Polityka prywatności aplikacji Tedee

z dnia 25.01.2024

Spis treści

§ 1 Definicje

§ 2 Informacje ogólne

§ 3 Jakie rodzaje danych osobowych zbieramy

§ 4 W jakim celu zbieramy dane osobowe

§ 5 Jak długo przechowujemy dane osobowe

§ 6 Jakie są prawa Użytkowników

§ 7 Czy przekazujemy dane osobowe do państw trzecich

§ 8 Czy przekazujemy dane osobowe podmiotom trzecim

§ 9 Umowa powierzenia przetwarzania danych

§ 10 Odpowiedzialność i prawa autorskie

§ 11 Zmiana polityki

§ 1 Definicje

1)Dane osobowewszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (zwanej „osobą, której dane dotyczą”). Osobę fizyczną uważa się za możliwą do zidentyfikowania, jeżeli można ją rozpoznać bezpośrednio lub pośrednio, w szczególności na podstawie identyfikatora, takiego jak imię i nazwisko. W prostych słowach: dane osobowe to wszelkie informacje, które można powiązać z konkretną osobą;
2)Administratorosoba fizyczna lub prawna, organ publiczny, agencja lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych w momencie, gdy Użytkownik korzysta z Aplikacji Tedee;
3)Użytkownik / Tykażda osoba fizyczna lub prawna uzyskująca dostęp do Aplikacji Tedee na własne potrzeby osobiste lub biznesowe, w tym właściciele urządzeń, administratorzy oraz użytkownicy zaproszeni do korzystania z urządzeń Tedee;
4)Aplikacja Tedeeaplikacja mobilna „Tedee App” dostępna na platformach iOS i AndroidOS;
5)RODORozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
6)Podmiot przetwarzającyosoba fizyczna lub prawna, organ publiczny, agencja lub inny podmiot, który przetwarza dane osobowe osób trzecich w imieniu administratora danych osobowych;
7)          Polityka prywatnościniniejsza polityka prywatności;

§ 2 Informacje ogólne

Tedee przywiązuje szczególną wagę do ochrony poufności i prywatności informacji, które Użytkownicy nam powierzają. Jednym z naszych kluczowych obowiązków jest zapewnienie odpowiedniego poziomu bezpieczeństwa oraz właściwego wykorzystania danych osobowych Użytkowników zbieranych za pośrednictwem naszej aplikacji.

Administratorem Twoich danych osobowych jest:

TEDEE Spółka z ograniczoną odpowiedzialnością wpisana do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m.st. Warszawy, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000712451, NIP: 7010795542, REGON: 369188621, z siedzibą w Warszawie, 02-127, ul. Karola Bohdanowicza 21/57, adres e-mail: [email protected]

Administrator informuje, że wykonuje obowiązki administratora samodzielnie i nie powołał w tym celu Inspektora Ochrony Danych w rozumieniu art. 37 RODO.

Tedee przetwarza dane osobowe Użytkowników w różnych celach, dlatego w zależności od konkretnego celu mogą obowiązywać różne metody zbierania danych, podstawy prawne przetwarzania, sposoby ich wykorzystania, ujawniania oraz okresy przechowywania. Zbieramy wyłącznie dane osobowe dobrowolnie przekazane nam przez Użytkowników, którzy chcą otrzymywać informacje lub korzystać z naszych usług.

W niniejszej Polityce prywatności opisujemy sposób, w jaki zbieramy i wykorzystujemy dane osobowe Użytkowników, a także Twoje prawa oraz możliwość sprawowania kontroli nad danymi, które przechowujemy. Wszystkie terminy pisane wielką literą w niniejszej Polityce prywatności mają znaczenie nadane im w § 1 Definicje.

Jeśli masz jakiekolwiek pytania dotyczące przetwarzania Twoich danych osobowych przez Tedee, zachęcamy do kontaktu pod adresem: [email protected]

§ 3 Jakie rodzaje danych osobowych zbieramy


Tedee zbiera następujące rodzaje danych osobowych Użytkownika:

  • adres e-mail;
  • lokalizacja GPS Użytkownika i urządzenia końcowego Użytkownika;
  • adres IP Użytkownika, data i godzina dostępu, system operacyjny, język, kraj;
  • identyfikator użytkownika (user ID);
  • dane telemetryczne urządzenia Użytkownika;
  • dzienniki aktywności, w tym historyczne dane dotyczące blokowania i odblokowywania urządzenia, przypisane do identyfikatora Użytkownika.

