Załącznik nr 1 do regulaminu świadczenie usług

ZAŁĄCZNIK NR 1 DO REGULAMINU ŚWIADCZENIA USŁUG
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Usługodawca (dalej zwany: „Procesorem”) oraz Użytkownik/Usługobiorca (dalej zwany: „Powierzającym”) postanawiają, że w celu spełnienia obowiązków wynikających z przepisów prawa, a w szczególności przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych), zwanego dalej RODO, jak również w celu właściwej realizacji postanowień Regulaminu świadczenia usług, którego niniejsza umowa powierzenia przetwarzania danych osobowych (dalej zwana: „Umowa Powierzenia”) stanowi integralną część, Powierzający powierza Procesorowi dane osobowe osób trzecich do przetwarzania w celu świadczenia przez Procesora usług wskazanych w Regulaminie świadczenia usług, w zakresie i na zasadach określonych niniejszą Umową Powierzenia oraz z uwzględnieniem postanowień Regulaminu świadczenia usług.

§1
DEFINICJE

1. Definicje użyte w niniejszej Umowie Powierzenia oznaczają:
   1. Dane Osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, których dotyczy powierzenie przetwarzania na podstawie Regulaminu świadczenia usług.
   2. Czynności Przetwarzania – wszelkie operacje na Danych Osobowych, które będzie wykonywał Procesor na polecenie Powierzającego na podstawie Regulaminu świadczenia usług oraz niniejszej Umowy, takie jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
   3. Cel Przetwarzania – realizacja przez Procesora zobowiązań określonych w Regulaminie świadczenia usług w związku z publikacją ogłoszeń rekrutacyjnych w serwisie ZNAJDZPRACE.PLUS lub realizacją innych usług na rzecz Powierzającego.
   4. Naruszenie Ochrony Danych Osobowych – naruszenie bezpieczeństwa Danych Osobowych prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych Osobowych, w stosunku do których są wykonywane Czynności Przetwarzania przez Procesora.
   5. Standardowe Klauzule Umowne – standardowe klauzule ochrony danych przyjęte przez Komisję Europejską, o których mowa w art. 46 RODO.
   6. EOG – Europejski Obszar Gospodarczy zdefiniowany w Porozumieniu o Europejskim Obszarze Gospodarczym (Dz. U. UE L z dnia 3 stycznia 1994 r. z późn. zm.), czyli państwa należące do Unii Europejskiej oraz Norwegia, Islandia i Lichtenstein.
   7. Państwa Trzecie – państwa spoza EOG.

§2
POSTANOWIENIA OGÓLNE

1.   Powierzający oświadcza, że powierzone Procesorowi do przetwarzania Dane Osobowe zgromadził zgodnie z obowiązującymi przepisami prawa oraz że jest ich administratorem.
2.   Procesor oświadcza, że zobowiązuje się do wykorzystania Danych Osobowych wyłącznie w zakresie niezbędnym do realizacji usług, o których mowa w Regulaminie świadczenia usług.
3.     Podany niżej zakres przetwarzanych Danych Osobowych jest zakresem maksymalnym, co oznacza, że nie w każdym przypadku wskazane Dane Osobowe będą faktycznie powierzane do przetwarzania Procesorowi przez Powierzającego.

4. Procesor może przetwarzać Dane Osobowe wyłącznie przez:
   1. okres obowiązywania świadczenia usług zgodnie z Regulaminem świadczenia usług;
   2. okres od rozwiązania lub wygaśnięcia Umowy do czasu usunięcia Danych Osobowych zgodnie z postanowieniami Umowy Powierzenia, chyba że Procesor i Powierzający ustalą inny termin przetwarzania Danych Osobowych w drodze odrębnego porozumienia.
5. Zawarcie Umowy Powierzenia stanowi udokumentowane polecenie Powierzającego do przetwarzania przez Procesora Danych Osobowych, w tym do przekazywania Danych Osobowych do Państw Trzecich.
6. Uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i Cel Przetwarzania Danych Osobowych oraz ryzyko naruszenia praw i wolności osób, których Dane Osobowe dotyczą, Procesor zapewni środki techniczne i organizacyjne adekwatne do rodzaju Danych Osobowych oraz ryzyka naruszenia praw lub wolności osób, których Dane Osobowe dotyczą.
7. Procesor dopuści do przetwarzania Danych Osobowych jedynie osoby działające z jego upoważnienia oraz których dostęp do Danych Osobowych jest niezbędny do świadczenia usług określonych w Regulaminie świadczenia usług. Procesor zapewni, aby osoby działające z jego upoważnienia i mające dostęp do Danych Osobowych zobowiązały się do zachowania tajemnicy przetwarzania Danych Osobowych lub podlegały ustawowemu obowiązkowi zachowania tajemnicy. Procesor zaznajomi osoby upoważnione do przetwarzania Danych Osobowych z przepisami dotyczącymi ochrony danych osobowych i odpowiedzialnością za ochronę tych danych przed niepowołanym dostępem, nieuzasadnioną modyfikacją, zniszczeniem, nielegalnym ujawnieniem lub pozyskaniem Danych Osobowych.

