Sprawd┼║ jak dzia┼éa i wygl─ůda Comarch ERP XT

Umowa powierzenia przetwarzania danych osobowych

zawarta pomi─Ödzy:

ÔÇŽÔÇŽÔÇŽÔÇŽÔÇŽ..[nazwa] z siedzib─ů w ÔÇŽÔÇŽÔÇŽÔÇŽÔÇŽ.[adres], o nr NIP ÔÇŽÔÇŽÔÇŽÔÇŽÔÇŽ.;

reprezentowan─ů przez:

ÔÇŽÔÇŽÔÇŽÔÇŽ. [osoba] ÔÇôÔÇŽÔÇŽÔÇŽÔÇŽÔÇŽÔÇŽÔÇŽÔÇŽÔÇŽ.,
zwan─ů dalej Klientem

a

Comarch Sp├│┼éka Akcyjna z siedzib─ů w Krakowie, aleja Jana Paw┼éa II 39a, zarejestrowan─ů w Krajowym Rejestrze S─ůdowym prowadzonym przez S─ůd Rejonowy dla Krakowa ÔÇô ┼Ür├│dmie┼Ťcia w Krakowie XI Wydzia┼é Gospodarczy Krajowego Rejestru S─ůdowego pod numerem KRS: 0000057567, NIP: 677-00-65-406. Wysoko┼Ť─ç kapita┼éu zak┼éadowego Sp├│┼éki wynosi 8.133.349,00 z┼é. Kapita┼é zak┼éadowy zosta┼é wp┼éacony w ca┼éo┼Ťci, reprezentowan─ů przez:

Zbigniew Rymarczyk ÔÇô Wiceprezes

Micha┼é Bajcar ÔÇô Prokurent

dalej ÔÇ×ComarchÔÇŁ.

Strony zawieraj─ů niniejsz─ů umow─Ö powierzenia przetwarzania danych osobowych w zwi─ůzku z Umow─ů g┼é├│wn─ů, na podstawie kt├│rej Comarch ┼Ťwiadczy dla Klienta w zakresie i na warunkach ustalonych w Umowie g┼é├│wnej us┼éugi, kt├│re s─ů zwi─ůzane z przetwarzaniem Danych Osobowych przez Comarch jako Podmiot przetwarzaj─ůcy.

Artykuł 1. Definicje

1.1. Administrator ÔÇô administrator w rozumieniu art. 4 pkt 7 RODO.
1.2. Dane osobowe ÔÇô dane osobowe w rozumieniu art. 4 pkt 1 RODO
1.3. Dane osobowe Klienta ÔÇô Dane osobowe okre┼Ťlone w Artyku┼é 2 ust. 2 Umowy powierzenia.
1.4. Naruszenie ochrony danych osobowych ÔÇô naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO.
1.5. Podmiot przetwarzaj─ůcy ÔÇô podmiot przetwarzaj─ůcy w rozumieniu art. 4 pkt 8 RODO.
1.6. Przetwarzanie ÔÇô przetwarzanie danych osobowych w rozumieniu art. 4 pkt 2 RODO.
1.7. RODO ÔÇô Rozporz─ůdzenie Parlamentu Europejskiego i Rady(UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony os├│b fizycznych w zwi─ůzku z przetwarzaniem danych osobowych i w sprawie swobodnego przep┼éywu takich danych oraz uchylenia dyrektywy 95/46/WE (og├│lne rozporz─ůdzenie o ochronie danych).
1.8. Umowa g┼é├│wna ÔÇô umowa na ┼Ťwiadczenie Us┼éugi Comarch ERP XT zgodnie z Regulaminem Us┼éugi Comarch ERP XT dost─Öpnym na stronie:┬áwww.erpxt.pl
1.9. Umowa powierzenia ÔÇô niniejsza umowa powierzenia przetwarzania danych osobowych, stanowi─ůca zgodnie z wol─ů Stron integraln─ů cz─Ö┼Ť─ç Umowy g┼é├│wnej.

Artykuł 2. Przedmiot umowy

2.1. Niniejsza Umowa okre┼Ťla warunki Przetwarzania przez Comarch w imieniu Administratora Danych osobowych Klienta okre┼Ťlonych poni┼╝ej w Artyku┼é 2 ust. 2 w zakresie Us┼éug wykonywanych na podstawie Umowy g┼é├│wnej, wskazanych w Artyku┼é 2 ust.3.
2.2. Klient powierza Comarch Przetwarzanie nast─Öpuj─ůcych Danych osobowych:
2.2.1. Rodzaj danych osobowych obj─Ötych Umow─ů:

  • dane identyfikacyjne (imi─Ö, nazwisko, adres e-mail, data urodzenia, login, nr telefonu)
  • dane adresowe (kod, kraj, miasto, ulica, numer domu)
  • dane transakcyjne (zam├│wienia u dostawc├│w, oferty sprzeda┼╝y, faktury proforma, faktury
    sprzeda┼╝y, faktury zaliczkowe, paragony, faktury zakupu, korekty faktur)
  • dane ksi─Ögowe (zapisy w rejestrach VAT, zapisy ksi─Ögowe, pliki JPK, deklaracje, wynagrodzenia)
  • dane marketingowe (zgody na wysy┼éanie informacji handlowych)
  • historia komunikacji
  • historia logowania

W przypadku konieczno┼Ťci dodania dodatkowego rodzaju danych osobowych niewskazanych na li┼Ťcie powy┼╝ej, Klient poinformuje o tym Comarch w formie pisemnej, przy czym ka┼╝dorazowa modyfikacja danych osobowych wskazanych na li┼Ťcie nie wymaga formy aneksu do niniejszej Umowy, a jedynie pisemnego o┼Ťwiadczenia Klienta z┼éo┼╝onego Comarch z dok┼éadnym wskazaniem rodzaju danych osobowych, jakie dodatkowo s─ů wprowadzane.
2.2.2. Kategorie os├│b, kt├│rych Dane osobowe dotycz─ů:

  • u┼╝ytkownicy us┼éugi Comarch ERP XT ┼Ťwiadczonej na podstawie Regulaminu ┼Ťwiadczenia us┼éug
    Comarch ERP XT
  • osoby fizyczne
  • osoby prawne

2.3. Comarch będzie przetwarzał Dane osobowe Klienta w zakresie usług wykonywanych na podstawie Umowy głównej.
2.4. Powierzenie Przetwarzania Danych osobowych Klienta następuje w celu wykonania Umowy głównej.

