Regulamin Powierzenia Przetwarzania Danych Osobowych - Intum.pl

§1 Definicje

1. Użyte w Regulaminie pojęcia oznaczają:

• Dane Osobowe lub Dane – dane osobowe w rozumieniu art. 4 pkt 1) RODO, tj. wszelkie informacje
• Integracja – dodatkowa funkcjonalność Serwisu umożliwiająca połączenie z usługą podmiotu trzeciego
• Moduł – wyodrębniona funkcjonalność Serwisu (np. Moduł “Organize”, Moduł “Commerce”)
• Regulamin – niniejszy Regulamin powierzenia przetwarzania danych osobowych
• Regulamin Intum.pl – dostępny pod adresem https://intum.pl/regulamin
• RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r.
• Umowa o świadczenie usług – zawierana między Klientem a Usługodawcą na warunkach określonych w Regulaminie Intum.pl

1. Pojęcia pisane wielką literą mają znaczenie nadane w Regulaminie Intum.pl.

§2 Przedmiot powierzenia

1. Klient powierza Usługodawcy Dane Osobowe do przetwarzania na podstawie art. 28 ust. 3 RODO, na zasadach i celach określonych w niniejszym Regulaminie.
2. Klient oświadcza, że jest uprawniony do przetwarzania Danych Osobowych w zakresie i celach powierzenia Usługodawcy.
3. Usługodawca zobowiązuje się przetwarzać powierzone Dane Osobowe zgodnie z Regulaminem, RODO oraz przepisami prawa powszechnie obowiązującego chroniącymi prawa osób, których Dane dotyczą.

§3 Zakres i cel przetwarzania

1. Zakres powierzanych do przetwarzania Danych Osobowych obejmuje dane wprowadzone przez Klienta do Serwisu lub udostępnione Usługodawcy w związku z korzystaniem z usług, w tym z aktywowanych Modułów oraz Integracji. Przetwarzanie odbywa się wyłącznie w celach realizacji zleconych usług.

   Powierzenie może obejmować dane osobowe:

   • klientów i kontrahentów Klienta oraz ich przedstawicieli
   • pracowników i współpracowników będących Użytkownikami Serwisu

   W szczególności zakres obejmuje:

   a) Podstawowe dane identyfikacyjne:

   • imię, nazwisko, firma, adres działalności gospodarczej
   • adres zamieszkania, nr NIP, Rola, zakres uprawnień, przypisany Dział Firmy

   b) Dane kontaktowe:

   • adres korespondencyjny, nr telefonu, adres e-mail, fax

   c) Dane finansowe i transakcyjne:

   • nr rachunku bankowego
   • dane dotyczące umów i transakcji między Klientem a jego klientami/kontrahentami
   • zakresy świadczonych usług, dane rozliczeń finansowych

   d) Wszelkie inne Dane:

   • wprowadzone przez Klienta do Serwisu, których przetwarzanie jest niezbędne do realizacji Umowy lub poprawnego działania aktywowanych Modułów i Integracji

2. Szczegółowy zakres wynika z zakresu usług świadczonych przez Usługodawcę, funkcjonalności Serwisu, Modułów i Integracji aktywowanych przez Klienta, pozostając adekwatnym do wybranego Planu Abonamentowego.

   Zmiana Planu Abonamentowego lub aktywacja/dezaktywacja Modułu lub Integracji jest równoznaczna z rozszerzeniem lub ograniczeniem zakresu powierzanych Danych Osobowych o informacje wynikające z danej funkcjonalności.

   Zmiana zakresu nie stanowi zmiany Regulaminu.

3. Celem powierzenia przetwarzania Danych Osobowych jest umożliwienie realizacji przedmiotu Umowy o świadczenie usług oraz poprawnego działania aktywowanych Integracji i Modułów.

4. Usługodawca uprawniony jest do przetwarzania Danych Osobowych w ramach wszelkich czynności przetwarzania, o których mowa w art. 4 pkt 2) RODO, niezbędnych do prawidłowej realizacji Umowy, zgodnie z wybranym Planem Abonamentowym, oraz zapewnienia poprawnego działania aktywowanych Integracji lub Modułów.

