Umowa powierzenia danych
Umowa Powierzenia Danych (dalej “Umowa”), zawarta w dniu zaakceptowania OWU Organizatora Ligi pomiędzy: Usługodawcą a Organizatorem Ligi, zwanymi również łącznie Stronami lub każda z osobna Stroną.
1. Postanowienia ogólne
1.1. Umowa reguluje zasady przetwarzania przez Usługodawcę powierzonych przez Organizatora Ligi danych osobowych.
1.2. Strony zgodnie potwierdzają, iż w zakresie dotyczącym przetwarzania danych osobowych ma zastosowanie Prawo Ochrony Danych oraz inne znajdujące zastosowanie przepisy prawa regulujące ochronę danych osobowych odpowiednio, w ramach Obowiązującego Prawa.
1.3. Administratorem danych osobowych lub podmiotem przetwarzającym dane osobowe na polecenie administratora, w rozumieniu Prawa Ochrony Danych, jest Organizator Ligi.
1.4. Organizator Ligi powierza Usługodawcy przetwarzanie danych osobowych zgodnie z Prawem Ochrony Danych.
1.5. Podmiotem przetwarzającym dane osobowe na polecenie Organizatora Ligi, w rozumieniu Prawa Ochrony Danych, jest Usługodawca.
1.6. Charakter, cel oraz zakres przetwarzania danych osobowych przez Usługodawcę reguluje Umowa oraz Załącznik 1.
2. Oświadczenia Organizatora Ligi
2.1. Organizator Ligi oświadcza, iż dane osobowe zostały pozyskane i są przetwarzane zgodnie z obowiązującymi przepisami prawa, w tym zgodnie z Prawem Ochrony Danych.
2.2. Organizator Ligi potwierdza w szczególności, że dane osobowe dotyczą:
2.2.1. osób, które wyraziły zgodę na przetwarzanie swoich danych osobowych w celu zgodnym z warunkami Umowy;
2.2.2. osób, których przetwarzanie danych osobowych jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem Umowy;
2.2.3. osób, których przetwarzanie danych osobowych jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
2.2.4. osób, których przetwarzanie danych osobowych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
2.2.5. osób, których przetwarzanie danych osobowych jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
2.2.6. osób, których przetwarzanie danych osobowych jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
2.3. Organizator Ligi potwierdza, iż poinformował osoby, których dane dotyczą o przetwarzaniu ich danych w zakresie i w sposób wymagany przez Prawo Ochrony Danych.
2.4. Organizator Ligi potwierdza, iż jest uprawniony do przetwarzania danych osobowych i powierzenia ich do przetwarzania Usługodawcy w zakresie i celu określonym w Umowie.
2.5. Organizator Ligi potwierdza, iż w przypadku realizacji dalszego powierzenia przetwarzania danych uzyskał wymaganą przepisami Prawa Ochrony Danych zgodę właściwego Administratora Danych na powierzenie dalszego przetwarzania danych osobowych w celu i zakresie określonym w Umowie.
3. Polecenie Organizatora Ligi
3.1. Usługodawca jest zobowiązany do przetwarzania danych osobowych wyłącznie zgodnie z poleceniami przekazanymi przez Organizatora Ligi, chyba że przepisy Obowiązującego Prawa stanowią inaczej.
3.2. Polecenia Organizatora Ligi znajdują się w Umowie oraz Załącznikach lub są zlecane i wykonywane za pośrednictwem aplikacji, w szczególności poprzez funkcje jakie udostępnia aplikacja, lub w innym uzgodnionym trybie, np. w korespondencji e-mail przez uprawnione osoby.
3.3. Organizator Ligi zapewnia, że wszelkie polecenia przekazywane Usługodawcy są zgodne z obowiązującymi przepisami prawa, w tym przepisami o ochronie danych osobowych.
3.4. Wszelkie dalsze polecenia, które wykraczają poza polecenia określone w Umowie, muszą dotyczyć realizacji przedmiotu Umowy.
3.5. Jeżeli wdrożenie dalszych poleceń skutkuje kosztami dla Usługodawcy, Usługodawca jest zobowiązany poinformować Organizatora Ligi o takich kosztach wraz z wyjaśnieniem wysokości kosztów przed wykonaniem polecenia.
3.6. Po potwierdzeniu przez Organizatora Ligi, że poniesie on koszty wykonania polecenia oraz po ich uiszczeniu przez Organizatora Ligi, Usługodawca jest zobowiązany do realizacji polecenia.
3.7. Usługodawca niezwłocznie poinformuje Organizatora Ligi, jeżeli jego zdaniem polecenie narusza przepisy Prawa Ochrony Danych lub inne przepisy Obowiązującego Prawa i zwróci się do Organizatora Ligi o wycofanie, zmianę lub potwierdzenie kwestionowanego polecenia.
