Umowa Powierzenia Przetwarzania Danych Osobowych

1.1 Administrator danych (Dropy): SecondHandy.com.pl, prowadzony przez Marcina Laskarzewskiego, z siedziba w Poznaniu, dzialajacy pod adresem dropy.com.pl. Dropy udostepnia platforme B2B sluzaca do sprzedazy odziezy uzytkowan przez profesjonalnych vendorow na rzecz kupujacych B2B.

1.2 Podmiot przetwarzajacy (Vendor): podmiot gospodarczy, ktory zarejestrrowal sie na platformie Dropy jako sprzedajacy i zostal zweryfikowany zgodnie z Regulaminem. Dane Vendora sa dostepne w jego profilu panelu vendora.

1.3 Relacja stron: Dropy jest administratorem danych osobowych nabywcow (kupujacych B2B). Vendor, realizujac zamowienia zlecone przez Dropy, przetwarza te dane w charakterze podmiotu przetwarzajacego (procesora) w rozumieniu art. 4 pkt 8 RODO.

2.1 Cel powierzenia: Dropy powierza Vendorowi przetwarzanie danych osobowych kupujacych wylacznie w celu realizacji zamowien zlozonych za posrednictwem platformy Dropy, w szczegolnosci:

• -przygotowania i wysylki zamowionego towaru do kupujacego
• -wystawienia dokumentow sprzedazy (faktura, paragon, WZ)
• -obslugi zapytan kupujacego dotyczacych realizacji konkretnego zamowienia
• -obslugi reklamacji w zakresie dostawy i stanu towaru

2.2 Zakaz innych czynnosci: Vendor zobowiazuje sie nie przetwarzac danych osobowych kupujacych w zadnym innym celu, w szczegolnosci nie wykorzystywac ich do wlasnych dzialan marketingowych, nie udostepniac ich innym podmiotom bez zgody Dropy, nie laczyc ich z wlasnymi bazami danych wykraczajacymi poza realizacje zamowienia.

2.3 Charakter powierzenia: Przetwarzanie odbywa sie wylacznie na udokumentowane polecenie Dropy, ktorym jest przeslanie danych zamowienia do panelu Vendora. Vendor dziala wylacznie zgodnie z tym poleceniem i niniejsza Umowa DPA.

3.1 Kategorie danych osobowych przekazywanych Vendorowi w celu realizacji zamowienia:

• -imie i nazwisko lub nazwa firmy kupujacego
• -adres dostawy (ulica, numer, kod pocztowy, miasto, kraj)
• -adres e-mail (do powiadamien o wysylce)
• -numer telefonu (do kontaktu w sprawie dostawy)
• -NIP (jesli kupujacy zada faktury VAT)

3.2 Kategorie podmiotow: Osobami, ktorych dane sa powierzane, sa kupujacy B2B - osoby fizyczne prowadzace dzialalnosc gospodarcza lub pracownicy podmiotow prawnych, ktorzy zlozyli zamowienie na platformie Dropy.

3.3 Dane szczegolnych kategorii: Powierzenie nie obejmuje danych szczegolnych kategorii w rozumieniu art. 9 RODO (danych o zdrowiu, przekonaniach religijnych, danych genetycznych itp.). Vendor zobowiazuje sie nie gromadzic takich danych od kupujacych.

3.4 Podstawa prawna: Przetwarzanie przez Vendora jest niezbedne do wykonania umowy sprzedazy zawartej z kupujacym (art. 6 ust. 1 lit. b RODO) oraz do wypelnienia obowiazkow prawnych Vendora (art. 6 ust. 1 lit. c RODO, w szczegolnosci przepisy podatkowe).

4.1 Okres obowiazywania: Umowa DPA obowiazuje przez caly czas korzystania przez Vendora z platformy Dropy, to jest od daty akceptacji Regulaminu do dnia zakonczenia wspolpracy lub usuniecia konta Vendora.