Artykuł 3. Przetwarzanie Danych osobowych Klienta przez Comarch

3.1. Comarch b─Ödzie przetwarza┼é Dane Osobowe Klienta wy┼é─ůcznie w celu, w zakresie i na warunkach okre┼Ťlonych w Umowie powierzenia.
3.2. Comarch b─Ödzie przetwarza┼é Dane osobowe Klienta w zakresie ┼Ťwiadczenia Us┼éug wy┼é─ůcznie w formie elektronicznej w systemie informatycznym.
3.3. Strony uzgadniaj─ů, ┼╝e Dane osobowe Klienta b─Öd─ů przetwarzane zgodnie z poleceniami Administratora, kt├│re powinny by─ç przesy┼éane do Comarch przez Klienta w formie pisemnej. Polecenia przekazane w innej formie nie s─ů wi─ů┼╝─ůce do momentu ich przes┼éania w uzgodnionej formie. Termin realizacji ka┼╝dego polecenia powinien by─ç uzgodniony przez Strony. Polecenie, kt├│re dotyczy zmiany zakresu lub sposobu ┼Ťwiadczenia Us┼éug lub wykonania dodatkowej us┼éugi jest traktowane jak zlecenie Comarch dodatkowej us┼éugi, za wykonanie kt├│rej Comarch mo┼╝e za┼╝─ůda─ç dodatkowego wynagrodzenia. Takie polecenie mo┼╝e zosta─ç z┼éo┼╝one wy┼é─ůcznie na warunkach okre┼Ťlonych w Umowie g┼é├│wnej dla zamawiania dodatkowych us┼éug lub, je┼╝eli Umowa g┼é├│wna nie reguluje zasad zamawiania dodatkowych us┼éug, poprzez podpisanie przez obie Strony odpowiedniego zam├│wienia lub aneksu do Umowy g┼é├│wnej i za wynagrodzeniem obliczonym wed┼éug stawek okre┼Ťlonych w Umowie g┼é├│wnej lub, w razie braku takich stawek w Umowie g┼é├│wnej, wed┼éug aktualnego cennika Comarch. Do polecenia, kt├│re dotyczy ┼Ťrodk├│w technicznych i organizacyjnych stosowanych przez Comarch zastosowanie ma Artyku┼é 6 ust.4.
3.4. Comarch poinformuje Klienta, jeżeli polecenie Administratora przekazane mu zgodnie z Artykuł 3 ust.3, uznać
nale┼╝y za niezgodne z RODO lub innymi przepisami o ochronie danych osobowych.

Artykuł 4. Okres przetwarzania

4.1. Dane osobowe Klienta b─Öd─ů przetwarzane przez Comarch w okresie wykonywania Us┼éug, z zastrze┼╝eniem Artyku┼é 4 ust. 2 i 3.
4.2. O ile Umowa g┼é├│wna nie stanowi inaczej, po zako┼äczeniu wsp├│┼épracy Stron na podstawie Umowy g┼é├│wnej, Comarch wyda Klientowi Dane osobowe Klienta, kt├│re na dzie┼ä przekazania b─Öd─ů znajdowa┼éy si─Ö w posiadaniu Comarch, zgodnie z warunkami i w terminie okre┼Ťlonym w Umowie g┼é├│wnej. Je┼╝eli Umowa g┼é├│wna nie okre┼Ťla warunk├│w lub terminu wydania Danych osobowych Klienta, wydanie tych danych nast─Öpuje na podstawie zam├│wienia Klienta za dodatkowym wynagrodzeniem wed┼éug stawek okre┼Ťlonych w Umowie g┼é├│wnej lub, w razie braku takich stawek w Umowie g┼é├│wnej, wed┼éug aktualnego cennika Comarch.
4.3. O ile Umowa g┼é├│wna nie stanowi inaczej, Comarch usuwa Dane osobowe Klienta oraz ich kopie niezw┼éocznie po up┼éywie okresu niezb─Ödnego do ustalenia, dochodzenia lub obrony roszcze┼ä wynikaj─ůcych lub mog─ůcych wynika─ç z Umowy g┼é├│wnej lub Umowy powierzenia.
4.4. Postanowienia Artyku┼é 4 ust. 2 i 3 pozostaj─ů w mocy po rozwi─ůzaniu lub wyga┼Ťni─Öciu Umowy powierzenia.

