Tytułem wstępu
Jeśli nadajesz przesyłkę za pośrednictwem serwisu kurierovo.pl w związku z wykonywaną działalnością, w szczególności gospodarczą lub zawodową (np. w ramach sklepu internetowego lub fundacji) to Ty jesteś administratorem danych osobowych osób, które wskazujesz w formularzu zamówienia. Serwis kurierovo.pl jest podmiotem przetwarzającym te dane. W związku z art. 28 ust. 3 RODO jesteśmy zobowiązani do zawarcia umowy powierzenia przetwarzania danych – Ty jako administrator danych osobowych, a administrator serwisu kurierovo.pl – jako podmiot przetwarzający dane osobowe. Niniejszą umowę możemy zawrzeć w formie elektronicznej (pozwala na to art. 28 ust. 9 RODO).
Umowa powierzenia przetwarzania danych osobowych
(dalej jako: Umowa powierzenia)
zawarta pomiędzy:
1. Użytkownikiem Serwisu kurierovo.pl, który zakłada konto lub składa zamówienie/a za pomocą Serwisu kurierovo.pl w ramach wykonywanej działalności, zwanym dalej: Administratorem lub Użytkownikiem
a
2. epaka.pl S.A. z siedzibą w Łukowie, przy ul. Sochacz 16a, 21-400 Łuków, wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy Lublin-Wschód w Lublinie, z siedzibą w Świdniku, VI Wydział Gospodarczy Krajowego Rejestru Sądowego, pod nr KRS: 0001072963, REGON: 369332957, NIP: 8252181790, zwaną dalej: „kurierovo” lub Podmiot przetwarzający.
Użytkownik i kurierovo.pl dalej zwani są łącznie „Stronami”, a każdy z osobna „Stroną”.
§1
Oświadczenia – kurierovo
1. kurierovo.pl oświadcza, że jest współadministratorem danych osobowych razem z:
1) epaka.pl Spółka z ograniczoną odpowiedzialnością z siedzibą w Łukowie (21-400), ul. Sochacz 16A, nr KRS: 0000500274;
2) DRCH Spółka z ograniczoną odpowiedzialnością, z siedzibą w Łukowie (21-400), ul. Sochacz 16A, nr NIP: 8252199330.
2. kurierovo.pl ma prawo do zawarcia umowy powierzenia z Użytkownikiem w imieniu i na rzecz pozostałych współadministratorów, zgodnie z wewnętrznymi uzgodnieniami współadministratorów sporządzonymi na mocy art. 26 RODO, o których szerzej mowa w polityce prywatności Serwisu kurierovo.pl.
§2
Definicje
1. Administrator – administrator danych osobowych w rozumieniu art. 4 pkt 7 RODO.
2. Dane osobowe – dane osobowe w rozumieniu art. 4 pkt 1 RODO, określone w § 3 ust. 2 Umowy powierzenia.
3. Naruszenie ochrony danych osobowych – naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO.
4. Podmiot przetwarzający – podmiot przetwarzający w rozumieniu art. 4 pkt 8 RODO.
5. Przetwarzanie – przetwarzanie danych osobowych w rozumieniu art. 4 pkt 2 RODO.
6. Serwis kurierovo.pl – serwis którego administratorem jest epaka.pl S.A. z siedzibą w Łukowie przy ul. Sochacz 16a, 21-400 Łuków, wpisana do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy Lublin-Wschód w Lublinie, z siedzibą w Świdniku, VI Wydział Gospodarczy Krajowego Rejestru Sądowego, pod nr KRS: 0001072963, REGON: 369332957, NIP: 8252181790.
7. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
8. Umowa pośrednictwa – Umowa pośrednictwa w doręczaniu przesyłek, którą kurierovo.pl zawiera z Użytkownikiem Serwisu kurierovo.pl.
9. Usługi – usługi związane z pośrednictwem przez kurierovo.pl w doręczeniu przesyłek, nadawanych przez Administratora za pośrednictwem Serwisu kurierovo.pl.