(łącznie: „Dane osobowe”).

Przekazanie danych osobowych Administratorowi jest całkowicie dobrowolne, jednak podanie prawdziwych i kompletnych danych może być niezbędne do realizacji określonej usługi lub osiągnięcia konkretnego celu przez Tedee lub Użytkownika. Na przykład w przypadku:

  1. rejestracji konta użytkownika w Aplikacji Tedee – konieczne jest podanie Administratorowi: (i) nazwy użytkownika (ID) oraz (ii) adresu e-mail w celu świadczenia usługi konta użytkownika Aplikacji Tedee;
  2. rozpoczęcia korzystania z funkcji Aplikacji Tedee – konieczne jest podanie Administratorowi: (i) lokalizacji GPS Użytkownika i urządzenia końcowego, (ii) identyfikatora użytkownika, (iii) danych telemetrycznych urządzenia, (iv) języka oraz (v) kraju w celu umożliwienia Użytkownikowi korzystania z tych funkcji;
  3. integracji urządzenia Użytkownika z zewnętrznym integratorem inteligentnego domu (np. Amazon Alexa, Google Home) – konieczne jest podanie Administratorowi: (i) nazwy użytkownika (ID) oraz (ii) adresu e-mail w celu ułatwienia integracji;
  4. monitorowania prawidłowego działania Aplikacji Tedee i rozwiązywania problemów – konieczne jest podanie Administratorowi: (i) adresu IP Użytkownika, (ii) daty i godziny dostępu, (iii) systemu operacyjnego oraz (iv) adresu e-mail w celu umożliwienia monitorowania, rozwiązywania problemów oraz informowania Użytkownika o potencjalnych problemach i ważnych kwestiach związanych z Aplikacją Tedee.

(łącznie: „Usługi“)

Tedee przetwarza wyłącznie dane osobowe, które Użytkownik samodzielnie nam przekazuje, z wyjątkiem danych dotyczących monitorowania i rozwiązywania problemów, zbieranych automatycznie w celu zapewnienia ciągłości działania Aplikacji Tedee.

§ 4 W jakim celu zbieramy dane osobowe

Tedee zbiera Twoje dane osobowe w następujących celach:

  1. rejestracja konta użytkownika w Aplikacji Tedee
    • wykonanie zobowiązań umownych, tj. zawarcie i wykonanie przez Tedee zobowiązań wynikających z umowy o świadczenie usługi konta użytkownika Aplikacji Tedee – na podstawie art. 6 ust. 1 lit. b) RODO oraz art. 6 ust. 1 lit. a) RODO;
  2. rozpoczęcie korzystania z funkcji Aplikacji Tedee
    • wykonanie zobowiązań umownych, tj. zawarcie i wykonanie przez Tedee zobowiązań wynikających z umowy o świadczenie funkcji Aplikacji Tedee – na podstawie art. 6 ust. 1 lit. b) RODO oraz art. 6 ust. 1 lit. a) RODO;
  3. integracja urządzenia Użytkownika z zewnętrznym integratorem inteligentnego domu (np. Amazon Alexa, Google Home)
    • ułatwienie Użytkownikowi korzystania z integracji z podmiotami trzecimi za pośrednictwem Aplikacji Tedee – na podstawie art. 6 ust. 1 lit. a) RODO;
  4. monitorowanie prawidłowego działania Aplikacji Tedee i rozwiązywanie problemów
    • umożliwienie ciągłego doskonalenia Aplikacji Tedee i ogólnej jakości usług, a także monitorowanie wydajności i optymalizacja wykorzystania danych – na podstawie art. 6 ust. 1 lit. f) RODO.
  5. archiwizacja
    • prowadzenie rejestrów przetwarzania danych osobowych, wymaganych przez RODO i odrębne przepisy prawa – na podstawie art. 6 ust. 1 lit. c) oraz art. 6 ust. 1 lit. f) RODO;
    • archiwizacja informacji dla celów dowodowych, w celu wykazania istotnych faktów – na podstawie art. 6 ust. 1 lit. c) RODO.