Artyku┼é 5. Obowi─ůzki Comarch

5.1. Comarch zobowi─ůzuje do przestrzegania Umowy powierzenia i w┼éa┼Ťciwych przepis├│w prawa maj─ůcych zastosowanie do Przetwarzania Danych osobowych stanowi─ůcego przedmiot Umowy powierzenia, w szczeg├│lno┼Ťci zobowi─ůzuje si─Ö do przestrzegania obowi─ůzk├│w Podmiotu przetwarzaj─ůcego wynikaj─ůcych
z RODO.
5.2. Comarch zapewnia, by osoby upowa┼╝nione przez Comarch do Przetwarzania danych osobowych zobowi─ůza┼éy si─Ö do zachowania tajemnicy lub podlega┼éy odpowiedniemu ustawowemu obowi─ůzkowi zachowania tajemnicy.
5.3. Comarch podejmuje ┼Ťrodki organizacyjne i techniczne w┼éa┼Ťciwe zgodnie z art. 32 RODO do Przetwarzania Danych osobowych Klienta przez Podmiot przetwarzaj─ůcy w zakresie Us┼éug ┼Ťwiadczonych zgodnie z Umow─ů g┼é├│wn─ů. Opis standardowych ┼Ťrodk├│w organizacyjnych i technicznych stosowanych przez Comarch okre┼Ťla Za┼é─ůcznik ÔÇ×Standardowe ┼Ťrodki techniczne i organizacyjneÔÇŁ. Comarch jest uprawniony do dokonania wyboru lub zmiany tych ┼Ťrodk├│w organizacyjnych i technicznych, o ile nie spowoduje to naruszenia warunk├│w Umowy g┼é├│wnej. Strony mog─ů uzgodni─ç w opisie Us┼éug w Umowie g┼é├│wnej dodatkowe ┼Ťrodki organizacyjne i techniczne, kt├│re powinien wdro┼╝y─ç Comarch. Klient mo┼╝e zleci─ç Comarch zmian─Ö lub wdro┼╝enie dodatkowych ┼Ťrodk├│w organizacyjnych i technicznych zgodnie z Artyku┼éem 6 ust.4.
5.4. W zakresie pomocy dla Administratora przy realizacji obowi─ůzku wdro┼╝enia przez Administratora odpowiednich ┼Ťrodk├│w organizacyjnych i technicznych, o kt├│rej mowa art.28 ust. 3 pkt f) RODO, uwzgl─Ödniaj─ůc charakter Przetwarzania oraz dost─Öpne mu informacje, Comarch zobowi─ůzany jest do :
5.4.1. wdro┼╝enia w Comarch ┼Ťrodk├│w organizacyjnych i technicznych zgodnie z Artyku┼é 5 ust.3;
5.4.2. udzielania w miar─Ö mo┼╝liwo┼Ťci informacji o mo┼╝liwych do zastosowania innych lub dodatkowych ┼Ťrodkach technicznych i organizacyjnych ÔÇô na zapytanie Klienta z┼éo┼╝one na podstawie Artyku┼é 6 ust.1;
5.5. W zakresie pomocy dla Administratora przy realizacji obowi─ůzku wykonania oceny skutk├│w dla ochrony danych oraz uprzednich konsultacji z organem nadzorczym, o kt├│rej mowa art.28 ust. 3 pkt f) RODO, uwzgl─Ödniaj─ůc charakter Przetwarzania oraz dost─Öpne mu informacje, Comarch zobowi─ůzany jest do:
5.5.1. udost─Öpnienia na ┼╝─ůdanie Administratora standardowej dokumentacji Comarch zawieraj─ůcej opis ┼Ťrodk├│w technicznych i organizacyjnych stosowanych przez Comarch zgodnie z Artyku┼é 5 ust.3;
5.5.2. udzielania w miar─Ö mo┼╝liwo┼Ťci dodatkowych informacji dotycz─ůcych stosowanych lub mo┼╝liwych do zastosowania przez Comarch ┼Ťrodk├│w technicznych i organizacyjnych ÔÇô na zapytanie Klienta z┼éo┼╝one na podstawie Artyku┼é 6 ust.1;
5.5.3. udzielania w miar─Ö mo┼╝liwo┼Ťci dodatkowych informacji zwi─ůzanych z zapytaniem organu nadzorczego w toku uprzednich konsultacji ÔÇô na zapytanie Klienta z┼éo┼╝one na podstawie Artyku┼é 6 ust.1;
5.6. W zakresie pomocy dla Administratora przy realizacji obowi─ůzku dokonywania zg┼éoszenia Naruszenia ochrony danych osobowych do organu nadzorczego oraz zawiadamiania o Naruszeniu ochrony danych osobowych os├│b, kt├│rych dane dotycz─ů, o kt├│rej mowa art.28 ust. 3 pkt f) RODO, uwzgl─Ödniaj─ůc charakter Przetwarzania oraz dost─Öpne mu informacje Comarch zobowi─ůzany jest do:
5.6.1. zg┼éoszenia Klientowi bez zb─Ödnej zw┼éoki na adres email wskazanym przez Klienta do korespondencji z tematem poprzedzonym oznaczeniem [RODO] Naruszenia ochrony danych osobowych stwierdzonego przez Comarch w zwi─ůzku z wykonywaniem Umowy powierzenia;
5.6.2. udzielenia Klientowi w miar─Ö mo┼╝liwo┼Ťci dodatkowych informacji dotycz─ůcych stwierdzonego przez Klienta lub zg┼éoszonego przez Comarch Naruszenia ochrony danych osobowych w zakresie niezb─Ödnym do ustalenia przez Klienta prawdopodobie┼ästwa wyst─ůpienia ryzyka naruszenia praw lub wolno┼Ťci os├│b, kt├│rych Dane osobowe s─ů obj─Öte tym naruszeniem, oraz w zakresie niezb─Ödnym do dokonania przez Klienta zgodnie z art. 33 i 34 RODO zg┼éoszenia Naruszenia ochrony danych osobowych do organu nadzorczego lub zawiadamiania o Naruszeniu ochrony danych osobowych os├│b, kt├│rych dane dotycz─ů ÔÇô na zapytanie Klienta z┼éo┼╝one na podstawie Artyku┼é 6 ust.2.
5.7. W przypadku stwierdzenia Naruszenia ochrony danych osobowych spowodowanego z winy Comarch lub z winy podwykonawcy Comarch, Comarch dokona przegl─ůdu stosowanych ┼Ťrodk├│w technicznych i organizacyjnych oraz w razie potrzeby i w miar─Ö mo┼╝liwo┼Ťci wprowadzi odpowiednie zmiany w celu zapobiegni─Öcia powt├│rzeniu si─Ö takiego Naruszenia ochrony danych osobowych w przysz┼éo┼Ťci.