§3
Przedmiot umowy
1. Umowa powierzenia określa warunki Przetwarzania przez kurierovo.pl w imieniu Administratora Danych osobowych określonych w ust. 2 poniżej w zakresie Usług wykonywanych przez kurierovo.pl na podstawie Umowy pośrednictwa.
2. Użytkownik, składając zamówienie w Serwisie kurierovo.pl, powierza kurierovo.pl następujące dane osobowe osób trzecich:
2.1. rodzaj danych osobowych: dane zwykłe, tj. imię i nazwisko, dane teleadresowe, takie jak: adres, numer telefonu, e-mail;
2.2. kategorie osób, których dane dotyczą: adresaci przesyłek zlecanych przez Użytkownika.
§4
Przetwarzanie danych osobowych
1. Podmiot przetwarzający będzie przetwarzał dane osobowe powierzone przez Administratora wyłącznie w celu, w zakresie i na warunkach określonych w Umowie powierzenia. Podmiot przetwarzający zobowiązuje się, że nie będzie modyfikował, usuwał ani wykorzystywał powierzonych mu do Przetwarzania Danych osobowych w jakikolwiek inny sposób niż na potrzeby świadczenia Usług na rzecz Administratora.
2. Podmiot przetwarzający będzie przetwarzał dane osobowe powierzone przez Administratora w zakresie świadczenia Usługi w formie elektronicznej, w systemie informatycznym kurierovo.pl oraz w formie papierowej (druki księgowe ).
3. Strony uzgadniają, że dane osobowe powierzone przez Administratora będą przetwarzane zgodnie z poleceniami Administratora przez które rozumie się każdorazowe zlecenie przesyłki za pomocą Serwisu kurierovo.pl.
§5
Okres przetwarzania
1. Dane osobowe powierzone przez Administratora danych będą przetwarzane przez kurierovo.pl w okresie wykonywania Usługi, z zastrzeżeniem następujących ustępów.
2. Po rozwiązaniu lub wygaśnięciu Umowy pośrednictwa, Podmiot przetwarzający usuwa lub zwraca Administratorowi Dane osobowe i usuwa ich kopie. Przez rozwiązanie lub wygaśnięcie Umowy pośrednictwa dla potrzeb niniejszej Umowy powierzenia rozumie się wygaśnięcie wszystkich obowiązków kurierovo.pl, z którymi wiąże się przetwarzanie Danych osobowych.
3. Z uwagi jednak na możliwość zaistnienia sporu pomiędzy Stronami, związanego z realizacją Umowy pośrednictwa lub Umowy powierzenia – kurierovo.pl usunie Dane osobowe oraz ich kopie po upływie okresu niezbędnego do ustalenia, dochodzenia lub obrony roszczeń wynikających lub mogących wynikać z Umowy współpracy lub Umowy powierzenia.
§6
Obowiązki Podmiotu przetwarzającego
1. Strony zobowiązują się do wykonywania zobowiązania z najwyższą starannością zawodową, w tym do przestrzegania Umowy powierzenia i właściwych przepisów prawa mających zastosowanie do Przetwarzania danych osobowych, w szczególności zobowiązują się do przestrzegania obowiązków Stron wynikających z RODO.
2. Podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Administratorowi danych wywiązać się z obowiązków określonych w art. 32–36 RODO.
3. Podmiot przetwarzający podejmuje środki organizacyjne i techniczne właściwe zgodnie z art. 32 RODO do przetwarzania Danych osobowych powierzonych przez Administratora w zakresie usług świadczonych zgodnie z Umową pośrednictwa w celu zabezpieczenia powierzonych do przetwarzania Danych osobowych w należyty, odpowiedni do zagrożeń sposób.