4.2 Retencja danych przez Vendora: Po zakonczeniu wspolpracy Vendor jest zobowiazany do usuniecialub zanonimizowania danych osobowych kupujacych, z wyjatkiem danych ktore Vendor jest zobowiazany przechowywac na podstawie obowiazkow prawnych - w szczegolnosci dokumentow ksiegowych przez okres 5 lat od konca roku podatkowego, zgodnie z ustawa o rachunkowosci z dnia 29 wrzesnia 1994 r. (Dz.U. 1994 Nr 121 poz. 591 z pozn. zm.).

4.3 Dane konkretnego zamowienia: W odniesieniu do danych powiazanych z konkretnym zamowieniem, Vendor przetwarza je przez czas niezbedny do pelnej realizacji zamowienia, obslugi ewentualnej reklamacji oraz przez period retencji wymagany przepisami podatkowymi.

5.1 Poufnosc: Vendor zapewnia, ze osoby upowazinone do przetwarzania danych osobowych kupujacych zobowiazaly sie do zachowania poufnosci lub podlegaja odpowiedniemu ustawowemu obowiawzkowi zachowania tajemnicy.

5.2 Bezpieczenstwo techniczne i organizacyjne: Vendor wdrozy i utrzyma odpowiednie srodki techniczne i organizacyjne zapewniajace bezpieczenstwo danych, stosownie do ryzyka, w szczegolnosci:

• -przechowywanie danych zamowien w bezpiecznych systemach z kontrola dostepu
• -ograniczenie dostepu do danych wylacznie do pracownikow realizujacych zamowienia
• -zabezpieczenie komputerow i telefonow sluzbowych uzywanych do obslugi zamowien
• -brak przesylania danych kupujacych przez niezabezpieczone kanaly komunikacji
• -niezwloczne niszczenie fizycznych kopii dokumentow z danymi po uplywie okresu retencji

5.3 Zakaz przekazywania danych poza EOG: Vendor zobowiazuje sie nie przekazywac danych osobowych kupujacych do panstw trzecich (poza Europejskim Obszarem Gospodarczym) bez uprzedniej pisemnej zgody Dropy i bez zapewnienia odpowiednich zabezpieczen prawnych wymaganych przez Rozdzial V RODO, w szczegolnosci standardowych klauzul umownych (SCC) przyjatych przez Komisje Europejska.

5.4 Pomoc Dropy: Vendor bedzie wspomagal Dropy w wywiazywaniu sie z obowiazkow wobec osob, ktorych dane dotycza (art. 32-36 RODO) poprzez udostepnianie na zadanie Dropy informacji o tym, jak przetwarza powierzone dane.

6.1 Prawo do dalszego powierzenia: Vendor moze powierzyc przetwarzanie danych kupujacych swoim sub-procesorom (np. firmie kurierskiej dla celu dostawy) pod warunkiem spelnienia wymagan opisanych w niniejszym paragrafie.

6.2 Obowiazek notyfikacji: Przed zaangazowaniem nowego sub-procesora lub zmiana istniejacego, Vendor jest zobowiazany poinformowac Dropy na adres kontakt@dropy.com.pl z co najmniej 7-dniowym wyprzedzeniem. Dropy moze zglosic sprzeciw wobec planowanej zmiany.

6.3 Obowiazki wobec sub-procesorow: Vendor nalozy na kazdego sub-procesora obowiazki ochrony danych rownorzedne z obowiazkami wynikajacymi z niniejszej Umowy DPA, w szczegolnosci poprzez zawarcie umowy powierzenia przetwarzania spelniajace wymogi art. 28 ust. 3 RODO.

6.4 Odpowiedzialnosc za sub-procesorow: Vendor ponosi wobec Dropy pelna odpowiedzialnosc za dzialania i zaniechania sub-procesorow w zakresie ochrony danych, tak jak za wlasne dzialania i zaniechania.

6.5 Dopuszczone kategorie sub-procesorow: Bez osobnej notyfikacji Vendor moze korzystac z uslug firm kurierskich (DPD, DHL, InPost, Poczta Polska i inne) w zakresie niezbednym do realizacji dostawy zamowionych towarow do kupujacego.