   Usługodawca uprawniony jest do ujawniania Danych Osobowych poprzez ich przesyłanie lub udostępnianie, jeśli – w związku z korzystaniem z danej Integracji, Modułu lub funkcjonalności – zachodzi konieczność przekazania danych do zewnętrznego dostawcy lub odbiorcy.

5. Przetwarzanie Danych Osobowych przez Usługodawcę odbywa się wyłącznie za pośrednictwem systemów informatycznych, bez wykorzystania kartotek papierowych.

6. Korzystanie przez Klienta z Integracji może wiązać się z koniecznością przekazania Danych Osobowych podmiotom trzecim dostarczającym usługi w ramach poszczególnych Integracji.

   Aktywując Integrację, Klient zobowiązuje Usługodawcę do przekazania dostawcy wszelkich Danych Osobowych niezbędnych do poprawnego jej działania.

   Przekazywanie danych następuje poprzez Usługodawcę na rzecz podmiotu trzeciego lub poprzez udostępnienie API konta Klienta – bez przekazania indywidualnych danych logowania.

§4 Prawa i obowiązki stron

1. Usługodawca przetwarza Dane Osobowe wyłącznie na udokumentowane polecenie Klienta, przy czym za takie uważa się niniejszy Regulamin.

   Usługodawca może przetwarzać Dane Osobowe w zakresie, w jakim obowiązek taki nakłada prawo Unii Europejskiej lub prawo polskie.

   Usługodawca niezwłocznie informuje Klienta, jeśli jego zdaniem wydane polecenie narusza RODO lub inne przepisy ochrony danych.

   Poleceniem jest m.in. aktywacja przez Klienta funkcjonalności Serwisu oraz dokonanie dyspozycji w ramach dostępnych Modułów i Integracji.

2. Klient zobowiązany jest posiadać podstawę prawną dla operacji przetwarzania Danych Osobowych powierzanych Usługodawcy.

3. Usługodawca będzie przetwarzać Dane Osobowe przez okres niezbędny do realizacji zleconych usług i wywiązania się ze wszystkich obowiązków nałożonych przez Klienta.

   Po zakończeniu Umowy Usługodawca, zależnie od decyzji Klienta i możliwości technicznych, usunie lub zwróci Dane Osobowe oraz ich kopie – chyba że prawo Unii Europejskiej lub prawo polskie nakazuje przechowywanie danych.

4. Usługodawca zobowiązany jest dołożyć należytej staranności przy przetwarzaniu powierzonych Danych Osobowych.

   Uwzględniając stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw osób fizycznych, Usługodawca zobowiązany jest wdrożyć odpowiednie środki techniczne i organizacyjne zapewniające stopień bezpieczeństwa odpowiadający temu ryzyku.

5. Usługodawca zobowiązany jest nadać upoważnienia do przetwarzania Danych Osobowych wszystkim osobom przetwarzającym powierzone Dane w celu realizacji Umowy.

6. Usługodawca zobowiązany jest zapewnić zachowanie tajemnicy powierzonych Danych Osobowych przez osoby upoważnione, zarówno w trakcie ich zatrudnienia/współpracy z Usługodawcą, jak i po jego ustaniu.

7. Usługodawca, biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga Klientowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której Dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO, oraz z obowiązków określonych w art. 32–36 RODO.

8. Usługodawca, po stwierdzeniu naruszenia ochrony Danych Osobowych, zobowiązany jest zgłosić je Klientowi bez zbędnej zwłoki.

   Zgłoszenie nastąpi na adres e-mail Klienta będący jego loginem w Serwisie lub adres e-mail służący do kontaktu, przypisany do jego konta.

   Zgłoszenie naruszenia powinno zawierać co najmniej informacje wskazane w art. 33 ust. 3 RODO.

9. Usługodawca udostępnia Klientowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.

§5 Zasady podpowierzenia

1. Klient wyraża niniejszym zgodę na dalsze powierzenie przetwarzania Danych Osobowych podwykonawcom Usługodawcy, wskazanym w Załączniku nr 1 do Regulaminu – z zastrzeżeniem, że nie wszyscy wskazani podwykonawcy uczestniczą w przetwarzaniu każdego Klienta.