4. W zakresie pomocy Administratorowi przy realizacji obowiązku dokonywania zgłoszenia Naruszenia ochrony danych osobowych do organu nadzorczego oraz zawiadamiania o Naruszeniu ochrony Danych osobowych osób, których dane dotyczą, o których mowa w art. 28 ust. 3 lit. f) RODO, uwzględniając charakter Przetwarzania danych oraz dostępne mu informacje Podmiot przetwarzający zobowiązany jest do:
4.1. zgłoszenia Administratorowi danych podejrzenia naruszenia lub stwierdzenia Naruszenia ochrony danych osobowych nie później niż w terminie 36 (słownie: trzydziestu sześciu) godzin od chwili powzięcia informacji o podejrzeniu naruszenia lub stwierdzeniu Naruszenia ochrony danych osobowych w związku z wykonywaniem Umowy powierzenia na adres email wskazany w koncie/ zamówieniu Użytkownika;
4.2. w zawiadomieniu o podejrzeniu naruszenia lub stwierdzeniu Naruszenia ochrony danych osobowych Podmiot przetwarzający jest zobowiązany wskazać:
1) okoliczności zdarzenia,
2) prawdopodobne przyczyny zdarzenia,
3) środki, jakie zostały zastosowane w związku ze zdarzeniem, w celu zminimalizowania negatywnych skutków — wraz z niezbędną dokumentacją;
4.3. zapewnienia Administratorowi możliwości uczestniczenia w wyjaśnianiu okoliczności zdarzenia, w tym udzielenia informacji oraz wyjaśnień, jak również podjęcia innych działań, które umożliwią Administratorowi wywiązanie się z obowiązku notyfikacyjnego wobec Prezesa Urzędu Ochrony Danych Osobowych.
5. Podmiot przetwarzający oświadcza, że osobom zatrudnionym przy Przetwarzaniu powierzonych Danych osobowych nadane zostały upoważnienia do przetwarzania danych osobowych oraz że osoby te zostały zapoznane z przepisami o ochronie danych osobowych, w szczególności RODO oraz z odpowiedzialnością za ich nieprzestrzeganie.
6. Podmiot przetwarzający zapewnia, że osoby upoważnione przez Podmiot przetwarzający do Przetwarzania Danych osobowych powierzonych przez Administratora zobowiązały się do zachowania tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
§7
Uprawnienia Administratora danych
1. Administrator jest upoważniony do przeprowadzenia audytu w celu weryfikacji przestrzegania Umowy powierzenia przez kurierovo.pl, bezpośrednio lub za pośrednictwem upoważnionego audytora, z zastrzeżeniem następujących warunków:
2. audyt będzie przeprowadzany nie częściej niż raz w roku kalendarzowym, a jego termin powinien być uzgodniony przez Strony, przy czym Użytkownik zgłosi zamiar przeprowadzenia audytu co najmniej 30 dni przed jego proponowanym terminem w formie pisemnej pod rygorem nieważności na adres wskazany w komparycji Umowy powierzenia lub wysyłając wiadomość email na adres […];
3. audytorem Użytkownika nie może być podmiot prowadzący działalność konkurencyjną wobec epaka;
4. audyt nie może obejmować informacji lub dokumentów dotyczących innych klientów/ użytkowników kurierovo.pl, ani zmierzać lub skutkować uzyskaniem dostępu Użytkownika do danych osobowych innych niż Dane osobowe Użytkownika lub do danych poufnych kurierovo.pl lub innych podmiotów powiązanych (współadministratorów z kurierovo);
5. kurierovo.pl może uzależnić udział audytora lub wyznaczonego pracownika Użytkownika w audycie od uprzedniego zawarcia odpowiedniej umowy poufności z kurierovo;
6. w czasie audytu Użytkownik i audytor mają obowiązek przestrzegania wewnętrznych procedur i polityk kurierovo.pl dotyczących bezpieczeństwa i poufności;
7. Administrator pokrywa koszty audytu.
§8
Podpowierzenie
1. Administrator wyraża zgodę na wykorzystanie przez Podmiot przetwarzający innych podmiotów przetwarzających (dalej jako: Podwykonawcy) do dalszego przetwarzania danych w ramach świadczenia Usług, przy czym każdy Podwykonawca kurierovo.pl zapewnia niezbędne gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia zgodności przetwarzania z przepisami ochrony danych osobowych, w szczególności z RODO.
2. Podmiot przetwarzający ponosi pełną odpowiedzialność, jeżeli Podwykonawca nie wywiąże się ze spoczywających na nim obowiązków ochrony danych.