Artykuł 6. Uprawnienia Klienta

6.1. W okresie obowi─ůzywania Umowy g┼é├│wnej Klient jest uprawniony do sk┼éadania zapyta┼ä o informacje okre┼Ťlonych w Artyku┼é 5 oraz ┼╝─ůdania ÔÇô w stopniu nieprzekraczaj─ůcym racjonalnych granic tych aktywno┼Ťci, od Comarch udzielenia informacji dotycz─ůcych sposobu wykonywania Umowy powierzenia przez Comarch. W tym zakresie Klient mo┼╝e kierowa─ç zapytania przez System Obs┼éugi Zg┼éosze┼ä (www.asysta.comarch.pl). Realizacja zapyta┼ä Klienta mo┼╝e polega─ç na odpowiedzi na pojedyncze pytania, na przygotowaniu ustalonych przez Strony raport├│w lub analiz lub innej ustalonej przez Strony formie odpowiedzi ÔÇô w stopniu nieprzekraczaj─ůcym racjonalnych granic tych aktywno┼Ťci i jest wykonywana w ramach wynagrodzenia za ┼Ťwiadczenie Us┼éug, o kt├│rym mowa w Umowie g┼é├│wnej.
6.2. Klient jest uprawniony do sk┼éadania zapyta┼ä o informacje dotycz─ůce Naruszenia ochrony danych osobowych, o kt├│rym mowa w Artyku┼é 5 ust.6 w drodze korespondencji pisemnej. Realizacja zapyta┼ä Klienta mo┼╝e polega─ç na odpowiedzi na pojedyncze pytania lub mie─ç inn─ů ustalon─ů przez Strony form─Ö i jest wykonywana w ramach wynagrodzenia za ┼Ťwiadczenie Us┼éug, o kt├│rym mowa w Umowie g┼é├│wne, je┼╝eli Naruszenie ochrony danych osobowych zosta┼éo spowodowane z winy Comarch. W innych przypadkach do zapyta┼ä Klienta, o kt├│rych mowa w Artyku┼é 5 ust.6, stosuje si─Ö Artyku┼é 6 ust. 1.
6.3. Klient jest upowa┼╝niony do przeprowadzenia audytu w celu weryfikacji przestrzegania Umowy powierzenia przez Comarch, bezpo┼Ťrednio lub za po┼Ťrednictwem upowa┼╝nionego audytora, z zastrze┼╝eniem nast─Öpuj─ůcych warunk├│w :
6.3.1. audytorem Klienta nie mo┼╝e by─ç podmiot prowadz─ůcy dzia┼éalno┼Ť─ç konkurencyjn─ů wobec Comarch S.A. lub innej sp├│┼éki z grupy Comarch, ani podmiot z nim powi─ůzany lub jego pracownik lub podmiot/osoba z nim wsp├│┼épracuj─ůca, bez wzgl─Ödu na podstaw─Ö zatrudnienia lub wsp├│┼épracy;
6.3.2. audyt mo┼╝e obejmowa─ç wysy┼éanie zapyta┼ä, analiz─Ö dokument├│w, rozmowy z pracownikami/wsp├│┼épracownikami Comarch lub podwykonawc├│w Comarch oraz wizytacj─Ö lokali Comarch lub podwykonawc├│w Comarch, o ile maj─ů bezpo┼Ťredni zwi─ůzek w wykonywaniem Umowy powierzenia;
6.3.3. audyt nie mo┼╝e obejmowa─ç informacji lub dokument├│w dotycz─ůcych innych klient├│w Comarch, ani zmierza─ç lub skutkowa─ç uzyskaniem dost─Öpu Klienta do Danych Osobowych innych ni┼╝ Dane Osobowe Klienta lub do danych poufnych Comarch lub innych podmiot├│w;
6.3.4. Comarch mo┼╝e uzale┼╝ni─ç udzia┼é audytora lub wyznaczonego pracownika Klienta w audycie od uprzedniego zawarcia odpowiedniej umowy poufno┼Ťci z Comarch lub podwykonawc─ů Comarch;
6.3.5. w czasie audytu Klient i audytor maj─ů obowi─ůzek przestrzegania wewn─Ötrznych procedur i polityk Comarch lub podwykonawcy Comarch dotycz─ůcych bezpiecze┼ästwa i poufno┼Ťci;
6.3.6. audyt nie powinien by─ç przeprowadzany cz─Ö┼Ťciej ni┼╝ raz w roku kalendarzowym i nie powinien trwa─ç d┼éu┼╝ej ni┼╝ 14 dni;
6.3.7. termin audytu powinien by─ç uzgodniony przez Strony, przy czym Klient powinien zg┼éosi─ç zamiar przeprowadzenia audytu co najmniej 30 dni przed jego proponowanym terminem, wysy┼éaj─ůc zg┼éoszenie przez System Obs┼éugi Zg┼éosze┼ä (www.asysta.comarch.pl);
6.3.8. Comarch zobowi─ůzany jest do aktywnego udzia┼éu w audycie i odpowiedniej wsp├│┼épracy z Klientem i audytorem;
6.3.9. ka┼╝da ze Stron pokrywa w┼éasne koszty zwi─ůzane z przeprowadzeniem audytu, przy czym Klient pokrywa ka┼╝dorazowo wszystkie koszty audytora.
6.4. Klient mo┼╝e w ka┼╝dym czasie wnioskowa─ç o wdro┼╝enie nowych lub zmian─Ö stosowanych przez Comarch ┼Ťrodk├│w technicznych i organizacyjnych, o kt├│rych mowa w Artyku┼é 5 ust. 3. W przypadku takiego ┼╝─ůdania Klienta, o ile jest to zasadne i mo┼╝liwe do zrealizowania bez zmiany organizacji lub naruszenia ci─ůg┼éo┼Ťci dzia┼éania przedsi─Öbiorstwa Comarch lub jego podwykonawcy, Comarch przed┼éo┼╝y Klientowi ofert─Ö i Strony ustal─ů w drodze negocjacji warunki zmiany lub wdro┼╝enia nowych ┼Ťrodk├│w technicznych i organizacyjnych.
6.5. Klient powinien korzysta─ç z uprawnie┼ä okre┼Ťlonych w niniejszej Umowie powierzenia w taki spos├│b by nie zak┼é├│ci─ç wykonywania Umowy g┼é├│wnej oraz prowadzenia bie┼╝─ůcej dzia┼éalno┼Ťci przez Comarch i jego podwykonawc├│w.

