Użytym w niniejszej Umowie Powierzenia poniższym terminom, zapisanym wielką literą, nadaje się następujące znaczenie, chyba że kontekst ich użycia wyraźnie wskazuje na inną interpretację:
Administrator – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych;
Dane Osobowe – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
Umowa Powierzenia – niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych;
Podmiot Przetwarzający – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza Dane Osobowe w imieniu Administratora;
Podpowierzenie – sytuacja, w której Podmiot Przetwarzający, powierza Dane Osobowe do przetwarzania podmiotowi trzeciemu.
Pojęcia pisane wielką literą, a niezdefiniowane powyżej, powinny być interpretowane zgodnie z definicjami zawartymi w Regulaminie.
W związku z realizacją Umowy, Usługobiorca - jako Administrator Danych Osobowych - powierza ITSM Software przetwarzanie Danych Osobowych. Przedmiotem powierzenia jest udostępnienie Usługobiorcy Systemu, w celu usprawnienia, zarządzania i administracji przez Usługobiorcę procesem przyjmowania i obsługi zgłoszeń.
Zakres przetwarzania danych obejmuje w szczególności następujące Dane Osobowe: dane identyfikacyjne; dane teleadresowe; dane zawarte w treści zgłoszenia dokonanego za pośrednictwem Systemu (w szczególności dotyczące naruszeń prawa, jego okoliczności, świadków, etc.); dane wprowadzone do Systemu w toku postępowania związanego z dokonanym zgłoszeniem; dodatkowe dane, wynikające z indywidualnej konfiguracji Systemu przez Usługobiorcę.
W ramach Umowy Powierzenia, ITSM Software przetwarza Dane Osobowe następujących kategorii podmiotów: Agenci; Użytkownicy; osoby wskazane w treści zgłoszenia; osoby pomagające w dokonaniu zgłoszenia; osoby, których dane osobowe zostaną wprowadzone do Systemu w toku postępowania związanego z dokonanym zgłoszeniem.
W trakcie trwania Umowy Powierzenia, Dane Osobowe będą przetwarzane w sposób ciągły i zautomatyzowany, w wersji elektronicznej z wykorzystaniem systemów teleinformatycznych. Przetwarzanie Danych Osobowych może obejmować w szczególności następujące czynności przetwarzania: utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, przeglądanie, wykorzystywanie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
ITSM Software przetwarza powierzone Dane Osobowe wyłącznie na udokumentowane polecenie Usługobiorcy, chyba że obowiązek przetwarzania danych nakładają na ITSM Software przepisy prawa Unii lub państwa członkowskiego, którym ITSM Software podlega. W takim wypadku ITSM Software przed rozpoczęciem przetwarzania danych poinformuje Usługobiorcę o wiążącym go obowiązku prawnym, o ile dane przepisy prawa nie zabraniają udzielenia takiej informacji z uwagi na ważny interes publiczny. W razie wątpliwości uznaje się, że Umowa Powierzenia także stanowi takie udokumentowane polecenie.
W przypadku stwierdzenia przez ITSM Software, iż wydane mu przez Usługobiorcę polecenie (w trybie określonym w niniejszej Umowie Powierzenia) stanowi naruszenie przepisów RODO lub innych przepisów Unii lub prawa polskiego o ochronie danych osobowych, ITSM Software niezwłocznie poinformuje o tym fakcie Usługobiorcę.
ITSM Software zobowiązuje się do wydania imiennych upoważnień do przetwarzania danych osobowych osobom, którym umożliwi dostęp do powierzonych na mocy niniejszej Umowy Powierzenia Danych Osobowych. Jednocześnie ITSM Software zapewnia, że każda osoba przez niego upoważniona do przetwarzania powierzonych Danych Osobowych zostanie zobowiązana do zachowania w tajemnicy tych danych, a także informacji o stosowanych wobec nich środkach bezpieczeństwa zarówno w trakcie trwania zatrudnienia bądź współpracy, jak i po ich ustaniu.
ITSM Software, biorąc pod uwagę charakter przetwarzania powierzonych Danych Osobowych, w miarę możliwości pomaga Usługobiorcy - poprzez odpowiednie środki techniczne i organizacyjne - wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.
ITSM Software, uwzględniając charakter przetwarzania danych oraz dostępne mu informacje, pomaga Usługobiorcy w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO.
ITSM Software zobowiązuje się prowadzić rejestr kategorii czynności przetwarzania dokonywanych w imieniu Usługobiorcy.