3. Podmiot przetwarzający zawarł lub zawrze umowy powierzenia przetwarzania danych osobowych z Podwykonawcami.
4. Podmiot przetwarzający utrzymuje listę Podwykonawców, na której znajdują się w szczególności: firmy kurierskie odpowiedzialne za realizację Usługi, firmy odpowiedzialne za kontakt w związku z realizacją Usługi, hostingodawcy Podmiotu przetwarzającego oraz firmy IT odpowiedzialne za serwisowanie platformy kurierovo.
5. W przypadku zastąpienia podwykonawców lub dodania nowych podwykonawców, kurierovo.pl poinformuje o tym Administratora z dwutygodniowym wyprzedzeniem drogą mailową na adres Użytkownika wskazany w koncie lub złożonym zamówieniu. Administrator ma prawo do zgłoszenia sprzeciwu odnośnie do tych zmian w ciągu 5 dni roboczych – brak zgłoszenia sprzeciwu w tym terminie traktowany jest jako akceptacja Podwykonawcy.
6. Podmiot przetwarzający zobowiązuje się współpracować wyłącznie z takimi podwykonawcami, którzy zapewniają wdrożenie takich środków technicznych i organizacyjnych, aby Przetwarzanie odpowiadało wymogom RODO.
7. Podmiot przetwarzający zawrze z każdym podwykonawcą, który będzie przetwarzał Dane osobowe stosowną umowę, nakładającą na podwykonawcę odpowiednie obowiązki ochrony danych osobowych.
8. Jeżeli podwykonawca kurierovo.pl nie wywiąże się ze spoczywających na nim obowiązków ochrony danych osobowych Administratora, Podmiot przetwarzający ponosi wobec Administratora odpowiedzialność za niewypełnienie obowiązków przez Podwykonawcę tak jak za własne działania i zaniechania.
§9
Odpowiedzialność Stron Umowy
1. Użytkownik odpowiada za prawidłowe wykonywanie obowiązków Administratora zgodnie z RODO, i innymi właściwymi przepisami ochrony danych osobowych, jak też niniejszą Umową powierzenia. W szczególności, Użytkownik zobowiązany jest do wypełnienia obowiązku informacyjnego wynikającego z art. 13 RODO wobec swoich klientów, których dane powierza do przetwarzania Podmiotowi przetwarzającemu, w tym do poinformowania ich, że podmiotem przetwarzającym ich dane jest epaka.
2. Administrator zapewnia, że Dane osobowe są przetwarzane zgodnie z prawem, w tym zgodnie z zasadami wynikającymi z RODO, w szczególności, że dane są przetwarzane w minimalnym zakresie (Administrator nie przetwarza więcej danych niż jest to wymagane do jego celów).
3. Administrator gwarantuje, że w momencie przekazania Danych osobowych do Przetwarzania istnieje ku temu ważna podstawa prawna, co na każde żądanie Podmiotu przetwarzającego wykaże poprzez wskazanie podstawy prawnej przetwarzania i jej należyte udokumentowanie.
4. Postanowienia §9 pozostają w mocy po rozwiązaniu lub wygaśnięciu Umowy powierzenia.
5. Całkowite i maksymalne zobowiązanie kurierovo.pl w związku z wykonywaniem Umowy powierzenia jest ograniczone do kwoty 10 tys. zł
§ 10
Postanowienia końcowe
1. Strony uzgadniają, że właściwe dla Umowy powierzenia będzie prawo obowiązujące w Polsce, zaś do rozstrzygania sporów właściwy będzie sąd powszechny właściwy dla siedziby kurierovo.pl w dniu zawarcia niniejszej Umowy.
2. W sprawach nieuregulowanych w niniejszej Umowie powierzenia zastosowanie będzie miało RODO oraz właściwe przepisy prawa polskiego.
3. Umowa powierzenia jest w mocy tak długo, jak Podmiot przetwarzający przetwarza Dane osobowe w imieniu Administratora, zgodnie z §5, niezależnie od trwania Umowy pośrednictwa.