7.1 Pomoc w realizacji praw: Vendor zobowiazuje sie wspomagac Dropy w wywiazywaniu sie z obowiazkow zwiazanych z realizacja praw osob, ktorych dane dotycza (art. 15-22 RODO), w szczegolnosci:

• -prawa dostepu do danych (art. 15 RODO)
• -prawa do sprostowania danych (art. 16 RODO)
• -prawa do usuniecia danych (art. 17 RODO)
• -prawa do ograniczenia przetwarzania (art. 18 RODO)
• -prawa do przenosnosci danych (art. 20 RODO)

7.2 Procedura: Jesli kupujacy bezposrednio skontaktuje sie z Vendorem w sprawie swoich praw RODO, Vendor niezwlocznie (nie pozniej niz w terminie 3 dni roboczych) poinformuje o tym Dropy na adres kontakt@dropy.com.pl i przekaze wszelkie informacje niezbedne do obslugi zadania.

7.3 Termin odpowiedzi: Dropy odpowiada na zadania osob, ktorych dane dotycza, co do zasady w terminie 30 dni od otrzymania zadania, zgodnie z art. 12 RODO. Vendor zobowiazuje sie dostarczyc wymagane informacje w terminie umozliwiajacym zachowanie tego terminu.

8.1 Obowiazek powiadamiana: Vendor zobowiazuje sie powiadomic Dropy o kazdym naruszeniu ochrony danych osobowych dotyczacym powierzonych danych kupujacych niezwlocznie, jednak nie pozniej niz w ciagu 24 godzin od stwierdzenia naruszenia, na adres kontakt@dropy.com.pl.

8.2 Zakres powiadomienia: Powiadomienie powinno zawierac co najmniej:

• -opis charakteru naruszenia (rodzaj danych, liczba osob, ktorych dotyczy)
• -imie i nazwisko oraz dane kontaktowe osoby mogacej udzielic dalszych wyjasnienie
• -opis mozliwych konsekwencji naruszenia
• -opis srodkow podjetych lub proponowanych w celu zaradzenia naruszeniu

8.3 Obowiazki Dropy po otrzymaniu powiadomienia: Dropy oceni naruszenie i, jesli bedzie to konieczne, dokona zgloszenia do Prezesa Urzedu Ochrony Danych Osobowych w terminie 72 godzin od stwierdzenia naruszenia (art. 33 RODO) oraz poinformuje osoby, ktorych dotyczylo naruszenie (art. 34 RODO).

8.4 Zakaz samodzielnego zglaszania: Vendor nie bedzie bez zgody Dropy samodzielnie informowac kupujacych ani organow nadzorczych o naruszeniu dotyczacym danych powierzonych przez Dropy, chyba ze obowiazek taki wynika bezposrednio z obowiazujacych przepisow prawa.

9.1 Prawo Dropy do audytu: Dropy ma prawo przeprowadzic audyt lub kontrole sposobu przetwarzania przez Vendora danych powierzonych na podstawie niniejszej Umowy DPA, w celu weryfikacji zgodnosci z jej postanowieniami.

9.2 Tryb przeprowadzenia: Dropy poinformuje Vendora o planowanym audycie z co najmniej 14-dniowym wyprzedzeniem. Audyt moze byc przeprowadzony przez Dropy lub wyznaczonego przez Dropy audytora zewnetrznego, zobowiazanego do zachowania poufnosci.

9.3 Obowiazki Vendora w czasie audytu: Vendor zobowiazuje sie udostepnic wszelkie informacje niezbedne do wykazania spelniania obowiazkow wynikajacych z niniejszej Umowy DPA oraz wspomagac Dropy i jej audytorow w przeprowadzaniu audytow i inspekcji.

9.4 Raportowanie bez audytu: Na zadanie Dropy Vendor jest zobowiazany w terminie 14 dni dostarczyc pisemne oswiadczenie o sposobie i zakresie przetwarzania powierzonych danych osobowych.