Artyku┼é 7. O┼Ťwiadczenia i obowi─ůzki Klienta

7.1. Klient o┼Ťwiadcza, ┼╝e jest Administratorem Danych osobowych Klienta i gwarantuje, ┼╝e s─ů przez niego przetwarzane zgodnie z prawem.
7.2. Klient o┼Ťwiadcza, ┼╝e zapozna┼é si─Ö z Za┼é─ůcznikiem ÔÇ×Standardowe ┼Ťrodki techniczne i organizacyjneÔÇŁ przed podpisaniem niniejszej Umowy powierzenia i akceptuje go bez zastrze┼╝e┼ä.
7.3. Klient o┼Ťwiadcza, ┼╝e dokona┼é wyboru Comarch jako us┼éugodawcy, bior─ůc pod uwag─Ö wiedz─Ö fachow─ů, wiarygodno┼Ť─ç i zasoby Comarch oraz jego ofert─Ö w zakresie zapewnienia wdro┼╝enia odpowiednich ┼Ťrodk├│w technicznych i organizacyjnych.
7.4. Klient zobowi─ůzuje do przestrzegania Umowy powierzenia oraz w┼éa┼Ťciwych przepis├│w prawa maj─ůcych zastosowanie do Przetwarzania danych osobowych, w szczeg├│lno┼Ťci zobowi─ůzuje si─Ö do przestrzegania obowi─ůzk├│w Administratora wynikaj─ůcych z RODO.

Artykuł 8. Podwykonawcy Comarch

8.1. Klient wyra┼╝a niniejszym zgod─Ö na dalsze powierzenie Przetwarzania Danych osobowych Klienta w ramach us┼éug zlecanych przez Comarch nast─Öpuj─ůcym podwykonawcom:
ÔÇô iComarch24 S.A. z siedzib─ů w Krakowie, nr KRS: 0000328672, NIP: 6751410687 w celu realizacji
funkcjonalno┼Ťci integracji z systemami wytwarzanymi przez iComarch24 S.A
ÔÇô Systemy p┼éatno┼Ťci online
ÔÇô Systemy marketingowe
ÔÇô Systemy pocztowe
ÔÇô Firmy spedycyjne
ÔÇô Biura rachunkowe
ÔÇô Systemy kurierskie
ÔÇô Systemy bankowe
ÔÇô Systemy administracji publicznej
8.2. Klient wyraża zgodę na dalsze powierzenie Przetwarzania Danych osobowych Klienta w ramach usług zlecanych przez Comarch innym podmiotom po uprzednim powiadomieniu Klienta o takim podwykonawcy z co najmniej 7-dniowym wyprzedzeniem poprzez komunikat na stronie www.erpxt.pl
8.3. Comarch zobowi─ůzuje si─Ö wsp├│┼épracowa─ç z takimi podwykonawcami, kt├│rzy zapewniaj─ů wdro┼╝enie takich ┼Ťrodk├│w technicznych i organizacyjnych, aby Przetwarzanie odpowiada┼éo wymogom RODO.
8.4. Comarch zawrze z ka┼╝dym podwykonawc─ů, kt├│ry b─Ödzie przetwarza┼é Dane osobowe Klienta stosown─ů umow─Ö, nak┼éadaj─ůc─ů na podwykonawc─Ö odpowiednie obowi─ůzki ochrony Danych osobowych.
8.5. Je┼╝eli podwykonawca Comarch nie wywi─ů┼╝e si─Ö ze spoczywaj─ůcych na nim obowi─ůzk├│w ochrony Danych osobowych Klienta, Comarch ponosi wobec Klienta odpowiedzialno┼Ť─ç za niewype┼énienie obowi─ůzk├│w przez podwykonawc─Ö tak jak za w┼éasne dzia┼éania i zaniechania.

Artyku┼é 9. Odpowiedzialno┼Ť─ç Stron Umowy

9.1. Klient odpowiada za prawid┼éowe wykonywanie obowi─ůzk├│w Administratora zgodnie z RODO, innymi w┼éa┼Ťciwymi przepisami ochrony danych osobowych i niniejsz─ů Umow─ů powierzenia.
9.2. Comarch odpowiada za prawid┼éowe wykonywanie obowi─ůzk├│w Podmiotu przetwarzaj─ůcego zgodnie z RODO, innymi w┼éa┼Ťciwymi przepisami ochrony danych osobowych i niniejsz─ů Umow─ů powierzenia.
9.3. Umowa powierzenia stanowi integraln─ů cz─Ö┼Ť─ç Umowy g┼é├│wnej i jej naruszenie stanowi naruszenie Umowy g┼é├│wnej. W zwi─ůzku z tym, w zakresie dozwolonym przepisami prawa, odpowiedzialno┼Ť─ç ka┼╝dej ze Stron wobec drugiej Strony Umowy powierzenia, z tytu┼éu naruszenia RODO, innych w┼éa┼Ťciwych przepis├│w ochrony danych osobowych lub Umowy powierzenia podlega ograniczeniu lub wy┼é─ůczeniu zgodnie z postanowieniami Umowy g┼é├│wnej.
9.4. Odpowiedzialno┼Ť─ç Comarch za wykonanie polecenia Administratora, kt├│re jest niezgodne z RODO lub innymi przepisami o ochronie danych osobowych oraz w zwi─ůzku z poleceniami Administratora, kt├│re nie zosta┼éy z┼éo┼╝one zgodnie z Artyku┼é 3 ust.3, jest wy┼é─ůczona.
9.5. Postanowienia Artyku┼é 9 pozostaj─ů w mocy po rozwi─ůzaniu lub wyga┼Ťni─Öciu Umowy powierzenia.