ITSM Software niezwłocznie będzie informować Usługobiorcę o wszelkich przypadkach związanych z naruszeniami ochrony powierzonych Danych Osobowych.
Niezależnie od postanowień ustępów poprzedzających, ITSM Software oświadcza, że uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, wdroży odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku zapewni:
pseudonimizację i szyfrowanie Danych Osobowych;
zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
zdolność do szybkiego przywrócenia dostępności Danych Osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
ITSM Software zobowiązuje się udostępnić Usługobiorcy wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w Umowie Powierzenia oraz powszechnie obowiązujących przepisach prawa dotyczących ochrony danych osobowych i zobowiązuje się umożliwić Usługobiorcy do przeprowadzenia audytów, w tym inspekcji, i przyczynia się do nich.
Czynności kontrolne mogą być przeprowadzane wyłącznie przez pisemnie upoważnionych przez Usługobiorcę pracowników / współpracowników lub działających na jego zlecenie przedstawicieli podmiotów trzecich, pod warunkiem pisemnego zobowiązania ich do zachowania w tajemnicy wszelkich informacji uzyskanych w trakcie prowadzonych czynności audytowych.
Czynności kontrolne mogą odnosić się wyłącznie do powierzonych przez Usługobiorcę Danych Osobowych i wykorzystywanych do tego narzędzi, infrastruktury i procedur. Sposób przeprowadzenia audytu nie może naruszać innych obszarów działalności ITSM Software, m.in. informacji poufnych, zobowiązań umownych, informacji dotyczących współpracy ITSM Software z innymi podmiotami niż Usługobiorca.
Audyt obejmuje wyłącznie kontrolę właściwej dokumentacji oraz prawo uzyskania niezbędnych wyjaśnień dotyczących realizacji postanowień Umowy Powierzenia.
Audyt może zostać przeprowadzony pod warunkiem wcześniejszego powiadomienia ITSM Software o planowanym audycie, na co najmniej 14 dni roboczych przed planowanym terminem audytu.
Usługobiorca wyraża ITSM Software ogólną zgodę na korzystanie z usług innych podmiotów przetwarzających (dalej „Dalszy Przetwarzający”). ITSM Software informuje Usługobiorcę o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia Dalszych Przetwarzających, dając tym samym Usługobiorcy możliwość wyrażenia sprzeciwu wobec takich zmian. Jeżeli Usługobiorca nie wniesie sprzeciwu w terminie 7 dni, od doręczenia mu przez ITSM Software zawiadomienia, o którym mowa powyżej, przyjmuje się, że Usługobiorca wyraził zgodę na dokonanie Podpowierzenia Danych Osobowych przez ITSM Software.
ITSM Software korzysta z usług jedynie tych Dalszych Przetwarzających, na których nałożone zostają - na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego - te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między ITSM Software a Usługobiorcą. W przypadku niewywiązywania się przez Dalszego Przetwarzającego z postanowień RODO lub zawartej Umowy Powierzenia, odpowiedzialność - w granicach określonych Regulaminem - wobec Usługobiorcy za działania Dalszego Przetwarzającego ponosi ITSM Software.
Niezależnie od trybu przewidzianego powyżej, w celu umożliwienia ITSM Software wykonywania Umowy, Usługobiorca wyraża zgodę na Podpowierzenie przez ITSM Software przetwarzania Danych Osobowych spółce Amazon Web Services EMEA SARL oraz jej dystrybutorom i partnerom z możliwością dalszego Podpowierzenia przetwarzania danych przez tę spółkę. Ponadto Usługobiorca akceptuje, że usługi są świadczone przez ITSM Software przy wykorzystaniu infrastruktury zewnętrznego dostawcy (wskazanego powyżej). Postanowienia dotyczące przetwarzania przez Amazon Web Services EMEA SARL danych osobowych, które zostały Podpowierzone przez ITSM Software, są określone w aktualnie obowiązujących dokumentach dostępnych na stronie internetowej Dalszego Przetwarzającego, w szczególności pod linkami wskazanymi w §7 ust. 4 Regulaminu.
Powierzenie przetwarzania danych dokonywane jest na czas trwania Umowy i ulega zakończeniu wraz z zakończeniem Umowy. Po zakończeniu Umowy, ITSM Software, zależnie od decyzji Usługobiorcy, usuwa lub zwraca Klientowi wszelkie Dane Osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że jest uprawniony do ich dalszego przetwarzania jako Administrator.
W sprawach nieuregulowanych w Umowie Powierzenia zastosowania znajdują postanowienia Regulaminu oraz powszechnie obowiązującego prawa.