Umowa powierzenia przetwarzania danych osobowych

§1. Strony umowy

Niniejsza Umowa powierzenia przetwarzania danych osobowych (dalej: „Umowa") zawierana jest automatycznie z chwilą zaakceptowania Regulaminu świadczenia usług sternikngo.pl i obowiązuje przez cały okres korzystania z Serwisu.

§2. Zakres i cel powierzenia

1. Administrator powierza Sternikowi przetwarzanie danych osobowych w zakresie niezbędnym do świadczenia usług określonych w Regulaminie.

2. Kategorie danych osobowych objęte powierzeniem:

   • Dane członków Organizacji (imię, nazwisko, adres, kontakt, informacje o składkach).
   • Dane wolontariuszy (imię, nazwisko, kontakt, dane umów).
   • Dane kontrahentów i dostawców (dane do umów i faktur).
   • Inne dane osobowe wprowadzone przez Administratora do Serwisu (dokumenty, protokoły, uchwały).

3. Kategorie osób, których dane dotyczą:

   • Członkowie i sympatycy Organizacji.
   • Wolontariusze i pracownicy Organizacji.
   • Kontrahenci, darczyńcy i partnerzy Organizacji.
4. Celem przetwarzania jest wyłącznie świadczenie usług SaaS opisanych w Regulaminie, w tym przechowywanie, organizowanie, wyszukiwanie danych oraz ich przetwarzanie przez asystenta AI na polecenie Administratora.

§3. Obowiązki Sternika (Podmiotu przetwarzającego)

Sternik zobowiązuje się do:

1. Przetwarzania danych wyłącznie na udokumentowane polecenie Administratora – dane są przetwarzane tylko w celu i zakresie niezbędnym do świadczenia usług Serwisu.
2. Zapewnienia poufności – wszystkie osoby upoważnione do przetwarzania danych zobowiązane są do zachowania tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
3. Wdrożenia odpowiednich środków technicznych i organizacyjnych (art. 32 RODO):
   • Szyfrowanie danych w tranzycie (TLS) i w spoczynku.
   • Kontrola dostępu oparta na rolach (RBAC).
   • Regularne kopie zapasowe danych.
   • Monitoring bezpieczeństwa i zarządzanie podatnościami.
   • Procedury reagowania na incydenty bezpieczeństwa.
4. Zgłaszania naruszeń – Sternik poinformuje Administratora bez zbędnej zwłoki (nie później niż w ciągu 48 godzin) o stwierdzeniu naruszenia ochrony danych osobowych, przekazując informacje niezbędne do wypełnienia obowiązku zgłoszenia do UODO.
5. Pomocy w realizacji praw osób – Sternik wspiera Administratora w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą (dostęp, sprostowanie, usunięcie itp.), o ile jest to technicznie możliwe.
6. Pomocy w wypełnianiu obowiązków z art. 32–36 RODO – uwzględniając charakter przetwarzania i dostępne Sternikowi informacje.
7. Nieprzekazywania danych do państw trzecich poza EOG bez odpowiednich zabezpieczeń (standardowe klauzule umowne KE lub inne mechanizmy z RODO).

§4. Podpowierzenie

1. Administrator wyraża ogólną zgodę na korzystanie przez Sternika z usług podpodmiotów przetwarzających (dalszych podmiotów przetwarzających), w szczególności dostawców infrastruktury chmurowej i dostawców modeli AI.
2. Sternik publikuje aktualną listę podpodmiotów przetwarzających w Serwisie i informuje Administratora o planowanych zmianach z co najmniej 14-dniowym wyprzedzeniem, umożliwiając zgłoszenie sprzeciwu.
3. Na każdego podpodmiot przetwarzający Sternik nakłada te same obowiązki ochrony danych, jakie wynikają z niniejszej Umowy.

§5. Obowiązki Administratora

Administrator oświadcza i zobowiązuje się, że:

1. Posiada odpowiednią podstawę prawną do przetwarzania danych osobowych wprowadzanych do Serwisu.
2. Poinformował osoby, których dane dotyczą, o powierzeniu ich danych Sternikowi, zgodnie z art. 13 lub 14 RODO.
3. Będzie wydawał Sternikowi wyłącznie polecenia zgodne z przepisami prawa.
4. Niezwłocznie poinformuje Sternika o wszelkich zmianach mających wpływ na zakres lub sposób przetwarzania danych.

§6. Prawa audytu

1. Administrator ma prawo do przeprowadzenia audytu lub inspekcji w zakresie zgodności przetwarzania danych z niniejszą Umową, po uprzednim powiadomieniu Sternika z co najmniej 14-dniowym wyprzedzeniem.
2. Sternik udostępni Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków wynikających z art. 28 RODO.
3. Na wniosek Administratora Sternik może dostarczyć aktualne certyfikaty lub raporty z audytów bezpieczeństwa przeprowadzonych przez niezależne podmioty.

§7. Czas przetwarzania i zwrot danych

1. Sternik przetwarza dane osobowe przez czas obowiązywania umowy o świadczenie usług (aktywna Subskrypcja lub Plan bezpłatny).
2. Po rozwiązaniu lub wygaśnięciu umowy Administrator ma 30 dni na eksport danych z Serwisu. Po tym terminie Sternik usuwa lub anonimizuje dane osobowe, chyba że przepisy prawa wymagają ich dalszego przechowywania.
3. Na udokumentowane żądanie Administratora Sternik usunie lub zwróci powierzone dane osobowe przed upływem wskazanego terminu.
4. Sternik może przechowywać przez niezbędny czas kopie zapasowe zawierające dane osobowe, jednak nie dłużej niż 90 dni od ich usunięcia z aktywnego środowiska, po czym są one nieodwracalnie usuwane.

§8. Postanowienia końcowe

1. Umowa wchodzi w życie z chwilą akceptacji Regulaminu i obowiązuje przez cały czas korzystania z Serwisu. Rozwiązanie umowy o świadczenie usług jest jednoznaczne z rozwiązaniem niniejszej Umowy powierzenia.
2. W sprawach nieuregulowanych niniejszą Umową zastosowanie mają przepisy RODO, polskiej ustawy o ochronie danych osobowych oraz Regulamin.
3. Umowa podlega prawu polskiemu. Wszelkie spory rozstrzygane są przez sąd właściwy miejscowo dla siedziby Podmiotu przetwarzającego (Trzcianka).
4. Sternik zastrzega sobie prawo do aktualizacji Umowy. O zmianach Administrator zostanie powiadomiony z co najmniej 30-dniowym wyprzedzeniem.

Podmiot przetwarzający

Softwhale Maciej Grabowski
ul. Chełmońskiego 9/2, 64-980 Trzcianka
NIP: 7631993505
E-mail: biuro@softwhale.pl