Umowa o przetwarzanie danych

Korzystanie z platformy wiąże się z gromadzeniem i przetwarzaniem danych osobowych. Gdy podajesz swoje dane osobowe, na przykład podczas rejestracji lub płatności za plan, przetwarzamy je zgodnie z Polityką prywatności.

Jeśli umieszczasz na stronie internetowej informacje dotyczące osób fizycznych, korzystasz z formularzy do gromadzenia danych, systemu zarządzania relacjami z klientami, narzędzi do tworzenia sklepów internetowych, szkoleń, a także korzystasz z zaawansowanej analizy statystycznej, stajesz się administratorem danych osobowych osób trzecich. Przetwarzamy takie dane jako podmiot przetwarzający, działając w Twoim imieniu.

Niniejsza Umowa o przetwarzaniu danych (zwana dalej „Umową o przetwarzaniu danych”) stanowi integralną część Warunków świadczenia usług (zwanych dalej „Umową”). Wszystkie terminy i definicje są używane w Umowie o przetwarzaniu danych w tym samym znaczeniu, co w Umowie. Terminy związane z przetwarzaniem danych osobowych należy interpretować zgodnie z obowiązującymi przepisami.

1. Ogólne warunki przetwarzania

1.1. Przedmiot umowy. W celu wypełnienia zobowiązań wynikających z Umowy Użytkownik zleca, a Administracja zobowiązuje się do przetwarzania danych osobowych osób trzecich zebranych lub w inny sposób przetworzonych za pośrednictwem funkcji Platformy.

Postanowienia niniejszej Umowy o przetwarzaniu danych stanowią udokumentowane instrukcje Użytkownika w rozumieniu obowiązujących przepisów o ochronie danych.

1.2. Kategorie osób, których dane dotyczą. Na potrzeby Umowy o przetwarzaniu danych osoby trzecie mogą obejmować wszelkie osoby fizyczne, w tym:
1) pracowników , konsultantów, wykonawców, partnerów biznesowych oraz osoby kontaktowe, których dane są publikowane lub w inny sposób udostępniane w ramach Projektu Użytkownika;
2) kandydatów , obecnych lub potencjalnych klientów lub partnerów Użytkownika, którzy przekazują dane osobowe za pośrednictwem formularzy gromadzenia danych w ramach Projektu Użytkownika;
3) odwiedzających Projekt Użytkownika, których dane są gromadzone automatycznie.

1.3. Cel przetwarzania i kategorie danych osobowych. Administracja przetwarza dane osobowe w imieniu Użytkownika w następującym zakresie:

Cel	Kategorie danych osobowych
Publikowanie informacji o osobach w ramach projektów	Lista jest ustalana samodzielnie przez użytkownika w oparciu o funkcje platformy i nie podlega kontroli administracji
Korzystanie z formularzy do gromadzenia danych, systemu Tilda CRM, tworzenie sklepów internetowych oraz szkoleń za pośrednictwem Konta osobistego, koszyka, systemów płatności i/lub usług dostawczych w ramach Projektów	W zależności od wykorzystywanych funkcji i ich ustawień przetwarzane dane osobowe mogą obejmować: imię i nazwisko, adres e-mail, numer telefonu, adres, cztery ostatnie cyfry karty bankowej, datę ważności karty bankowej, informacje o zamówieniach, historię zamówień oraz informacje o zakupionych towarach. Wszelkie inne dane są określane samodzielnie przez Użytkownika w oparciu o funkcje Platformy i nie podlegają kontroli Administracji
Korzystanie z wewnętrznych statystyk projektów na platformie, pod warunkiem że w ustawieniach projektu wyłączono tryb uproszczony za pomocą opcji	Źródła przekierowań, adresy IP, w tym kraj i miasto na podstawie adresu IP. Pliki cookie statystyczne dotyczące poprzedniego adresu URL, tildasid i tildauid, TILDAUTM
Integracja z usługami stron trzecich, w tym z usługami analitycznymi i statystycznymi	Pliki cookie ustalane niezależnie przez użytkownika i właściciela usługi zewnętrznej
Zastosowanie systemów zabezpieczeń i ochrony	Adresy IP, niezbędne pliki cookie służące do ochrony Projektu przed atakami DDoS – __ddgN, gdzie N oznacza dowolną liczbę, _ddgid i __ddgmark, oraz pliki cookie zapobiegające nieuprawnionemu dostępowi