§ 5 Jak długo przechowujemy dane osobowe

Tedee zbiera i przetwarza (wykorzystuje) Twoje dane osobowe od momentu rejestracji konta użytkownika w Aplikacji Tedee i kontynuuje to przez cały okres świadczenia Usług, oraz:

  • do wygaśnięcia umowy o świadczenie usług na podstawie Regulaminu Aplikacji Tedee i niniejszej Polityki prywatności;
  • do upływu okresu przedawnienia roszczeń majątkowych/osobistych na podstawie właściwych przepisów prawa – w odniesieniu do danych Użytkowników;
  • do upływu obowiązku przechowywania dokumentacji wynikającego z odrębnych przepisów prawa, w tym prawa podatkowego – w odniesieniu do danych Użytkowników,
    – w zależności od tego, które z powyższych nastąpi jako pierwsze.

§ 6 Jakie są prawa Użytkowników

Zgodnie z przepisami art. 15–20 RODO każdy Użytkownik ma następujące prawa w odniesieniu do swoich danych osobowych przetwarzanych przez Tedee:

  1. Prawo dostępu do danych osobowych (art. 15 RODO)
    Osoba, której dane dotyczą, ma prawo uzyskać od Administratora potwierdzenie, czy jej dane osobowe są przetwarzane. Jeśli tak, ma również prawo do dostępu do tych danych.
    Jeżeli dane osobowe Użytkownika są przekazywane do państwa trzeciego lub organizacji międzynarodowej, Użytkownik ma prawo zostać poinformowany o odpowiednich zabezpieczeniach związanych z tym przekazaniem.
  2. Prawo do sprostowania danych osobowych (art. 16 RODO)
    Osoba, której dane dotyczą, ma prawo żądać od Administratora niezwłocznego sprostowania dotyczących jej nieprawidłowych danych osobowych.
    Ponadto Użytkownik ma prawo żądać uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.
  3. Prawo do usunięcia danych (prawo do bycia „zapomnianym”) (art. 17 RODO)
    Osoba, której dane dotyczą, ma prawo żądać od Administratora niezwłocznego usunięcia dotyczących jej danych osobowych z bazy danych Administratora.
    Administrator może nie usunąć danych w przypadku cofnięcia zgody przez Użytkownika, jeśli zgoda nie była jedyną i główną podstawą przetwarzania danych. Dotyczy to w szczególności sytuacji, gdy przetwarzanie jest niezbędne do dalszego wykonywania zobowiązań wynikających z umowy między Użytkownikiem a Administratorem, gdy przetwarzanie jest konieczne do wypełnienia obowiązku prawnego ciążącego na Administratorze, do wykonania zadania realizowanego w interesie publicznym, do celów statystycznych lub do ustalenia, dochodzenia lub obrony roszczeń.
  4. Prawo do ograniczenia przetwarzania danych osobowych (art. 18 RODO)
    Osoba, której dane dotyczą, ma prawo żądać od Administratora ograniczenia przetwarzania dotyczących jej danych w sytuacjach takich jak:
    • kwestionowanie przez Użytkownika prawidłowości jego danych osobowych (na okres pozwalający Administratorowi zweryfikować ich prawidłowość);
    • przetwarzanie jest niezgodne z prawem, a Użytkownik sprzeciwia się usunięciu danych, żądając w zamian ograniczenia ich przetwarzania;
    • Administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one nadal niezbędne Użytkownikowi do ustalenia, dochodzenia lub obrony roszczeń;
    • Użytkownik wniósł sprzeciw wobec przetwarzania na podstawie art. 21 ust. 1 RODO – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie Administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
  5. Prawo do przenoszenia danych (art. 20 RODO)
    Osoba, której dane dotyczą, otrzymuje na żądanie dotyczące jej dane osobowe w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (np. .doc, .docx, .pdf itp.).
    Dane te zostały przekazane Administratorowi przez Użytkownika i są przez niego przetwarzane. Ponadto Użytkownik ma prawo żądać przesłania tych danych innemu administratorowi, a także prawo do przeniesienia tych danych do innego administratora bez przeszkód ze strony Administratora.
  6. Prawo do sprzeciwu (art. 21 RODO)
    Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na prawnie uzasadnionych interesach Administratora lub strony trzeciej, w tym profilowania na podstawie tych przepisów.
    Od chwili wniesienia sprzeciwu do czasu jego rozpatrzenia Administrator nie może przetwarzać Twoich danych osobowych, chyba że wykaże istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec Twoich interesów, praw i wolności, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

W celu skorzystania z któregokolwiek z powyższych praw prosimy o kontakt z Administratorem pod adresem wskazanym w § 1 Polityki prywatności lub pod adresem e-mail: [email protected], wskazując w treści wiadomości zakres żądania Użytkownika. Termin na udzielenie odpowiedzi na żądanie wynosi 30 dni od daty skutecznego doręczenia prawidłowo wypełnionego żądania.