Artyku┼é 10. Wy┼é─ůczna w┼éa┼Ťciwo┼Ť─ç s─ůdu i wyb├│r prawa w┼éa┼Ťciwego dla Umowy

10.1. Strony uzgadniaj─ů, ┼╝e w┼éa┼Ťciwe dla Umowy powierzenia b─Ödzie prawo obowi─ůzuj─ůce w Polsce, za┼Ť do rozstrzygania spor├│w w┼éa┼Ťciwy b─Ödzie s─ůd powszechny w Krakowie. 10.2. W sprawach nieuregulowanych w niniejszej Umowie powierzenia zastosowanie b─Ödzie mia┼éo RODO oraz w┼éa┼Ťciwe przepisy prawa polskiego

Artykuł 11. Postanowienia końcowe

11.1. Umowa powierzenia wchodzi w ┼╝ycie ze skutkiem od dnia wej┼Ťcia w ┼╝ycie Umowy g┼é├│wnej, stanowi integraln─ů cz─Ö┼Ť─ç Umowy g┼é├│wnej i zostaje zawarta na okres wykonywania Umowy g┼é├│wnej.
11.2. Rozwi─ůzanie lub wyga┼Ťniecie Umowy g┼é├│wnej skutkuje odpowiednio rozwi─ůzaniem lub wyga┼Ťni─Öciem Umowy powierzenia bez potrzeby sk┼éadania dodatkowych o┼Ťwiadcze┼ä. Rozwi─ůzanie Umowy powierzenia przed up┼éywem okresu na jaki zosta┼éa zawarta Umowa g┼é├│wna bez jednoczesnego rozwi─ůzania Umowy g┼é├│wnej jest wy┼é─ůczone.
11.3. Przeniesienie praw i obowi─ůzk├│w wynikaj─ůcych z niniejszej Umowy powierzenia jest dopuszczalne wy┼é─ůcznie w przypadku, gdy nast─Öpuje przeniesienie praw i obowi─ůzk├│w wynikaj─ůcych z Umowy g┼é├│wnej. W takim wypadku zmiana Strony Umowy powierzenia nast─Öpuje na takich samych warunkach jakie okre┼Ťla Umowa g┼é├│wna dla zmiany Strony Umowy g┼é├│wnej.
11.4. Strony uzgadniaj─ů, ┼╝e Przetwarzanie danych osobowych b─Ödzie wykonywane wy┼é─ůcznie na terytorium Unii Europejskiej. Przekazanie przez Comarch Danych osobowych Klienta do pa┼ästwa trzeciego wymaga uprzedniej zgody Klienta w formie pisemnej lub dokumentowej, chyba ┼╝e obowi─ůzek taki nak┼éada na niego prawo Unii Europejskiej lub prawo pa┼ästwa cz┼éonkowskiego, kt├│remu podlega Podmiot przetwarzaj─ůcy. W takim przypadku przed rozpocz─Öciem Przetwarzania Comarch informuje Klienta o tym obowi─ůzku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na wa┼╝ny interes publiczny.
11.5. Umowa powierzenia i Umowa g┼é├│wna reguluj─ů w spos├│b ca┼ékowity uzgodnione przez Strony warunki Przetwarzania Danych osobowych Klienta przez Comarch w zwi─ůzku z wykonywaniem Us┼éug i uchylaj─ů jakiekolwiek wcze┼Ťniejsze ustalenia Stron dokonane w tym zakresie. W przypadku rozbie┼╝no┼Ťci postanowie┼ä Umowy powierzenia i Umowy g┼é├│wnej pierwsze┼ästwo maj─ů postanowienia Umowy powierzenia.
11.6. Integraln─ů cz─Ö┼Ť─ç Umowy powierzenia stanowi Za┼é─ůcznik ÔÇ×Standardowe ┼Ťrodki techniczne i organizacyjneÔÇŁ.
11.7. Umowa powierzenia zosta┼éa podpisana w dw├│ch jednobrzmi─ůcych egzemplarzach, po jednym dla ka┼╝dej ze Stron.

Za┼é─ůcznik ÔÇô Standardowe ┼Ťrodki techniczne i organizacyjne

Niniejszy za┼é─ůcznik przedstawia og├│lny opis standardowych ┼Ťrodk├│w technicznych i organizacyjnych stosowanych przy ┼Ťwiadczeniu dla klient├│w us┼éug zwi─ůzanych z przetwarzaniem danych osobowych. Umowa g┼é├│wna mo┼╝e okre┼Ťla─ç dodatkowe lub inne ┼Ťrodki techniczne i organizacyjne uzgodnione przez Strony i w tym zakresie postanowienia Umowy g┼é├│wnej b─Öd─ů mia┼éy pierwsze┼ästwo przed postanowieniami niniejszego za┼é─ůcznika.