3.8. W oczekiwaniu na decyzję Organizatora Ligi, Usługodawca jest uprawniony do zawieszenia wykonania kwestionowanego polecenia.
3.9. W przypadku, w którym wykonanie polecenia Organizatora Ligi, mimo złożenia wyjaśnień, prowadziłoby do naruszenia przepisów Obowiązującego Prawa, Usługodawca jest uprawniony do wstrzymania się od realizacji tego polecenia.
3.10. Okres powierzenia przetwarzania danych osobowych
3.10.1. Organizator Ligi powierza Usługodawcy przetwarzanie danych osobowych na okres obowiązywania umowy zawartej przez Strony Umowy.
3.10.2. Strony oświadczają, że jakakolwiek zmiana okresu powierzenia przetwarzania danych osobowych musi zostać każdorazowo uzgodniona przez Strony w drodze zmiany Umowy lub zawarcia odrębnej umowy, w której zostanie określona zmiana okresu przetwarzania powierzonych danych osobowych.
3.11. Cel przetwarzania powierzonych danych osobowych
3.11.1. Szczegółowy opis celu powierzenia przetwarzania danych osobowych zawiera Załącznik 1.
3.11.2. Strony oświadczają, że jakakolwiek zmiana celu powierzenia przetwarzania danych osobowych musi zostać potwierdzona przez Strony w drodze pisemnej zmiany Umowy lub zawarcia odrębnej umowy w formie pisemnej w tym elektronicznej, w której zostanie określona zmiana celu przetwarzania powierzonych danych osobowych.
3.12. Wykaz miejsc przetwarzania powierzonych danych osobowych
3.12.1. Szczegółowy opis miejsc przetwarzania danych osobowych zawiera Załącznik 1.
3.12.2. Strony oświadczają, że jakakolwiek zmiana miejsca przetwarzania powierzonych danych osobowych musi zostać potwierdzona przez Strony w drodze pisemnej zmiany Umowy lub zawarcia odrębnej umowy w formie pisemnej w tym elektronicznej, w której zostanie określona zmiana miejsca przetwarzania powierzonych danych osobowych.
3.13. Zakres przetwarzania powierzonych danych osobowych
3.13.1. Szczegółowy opis zakresu przetwarzania danych osobowych zawiera Załącznik 1.
3.13.2. Strony oświadczają, że jakakolwiek zmiana zakresu przetwarzania powierzonych danych osobowych musi zostać potwierdzona przez Strony w drodze pisemnej zmiany Umowy lub zawarcia odrębnej umowy w formie pisemnej w tym elektronicznej, w której zostanie określona zmiana zakresu przetwarzania powierzonych danych osobowych.
4. Oświadczenia Usługodawcy
4.1. Usługodawca zobowiązuje się wykonywać Umowę z należytą starannością zawodową w celu zabezpieczenia prawnego, organizacyjnego i technicznego interesów Organizatora Ligi w zakresie przetwarzania powierzonych danych osobowych.
4.2. Usługodawca uwzględniając ryzyko naruszenia praw i wolności osób fizycznych oraz stan wiedzy technicznej, koszty wdrażania, zakres, charakter, kontekst oraz cele przetwarzania danych osobowych zobowiązuje się zastosować zgodnie z wymogami Prawa Ochrony Danych środki techniczne i organizacyjne mające na celu należyte, odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, zabezpieczenia, w szczególności zabezpieczyć dane osobowe przed ich uszkodzeniem, zniszczeniem oraz udostępnieniem osobom nieupoważnionym. Opis wdrożonych środków technicznych i organizacyjnych udostępniany jest na wniosek Organizatora Ligi.
4.3. Usługodawca może w każdym czasie zmienić wdrożone środki, pod warunkiem, że nie będą one zapewniały niższego poziomu ochrony niż środki obowiązujące w momencie zawarcia Umowy.
4.4. Usługodawca zobowiązuje się, na żądanie Organizatora Ligi, udostępniać Organizatorowi Ligi informacje o aktualnych środkach technicznych i organizacyjnych wraz z informacjami o zmianach w zakresie wdrożonych środków, niezwłocznie po dokonaniu wszelkich zmian.
4.5. Usługodawca zobowiązuje się, na wniosek Organizatora Ligi, udostępnić inne informacje niezbędne do wykazania spełnienia obowiązków określonych w Prawie Ochrony Danych.
4.6. Usługodawca zobowiązuje się nie tworzyć jakichkolwiek kopii roboczych powierzonych danych osobowych, poza przypadkami, gdy jest to wymagane dla prawidłowej realizacji Umowy.