Administrator pragnie zaznaczyć, że wykonywanie powyższych praw nie ma charakteru bezwzględnego i nie obowiązuje w takim samym zakresie w odniesieniu do wszystkich czynności przetwarzania danych osobowych dokonywanych przez Administratora. Szczegółowe informacje dotyczące powyższych ograniczeń znajdują się w treści Rozporządzenia RODO.

Oprócz możliwości dochodzenia swoich praw bezpośrednio u Administratora, każdy Użytkownik ma prawo wnieść skargę do organu nadzorczego właściwego w sprawach ochrony danych osobowych, którym jest Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, pod adresem: [email protected] lub za pośrednictwem Elektronicznej Skrzynki Podawczej (ESP): https://uodo.gov.pl/pl/83/153.

§ 7 Czy przekazujemy dane osobowe do państw trzecich

Administrator informuje, że dane osobowe Użytkownika mogą być przekazywane poza Unię Europejską i Europejski Obszar Gospodarczy do państw trzecich, z zachowaniem wszelkich wymogów bezpieczeństwa wynikających z właściwych przepisów prawa, w tym RODO.

Utrzymanie wskazanych standardów wynika z faktu, że dane osobowe są udostępniane wyłącznie tym podmiotom (podmiotom przetwarzającym), które:

  1. mają siedzibę w kraju, dla którego Komisja UE wydała decyzję wykonawczą stwierdzającą odpowiedni poziom ochrony danych osobowych (np. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32021D0915&locale-en);
  2. zawarły w swoich umowach z Administratorem tzw. standardowe klauzule umowne (SCC), które gwarantują poziom ochrony danych osobowych wymagany przez obowiązujące przepisy;

§ 8 Czy przekazujemy dane osobowe podmiotom trzecim

Administrator informuje, że w celu prawidłowego wykonania usług, o których mowa w Polityce prywatności i Regulaminie, dane osobowe Użytkownika mogą być udostępniane podmiotom trzecim, z którymi Administrator współpracuje, przy zachowaniu wszelkich wymogów bezpieczeństwa wynikających z właściwych przepisów prawa, w tym RODO.

Dane Użytkownika mogą być udostępniane następującym podmiotom:

  1. Partnerom biznesowym w zakresie integracji inteligentnego domu (np. Amazon Alexa, Google Home, Fibaro, Homey, Krossbooking) – w przypadku gdy Użytkownik zdecyduje się na integrację swoich urządzeń z zewnętrznym integratorem za pośrednictwem Aplikacji Tedee, może upoważnić Tedee do udostępnienia swoich danych osobowych takiemu integratorowi;
  2. Organom administracji publicznej (np. organom ścigania, Prezesowi UOKiK) – w przypadku żądania uprawnionego organu o udostępnienie danych osobowych Użytkownika w celu wypełnienia obowiązku prawnego;
  3. Dostawcom usług pomocniczych (np. dostawcom usług prawnych, księgowych, informatycznych) – w zakresie, w jakim podmioty te świadczą na rzecz Administratora usługi prawne/kadrowe/informatyczne, przy wymogu minimalizacji udostępnianych im danych osobowych;
  4. Właścicielom i administratorom urządzeń – jeżeli korzystasz z Aplikacji Tedee na podstawie zaproszenia do konkretnego urządzenia, Twoje dzienniki aktywności związane z tym urządzeniem (czas i sposób dostępu) są automatycznie udostępniane właścicielowi i administratorom tego urządzenia w celu zapewnienia bezpieczeństwa i kontroli dostępu.