§3
OBOWIĄZKI PROCESORA

1. Uwzględniając charakter wykonywanych Czynności Przetwarzania Danych Osobowych oraz dostępne informacje w związku ze świadczeniem usług na podstawie Regulaminu świadczenia usług, Procesor zapewni Powierzającemu pomoc w następującym zakresie:
   1. zapewnienie odpowiednich środków technicznych i organizacyjnych przetwarzania Danych Osobowych;
   2. udzielenie Powierzającemu niezbędnych informacji odnośnie przetwarzania Danych Osobowych w systemie informatycznym Procesora;
   3. udzielenie odpowiedzi na żądania osób, których Dane Osobowe dotyczą, w zakresie określonym w art. 15-22 RODO, poprzez zapewnienie Powierzającemu, na jego żadanie zgłoszone na adres mailowy: [email protected].
   4. zgłoszenie Naruszenia Ochrony Danych Osobowych odpowiedniemu organowi nadzorczemu oraz realizacja obowiązku zawiadomienia osób, których Dane Osobowe dotyczą, o Naruszeniu Ochrony Danych Osobowych zgodnie z art. 33-34 RODO.
2. Procesor niezwłocznie, jednak nie później niż w terminie 7 dni, poinformuje Powierzającego o:
   1. wszelkich postępowaniach, w szczególności administracyjnych lub sądowych, dotyczących przetwarzania Danych Osobowych, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu sądowym dotyczącym Danych Osobowych, skierowanych do Procesora, a także o wszelkich planowanych postępowaniach lub o realizowanych kontrolach i inspekcjach dotyczących przetwarzania Danych Osobowych.
   2. poleceniach wydanych przez Powierzającego Procesorowi dotyczących przetwarzania Danych Osobowych, które w ocenie Procesora stanowią naruszenie przepisów RODO lub innych przepisów prawa.
   3. na żądanie Powierzającego Procesor udostępni Powierzającemu niezwłocznie wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.

§4
ZAKRES PRZETWARZANIA DANYCH OSOBOWYCH

1. Zakres przetwarzanych Danych Osobowych obejmuje:
   1. dane zawarte w CV Kandydata w rozumieniu Regulaminu świadczenia usług, aplikacji Kandydata, na profilu Kandydata w serwisie ZNAJDZPRACE.PLUS oraz w odpowiedzi na ogłoszenie Pracodawcy w rozumieniu Regulaminu świadczenia usług, tj. imię i nazwisko, adres (ulica, numer domu i lokalu, kod pocztowy, miejscowość, kraj), numer telefonu oraz adres poczty elektronicznej;
   2. dane Przetwarzającego i jego pracowników, w tym imię, nazwisko, adres e-mail, numer telefonu, miejsce zatrudnienia lub inne dane, które Przetwarzający zamieszcza w serwisie ZNAJDZPRACE.PLUS lub przekazuje Procesorowi w związku ze świadczeniem przez Procesora usług w oparciu o Regulamin świadczenia usług;
   3. inne dane niekoniecznie będące Danymi Osobowymi niezbędne do zapewnienia użytkownikom serwisu ZNAJDZPRACE.PLUS prawidłowego działania i korzystania z funkcjonalności tego serwisu i – odpowiednio – przeprowadzenia lub braniu udziału w rekrutacji, w zakresie, w jakim te funkcjonalności lub ta rekrutacja wymagają gromadzenia tego typu danych przez ten serwis.
2. Procesor przetwarza dane wyłącznie w formie elektronicznej.

§5
ZAKOŃCZENIE PRZETWARZANIA DANYCH OSOBOWYCH

1. Procesor usunie Danie Osobowe z wszelkich nośników danych, w tym z wszelkich istniejących kopii lub dokona ich anonimizacji, nie później niż w terminie 30 dni od dnia zakończenia okresu przetwarzania Danych Osobowych, o którym mowa w § 2 ust. 4 Umowy, chyba że strony ustalą inny termin usunięcia lub anonimizacji Danych Osobowych w drodze odrębnego porozumienia zawartego w formie pisemnej lub dokumentowej.
2. W czasie trwania okresu przetwarzania Danych Osobowych, o którym mowa w § 2 ust. 4 Umowy, Powierzający może żądać usunięcia Danych Osobowych przez Procesora.