1.4. Ograniczenia dotyczące przetwarzania danych. Użytkownik samodzielnie ocenia zgodność z prawem przetwarzania danych osobowych na Platformie, a także możliwość wyrażenia zgody na przetwarzanie tych danych przez Administrację. Użytkownik przyjmuje do wiadomości i potwierdza, że:
1) administracja nie przetwarza danych osobowych dotyczących zdrowia, danych genetycznych, danych biometrycznych ani innych szczególnych kategorii danych osobowych;
2) tFunkcja publikowania treści w ramach projektów nie jest przeznaczona do udostępniania obrazów zawierających dane osobowe, w tym zdjęć osób fizycznych i zeskanowanych kopii dokumentów.

1.5. Czas trwania przetwarzania. Administrator będzie przetwarzał dane osobowe osób trzecich przez okres obowiązywania Umowy lub przez dodatkowy okres niezbędny do wypełnienia zobowiązań wynikających z Umowy, aż do momentu usunięcia tych danych zgodnie z procedurami określonymi w DPA.

2. Obowiązki użytkownika, gwarancje i oświadczenia

2.1. Organizacja przetwarzania danych osobowych na Platformie. Użytkownik, jako administrator danych, samodzielnie organizuje przetwarzanie danych osobowych osób fizycznych na Platformie. Użytkownik określa cele i podstawy przetwarzania danych osobowych, ich zakres oraz wykaz czynności i operacji, które mają zostać wykonane.

2.2. Zapewnienie zgodności z przepisami prawa. Podczas przetwarzania danych osobowych w ramach Projektu Użytkownik samodzielnie zapewnia zgodność z obowiązującymi przepisami prawa. W szczególności Użytkownik, bez udziału Administracji:
1) ustanawia procedurę uzyskiwania zgód na przetwarzanie danych osobowych w ramach Projektu, w tym korzystanie z formularzy gromadzenia danych i/lub usług analitycznych;
2) publikuje politykę prywatności lub informację o ochronie danych osobowych w ramach Projektu;
3) wyznacza osoby odpowiedzialne i opracowuje zestaw dokumentów wewnętrznych regulujących przetwarzanie danych.

2.3. Istnienie podstawy prawnej. Przetwarzając dane osobowe na Platformie, Użytkownik oświadcza i gwarantuje, że uzyskał zgody osób, których dane dotyczą, lub inną podstawę prawną do przetwarzania danych oraz ich przekazania Administracji zgodnie z DPA.

Na żądanie Administracji przesłane na adres e-mail Użytkownika podany w Koncie, Użytkownik zobowiązuje się dostarczyć dokumenty potwierdzające istnienie podstaw prawnych do przetwarzania w ciągu 24 godzin od otrzymania żądania.

2.4. Łączenie usług stron trzecich. Podczas korzystania z Platformy Użytkownikowi może zostać zaproponowane połączenie z usługami stron trzecich, które gromadzą lub w inny sposób przetwarzają dane osobowe, w tym usługi gromadzenia danych, systemy płatności i/lub usługi dostawcze.

Przetwarzanie danych przez usługi stron trzecich jest wykonywane przez ich właścicieli działających niezależnie od Administracji i nie działających w imieniu i/lub na rzecz Administracji. Administracja nie ponosi odpowiedzialności za przetwarzanie danych osobowych przez właścicieli usług stron trzecich.

Użytkownik zobowiązuje się do samodzielnego zapewnienia zgodności z prawem przetwarzania danych osobowych podczas łączenia się z Usługami stron trzecich, w tym do wydania oddzielnych instrukcji dotyczących przetwarzania ich właścicielom.

