Umowa Powierzenia Przetwarzania Danych (UPPD)

1. Cel i Zakres

Niniejsza Umowa Powierzenia Przetwarzania Danych („UPPD") stanowi część Regulaminu Usługi zawartego pomiędzy klientem („Administrator") a NeoMatX („Podmiot Przetwarzający").

Reguluje ona przetwarzanie danych osobowych przez NeoMatX w imieniu Administratora w związku z korzystaniem z platformy i usług NeoMatX.

Niniejsza umowa ma zastosowanie w przypadku, gdy Administrator przetwarza dane osobowe przy użyciu Usługi, a przetwarzanie to wchodzi w zakres stosowania Ogólnego Rozporządzenia o Ochronie Danych.

2. Definicje

Na potrzeby niniejszej UPPD terminy Administrator, Podmiot Przetwarzający, Osoba, której dane dotyczą, Dane Osobowe oraz Przetwarzanie mają znaczenie nadane im w RODO.

• Administrator: klient korzystający z platformy NeoMatX
• Podmiot Przetwarzający: NeoMatX, świadczący platformę i powiązane usługi
• Podpodmiot Przetwarzający: osoby trzecie zaangażowane przez NeoMatX do przetwarzania danych w imieniu Administratora

3. Przedmiot Przetwarzania

Podmiot Przetwarzający udostępnia opartą na chmurze platformę, która umożliwia Administratorowi zarządzanie operacjami biznesowymi, w tym:

• narzędzia do przesyłania wiadomości i komunikacji
• formularze kontaktowe
• chatboty obsługi klienta
• generowanie treści wspomagane przez AI
• automatyzacja przepływu pracy

Administrator określa kategorie danych osobowych przetwarzanych za pośrednictwem Usługi.

4. Charakter i Cel Przetwarzania

Czynności przetwarzania mogą obejmować:

• zbieranie
• przechowywanie
• organizowanie
• pobieranie
• przekazywanie
• usuwanie

Celem przetwarzania jest umożliwienie Administratorowi prowadzenia i zarządzania działalnością biznesową przy użyciu platformy NeoMatX.

5. Kategorie Osób, Których Dane Dotyczą

W zależności od sposobu korzystania z Usługi przez Administratora mogą być zaangażowane następujące kategorie osób, których dane dotyczą:

• klienci Administratora
• odwiedzający stronę internetową
• pracownicy lub przedstawiciele Administratora
• kontakty biznesowe

6. Kategorie Danych Osobowych

Dane osobowe przetwarzane za pośrednictwem Usługi mogą obejmować, w zależności od sposobu użytkowania:

• imiona i nazwiska
• adresy e-mail
• numery telefonów
• treści komunikacji
• wiadomości lub zapytania do działu wsparcia
• adresy IP i metadane techniczne

Administrator określa, jakie dane są przetwarzane w ramach platformy.

7. Instrukcje Administratora

Podmiot Przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązujące przepisy prawa zobowiązują go do innego postępowania.

Korzystanie z Usługi zgodnie z Regulaminem i niniejszą UPPD stanowi udokumentowane polecenie.

Jeżeli Podmiot Przetwarzający uzna, że polecenie Administratora narusza obowiązujące przepisy o ochronie danych, niezwłocznie poinformuje o tym Administratora.

8. Poufność

NeoMatX zapewnia, że osoby upoważnione do przetwarzania danych osobowych:

• są zobowiązane do zachowania poufności
• przetwarzają dane wyłącznie w zakresie niezbędnym do obsługi Usługi

9. Środki Bezpieczeństwa

Podmiot Przetwarzający wdraża odpowiednie techniczne i organizacyjne środki bezpieczeństwa w celu zapewnienia poziomu ochrony odpowiedniego do istniejącego ryzyka. Środki te mogą obejmować:

• szyfrowane przesyłanie danych (HTTPS)
• mechanizmy kontroli dostępu
• monitorowanie infrastruktury
• bezpieczeństwo serwerów i zarządzanie poprawkami
• kontrole uwierzytelniania i autoryzacji

Środki bezpieczeństwa mogą być rozwijane zgodnie z postępem technologicznym.

10. Podpodmioty Przetwarzające

Administrator upoważnia Podmiot Przetwarzający do angażowania podpodmiotów przetwarzających w celu obsługi Usługi. Podpodmioty przetwarzające mogą obejmować dostawców:

• infrastruktury chmurowej
• usług AI
• usług dostarczania poczty elektronicznej
• systemów monitorowania i rejestrowania zdarzeń

NeoMatX zapewnia, że podpodmioty przetwarzające są związane zobowiązaniami umownymi zapewniającymi ochronę danych zgodną z niniejszą UPPD.