10.1 Po zakonczeniu wspolpracy: Po zakonczeniu swiadczenia uslug przez Vendora na platformie Dropy (usuniecie konta, zawieszenie, wygasniecie umowy), Vendor jest zobowiazany - wedlug wyboru Dropy - do usuniecialub zwrotu Dropy wszelkich danych osobowych kupujacych oraz usuniecia wszelkich ich istniejacych kopii.

10.2 Wyjatki od obowiazku usuniecia: Obowiazek, o ktorym mowa w §10.1, nie dotyczy danych, ktore Vendor jest zobowiazany przechowywac na podstawie przepisow prawa, w szczegolnosci:

• -dokumentow ksiegowych - przez 5 lat od konca roku podatkowego (ustawa o rachunkowosci)
• -dowodow dostawy przesylek - przez okres wymagany przez prawo celne (jesli dotyczy)
• -korespondencji zwiazanej z reklamacjami - przez czas wymagany przepisami konsumenckimi

10.3 Potwierdzenie usuniecia: Na zadanie Dropy, Vendor dostarczy pisemne potwierdzenie dokonania usuniecia danych osobowych kupujacych w terminie 30 dni od zakonczenia wspolpracy.

11.1 Odpowiedzialnosc Vendora: Vendor ponosi pelna odpowiedzialnosc za szkody wyrzadzone osobom, ktorych dane dotycza, w wyniku naruszenia postanowien niniejszej Umowy DPA lub przepisow RODO przez Vendora lub jego pracownikow i podwykonawcow.

11.2 Regres Dropy: Jesli Dropy zostanie pociagniety do odpowiedzialnosci odszkodowawczej w zwiazku z naruszeniem RODO przez Vendora, Dropy przyslugujecaloksztalt roszczen regresowych wobec Vendora w zakresie, w jakim Vendor ponosi odpowiedzialnosc za dane naruszenie.

11.3 Kary UODO: Strony przyjmuja do wiadomosci, ze naruszenie RODO moze skutkowac nalozeiem administracyjnych kar pienieznych do 10 000 000 EUR lub 2% calkowitego rocznego swiatowego obrotu (art. 83 ust. 4 RODO) lub do 20 000 000 EUR lub 4% obrotu (art. 83 ust. 5 RODO) w zaleznosci od rodzaju naruszenia.

12.1 Prawo wlasciwe: Niniejsza Umowa DPA podlega prawu polskiemu, a w kwestiach nieuregulowanych stosuje sie przepisy Rozporzadzenia RODO oraz Kodeksu Cywilnego (ustawa z dnia 23 kwietnia 1964 r., Dz.U. 1964 Nr 16 poz. 93 z pozn. zm.).

12.2 Sad wlasciwy: Wszelkie spory wynikle z niniejszej Umowy DPA strony beda stac sie rozstrzygnac polubownie. W braku porozumienia, spory beda rozstrzygane przez sad powszechny wlasciwy dla siedziby Dropy.

12.3 Zmiany Umowy DPA: Dropy ma prawo zmienic niniejsza Umowe DPA z co najmniej 14-dniowym wyprzedzeniem, informujac Vendora poprzez panel vendora lub adres e-mail wskazany przy rejestracji. Kontynuowanie korzystania z platformy po tym terminie oznacza akceptacje zmian.

12.4 Pierwszenstwo: W przypadku sprzecznosci miedzy niniejsza Umowa DPA a Regulaminem Dropy, w zakresie ochrony danych osobowych pierwszenstwo maja postanowienia niniejszej Umowy DPA. W pozostalych kwestiach obowiazuje Regulamin.

12.5 Akceptacja: Akceptacja Regulaminu Dropy przy rejestracji konta vendora jest rownoznaczna z akceptacja niniejszej Umowy DPA. Vendor oswiadcza, ze zapoznal sie z trescia Umowy DPA i zobowiazuje sie do jej przestrzegania.