§6
NARUSZENIE OCHRONY DANYCH OSOBOWYCH

1. W przypadku stwierdzenia przez Procesora Naruszenia Ochrony Danych Osobowych, Procesor zgłosi takie naruszenie Powierzającemu niezwłocznie, jednak nie później niż w terminie 36 godzin od stwierdzenia Naruszenia Ochrony Danych Osobowych.
2. Zgłoszenie, o którym mowa w ust. 1 powyżej, będzie zawierało co najmniej: 1) opis okoliczności zdarzenia stanowiącego Naruszenie Ochrony Danych Osobowych oraz jest ustalonych lub podejrzewanych przyczyn, 2) opis charakteru Naruszenia Danych Osobowych, w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których Dane Osobowe dotyczą oraz kategorie i przybliżoną liczbę wpisów Danych Osobowych, których dotyczy Naruszenie Ochrony Danych Osobowych, 3) opis możliwych konsekwencji Naruszenia Ochrony Danych Osobowych; 4) opis zastosowanych przez Procesora środków zaradczych w celu zminimalizowania ewentualnych, negatywnych skutków Naruszenia Danych Osobowych.
3. W przypadku Naruszenia Ochrony Danych Osobowych Procesor podejmie niezwłocznie wszystkie niezbędne środki techniczne i organizacyjne w celu zaradzenia Naruszeniu Ochrony Danych Osobowych i zminimalizowania jego ewentualnych, negatywnych konsekwencji.

§7
KONTROLA PRZETWARZANIA

1. Powierzający jest uprawniony do przeprowadzenia kontroli przetwarzania w każdym czasie.
2. Przez kontrolę przetwarzania strony rozumieją audyty (w tym inspekcje) zgodności przetwarzania Danych Osobowych w serwisie internetowym ZNAJDZPRACE.PLUS z obowiązującymi przepisami prawa, w szczególności RODO.
3. Kontrola przetwarzania może być dokonana samodzielnie przez Powierzającego lub za pośrednictwem upoważnionego przez niego audytora, po przedłożeniu przez audytora stosownego pełnomocnictwa do działania w imieniu Powierzającego.
4. Przetwarzający jest uprawniony do przeprowadzenia kontroli przetwarzania bez ponoszenia jakichkolwiek opłat z tego tytułu na rzecz Procesora w następujących przypadkach: 1) obowiązek przeprowadzenia kontroli został nałożony przez organ nadzorczy, o którym mowa w art. 4 pkt 21 RODO, 2) przeprowadzenie kontroli jest konieczne dla wyjaśnienia Naruszenia Ochrony Danych Osobowych.
5. W innych przypadkach przeprowadzania kontroli przetwarzania przez Powierzającego niż określone w ust. 4 powyżej, Procesor jest uprawniony do pobrania od Powierzającego opłaty w celu pokrycia uzasadnionych kosztów obsługi kontroli przetwarzania. Opłata wynosi 300 zł netto za godzinę pracy osoby zaangażowanej w kontrolę przetwarzania. Opłata zostanie powiększona o podatek od towarów i usług i będzie płatna przelewem na podstawie wystawionej przez Procesora faktury VAT w terminie do 7 dnia miesiąca następującego po miesiącu, w którym Procesor i Powierzający podpisali protokół z kontroli przetwarzania.
6. Powierzający jest zobowiązany powiadomić Procesora o zamiarze przeprowadzenia kontroli przetwarzania co najmniej na 14 dni przed planowaną datą rozpoczęcia kontroli przetwarzania, z wyłączeniem przypadków określonych w ust. 4 powyżej. W tych przypadkach strony uzgodnią odrębnie termin przeprowadzenia kontroli przetwarzania. Zawiadomienie powinno wskazywać dokładny zakres, termin oraz osoby upoważnione do przeprowadzenia kontroli i zostać przekazane na adres: [email protected].

§8
POSTANOWIENIA KOŃCOWE

1. W przypadku niewykonania lub nienależytego wykonania Umowy Powierzenia Procesor ponosi odpowiedzialność za szkody poniesione przez Powierzającego do wysokości szkody rzeczywistej, w zakresie, w jakim takie ograniczenie jest dopuszczalne w oparciu o bezwzględnie obowiązujące przepisy prawa.
2. W sprawach nieuregulowanych niniejszą Umową mają zastosowanie odpowiednie przepisy powszechnie obowiązującego prawa, w tym ustawy – Kodeks cywilny oraz RODO.
3. Wszelkie spory wynikłe między stronami związane z zawarciem lub wykonaniem niniejszej Umowy strony zobowiązują się rozstrzygać polubownie, a w przypadku niedojścia do porozumienia, rozstrzygane będą przez sąd właściwy dla siedziby Procesora.