WAŻNE: Korzystanie z danych osobowych Użytkownika przez zewnętrznych partnerów w zakresie integracji inteligentnego domu odbywa się poprzez udostępnienie danych osobowych na podstawie wyraźnej zgody Użytkownika. Ponieważ taka integracja nie stanowi powierzenia przetwarzania w rozumieniu art. 28 RODO, szczegółowe warunki przetwarzania danych osobowych Użytkownika są dostępne w odpowiedniej dokumentacji polityki prywatności udostępnianej przez takich zewnętrznych integratorów. Zaleca się zawsze staranne zapoznanie się z tymi dokumentami przed udzieleniem zgody na udostępnienie danych osobowych użytkownika.

§ 9 Umowa powierzenia przetwarzania danych

W przypadku gdy Ty (Użytkownik) działasz jako administrator danych osobowych osób trzecich i w związku z rejestracją oraz konfiguracją konta użytkownika Aplikacji Tedee takie dane osobowe mają być przetwarzane, przekazywane, ujawniane lub w inny sposób udostępniane Administratorowi w ramach korzystania z Aplikacji Tedee, poprzez akceptację niniejszej Polityki prywatności Ty i Tedee zawieracie – bez konieczności podejmowania jakichkolwiek innych czynności w tym zakresie – Umowę powierzenia przetwarzania danych w rozumieniu art. 28 RODO (DPA), w której Ty działasz jako administrator powierzonych danych osobowych, a Tedee działa jako podmiot przetwarzający tak otrzymane dane osobowe, której treść stanowi Załącznik nr 1 do niniejszej Polityki prywatności.

Wszystkie terminy pisane wielką literą użyte w Umowie powierzenia mają takie samo znaczenie, jakie nadano im na potrzeby niniejszej Polityki prywatności.

§ 10 Odpowiedzialność i prawa autorskie

Administrator informuje, że wszelkie treści zawarte w niniejszej Polityce prywatności stanowią wyłączną własność Administratora i są chronione prawem autorskim w rozumieniu ustawy o prawie autorskim i prawach pokrewnych.

Jakiekolwiek próby kopiowania treści Polityki prywatności dokonane bez wyraźnej pisemnej zgody Administratora stanowią bezprawne naruszenie praw autorskich, podlegające sankcjom prawnym przewidzianym w odpowiednich przepisach powszechnie obowiązującego prawa.

§ 11 Zmiana polityki

Niniejsza Polityka prywatności obowiązuje od dnia 25 stycznia 2024 r.

Tedee zastrzega sobie prawo do okresowej zmiany niniejszej polityki w związku z bieżącym rozwojem Aplikacji Tedee, która będzie dla Ciebie wiążąca z chwilą zaakceptowania nowo opublikowanej wersji wyświetlanej w Aplikacji Tedee.

Archiwalne wersje Polityki prywatności:

  1. Polityka prywatności Tedee z dnia 25 stycznia 2025 r.
  2. Polityka prywatności Tedee z dnia 2 czerwca 2023 r.;

Załącznik nr 1

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (DPA)
zawarta w Warszawie, Polska


pomiędzy:
Użytkownikiem,
zwanym dalej Administratorem
a
Tedee,
zwanym dalej Podmiotem przetwarzającym,
zwanymi dalej łącznie Stronami, a każde z osobna Stroną.

§ 1 Przedmiot umowy

  1. W związku z zawarciem umowy o świadczenie Usług, Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych wskazanych w § 3 Umowy (Dane osobowe) (zlecenie przetwarzania).
  2. Podmiot przetwarzający będzie przetwarzał powierzone przez Administratora Dane osobowe wyłącznie w celu wykonania Usług.
  3. Podmiot przetwarzający jest uprawniony do wykonywania, w sposób nieautomatyczny, następujących operacji na Danych osobowych: zbieranie, rejestrowanie, organizowanie, porządkowanie, przechowywanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, ograniczanie, usuwanie lub niszczenie – jednak wyłącznie w zakresie niezbędnym do wykonania niniejszej Umowy.
  4. Strony uzgadniają, że Podmiot przetwarzający nie będzie przetwarzał powierzonych danych w sposób zautomatyzowany w rozumieniu art. 22 RODO, w tym z wykorzystaniem profilowania.

