Panel klienta:

Szanowny Kliencie,

W związku z wejściem w życie z dniem 25 maja 2018 r. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), prosimy o zapoznane się z poniższym dokumentem stanowiącym umowę powierzenia danych osobowych, w którym określamy zasady i sposób przetwarzania danych osobowych przekazanych przez Klienta za pośrednictwem niniejszego systemu, oraz jego zaakceptowanie, co będzie równoznaczne z zawarciem niniejszej umowy o treści określonej poniżej.

Jeżeli nie przekazują nam Państwo danych osobowych jako administrator tych danych w rozumieniu powyższego rozporządzenia, lub nie są Państwo podmiotem przetwarzającym dane osobowe w rozumieniu powyższego rozporządzenia, niniejszy dokument nie jest dla Państwa wiążący, i prosimy go potraktować wyłącznie w sposób informujący o tym, jak przetwarzamy dane osobowe, w stosunku do których nie jesteśmy ich administratorem.

Global Express Sp. z o.o. z siedzibą w Warszawie przy ul. Wagonowej 18, 02-223 Warszawa, kapitał zakładowy 5.000,00 zł, wpisana do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy dla m.st. Warszawy, XIII Wydział Gospodarczy pod nr KRS 0000460817, o numerze NIP: 522-300-61-66, numerze Regon: 146658976, adres e-mail do kontaktów w tematach ochrony danych osobowych: handlowy@globalexpress.pl

§ 1. Przedmiot umowy

1. Zgodnie z art. 28 ust. 3 lit. a RODO, na warunkach określonych niniejszą umową i umową podstawową, Administrator powierza Procesorowi przetwarzanie wskazanych niżej danych osobowych poszczególnych kategorii osób.

2. Nie jest możliwe przetwarzanie danych osobowych nieobjętych niniejszą umową bez zmiany tej umowy.

§ 2. Bezpieczeństwo danych

1. Procesor zapewnia wdrożenie odpowiednich środków technicznych i organizacyjnych służących do ochrony danych osobowych przed niezgodnym z prawem lub nieuprawnionym przetwarzaniem oraz przed ich przypadkową utratą, zniszczeniem, uszkodzeniem, modyfikacją lub ujawnieniem.

2. Procesor zapewnia, że zgodnie z art. 28 ust. 1 RODO, przetwarzanie dokonywane w imieniu Administratora będzie spełniać wymogi RODO i chronić prawa osób, których dane dotyczą.

3. Procesor zapewnia że:

1. posiada zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności swoich systemów i usług przetwarzania,

2. posiada zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,

3. regularnie testuje, mierzy i ocenia skuteczność stosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

§ 3. Korzystanie przez Procesora z usług innego podmiotu przetwarzającego

1. Podpowierzenie przetwarzania danych osobowych w rozumieniu art. 28 ust. 2 RODO jest możliwe przez Procesora wyłącznie na podstawie pisemnej umowy podpowierzenia z Podprocesorem i na podstawie pisemnej zgody Administratora. Podpowierzenie bez uprzedniej pisemnej zgody Administratora stanowi ciężkie naruszenie warunków umowy i może skutkować jej natychmiastowym rozwiązaniem.

2. Dokonując podpowierzenia, Procesor ma obowiązek zobowiązać Podprocesora do realizacji wszystkich obowiązków Procesora wynikających z niniejszej umowy, z wyjątkiem tych, które nie mają zastosowania ze względu na naturę konkretnego podpowierzenia.

3. Procesor ma obowiązek zapewnić, aby Podprocesor złożył Administratorowi zobowiązanie do wykonania obowiązków, o których mowa w poprzednim ustępie. Może to zostać wykonane przez podpisanie stosownego oświadczenia adresowanego do Administratora wraz z podpisaniem umowy podpowierzenia, zawierającego listę obowiązków Podprocesora.

4. Procesor nie ma prawa przekazać Podprocesorowi całości obowiązków wynikających z niniejszej umowy.

§ 4. Czas trwania przetwarzania

Przetwarzanie będzie wykonywane w okresie obowiązywania umowy podstawowej.