   Zmiana Załącznika nr 1 stanowi zmianę Regulaminu i odbywa się na warunkach określonych w Regulaminie Intum.pl.

   Obowiązek zapewnienia wystarczających gwarancji dotyczy wyłącznie podwykonawców faktycznie uczestniczących w przetwarzaniu Danych Osobowych.

2. Klient przyjmuje do wiadomości, że zakres podwykonawców, którym Usługodawca może podpowierzać przetwarzanie Danych Osobowych, zależy od funkcjonalności Serwisu, z których Klient korzysta – w szczególności od aktywacji określonych Modułów lub Integracji.

3. W przypadku podpowierzenia Danych Osobowych podwykonawcy na podwykonawcę nałożone zostają te same obowiązki ochrony Danych Osobowych jak w Regulaminie – w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO.

   Jeśli podwykonawca nie wywiąże się ze spoczywających obowiązków ochrony Danych, pełna odpowiedzialność wobec Klienta spoczywa na Usługodawcy.

4. Usługodawca może przekazać Dane Osobowe do państwa trzeciego poza Europejskim Obszarem Gospodarczym pod warunkiem spełnienia wymogów rozdziału V RODO (art. 44-50).

5. Niezależnie od podwykonawców wskazanych w Załączniku nr 1, Klient przyjmuje do wiadomości, że w zakresie niezbędnym do realizacji obowiązków prawnych, w szczególności przeprowadzania audytów, kontroli lub analiz zgodności, Usługodawca może ujawniać powierzone Dane Osobowe profesjonalnym doradcom i audytorom – w szczególności doradcom prawnym, podatkowym, biegłym rewidentom oraz audytorom wewnętrznym i zewnętrznym.

   Podmioty te przetwarzają Dane Osobowe jako odrębni administratorzy i są ustawowo zobowiązane do zachowania poufności danych osobowych.

   Ujawnienie Danych do takich podmiotów nie stanowi dalszego powierzenia przetwarzania w rozumieniu art. 28 RODO.

§6 Prawo kontroli

1. Usługodawca umożliwia Klientowi lub osobie upoważnionej przez Klienta przeprowadzanie kontroli i przyczynia się do nich.

   Kontrole mogą być przeprowadzane nie częściej niż raz w roku kalendarzowym, trwając nie dłużej niż jeden Dzień Roboczy.

2. Każda ze Stron ponosi we własnym zakresie koszty związane z przeprowadzeniem kontroli.

3. Audytorem Klienta nie może być podmiot prowadzący działalność konkurencyjną wobec Usługodawcy, ani podmiot z nim powiązany, jego pracownik lub podmiot/osoba z nim współpracująca.

4. Klient zobowiązany jest poinformować Usługodawcę o planowanej kontroli z co najmniej 30-dniowym wyprzedzeniem.

   Usługodawca ma prawo odmówić przeprowadzenia kontroli we wskazanym terminie, w przypadku wysokiego prawdopodobieństwa, iż przeprowadzenie kontroli zakłóci bieżące funkcjonowanie.

   Usługodawca zaproponuje inny termin nie dalszy niż 5 Dni Roboczych po terminie wskazanym.

   Osoby uczestniczące w kontroli przed przystąpieniem zobowiązane są do podpisania umowy poufności lub oświadczenia o zachowaniu poufności.

5. Klient realizować będzie prawo kontroli wyłącznie w Dni Robocze, w formule zdalnej, w godzinach pracy Usługodawcy (9:00 – 17:00) oraz w sposób możliwie najmniej zakłócający funkcjonowanie pracy.

   W trakcie kontroli Klient i audytor zobowiązani są przestrzegać wewnętrznych procedur i polityk Usługodawcy lub podwykonawcy dotyczących bezpieczeństwa i poufności.

6. W celu przeprowadzenia kontroli Usługodawca umożliwi i przyczyni się do przeprowadzania czynności kontrolnych, o ile mają bezpośredni związek z wykonywaniem Umowy – w szczególności poprzez udzielenie Klientowi wyjaśnień dotyczących przetwarzania powierzonych Danych Osobowych, z wyłączeniem informacji objętych tajemnicą przedsiębiorstwa Usługodawcy.