4.7. Usługodawca zobowiązuje się niezwłocznie zniszczyć wszelkie kopie robocze i awaryjne powierzonych danych osobowych powstałe w czasie ich przetwarzania po ich wykorzystaniu, z tym zastrzeżeniem, że Usługodawca będzie uprawniony do zachowania kopii danych osobowych powierzonych przez Organizatora Ligi do czasu upływu terminu przedawnienia roszczeń Organizatora Ligi w stosunku do Usługodawcy.
4.8. Usługodawca zobowiązuje się do zabezpieczenia danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, uszkodzeniem, zniszczeniem lub utratą i podejmie wszelkie niezbędne kroki służące zachowaniu w tajemnicy danych osobowych oraz sposobu ich zabezpieczenia zgodnie z obowiązującymi przepisami Prawa Ochrony Danych.
4.9. Usługodawca oświadcza, że wszystkie osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania ich w tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy zgodnie z Prawem Ochrony Danych, a za ich działanie lub zaniechanie Usługodawca odpowiada jak za swoje własne.
4.10. Usługodawca zobowiązuje się prowadzić ewidencję pracowników zatrudnionych przy przetwarzaniu danych osobowych lub mających dostęp do systemów informatycznych, w których przetwarzane są dane osobowe, a także zaznajomi ich z treścią przepisów Prawa Ochrony Danych i zasad w zakresie ochrony danych osobowych oraz odpowiedzialnością za ich nie przestrzeganie.
4.11. Usługodawca zobowiązuje się do wsparcia Organizatora Ligi, w miarę swoich możliwości i w rozsądnym zakresie, w wywiązywaniu się przez niego z obowiązków wobec podmiotów danych, w szczególności poprzez zastosowanie odpowiednich i możliwych środków technicznych i organizacyjnych niezbędnych Organizatorowi Ligi do umożliwienia skorzystania przez osoby z uprawnień przysługujących im na mocy Prawa Ochrony Danych.
4.12. Usługodawca zobowiązuje się do wspierania Organizatora Ligi w wykonywaniu zadań przewidzianych w przepisach Prawa Ochrony Danych, przekazując niezbędne informacje.
4.13. Usługodawca zobowiązuje się udzielić Organizatorowi Ligi pomocy, ale tylko w takim zakresie, w jakim obowiązki Organizatora Ligi nie mogą być wypełnione przez Organizatora Ligi za pomocą innych środków, w odniesieniu do wspierania Organizatora Ligi w prowadzeniu oceny skutków dla ochrony danych oraz uprzednich konsultacji z organem nadzorczym. Usługodawca poinformuje Organizatora Ligi o kosztach takiej pomocy i po potwierdzeniu przez Organizatora Ligi poniesienia tych kosztów, Usługodawca zapewni wymagane wsparcie.
4.14. Usługodawca zobowiązuje się poinformować niezwłocznie Organizatora Ligi o wszelkich zdarzeniach skutkujących lub mogących skutkować naruszeniem ochrony danych osobowych w szczególności prowadzącym do naruszenia prywatności osób, których dane zostały powierzone.
4.15. Usługodawca zobowiązuje się do wsparcia Organizatora Ligi w zakresie wykonania przez Organizatora Ligi, w stosownych przypadkach, obowiązków poinformowania organu nadzorczego lub osoby, której dane dotyczą, dostarczając dostępnych informacji zgodnie z przepisami Prawa Ochrony Danych.
4.16. W przypadku zaistnienia sytuacji naruszenia ochrony danych osobowych przez Usługodawcę, Organizatorowi Ligi przysługuje w szczególności zwrot wszelkich uzasadnionych kosztów prawomocnie zakończonego procesu, w tym zastępstwa procesowego oraz ewentualnego odszkodowania zasądzonego prawomocnym wyrokiem na rzecz osób, których dotyczyło naruszenie, niezależnie od kar umownych i roszczeń odszkodowawczych przysługujących Organizatorowi Ligi na podstawie Umowy.
5. Zasady korzystania z Podprocesorów
5.1. W celu zapewnienia prawidłowej realizacji Umowy, Organizator Ligi wyraża zgodę na korzystanie przez Usługodawcę z Podprocesorów oraz na dalsze powierzanie im przetwarzania danych osobowych.
5.2. Dalsze powierzenie przetwarzania danych osobowych może nastąpić wyłącznie w granicach i w celu realizacji Usługi.
5.3. Pełna i aktualna lista Podprocesorów znajduje się w […].
6. Zwrot lub usunięcie danych
6.1. Usługodawca usunie lub przekaże powierzone dane osobowe do Organizatora Ligi w sposób określony przez Organizatora Ligi, w terminie 7 dni od zakończenia Umowy, w następujących przypadkach:
6.1.1. w przypadku rozwiązania Umowy;
6.1.2. na każde wezwanie Organizatora Ligi.