I. ┼Ürodki organizacyjne ÔÇô Procedury i polityki obowi─ůzuj─ůce w grupie Comarch

1. W sp├│┼ékach z grupy Comarch wdra┼╝ane s─ů niezb─Ödne procedury i polityki s┼éu┼╝─ůce m.in. zapewnieniu bezpiecze┼ästwa, poufno┼Ťci, integralno┼Ťci i dost─Öpno┼Ťci danych klient├│w (w tym danych osobowych, w stosunku do kt├│rych administratorami s─ů klienci), do kt├│rych w ramach ┼Ťwiadczonych us┼éug uzyskuj─ů dost─Öp pracownicy lub wsp├│┼épracownicy sp├│┼éek z grupy Comarch.
2. Sp├│┼éka Comarch S.A. posiada certyfikat ISO 27001 i wdro┼╝y┼éa procedury i powi─ůzane z nimi instrukcje okre┼Ťlaj─ůce w szczeg├│lno┼Ťci:
a) Politykę bezpieczeństwa
b) Polityk─Ö zarz─ůdzania sieci─ů informatyczn─ů Comarch
c) Zasady administracji systemami i aplikacjami
d) Zasady przebywania na terenie Comarch i dostępu do pomieszczeń Comarch
e) Zasady u┼╝ytkowania aktyw├│w i wynoszenie sprz─Ötu
f) Zasady zabezpieczenia komputer├│w osobistych
g) Zasady korzystania z no┼Ťnik├│w informacji
h) Zasady dost─Öpu zdalnego
i) Zasady bezpieczeństwa poczty elektronicznej
j) Politykę haseł
k) Polityk─Ö ci─ůg┼éo┼Ťci dzia┼éania
l) Polityk─Ö antywirusow─ů
3. W pozosta┼éych sp├│┼ékach z grupy Comarch wdra┼╝a si─Ö niezb─Ödne procedury i polityki co do zasady oparte na procedurach obowi─ůzuj─ůcych w g┼é├│wnej sp├│┼éce w grupie, w zakresie uwzgl─Ödniaj─ůcym specyfik─Ö i dzia┼éalno┼Ť─ç tych sp├│┼éek.
4. Wdra┼╝ane s─ů ponadto dedykowane procedury s┼éu┼╝─ůce zapewnieniu prawid┼éowego wykonania wynikaj─ůcych z RODO obowi─ůzk├│w sp├│┼éek Comarch jako administrator├│w oraz obowi─ůzk├│w sp├│┼éek Comarch jako podmiot├│w przetwarzaj─ůcych (w stosunku do danych klient├│w).
5. Sp├│┼éki z grupy Comarch wsp├│┼épracuj─ů w zakresie wdro┼╝enia odpowiednich ┼Ťrodk├│w technicznych i organizacyjnych, zapewniaj─ůc tym samym odpowiedni standard bezpiecze┼ästwa dla klient├│w grupy Comarch.

II. ┼Ürodki techniczne i organizacyjne ÔÇô kontrola dost─Öpu

1. W sp├│┼ékach z grupy Comarch wdra┼╝ane s─ů odpowiednie ┼Ťrodki techniczne i organizacyjne zapewniaj─ůce ograniczenie dost─Öpu do budynk├│w, system├│w, ┼Ťrodowisk i zbior├│w danych wy┼é─ůcznie dla os├│b upowa┼╝nionych.
2. W budynkach Comarch wydzielane s─ů strefy publicznie dost─Öpne oraz strefy z dost─Öpem zastrze┼╝onym dla os├│b upowa┼╝nionych.
3. Pracownicy lub wsp├│┼épracownicy korzystaj─ů z kart dost─Öpowych lub stosowane s─ů inne metody kontroli fizycznego dost─Öpu do nieruchomo┼Ťci, budynk├│w lub pomieszcze┼ä Comarch, zapewniaj─ůce kontrol─Ö dost─Öpu poszczeg├│lnych os├│b odpowiedni─ů do zakresu ich uprawnie┼ä.
4. Nadawanie uprawnie┼ä poszczeg├│lnym pracownikom lub wsp├│┼épracownikom w zakresie dost─Öpu do system├│w wewn─Ötrznych Comarch oraz ┼Ťrodowisk klienta podlega procedurze umo┼╝liwiaj─ůcej kilkustopniow─ů weryfikacj─Ö wniosku o nadanie uprawnie┼ä.
5. Dost─Öp do system├│w wewn─Ötrznych i ┼Ťrodowisk oraz danych klient├│w mo┼╝liwy jest tylko dla upowa┼╝nionych pracownik├│w lub wsp├│┼épracownik├│w po zalogowaniu na indywidualne konto i przy u┼╝yciu indywidualnego has┼éa zgodnego z Polityk─ů hase┼é.
6. Zdalny dost─Öp pracownik├│w lub wsp├│┼épracownik├│w do sieci grupy Comarch i p├│┼║niejsza wymiana informacji odbywaj─ů si─Ö po uwierzytelnieniu przy wykorzystaniu bezpiecznych mechanizm├│w, zapewniaj─ůcych poufno┼Ť─ç i integralno┼Ť─ç (np. VPN IPSec).
7. W celu zapewnienia bezpieczeństwa, tam gdzie jest to uzasadnione oraz zgodne z prawem, Comarch stosuje monitoring i współpracuje z firmami ochroniarskimi.