2.5. Przekazywanie transgraniczne. Podczas korzystania z funkcjonalności Platformy może dojść do transgranicznego przekazywania danych osobowych osób trzecich z inicjatywy Użytkownika, w szczególności gdy:
1) zmienia się kraj profilu Użytkownika;
2) przyznanie dostępu do Projektu Użytkownikowi z innym krajem profilowym;
3) przeniesienie Projektu na Konto Użytkownika z innym krajem profilowym.
4) podłączenie Usług Stron Trzecich do Projektu.

Użytkownik zobowiązuje się samodzielnie zapewnić bezpieczeństwo transgranicznego przekazywania danych osobowych zgodnie z wymogami obowiązujących przepisów.

3. Przekazywanie danych osobowych przez administrację

3.1. Przekazywanie danych osobowych podmiotom zewnętrznym. Administracja przekazuje dane osobowe na podstawie umów o przetwarzaniu danych następującym podmiotom przetwarzającym:
1) Hetzner Online GmbH – w celu przechowywania danych osobowych na serwerach;
2) G-Core Labs SA – w celu przechowywania i tworzenia kopii zapasowych projektów użytkowników;
3) Google Cloud EMEA Limited – w celu zapewnienia bezpieczeństwa informacji dotyczących projektów.

Użytkownik niniejszym udziela Administracji ogólnego pisemnego upoważnienia do powierzenia przetwarzania danych osobowych wymienionym podmiotom przetwarzającym.

Wszyscy podmioty przetwarzające dane osobowe w imieniu Administracji zobowiązują się do przestrzegania środków poufności, ochrony i bezpieczeństwa wymaganych przez obowiązujące przepisy.

Z zastrzeżeniem ograniczeń odpowiedzialności określonych w niniejszym dokumencie, Administracja pozostaje odpowiedzialna wobec Użytkownika za działania i/lub zaniechania zaangażowanych podmiotów przetwarzających.

3.2. Zmiany w wykazie zaangażowanych podmiotów przetwarzających. Administracja ma prawo zaangażować inne strony trzecie do przetwarzania danych osobowych, pod warunkiem uprzedniego powiadomienia Użytkownika. Powiadomienie jest wysyłane na adres e-mail użyty do autoryzacji na Platformie lub poprzez umieszczenie odpowiednich informacji na Koncie osobistym.

Użytkownik ma prawo zgłosić uzasadnione zastrzeżenia wobec zmiany listy zaangażowanych podmiotów przetwarzających w ciągu 10 dni od daty powiadomienia. Jednocześnie Użytkownik rozumie i przyjmuje do wiadomości, że:
1) zaangażowanie stron trzecich może być konieczne do prawidłowego wypełnienia zobowiązań Administracji wynikających z Umowy;
2) w przypadku otrzymania sprzeciwu Administracja może jednostronnie rozwiązać Umowę w trybie pozasądowym.

3.3. Bezpieczeństwo przekazów transgranicznych. Administracja dokonuje transgranicznego przekazywania danych osobowych na terytorium:
1) PaństwCzłonkowskich Unii Europejskiej – w celach związanych z przechowywaniem i bezpieczeństwem informacji;
2) Stanów Zjednoczonych Ameryki – w celu przechowywania i tworzenia kopii zapasowych Projektów Użytkownika.

Przed rozpoczęciem transferu transgranicznego Administracja ustala, czy kraj, do którego przekazywane są dane osobowe, jest uznawany za zapewniający odpowiedni poziom ochrony danych zgodnie z obowiązującym prawem.

W przypadku przekazywania danych osobowych do kraju, który nie zapewnia wymaganego poziomu ochrony, Administracja zobowiązuje się do zawarcia standardowych klauzul umownych z odbiorcą lub do zapewnienia stosowania wiążących reguł korporacyjnych.

