Umowa powierzenia przetwarzania danych osobowych

Niniejsza umowa (dalej: „Umowa") zostaje zawarta pomiędzy:

• Administratorem danych — firmą (Klientem), która zarejestrowała konto w serwisie aibrainworks.app (dalej: „Administrator")
• Podmiotem przetwarzającym — Polbiur, ul. Sikorskiego 7/42, 07-200 Wyszków, NIP: 966-176-80-85 (dalej: „Procesor")

Umowa stanowi realizację obowiązku wynikającego z art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO).

§1. Przedmiot umowy

Administrator powierza Procesorowi przetwarzanie danych osobowych pracowników Administratora w celu świadczenia usługi ECP — Ewidencja Czasu Pracy za pośrednictwem serwisu aibrainworks.app.

§2. Zakres i cel przetwarzania

Procesor przetwarza dane osobowe wyłącznie w zakresie i celu niezbędnym do realizacji usługi ECP, tj.:

• Rejestracja czasu pracy pracowników (start, stop, przerwy)
• Zbieranie danych lokalizacji GPS w celu weryfikacji miejsca pracy
• Generowanie raportów i zestawień dla Administratora
• Wysyłanie powiadomień push do pracowników
• Przechowywanie danych ewidencji czasu pracy

§3. Kategorie danych osobowych

Procesor przetwarza następujące kategorie danych osobowych pracowników Administratora:

• Imię i nazwisko
• Numer telefonu
• Dane lokalizacji GPS (współrzędne geograficzne)
• Logi czasu pracy
• Informacje o urlopach i nieobecnościach
• Token urządzenia mobilnego (FCM)

§4. Obowiązki Procesora

Procesor zobowiązuje się do:

• Przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Administratora
• Zapewnienia, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy
• Wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania, w tym:
  • Szyfrowanie komunikacji (HTTPS/TLS)
  • Autoryzacja dostępu (JWT)
  • Zabezpieczenie bazy danych hasłem
  • Regularne kopie zapasowe
  • Architektura multi-tenant z rozdzieleniem danych
• Pomocy Administratorowi w wywiązywaniu się z obowiązków wobec osób, których dane dotyczą (prawo dostępu, sprostowania, usunięcia itp.)
• Udostępnienia Administratorowi wszelkich informacji niezbędnych do wykazania zgodności z art. 28 RODO
• Niezwłocznego informowania Administratora o naruszeniu ochrony danych osobowych (nie później niż 24 godziny od wykrycia)

§5. Podpowierzenie przetwarzania

Administrator wyraża zgodę na korzystanie przez Procesora z następujących podprocesorów:

• Google Firebase (Google LLC) — wysyłanie powiadomień push (token FCM)
• OVH SAS — hosting serwera (Francja, Unia Europejska)
• Google Cloud Storage (Google LLC) — przechowywanie zaszyfrowanych kopii zapasowych bazy danych. Bucket zlokalizowany w regionie europe-central2 (Warszawa, Polska).

Procesor poinformuje Administratora o zamiarze korzystania z nowego podprocesora z 14-dniowym wyprzedzeniem.

§6. Przekazywanie danych do państw trzecich

Dane osobowe są przechowywane na serwerach zlokalizowanych w Unii Europejskiej (OVH — Francja, Google Cloud Storage — Warszawa, Polska). W przypadku korzystania z usług Google (Firebase, Cloud Storage), ewentualny transfer danych poza EOG odbywa się na podstawie decyzji o adekwatności w ramach EU-US Data Privacy Framework lub standardowych klauzul umownych (SCC).

§7. Okres obowiązywania

Umowa obowiązuje od momentu rejestracji konta przez Administratora w serwisie aibrainworks.app i trwa przez cały okres korzystania z usługi.

§8. Zwrot i usunięcie danych

Po zakończeniu świadczenia usługi (usunięciu konta przez Administratora), Procesor zobowiązuje się do:

• Umożliwienia eksportu danych przez Administratora przed usunięciem konta
• Usunięcia wszystkich danych osobowych w ciągu 30 dni od usunięcia konta
• Usunięcia kopii zapasowych zawierających dane Administratora zgodnie z polityką retencji (maksymalnie 30 dni)

Wyjątek stanowią dane, których przechowywanie jest wymagane przez przepisy prawa (np. dane ewidencji czasu pracy — 10 lat zgodnie z art. 94 pkt 9a Kodeksu pracy, dane faktur — 5 lat). Dane lokalizacji GPS przechowywane są przez okres niezbędny do realizacji celu przetwarzania, nie dłużej niż dane ewidencji czasu pracy.

§9. Audyt

Administrator ma prawo do przeprowadzenia audytu zgodności przetwarzania danych z niniejszą Umową. Audyt może być przeprowadzony po uprzednim uzgodnieniu terminu (minimum 14 dni wcześniej) i w sposób niezakłócający działalności Procesora.

§10. Odpowiedzialność

Procesor ponosi odpowiedzialność za szkody spowodowane przetwarzaniem danych niezgodnie z RODO lub niniejszą Umową. Odpowiedzialność Procesora ograniczona jest do wartości opłat uiszczonych przez Administratora w okresie 12 miesięcy poprzedzających zdarzenie.

§11. Postanowienia końcowe

• Umowa podlega prawu polskiemu.
• Wszelkie zmiany Umowy wymagają formy pisemnej lub elektronicznej.
• Akceptacja Umowy następuje w formie elektronicznej podczas rejestracji konta w serwisie aibrainworks.app.
• W sprawach nieuregulowanych niniejszą Umową zastosowanie mają przepisy RODO oraz Kodeksu cywilnego.

§12. Kontakt

E-mail: [email protected]