III. ┼Ürodki techniczne i organizacyjne ÔÇô Comarch Data Center

1. Comarch oferuje klientom korzystanie z Comarch Data Center, tj. data center zarz─ůdzanych przez jedn─ů ze sp├│┼éek z grupy Comarch.
2. Comarch Data Center bazuje na praktykach ITIL v3. w zakresie nast─Öpuj─ůcych proces├│w: zarz─ůdzanie zmian─ů (change management), zarz─ůdzanie incydentem (incident management), zarz─ůdzanie problemem (problem management), service level management oraz zarz─ůdzanie konfiguracj─ů (configuration management). Ponadto, wdro┼╝one s─ů odpowiednie procesy w zakresie : zarz─ůdzania aktualizacjami i ┼éatkami (patch management), zarz─ůdzanie ryzykiem, procedury backupowe i odtworzeniowe, zarz─ůdzanie ci─ůg┼éo┼Ťci─ů biznesu (business continuity management), raportowania, DRP, przegl─ůd├│w log├│w oraz przegl─ůdy dost─Öp├│w i uprawnie┼ä.
3. Backup system├│w wewn─Ötrznych podlega centralnemu systemowi backup├│w zgodnie z Procedur─ů Backup serwer├│w.
4. Backup system├│w klient├│w oraz backup danych klient├│w podlegaj─ů zasadom okre┼Ťlonym w umowach z klientami. Standardowe procedury Comarch Data Center przewiduj─ů maksymalny okres retencji backup├│w do 3 miesi─Öcy), przy czym okres retencji mo┼╝e zosta─ç wyd┼éu┼╝ony na ┼╝─ůdanie klienta zgodnie z postanowieniami Umowy G┼é├│wnej.
5. Wst─Öp do Comarch Data Center maj─ů jedynie in┼╝ynierowie Comarch Data Center oraz dzia┼éy bezpiecze┼ästwa. Inne osoby mog─ů przebywa─ç na terenie Comarch Data Center tylko w uzasadnionych przypadkach oraz wy┼é─ůcznie w obecno┼Ťci przedstawiciela Comarch. Dost─Öp do poszczeg├│lnych pomieszcze┼ä na terenie Comarch Data Center mo┼╝e podlega─ç dalszym ograniczeniom.
6. Stosowana jest logiczna b─ůd┼║ fizyczna separacja ┼Ťrodowisk poszczeg├│lnych Klient├│w (VLANy, VMy itp.)
7. Do poszczeg├│lnych ┼Ťrodowisk maj─ů dost─Öp jedynie pracownicy lub wsp├│┼épracownicy odpowiedzialni za obs┼éug─Ö poszczeg├│lnych klient├│w i ich dzia┼éania na systemach klient├│w s─ů logowane.
8. Wymogowi ÔÇ×segregation of dutiesÔÇŁ podlegaj─ů r├│wnie┼╝ in┼╝ynierowie Comarch Data Center. W zwi─ůzku z tym, tworzone s─ů dedykowane zespo┼éy dla:
a) system├│w Linux/Unix,
b) system├│w Windows,
c) baz danych,
d) system├│w FireWall (wewn─Ötrznych) oraz Load Balancer├│w.
e) infrastruktury sieciowej w Data Center oraz FireWalli zewn─Ötrznych
9. Ka┼╝dy o┼Ťrodek Data Center wyposa┼╝ony jest w dwie linie klastr├│w system├│w FireWall od dw├│ch czo┼éowych, niezale┼╝nych producent├│w.
a) Klaster zewn─Ötrzny chroni─ůcy dost─Öpu do DMZ,
b) Klaster wewn─Ötrzny kontroluj─ůcy przep┼éywy danych pomi─Ödzy DMZ a stref─ů Bazodanow─ů.
10. W Comarch Data Center stosuje si─Ö kilka niezale┼╝nych ┼é─ůczy internetowych dywersyfikuj─ůc media ( np. mied┼║, ┼Ťwiat┼éo, radio, uruchomiony protok├│┼é BGP).
11. Komunikacja pomi─Ödzy sieci─ů Klienta a Comarch Data Center jest szyfrowana (np. IPSec, SSL VPN).
12. Comarch Data Center stosuje:
a) niezale┼╝ne i redundantne obiegi klimatyzacji z jednym aktywnym obiegiem;
b) redundantne linie energetycznie z jedn─ů aktywn─ů ┼Ťcie┼╝k─ů;
c) systemy zasilania awaryjnego (UPSÔÇÖy lub generatory pr─ůdotw├│rcze);
d) wielostrefow─ů ochron─Ö przeciwpo┼╝arow─ů;
e) system ga┼Ťniczy oparty o gaz neutralny lub gaz chemiczny;
f) alarm przeciwpo┼╝arowy oraz automatyczna notyfikacja.
13. W przypadku decyzji Klienta o wyborze innego data center, stosowane ┼Ťrodki techniczne i organizacyjne okre┼Ťla wybrany dostawca us┼éug. W przypadku, gdy Comarch korzysta z podwykonawcy w zakresie ┼Ťwiadczenia us┼éug hostingowych dla Klienta, podwykonawca zobowi─ůzany jest do wdro┼╝enia odpowiednich ┼Ťrodk├│w technicznych i organizacyjnych, by przetwarzanie odpowiada┼éo wymogom RODO oraz Umowy powierzenia zawartej przez Comarch z Klientem.

IV. Zarz─ůdzanie incydentami bezpiecze┼ästwa

W Comarch wdro┼╝ono procedur─Ö zarz─ůdzania incydentami naruszenia bezpiecze┼ästwa i na┼éo┼╝ono na wszystkich pracownik├│w obowi─ůzek zg┼éaszania wszelkiego rodzaju incydent├│w naruszenia bezpiecze┼ästwa, w tym incydent├│w dotycz─ůcych naruszenia ochrony danych osobowych.

V. Szkolenia i audyty

1. W Comarch wdro┼╝ono procedur─Ö zapewniaj─ůc─ů okresowe szkolenia pracownik├│w z zakresu obowi─ůzuj─ůcej polityki i procedur bezpiecze┼ästwa oraz przepis├│w i procedur dotycz─ůcych ochrony danych osobowych.
2. Audyty bezpiecze┼ästwa system├│w wewn─Ötrznych grupy Comarch przeprowadzane s─ů okresowo przez Dzia┼é Bezpiecze┼ästwa Wewn─Ötrznego Comarch S.A.
3. Comarch S.A. okresowo przechodzi audyty realizowane przez jednostki certyfikuj─ůce.
4. Audyty system├│w klient├│w podlegaj─ů zasadom okre┼Ťlonym w umowach z klientami. Comarch wsp├│┼épracuje z klientami w zakresie kontroli i audyt├│w przeprowadzanych przez klient├│w lub wyznaczonych audytor├│w zewn─Ötrznych w zakresie uzgodnionym przez strony w umowie, przy zachowaniu procedur bezpiecze┼ästwa obowi─ůzuj─ůcych w grupie Comarch oraz przy uwzgl─Ödnieniu tajemnicy przedsi─Öbiorstwa oraz obowi─ůzku zachowania w poufno┼Ťci danych i warunk├│w wsp├│┼épracy z innymi klientami.

Testuj za darmo!

Pe┼éna funkcjonalno┼Ť─ç przez 30 dni bez op┼éat!
Copyright Comarch SA 2024
Copyright Comarch SA 2024
crossmenuchevron-down