§ 5. Charakter przetwarzania

Charakter przetwarzania określony jest rolą Zleceniobiorcy wynikającą z umowy podstawowej, na podstawie której zadaniem Procesora jest świadczenie usług pocztowych, kurierskich i spedycyjnych.

§ 6. Cel przetwarzania

Celem przetwarzania jest realizacja usług pocztowych, kurierskich i spedycyjnych.

§ 7. Rodzaj danych osobowych

Przetwarzanie obejmować będzie następujące rodzaje danych osobowych:

1. imię i nazwisko,

2. nazwa firmy

3. adres doręczenia lub odbioru przesyłek,

4. numery telefonów kontaktowych,

5. adres e-mail,

6. numer rachunku bankowego do zwrotu kwot pobrań,

§ 8. Kategorie osób, których dane dotyczą

Przetwarzanie będzie dotyczyć następujących kategorii osób:

§ 9. Obowiązki i prawa Administratora

1. Administrator danych będzie:

1. przetwarzał dane osobowe zgodnie z przepisami RODO i ustawy o ochronie danych osobowych,

2. udzielał Procesorowi udokumentowanych i wiążących instrukcji dotyczących przetwarzania danych osobowych,

3. przez cały czas zachowywał kontrolę nad danymi osobowymi i w miarę potrzeb dokonywał audytu lub inspekcji Procesora,

4. przez cały czas zachowywał prawo własności oraz inne prawa dotyczące danych osobowych.

2. Administrator zobowiązany jest współdziałać z Procesorem w wykonaniu umowy, udzielać mu wyjaśnień, jak też wywiązywać się terminowo ze swoich szczegółowych obowiązków.

§ 10. Obowiązki i prawa Procesora

1. Procesor oświadcza, że nie przekazuje danych osobowych do państwa trzeciego lub organizacji międzynarodowej (czyli poza Europejski Obszar Gospodarczy EOG). Przetwarzający oświadcza również, że nie korzysta z podwykonawców, którzy przekazują dane poza EOG.

2. Jeżeli Procesor ma zamiar lub obowiązek przekazywać dane osobowe poza EOG, informuje o tym Administratora, w celu umożliwienia mu podjęcia decyzji i działań niezbędnych do zapewnienia zgodności przetwarzania z prawem lub zakończenia powierzenia przetwarzania.

3. Procesor uzyskuje od osób, które zostały upoważnione do przetwarzania danych osobowych w wykonaniu umowy, udokumentowane zobowiązania do zachowania tajemnicy.

4. Procesor zapewnia ochronę danych osobowych i podejmuje środki ochrony, o których mowa w art. 32 RODO, zgodnie z dalszymi postanowieniami umowy.

5. Procesor zobowiązuje się wobec Administratora do odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania praw określonych w rozdziale III RODO. Przetwarzający oświadcza, że zapewnia obsługę praw jednostki w odniesieniu do powierzonych danych, w szczególności: informowanie, przejrzystą komunikację, dostęp do danych, obowiązek informacyjny, prawo dostępu, prawo do sprostowania i usunięcia danych, prawo do ograniczenia przetwarzania, przenoszenia danych, prawo sprzeciwu, zautomatyzowane podejmowanie decyzji.

6. Procesor współpracuje z Administratorem przy wykonywaniu przez Administratora obowiązków z obszaru ochrony danych osobowych, o których mowa w art. 32−36 RODO (ochrona danych, zgłaszanie naruszeń organowi nadzorczemu, zawiadamianie osób dotkniętych naruszeniem ochrony danych, ocena skutków dla ochrony danych i uprzednie konsultacje z organem nadzorczym).

7. Planując dokonanie zmian w sposobie przetwarzania danych osobowych, Procesor ma obowiązek zastosować się do wymogu projektowania prywatności, o którym mowa w art. 25 ust. 1 RODO i ma obowiązek z wyprzedzeniem informować Administratora o planowanych zmianach w taki sposób i w takich terminach, aby zapewnić Administratorowi realną możliwość reagowania, jeżeli planowane zmiany grożą uzgodnionemu poziomowi bezpieczeństwa danych lub zwiększają ryzyko naruszenia praw lub wolności osób przez Procesora.