   Kontrola nie może obejmować informacji lub dokumentów dotyczących innych Klientów, ani zmierzać do uzyskania dostępu Klienta do danych osób trzecich lub danych poufnych.

7. Przeprowadzona kontrola zostanie zakończona sporządzeniem protokołu przedstawiającego wyniki.

   W przypadku wykazania uchybień naruszających postanowienia Regulaminu, Klient uprawniony jest do przekazania Usługodawcy pisemnych zaleceń pokontrolnych wraz z terminem realizacji, który musi być odpowiedni i nie krótszy niż 30 Dni Roboczych.

   Zalecenia nie mogą iść dalej niż wymogi wynikające z Regulaminu lub prawa powszechnie obowiązującego, powinny być obiektywnie zasadne i możliwe do zrealizowania bez zmiany organizacji lub naruszenia ciągłości działania.

§7 Postanowienia końcowe

1. Usługodawca odpowiada za niewykonanie lub nienależyte wykonanie postanowień Regulaminu na zasadach wskazanych w Regulaminie Intum.pl.

   Odpowiedzialność za wykonanie polecenia i zaleceń pokontrolnych niezgodnych z RODO lub prawem powszechnie obowiązującym jest wyłączona.

2. Postanowienia Regulaminu stanowią całość zobowiązań oraz warunków powierzenia przetwarzania Danych Osobowych.

   W momencie wejścia w życie Regulaminu jego postanowienia zastępują wszelkie dotychczasowe ustalenia Stron.

3. Klient nie jest uprawniony do wypowiedzenia Umowy w związku ze zmianą Regulaminu lub Załącznika nr 1, jeśli zmiana dotyczy podwykonawców lub funkcjonalności Serwisu, z których Klient nie korzysta.

4. W sprawach nieuregulowanych zastosowanie mają postanowienia Regulaminu Intum.pl.

5. W przypadku rozbieżności między postanowieniami Regulaminu oraz Regulaminu Intum.pl zastosowanie mają postanowienia tego Regulaminu.

6. Niniejszy Regulamin jest instrumentem prawnym w rozumieniu art. 28 ust. 3 RODO.

Załącznik nr 1 – Wykaz podwykonawców

Wskazanie podmiotu w wykazie nie oznacza, że dany podwykonawca uczestniczy w przetwarzaniu Danych Osobowych każdego Klienta. Zakres faktycznego udziału zależy od funkcjonalności Serwisu, Modułów oraz Integracji, z których korzysta Klient.

Dostawca rozwiązania	Adres
Twilio Ireland Limited	70 Sir John Rogerson’s Quay, Dublin 2, D02 R296, Irlandia
Getresponse S.A.	Al. Grunwaldzka 413, 80-309 Gdańsk, Polska
Vercom S.A.	ul. Wierzbięcice 1B, 61-569 Poznań, Polska
Amazon Web Services EMEA SARL	38 Avenue John F. Kennedy, L-1855, Luxemburg
Google LLC	1600 Amphitheatre Parkway Mountain View, CA 94043, USA
Meta Platforms, Inc.	Meta Way, Menlo Park, CA 94025, USA
Microsoft Corporation	1 Microsoft Way, Redmond, WA 98052 USA
OpenAI Ireland Ltd	The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Irlandia
Anthropic Ireland, Limited	6th Floor South Bank House, Barrow Street, Dublin 4, Irlandia
Eskom IT sp. z o.o.	ul. Puławska 543, 02-844 Warszawa, Polska
Radgost sp. z o.o.	ul. Juliana Smulikowskiego 6/8, 00-389 Warszawa, Polska (spółka powiązana z Intum sp. z o.o.)
Sugester sp. z o.o.	ul. Juliana Smulikowskiego 6/8, 00-389 Warszawa, Polska (spółka powiązana z Intum sp. z o.o.)
Fakturownia sp. z o.o.	ul. Juliana Smulikowskiego 6/8, 00-389 Warszawa, Polska (spółka powiązana z Intum sp. z o.o.)
Księgosoft sp. z o.o.	ul. Juliana Smulikowskiego 6/8, 00-389 Warszawa, Polska (spółka powiązana z Intum sp. z o.o.)