§ 2 Oświadczenia Administratora

  1. Administrator niniejszym oświadcza, że w zakresie niniejszej Umowy:
    • działa jako administrator danych osobowych w rozumieniu Rozporządzenia RODO;
    • przetwarza Dane osobowe w sposób w pełni zgodny z prawem;
    • Dane osobowe zostały pozyskane w sposób zgodny z prawem, w uzasadnionych celach;
    • spełnia wymogi prawne, którym podlega jako administrator;
    • powierza przetwarzanie Danych osobowych w sposób nienaruszający żadnych postanowień umownych ani praw osób trzecich;
    • ponosi wyłączną odpowiedzialność za wypełnienie obowiązku informacyjnego wobec tych osób na podstawie art. 13 RODO, w tym za poinformowanie ich o tym, że ich dostęp jest rejestrowany oraz kto ma dostęp do tych rejestrów.
  2. Administrator zobowiązuje się do współpracy z Podmiotem przetwarzającym przy wykonaniu umowy, w tym do dostarczenia Podmiotowi przetwarzającemu wszelkich informacji niezbędnych do jej realizacji.
  3. Administrator zobowiązuje się do dokumentowania na piśmie wszelkich instrukcji dotyczących przetwarzania Danych osobowych wydawanych Podmiotowi przetwarzającemu.

§ 3 Kategorie osób, których dane dotyczą, oraz rodzaje danych osobowych

  1. Podmiot przetwarzający będzie przetwarzał takie rodzaje i kategorie Danych osobowych, jakie zostały mu powierzone przez Administratora w związku z korzystaniem przez Administratora z Usług.

§ 4 Obowiązki Podmiotu przetwarzającego

  1. Podmiot przetwarzający zobowiązuje się do przetwarzania Danych osobowych wyłącznie w celu, w jakim zostały mu powierzone.
  2. Podmiot przetwarzający przetwarza Dane osobowe wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek przetwarzania Danych osobowych wynika z przepisów prawa – w takim przypadku Podmiot przetwarzający informuje Administratora o tym obowiązku prawnym przed rozpoczęciem przetwarzania, o ile przepisy prawa nie zabraniają udzielenia takiej informacji ze względu na ważny interes publiczny.
  3. Podmiot przetwarzający zobowiązany jest do niezwłocznego poinformowania Administratora, jeżeli jego zdaniem polecenie Administratora jest niezgodne z prawem.
  4. Podmiot przetwarzający oświadcza, że wdrożył odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa przetwarzania, tak aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych. Środki techniczne i organizacyjne stosowane przez Podmiot przetwarzający opisano w § 5 Umowy.
  5. Podmiot przetwarzający upoważni do dostępu do powierzonych danych wyłącznie tych pracowników, dla których jest to niezbędne, i tylko w zakresie koniecznym do przetwarzania Danych osobowych, przy czym każda osoba uzyskująca dostęp do Danych osobowych z upoważnienia Podmiotu przetwarzającego zobowiązuje się do zachowania ich w tajemnicy.
  6. Podmiot przetwarzający oświadcza, że wskazany powyżej personel został zapoznany z przepisami dotyczącymi ochrony Danych osobowych oraz z odpowiedzialnością za ochronę danych przed nieuprawnionym dostępem, modyfikacją, utratą, ujawnieniem lub pozyskaniem.
  7. Podmiot przetwarzający oświadcza, że nie powołał Inspektora Ochrony Danych. We wszystkich sprawach związanych z RODO i przetwarzaniem danych osobowych prosimy o kontakt pod adresem: [email protected].
  8. Podmiot przetwarzający zobowiązuje się do współpracy z Administratorem, uwzględniając charakter przetwarzania, w wypełnianiu obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw: prawa do informacji, dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych oraz prawa do sprzeciwu, za pomocą odpowiednich środków technicznych i organizacyjnych. W przypadku otrzymania takiego żądania Podmiot przetwarzający niezwłocznie przekazuje je Administratorowi na adres e-mail: [email protected], jednak nie później niż w terminie trzech dni od daty otrzymania żądania.
  9. Podmiot przetwarzający zobowiązuje się do współpracy z Administratorem w wypełnianiu obowiązków określonych w art. 32–36 RODO, tj. w zakresie zabezpieczenia danych, zgłaszania naruszenia ochrony danych, powiadamiania osób, których dane dotyczą, o naruszeniu, przeprowadzania oceny skutków dla ochrony danych oraz uprzednich konsultacji z organem nadzorczym w odniesieniu do powierzonych danych.
  10. Podmiot przetwarzający zobowiązuje się do niezwłocznego powiadomienia Administratora, nie później jednak niż w ciągu 48 godzin, o wszelkich stwierdzonych naruszeniach ochrony danych, na adres e-mail: [email protected]