8. Procesor zobowiązuje się do ograniczenia dostępu do danych osobowych wyłącznie do pracowników, których dostęp do danych jest potrzebny dla realizacji umowy i posiadających odpowiednie upoważnienie.

9. Procesor zobowiązuje się do prowadzenia dokumentacji opisującej sposób przetwarzania danych osobowych, w tym rejestru czynności przetwarzania danych. Procesor udostępnia na żądanie Administratora prowadzony rejestr, z wyłączeniem informacji stanowiących tajemnicę handlową innych klientów Procesora.

10. Jeżeli Procesor wykorzystuje w celu realizacji umowy zautomatyzowane przetwarzanie, w tym profilowanie, o którym mowa w art. 22 ust. 1 i 4 RODO, Procesor informuje o tym Administratora w celu i w zakresie niezbędnym do wykonania przez Administratora obowiązku informacyjnego.

11. Procesor ma obowiązek zapewnić osobom upoważnionym do przetwarzania Danych odpowiednie szkolenie z zakresu ochrony danych osobowych.

§ 11. Powiadomienie o naruszeniach bezpieczeństwa danych osobowych

1. Procesor powiadamia Administratora o każdym podejrzeniu naruszenia ochrony danych osobowych niezwłocznie, jednak nie później niż w 24 godziny od pierwszego zgłoszenia, umożliwia Administratorowi uczestnictwo w czynnościach wyjaśniających i informuje go o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia.

2. Powiadomienie o stwierdzeniu naruszenia, powinno być przesłane wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, aby umożliwić Administratorowi spełnienie obowiązku powiadomienia organu nadzoru.

3. Powiadomienie o naruszeniu danych powinno zawierać przynajmniej:

1. rodzaj i ilość ujawnionych danych osobowych,

2. imię i nazwisko oraz dane kontaktowe osoby odpowiedzialnej za kwestie związane z ochroną danych u Procesora,

3. opis prawdopodobnych i występujących konsekwencji naruszenia,

4. podjęte kroki w celu ograniczenia konsekwencji i podjęte działania zapobiegawcze.

4. Obowiązek powiadomienia nie ma zastosowania do Procesora, jeżeli naruszenie jest spowodowane przez Administratora.

§ 12. Usunięcie danych osobowych

1. Z chwilą rozwiązania umowy Procesor nie ma prawa do dalszego przetwarzania powierzonych danych i jest zobowiązany do:

1. ich usunięcia i poinformowania Administratora na piśmie o dacie i sposobie, w jaki usunięto dane,

2. usunięcia wszelkich ich istniejących kopii lub zwrotu danych, chyba że Administrator postanowi inaczej lub prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują dalej przechowywanie danych,

2. Procesor dokona usunięcia danych po upływie 180 dni od zakończenia umowy, chyba że Administrator poleci mu to uczynić w innym terminie.

3. Po wykonaniu zobowiązania, o którym mowa w pkt 1., Procesor złoży Administratorowi pisemne oświadczenie potwierdzające trwałe usunięcie wszystkich danych osobowych.

§ 13. Odpowiedzialność

1. Procesor odpowiada za szkodę wyrządzoną swoim działaniem w związku z niedopełnieniem obowiązków, które RODO nakłada na procesora lub wskutek działania wbrew wyraźnym instrukcjom Administratora.

2. Procesor odpowiada za szkody spowodowane zastosowaniem niewłaściwych środków bezpieczeństwa.

§ 14. Postanowienia Końcowe

1. W razie sprzeczności pomiędzy postanowieniami niniejszej umowy a umowy podstawowej, pierwszeństwo mają postanowienia umowy powierzenia. Oznacza to także, że kwestie dotyczące przetwarzania danych osobowych pomiędzy Administratorem a Procesorem należy regulować poprzez zmiany niniejszej umowy lub w wykonaniu jej postanowień.

2. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.

3. Umowa podlega prawu polskiemu oraz RODO.