7. Prawo właściwe
7.1. Umowa podlega prawu polskiemu i jest interpretowana zgodnie z jego przepisami.
7.2. W razie powstania w przyszłości jakichkolwiek sporów sądowych na tle Umowy Strony zastrzegają właściwość miejscową sądu właściwego ze względu na siedzibę Usługodawcy.
Kontakt: FINGOWEB SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ SPÓŁKA KOMANDYTOWA, ul. Ostatnia 1C, 31-444 Kraków, contact@flmsystem.com
Załącznik 1 do Umowy Powierzenia Danych zawartej między Usługodawcą a Organizatorem Ligi
1. Charakter przetwarzania danych osobowych
1.1. Przetwarzanie danych osobowych będzie miało charakter manualny oraz automatyczny.
1.2. Dane osobowe będą przetwarzane wyłącznie przez osoby upoważnione do przetwarzania danych osobowych.
1.3. Dane osobowe będą przetwarzane przez systemy informatyczne Usługodawcy oraz systemy informatyczne Podprocesorów.
2. Cel przetwarzania danych osobowych
2.1. Powierzenie przetwarzania danych osobowych obejmuje przetwarzanie danych w celu realizacji Umowy pomiędzy Usługodawcą a Organizatorem Ligi na korzystanie z FLM.
3. Kategorie podmiotów danych osobowych
3.1. Powierzenie przetwarzania danych osobowych obejmuje przetwarzanie danych następujących kategorii podmiotów danych:
3.1.1. Organizatorzy Lig
3.1.2. Zawodnicy / Uczestnicy
3.1.3. Managerowie
3.1.4. Sędziowie
3.1.5. inne kategorie podmiotów danych osobowych przetwarzanych przez Organizatora Ligi.
4. Zakres powierzonych Danych Osobowych
4.1. Powierzenie przetwarzania danych osobowych obejmuje przetwarzanie danych w następującym zakresie:
4.1.1. Organizator Ligi:
- imię, nazwisko, nazwa organizacji, adres e-mail, telefon (opcjonalnie)
4.1.2. Zawodnik:
- imię, nazwisko, data urodzenia, zdjęcie profilowe (opcjonalnie), opis (opcjonalnie)
4.1.3. Manager:
- imię, nazwisko, adres e-mail, telefon (opcjonalnie)
4.1.4. Sędzia / Koordynator:
- imię, nazwisko, adres e-mail, zdjęcie profilowe (opcjonalnie), opis (opcjonalnie) […]
5. Okres przetwarzania powierzonych Danych Osobowych
5.1. Powierzenie przetwarzania danych osobowych obejmuje przetwarzanie danych od momentu zawarcia Umowy do okresu obejmującego 7 dni po rozwiązaniu lub wygaśnięciu Umowy, z zastrzeżeniem zachowania kopii danych do czasu upływu terminu okresu przedawnienia roszczeń Stron wynikających z Umowy.
6. Wykaz miejsc przetwarzania powierzonych Danych Osobowych
6.1. Powierzenie przetwarzania danych osobowych obejmuje przechowywanie danych na terytorium EOG lub poza EOG (w przypadku skorzystania z Podprocesorów).
6.2. W przypadku skorzystania z Podprocesorów spoza EOG, Usługodawca zapewnia, że podstawą przekazania danych do ww. państw trzecich są:
- w przypadku Wielkiej Brytanii, Kanady, Izraela, Japonii oraz Korei Południowej – decyzje Komisji Europejskiej stwierdzające odpowiedni stopień ochrony danych osobowych w każdym z ww. państw trzecich.
- w przypadku USA – decyzja wykonawcza Komisji (UE) 2023/1795 z dnia 10 lipca 2023 r. na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, stwierdzająca odpowiedni stopień ochrony danych osobowych zapewniony w ramach ochrony danych UE-USA.
- w przypadku USA, Chile, Brazylii, Arabii Saudyjskiej, Kataru, Indii, Chin, Singapuru, Tajwanu (Republiki Chińskiej), Indonezji oraz Australii – klauzule umowne zapewniające odpowiedni poziom ochrony, zgodne ze standardowymi klauzulami umownymi określonymi w decyzji wykonawczej Komisji (UE) 2021/914 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679.
7. Podprocesorzy
7.1. Usługodawca korzysta z Podprocesorów w celu realizacji dalszego powierzenia przetwarzania danych osobowych Organizatora Ligi, w związku z zapewnieniem prawidłowej realizacji Umowy.