Umowa powierzenia przetwarzania danych osobowych (DPA)

§1 Strony umowy

Administrator danych osobowych (Administrator): przedsiębiorca korzystający z platformy Planly.pl — Salon lub inny podmiot prowadzący działalność, który utworzył Konto i akceptuje niniejszą umowę (dalej: „Salon”).

Procesor (Wykonawca): Planly Sp. z o.o., z siedzibą pod adresem ul. Przykładowa 1, 00-000 Warszawa, NIP: 1234567890 (dalej: „Procesor”).

Kontakt Procesora w sprawach związanych z przetwarzaniem danych: kontakt@planly.pl, wsparcie techniczne: support@planly.pl.

§2 Przedmiot i cel powierzenia

Przedmiotem niniejszej umowy jest powierzenie przez Administratora Procesorowi przetwarzania danych osobowych Klientów końcowych Salony (osób rezerwujących wizyty lub korzystających z funkcji rezerwacji i powiązanych usług udostępnianych przez Administratora za pośrednictwem Platformy), w zakresie niezbędnym do świadczenia usługi SaaS Planly.pl.

Cel przetwarzania obejmuje w szczególności: obsługę rezerwacji, przechowywanie danych w systemie, wysyłkę powiadomień transakcyjnych (np. e-mail, SMS) jeśli Administrator je włączył w konfiguracji, prowadzenie logów technicznych, zapewnienie bezpieczeństwa i kopii zapasowych, obsługę płatności dodatkowych realizowanych przez operatorów płatności w ramach funkcji Platformy.

§3 Rodzaj danych i kategorie osób, których dane dotyczą

Kategorie osób: Klienci końcowi Administratora oraz inne osoby wskazane przy rezerwacji, o ile Administrator wprowadzi ich dane do systemu.

Kategorie danych (typowo): imię i nazwisko, numer telefonu, adres e-mail, treść rezerwacji (data, usługa, pracownik), ewentualnie notatki wprowadzone przez Administratora, dane związane z płatnością zadatku przetwarzane przez operatora płatności zgodnie z jego regulaminem.

Administrator nie powinien wprowadzać danych szczególnych kategorii (art. 9 RODO), o ile nie jest to niezbędne i brak odrębnej pisemnej zgody stron oraz podstawy prawnej — w razie takiej potrzeby strony uzgodnią odrębny zapis.

§4 Czas trwania przetwarzania

Przetwarzanie odbywa się przez czas trwania umowy o świadczenie usług Planly.pl (subskrypcji) oraz po jej zakończeniu przez okres niezbędny do: wykonania obowiązków prawnych, rozpatrzenia reklamacji, usunięcia danych lub ich zwrotu Administratorowi, zgodnie z Polityką Prywatności i procedurami retencji Procesora.

§5 Polecenia Administratora

Procesor przetwarza dane wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek inny wynika z prawa Unii Europejskiej lub prawa polskiego — w takim przypadku Procesor poinformuje Administratora o tym wymaganiu przed przetwarzaniem, o ile informacja taka nie jest zakazana.

Polecenia mogą mieć formę elektroniczną, w tym konfiguracji w panelu Platformy, czynności wykonywanych przez Administratora w systemie oraz postanowień Regulaminu.

§6 Obowiązki Procesora

Procesor zobowiązuje się w szczególności do:

• przetwarzania danych wyłącznie w celu realizacji niniejszej umowy i polecenia Administratora;
• zapewnienia, by osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności lub były prawnie do zachowania poufności zobowiązane;
• stosowania środków technicznych i organizacyjnych adekwatnych do ryzyka naruszenia praw i wolności osób, których dane dotyczą, zgodnie z art. 32 RODO;
• niepowoływania innego procesora (podprocesora) bez zapewnienia, że podmiot ten spełnia wymagania art. 28 ust. 4 RODO — na warunkach §7;
• uwzględniania charakteru przetwarzania, w miarę możliwości technicznych, środków pomocniczych przy realizacji obowiązku Administratora do odpowiedzi na żądania osoby, której dane dotyczą, oraz realizacji praw z art. 15–22 RODO;
• pomocy Administratorowi przy zapewnianiu zgodności z obowiązkami określonymi w art. 32–36 RODO, z uwzględnieniem rodzaju przetwarzania i informacji dostępnych Procesorowi;
• po zakończeniu świadczenia usług związanych z przetwarzaniem, zgodnie z wyborem Administratora (o ile przepisy na to pozwalają): usunięcia wszystkich danych osobowych lub ich zwrotu Administratorowi, oraz usunięcia istniejących kopii, chyba że przechowywanie jest wymagane przez prawo;
• udostępniania Administratorowi wszystkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwienia przeprowadzania audytów, w tym inspekcji, przez Administratora lub audytora upoważnionego przez Administratora, po uprzednim uzgodnieniu zakresu, terminu i sposobu realizacji, z uwzględnieniem poufności innych klientów Procesora i bezpieczeństwa systemów;
• niezwłocznego informowania Administratora o każdym naruszeniu ochrony danych osobowych dotyczącym danych powierzonych, wraz z informacją wymaganą art. 33 i 34 RODO w zakresie dostępnym Procesorowi.

§7 Podpowierzenie (podprocesorzy)

Administrator upoważnia Procesora do powierzenia przetwarzania danych podprocesorom niezbędnym do świadczenia usługi, w szczególności: dostawcom hostingu i infrastruktury chmurowej, operatorom płatności (np. Stripe), dostawcom usług komunikacji elektronicznej i SMS, dostawcom narzędzi bezpieczeństwa i kopii zapasowych.

Procesor prowadzi listę podprocesorów i udostępnia ją Administratorowi na żądanie lub publikuje w dokumentacji / Polityce Prywatności. W przypadku planowanej zmiany podprocesora w sposób istotny dla bezpieczeństwa lub zakresu przetwarzania, Procesor poinformuje Administratora z wyprzedzeniem umożliwiającym zgłoszenie uzasadnionego sprzeciwu, zgodnie z mechanizmem opisanym w dokumentacji — jeśli Administrator w uzasadnionym terminie zgłosi sprzeciw co do zmiany istotnie obniżającej poziom ochrony, strony podejmą rozmowy w celu rozwiązania sporu; brak porozumienia może skutkować rozwiązaniem umowy zgodnie z Regulaminem.

§8 Przekazywanie danych poza EOG

Jeżeli przetwarzanie odbywa się poza EOG, Procesor zapewnia mechanizmy zgodne z rozdziałem V RODO (np. standardowe klauzule umowne, decyzja o odpowiedniości).

§9 Obowiązki Administratora

Administrator oświadcza, że:

• posiada podstawę prawną do zbierania danych Klientów końcowych oraz spełnia obowiązki informacyjne wobec tych osób (w tym co do przekazania danych Procesorowi);
• nie przekazuje Procesorowi danych wykraczających ponad zakres wynikający z korzystania z Platformy, chyba że strony uzgodnią inaczej;
• współpracuje z Procesorem przy realizacji żądań osób, których dane dotyczą, w zakresie wymaganym przepisami.

§10 Audyt i koszty

Audyty po stronie Administratora, przekraczające uzasadniony zakres lub częstotliwość, mogą podlegać uzgodnieniu co do pokrycia kosztów, o ile nie wynikają one z udowodnionego naruszenia wyłącznie po stronie Procesora.

§11 Postanowienia końcowe

Niniejsza umowa wchodzi w życie z chwilą jej zawarcia w sposób wskazany w Regulaminie (w tym przez zaznaczenie checkboxa przy rejestracji Konta).

Zmiany DPA mogą nastąpić z ważnych przyczyn (np. zmiana prawa, zmiana podprocesorów w sposób istotny) — na zasadach analogicznych do zmiany Regulaminu, z odpowiednim wyprzedzeniem i możliwością rozwiązania umowy.

Prawem właściwym jest prawo polskie. Spory rozstrzygane będą przez sąd właściwy dla siedziby Procesora, o ile przepisy bezwzględnie obowiązujące nie stanowią inaczej.

W sprawach nieuregulowanych mają zastosowanie przepisy RODO oraz Polityka Prywatności w zakresie, w jakim dotyczy działań Procesora jako wykonawcy.