§ 5 Środki techniczne i organizacyjne

  1. W związku z wykonywaniem zobowiązań wynikających z niniejszej Umowy, uwzględniając charakter, zakres, kontekst i cele przetwarzania Danych osobowych, a także ryzyko naruszenia praw i wolności osób fizycznych, biorąc pod uwagę stopień prawdopodobieństwa i dotkliwości ich naruszenia, Podmiot przetwarzający oświadcza, że wdrożył w swojej organizacji następujące środki techniczne i organizacyjne w rozumieniu art. 32 RODO:
    • pseudonimizacja i szyfrowanie Danych osobowych;
    • środki techniczne zapewniające poufność, integralność, dostępność i odporność Danych osobowych przetwarzanych w systemach;
    • środki techniczne zapewniające możliwość sprawnego dostępu do Danych osobowych w przypadku incydentu bezpieczeństwa technicznego lub fizycznego;
    • cykliczne testowanie, analizowanie i ocenianie stosowanych środków technicznych i organizacyjnych.
  2. Podmiot przetwarzający deklaruje zgodność co najmniej z minimalnymi wymaganiami w zakresie ochrony danych, w tym:
    • środki organizacyjne:
      • wdrożenie dokumentacji określającej podstawy ochrony Danych osobowych w przedsiębiorstwie Podmiotu przetwarzającego;
      • prowadzenie szkoleń wstępnych i okresowych z zakresu ochrony przetwarzania Danych osobowych wśród pracowników Podmiotu przetwarzającego;
      • stosowanie fizycznej kontroli dostępu do pomieszczeń Podmiotu przetwarzającego;
    • środki techniczne:
      • identyfikacja bezpiecznych pomieszczeń, w których może odbywać się przetwarzanie danych;
      • wdrożenie odpowiednich środków bezpieczeństwa, np. kontroli dostępu, blokady dostępu do urządzeń;
    • środki bezpieczeństwa w zakresie kontroli dostępu:
      • każdy pracownik Podmiotu przetwarzającego posiada odrębne, unikalne hasło dostępu do komputera i systemu informatycznego, w którym przetwarzane są Dane osobowe;
      • wdrożenie polityki silnych, cyklicznie zmienianych haseł dostępu;
      • wdrożenie szyfrowania Danych osobowych przetwarzanych na służbowych urządzeniach mobilnych;
      • zdalny dostęp do Danych osobowych jest zarządzany i monitorowany centralnie.
    • operacyjne środki bezpieczeństwa:
      • aplikacje i systemy informatyczne wykorzystywane przez Podmiot przetwarzający do przetwarzania Danych osobowych są regularnie aktualizowane, weryfikowane i testowane pod kątem podatności na cyberataki oraz chronione oprogramowaniem antywirusowym;
      • wdrożenie środków ochrony przed nieuprawnionym dostępem do systemów i sieci firmowej za pomocą zapory sieciowej (firewall);
      • wdrożenie systemów monitorowania ruchu sieciowego, wykrywania anomalii i szybkiego reagowania.
  3. Podmiot przetwarzający oświadcza, że prowadzi rejestr kategorii przetwarzanych Danych osobowych obejmujący dane powierzone do przetwarzania, zgodnie z art. 30 ust. 2 RODO, chyba że jest zwolniony z tego obowiązku na podstawie art. 30 ust. 5 RODO.


§ 6 Audyt

  1. Na żądanie Administratora Podmiot przetwarzający udostępni wszelkie informacje niezbędne do przeprowadzenia lub wykazania zgodności z jego obowiązkami wynikającymi z RODO.
  2. Administrator zastrzega sobie prawo do kontroli realizacji umowy, co najmniej raz na 12 miesięcy oraz każdorazowo w przypadku naruszenia ochrony danych przez Podmiot przetwarzający.
  3. Podmiot przetwarzający zobowiązany jest do należytej współpracy z Administratorem w zakresie czynności kontrolnych. W szczególności Podmiot przetwarzający zobowiązuje się do:
    • udostępnienia Administratorowi dokumentacji dotyczącej przetwarzania Danych osobowych;
    • zapewnienia Administratorowi dostępu do pomieszczeń, w których przetwarzane są Dane osobowe;
    • umożliwienia Administratorowi wykonywania kopii dokumentów związanych z przetwarzaniem Danych osobowych.
  4. Audyt zostanie przeprowadzony po uprzednim powiadomieniu Podmiotu przetwarzającego o terminie kontroli. Audyt będzie przeprowadzany w godzinach pracy Podmiotu przetwarzającego.
  5. Podmiot przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli oraz do wdrożenia zaleceń Administratora w terminie nie dłuższym niż 30 dni. Podmiot przetwarzający niezwłocznie poinformuje Administratora o podjętych w tym celu działaniach.
  6. Administrator zastrzega sobie prawo do korzystania z usług podmiotów trzecich w celu przeprowadzania audytów (audytorów), jak również do samodzielnego przeprowadzania takich audytów.