4. Bezpieczeństwo przetwarzania

4.1. Wdrożone środki. Administracja zobowiązuje się do zachowania poufności i zapewnienia bezpieczeństwa danych osobowych zgodnie z obowiązującymi przepisami, w tym:
1) prowadzenie rejestru czynności przetwarzania;
2) określenie listy osób upoważnionych do gromadzenia i przetwarzania danych osobowych lub mających do nich dostęp;
3) ustanowienie procedur kontroli dostępu do danych osobowych;
4) stosowanie bezpiecznych kanałów komunikacji i szyfrowania;
5) stosowanie technik pseudonimizacji, w tym wykorzystanie identyfikatorów w systemach wewnętrznych Administracji;
6) wdrożenie mechanizmów identyfikacji i/lub uwierzytelniania podczas przetwarzania danych osobowych;
7) stosowanie systemów tworzenia kopii zapasowych i odzyskiwania danych;
8) ocena i zarządzanie ryzykiem związanym z bezpieczeństwem informacji;
9) uwzględnienie wymogów dotyczących ochrony danych i bezpieczeństwa w umowach i/lub umowach o przetwarzaniu danych zawieranych z dostawcami usług;
10) przeprowadzanie regularnych audytów technicznych.

4.2. Naruszenie ochrony danych osobowych. W przypadku stwierdzenia naruszenia danych osobowych, skutkującego przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, zmianą, nieuprawnionym ujawnieniem i/lub dostępem do danych osobowych osób trzecich, Administracja jest zobowiązana do niezwłocznego powiadomienia Użytkownika o tym naruszeniu.

Powiadomienie powinno zawierać opis charakteru naruszenia, możliwych konsekwencji dla osób, których dane dotyczą, oraz środków, które Administracja podjęła i/lub zamierza podjąć w celu złagodzenia takich konsekwencji.

Jednocześnie Użytkownik rozumie i przyjmuje do wiadomości, że powiadomienie o naruszeniu danych osobowych w żadnym wypadku nie może być uznane za przyznanie się do winy i/lub odpowiedzialności ze strony Administracji.

5. Pomoc dla użytkownika

5.1. Udzielanie informacji i audyt. Na wniosek Użytkownika, w okresie obowiązywania Umowy o przetwarzaniu danych, Administracja jest zobowiązana do dostarczenia dokumentów i innych informacji potwierdzających, że podjęto środki niezbędne do realizacji Umowy o przetwarzaniu danych oraz że są one przestrzegane. Użytkownik może jednak składać takie wnioski nie częściej niż raz na 3 miesiące.

Na pisemny wniosek Użytkownika Administracja zobowiązuje się do pomocy w przeprowadzaniu audytów lub kontroli poprzez dostarczenie Użytkownikowi niezbędnych informacji dotyczących procedur przetwarzania danych osobowych.

5.2. Pomoc w wypełnianiu obowiązków. Co do zasady Użytkownik, będący administratorem danych osobowych, samodzielnie zapewnia zgodnośćz wymogami określonymi w obowiązujących przepisach prawa.

Jednakże, biorąc pod uwagę charakter przetwarzania, na pisemny wniosek Użytkownika Administracja udzieli rozsądnej pomocy w wypełnianiu obowiązków związanych z:
1) zapewnieniem bezpieczeństwa przetwarzania;
2) przygotowywaniem powiadomień o naruszeniach ochrony danych osobowych;
3) przeprowadzaniem ocen skutków dla ochrony danych;
4) przeprowadzaniem uprzednich konsultacji z organami nadzorczymi;
5) rozpatrywaniem wniosków osób, których dane dotyczą, poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych, w zakresie, w jakim jest to wykonalne, biorąc pod uwagę charakter przetwarzania.

6. Usunięcie danych osobowych

6.1. Zapewnienie praw osób, których dane dotyczą. Użytkownik zobowiązuje się przetwarzać dane osobowe na Platformie do czasu osiągnięcia celów przetwarzania. W przypadku cofnięcia zgody na przetwarzanie danych osobowych lub wygaśnięcia podstawy pozwalającej na takie przetwarzanie, Użytkownik samodzielnie zapewnia usunięcie danych osobowych.

6.2. Procedura zwrotu lub usunięcia. Po otrzymaniu odrębnego wniosku Administracja, zgodnie z wyborem Użytkownika, usunie lub zwróci dane osobowe otrzymane od Użytkownika w terminie nieprzekraczającym 30 dni, chyba że obowiązujące prawo ustanawia inny termin.

