Umowa powierzenia przetwarzania danych

1. Strony

Niniejsza umowa powierzenia przetwarzania danych obowiązuje między:

• Administrator danych ("Klient"): osoba fizyczna lub prawna, która posiada konto w Consentr i wdraża widget zgody na swojej stronie (swoich stronach).
• Podmiot przetwarzający ("Consentr"): Network-IT, działająca pod nazwą Consentr, z siedzibą przy Adegemstraat 88, 2800 Mechelen, Belgia (KBO: BE0553.500.113).

Niniejsza umowa stanowi integralną część Regulaminu Consentr i obowiązuje od momentu, gdy Klient korzysta z Usług.

2. Przedmiot i czas trwania

1. Niniejsza umowa powierzenia przetwarzania danych reguluje przetwarzanie danych osobowych przez Consentr na zlecenie Klienta w ramach świadczenia platformy zarządzania zgodami.
2. Umowa obowiązuje przez czas korzystania z Usług przez Klienta i wygasa z chwilą rozwiązania umowy głównej.

3. Charakter i cel przetwarzania

Consentr przetwarza dane osobowe wyłącznie w celu:

• Rejestrowania i przechowywania rekordów zgód (dowodów zgody) odwiedzających strony Klienta
• Wyświetlania widgetu zgody na stronie (stronach) Klienta
• Generowania analityk i raportów dotyczących zgód
• Skanowania plików cookie na stronie (stronach) Klienta
• Generowania polityk prywatności i cookies w imieniu Klienta

4. Rodzaje danych osobowych

Przetwarzane są następujące kategorie danych osobowych:

5. Obowiązki podmiotu przetwarzającego

Consentr zobowiązuje się do:

1. Przetwarzania danych osobowych wyłącznie na podstawie pisemnych instrukcji Klienta, chyba że wymaga tego obowiązek prawny. W takim przypadku Consentr informuje Klienta przed przetwarzaniem, chyba że jest to zabronione przez prawo.
2. Zapewnienia, że osoby upoważnione do przetwarzania danych osobowych są zobowiązane do zachowania poufności.
3. Podjęcia wszystkich odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka (art. 32 GDPR), w tym:
   • Szyfrowanie danych w tranzycie (TLS) i w spoczynku
   • Hashowanie adresów IP i identyfikatorów odwiedzających
   • Kontrola dostępu oparta na rolach
   • Regularne kopie zapasowe
   • Monitorowanie i rejestrowanie dostępu do systemu
4. Niekorzystania z podwykonawców przetwarzania bez uprzedniej pisemnej zgody Klienta. Klient udziela niniejszym ogólnej zgody, z prawem do sprzeciwu w ciągu 30 dni od powiadomienia o nowym podwykonawcy przetwarzania.
5. Wspierania Klienta w wypełnianiu obowiązków związanych z prawami osób, których dane dotyczą (art. 15-22 GDPR).
6. Wspierania Klienta w przeprowadzaniu ocen skutków dla ochrony danych (DPIA) i uprzednich konsultacji, w stosownych przypadkach.
7. Po zakończeniu świadczenia usług usunięcia lub zwrotu wszystkich danych osobowych, według wyboru Klienta, oraz usunięcia istniejących kopii, chyba że przechowywanie jest wymagane przez prawo.
8. Udostępnienia Klientowi wszystkich informacji niezbędnych do wykazania zgodności z obowiązkami wynikającymi z art. 28 GDPR oraz umożliwienia przeprowadzania audytów.

6. Podwykonawcy przetwarzania

Consentr korzysta z następujących podwykonawców przetwarzania:

Zmiany dotyczące podwykonawców przetwarzania są komunikowane z co najmniej 30-dniowym wyprzedzeniem. Klient może w tym terminie zgłosić pisemny sprzeciw.

7. Międzynarodowy transfer danych

Dane osobowe są przechowywane i przetwarzane głównie w Europejskim Obszarze Gospodarczym (EOG). Jeśli transfer do kraju poza EOG jest konieczny, stosowane są odpowiednie zabezpieczenia:

• Decyzja o adekwatności Komisji Europejskiej
• Standardowe klauzule umowne (SCC)
• EU-US Data Privacy Framework (w stosownych przypadkach)

8. Zgłaszanie naruszeń danych

1. Consentr informuje Klienta bez zbędnej zwłoki, a w każdym przypadku w ciągu 48 godzin, po powzięciu wiedzy o naruszeniu danych osobowych.
2. Zgłoszenie zawiera co najmniej:
   • Charakter naruszenia
   • Kategorie i szacowaną liczbę osób, których dane dotyczą, oraz rejestrów danych osobowych
   • Prawdopodobne konsekwencje
   • Podjęte lub proponowane środki
3. Consentr udziela Klientowi pełnego wsparcia w wypełnianiu obowiązku zgłoszenia naruszenia organowi nadzorczemu (art. 33 GDPR) oraz ewentualnej komunikacji z osobami, których dane dotyczą (art. 34 GDPR).

9. Prawa osób, których dane dotyczą

Consentr wspiera Klienta w obsłudze wniosków osób, których dane dotyczą, w tym wniosków o dostęp, sprostowanie, usunięcie, ograniczenie, przeniesienie danych i sprzeciw. Consentr przekazuje wnioski otrzymane bezpośrednio od osób, których dane dotyczą, do Klienta.

10. Audyty

1. Klient ma prawo przeprowadzać lub zlecać audyty w celu weryfikacji zgodności z niniejszą umową.
2. Audyty przeprowadzane są po rozsądnym wcześniejszym powiadomieniu (co najmniej 30 dni), w godzinach pracy i w sposób jak najmniej zakłócający działalność Consentr.
3. Koszty audytu ponosi Klient, chyba że audyt ujawni istotne uchybienie.

11. Rozwiązanie i usunięcie danych

1. Po rozwiązaniu umowy głównej Consentr usuwa wszystkie dane osobowe w ciągu 30 dni, chyba że:
   • Klient żąda zwrotu danych (eksport)
   • Ustawowe okresy przechowywania wymagają dłuższego przechowywania
2. Klient może w dowolnym momencie zażądać eksportu rekordów zgód za pośrednictwem platformy lub support@consentr.io.

12. Odpowiedzialność

Odpowiedzialność stron na podstawie niniejszej umowy powierzenia przetwarzania danych podlega ograniczeniom zawartym w Regulaminie. Obie strony ponoszą odpowiedzialność za własne przestrzeganie obowiązujących przepisów o ochronie prywatności.

13. Prawo właściwe

Do niniejszej umowy powierzenia przetwarzania danych stosuje się prawo belgijskie. Spory rozstrzygane są przez właściwy sąd w Antwerpii, oddział w Mechelen.

14. Kontakt

W przypadku pytań dotyczących niniejszej umowy powierzenia przetwarzania danych można się z nami skontaktować:

Consentr by Network-IT
Adegemstraat 88, 2800 Mechelen, België
E-mail: support@consentr.io
KBO: BE0553.500.113