§ 7 Podpowierzenie przetwarzania

  1. Podmiot przetwarzający może powierzyć określone operacje na Danych osobowych do dalszego przetwarzania na podstawie umowy z innym podmiotem przetwarzającym (podpowierzenie).
  2. Podmiot przetwarzający zobowiązuje się zapewnić, że podmiot, któremu powierzono dalsze przetwarzanie Danych osobowych, spełnia co najmniej takie same gwarancje i wymagania w zakresie ochrony Danych osobowych, jak te nałożone na Podmiot przetwarzający na podstawie niniejszej Umowy. Wymóg ten dotyczy w szczególności obowiązku zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, tak aby przetwarzanie spełniało wymagania RODO.
  3. Podmiot przetwarzający zobowiązany jest do niezwłocznego informowania Administratora o wszelkich planowanych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających. Administrator ma prawo wnieść sprzeciw wobec planowanych przez Podmiot przetwarzający zmian.
  4. Podmiot przetwarzający nie może powierzyć innemu podmiotowi przetwarzającemu wykonania umowy w całości.
  5. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za niewykonanie przez podwykonawcę jego zobowiązań wynikających z niniejszej umowy.

§ 8 Miejsce przetwarzania

  1. Podmiot przetwarzający oświadcza, że w związku z wykonaniem niniejszej Umowy nie dojdzie do przekazania danych do państwa trzeciego w rozumieniu RODO, ani w wyniku działania/zaniechania Podmiotu przetwarzającego, ani dalszych podmiotów przetwarzających, chyba że wymagają tego obowiązki prawne nałożone na Podmiot przetwarzający przez właściwe przepisy prawa.
  2. Jeżeli Podmiot przetwarzający zamierza przekazać Dane osobowe objęte niniejszą Umową do państwa trzeciego, informuje o tym Administratora na piśmie i umożliwia mu udział w procesie zapewnienia zgodności takiego przekazania lub rozwiązania niniejszej Umowy.

§ 9 Czas trwania

  1. Umowa zostaje zawarta na czas nieokreślony i obowiązuje do momentu wygaśnięcia lub rozwiązania umowy o świadczenie Usług albo wygaśnięcia lub usunięcia powiązanego konta użytkownika Aplikacji Tedee.
  2. Po rozwiązaniu Umowy Podmiot przetwarzający, w zależności od decyzji Administratora, zwróci lub usunie powierzone mu dane oraz usunie wszelkie istniejące ich kopie, chyba że prawo Unii lub państwa członkowskiego wymaga przechowywania Danych osobowych. Brak przekazania takiej decyzji w chwili rozwiązania Umowy skutkuje automatycznym usunięciem wszystkich Danych osobowych powierzonych Podmiotowi przetwarzającemu.


§ 10 Postanowienia końcowe

  1. Umowa została sporządzona w formie elektronicznej, w formie dokumentowej.
  2. Wszelkie zmiany i uzupełnienia postanowień niniejszej umowy wymagają formy dokumentowej pod rygorem nieważności.
  3. Podmiotowi przetwarzającemu nie przysługuje odrębne wynagrodzenie za wykonywanie obowiązków umownych.
  4. W sprawach nieuregulowanych niniejszą Umową stosuje się przepisy polskiego Kodeksu cywilnego, RODO, a także przepisy innych ustaw regulujących ochronę Danych osobowych.
  5. Wszelkie spory mogące powstać w związku z zawarciem lub wykonaniem umowy będą rozstrzygane przez sąd właściwy ze względu na siedzibę Administratora.