RODO i przepisy krajowe o ochronie danych osobowych.

Niniejszy dokument jest wzorem udostępnianym informacyjnie i nie stanowi oferty. Wiążąca treść umowy powierzenia jest ustalana przy zawieraniu Umowy głównej; na życzenie klienta możliwe jest zawarcie DPA w formie pisemnej lub elektronicznej.