Administracja usunie również dane osobowe po upływie okresu przechowywania ustalonego na Platformie lub określonego niezależnie przez Użytkownika. W szczególności, w przypadku korzystania z formularzy gromadzenia danych w ramach Projektu, okres przechowywania danych zostanie ustalony poprzez odpowiednie ustawienia Projektu.

Jednocześnie Administracja ma prawo nie usuwać i/lub nie zwracać danych osobowych otrzymanych od Użytkownika, jeżeli prawo lub obowiązek przechowywania takich danych jest przewidziany w obowiązującym prawie.

6.3. Blokady i ograniczenia na Platformie. W przypadku naruszenia lub uzasadnionego podejrzenia, że Użytkownik naruszył Umowę i/lub obowiązujące przepisy, Administracja ma prawo zablokować konto Użytkownika, a także podjąć inne środki przewidzianew Umowie.

Użytkownik rozumie i przyjmuje do wiadomości, że w przypadku podjęcia przez Administrację środków administracyjnych dane osobowe przetwarzane na podstawie DPA mogą zostać usunięte bez możliwości późniejszego odzyskania.

7. Odpowiedzialność, odszkodowanie za straty

7.1. Odpowiedzialność Administracji. Administracja nie ponosi odpowiedzialności za działania Użytkownika związane z przetwarzaniem danych osobowych na Platformie. Wszelkie roszczenia, żądania lub skargi osób trzecich związane z przetwarzaniem ich danych osobowych powinny być rozstrzygane bezpośrednio przez Użytkownika bez udziału Administracji.

Administracja nie ponosi również odpowiedzialności za działania i/lub zaniechania związane z przetwarzaniem danych osobowych osób trzecich, jeżeli działała wyłącznie zgodnie z instrukcjami Użytkownika.

W każdym przypadku odpowiedzialność Administracji nie przekroczy kwoty kosztu Planu opłaconego przez Użytkownika i ważnego w okresie wystąpienia zdarzeń stanowiących podstawę powstania odpowiedzialności majątkowej Administracji.

7.2. Odpowiedzialność Użytkownika i odszkodowanie za straty. Użytkownik, będący administratorem danych zgodnie z ustawodawstwem Federacji Rosyjskiej, ponosi indywidualną odpowiedzialność wobec podmiotów danych osobowych za zgodność z prawem przetwarzania danych osobowych.

W przypadku wszczęcia postępowania sądowego i/lub administracyjnego przeciwko Administracji, wniesienia pozwu lub zgłoszenia roszczenia przez jakąkolwiek stronę z powodu naruszenia przez Użytkownika procedury przetwarzania danych osobowych, Użytkownik jest zobowiązany do zrekompensowania Administracji wszelkich strat, w tym uzasadnionych kosztów prawnych.

8. Różne

8.1. Prawo właściwe. Niezależnie od postanowień Umowy, przetwarzanie danych osobowych na podstawie niniejszych Wytycznych podlega prawu Zjednoczonych Emiratów Arabskich i zgodnie z nim będzie interpretowane.

W przypadku gdy osoby, których dane osobowe są przetwarzane przez Administrację, mają miejsce zamieszkania w państwie członkowskim Unii Europejskiej i/lub Europejskiego Obszaru Gospodarczego, przetwarzanie danych osobowych podlega również przepisom ogólnego rozporządzenia o ochronie danych.

8.2. Standardowe klauzule umowne. Przetwarzanie danych osobowych osób fizycznych znajdujących się w Unii Europejskiej i/lub Europejskim Obszarze Gospodarczym przez Administrację podlega dodatkowo standardowym klauzulom umownym.

Zgodnie z ogólnym rozporządzeniem o ochronie danych standardowe klauzule umowne zapewniają zgodność z prawem przekazywania danych osobowych do Zjednoczonych Emiratów Arabskich.

W przypadku jakiejkolwiek sprzeczności między niniejszymi instrukcjami a postanowieniami standardowych klauzul umownych pierwszeństwo mają standardowe klauzule umowne.