Administrator może sprzeciwić się korzystaniu z nowego podpodmiotu przetwarzającego z uzasadnionych przyczyn związanych z ochroną danych. Jeżeli takiego sprzeciwu nie można w rozsądny sposób rozwiązać, Administrator może zaprzestać korzystania z usług, których dotyczy sprzeciw.

Administrator niniejszym udziela NeoMatX ogólnego upoważnienia do angażowania podpodmiotów przetwarzających. NeoMatX będzie informować Administratora o wszelkich planowanych zmianach dotyczących dodania lub wymiany podpodmiotów przetwarzających za pośrednictwem strony internetowej lub poczty elektronicznej, dając tym samym Administratorowi możliwość wniesienia sprzeciwu wobec takich zmian.

11. Pomoc przy Realizacji Praw Osób, Których Dane Dotyczą

W zakresie, w jakim jest to rozsądnie możliwe, NeoMatX będzie wspierać Administratora w odpowiadaniu na wnioski osób, których dane dotyczą, wykonujących swoje prawa wynikające z obowiązujących przepisów o ochronie danych. Takie wnioski mogą obejmować:

• wnioski o dostęp do danych
• sprostowanie
• usunięcie
• ograniczenie przetwarzania
• przenoszenie danych

Administrator pozostaje odpowiedzialny za obsługę takich wniosków.

11a. Pomoc przy Wypełnianiu Obowiązków Compliance

Uwzględniając charakter przetwarzania oraz informacje dostępne Podmiotowi Przetwarzającemu, NeoMatX będzie wspierać Administratora w wypełnianiu obowiązków dotyczących:

• ocen skutków dla ochrony danych
• konsultacji z organami nadzorczymi
• wdrażania odpowiednich środków bezpieczeństwa

12. Zgłaszanie Naruszeń Ochrony Danych

W przypadku naruszenia ochrony danych osobowych dotyczącego danych przetwarzanych na podstawie niniejszej UPPD, NeoMatX powiadomi Administratora bez zbędnej zwłoki po stwierdzeniu naruszenia. Powiadomienie będzie zawierać wszelkie istotne informacje dostępne w danym momencie.

13. Przechowywanie i Usuwanie Danych

Po zakończeniu Usługi Administrator może zażądać usunięcia danych osobowych przechowywanych na platformie. NeoMatX może zatrzymać dane wyłącznie w przypadku, gdy jest to wymagane:

• przepisami prawa
• w celach bezpieczeństwa
• w celu rozwiązywania sporów lub egzekwowania umów

Po zakończeniu Usługi NeoMatX, zgodnie z wyborem Administratora, usunie wszystkie dane osobowe lub zwróci je Administratorowi i usunie istniejące kopie, chyba że obowiązujące przepisy prawa nakazują przechowywanie danych osobowych.

14. Audyty i Zgodność z Przepisami

Na uzasadnione żądanie NeoMatX może udostępnić informacje niezbędne do wykazania zgodności z niniejszą UPPD. Wszelkie audyty muszą:

• być rozsądne pod względem zakresu
• nie zakłócać normalnej działalności
• respektować wymogi dotyczące poufności i bezpieczeństwa

Audyty mogą być przeprowadzane nie częściej niż raz w roku, chyba że jest to wymagane przepisami prawa lub w przypadku zweryfikowanego incydentu bezpieczeństwa.

15. Międzynarodowe Przekazywanie Danych

Jeżeli dane osobowe przetwarzane na podstawie niniejszej UPPD są przekazywane do kraju spoza EOG, który nie zapewnia odpowiedniego poziomu ochrony danych, NeoMatX zapewni, że takie przekazania podlegają odpowiednim zabezpieczeniom.

Zabezpieczenia te obejmują zazwyczaj Standardowe Klauzule Umowne (SCC) przyjęte przez Komisję Europejską. W zakresie, w jakim NeoMatX działa jako eksporter danych wobec podpodmiotu przetwarzającego w państwie trzecim, Administrator niniejszym upoważnia NeoMatX do zawierania SCC z takimi podpodmiotami przetwarzającymi w imieniu Administratora.

16. Odpowiedzialność

Odpowiedzialność między stronami w zakresie przetwarzania danych regulowana jest przede wszystkim przez ograniczenia określone w Regulaminie Usługi.

17. Czas Obowiązywania

Niniejsza UPPD pozostaje w mocy przez cały czas, w którym NeoMatX przetwarza dane osobowe w imieniu Administratora za pośrednictwem Usługi.

18. Prawo Właściwe

Niniejsza UPPD podlega prawu polskiemu i jest interpretowana zgodnie z nim.