dalej: „Umowa powierzenia”

1. Pomiędzy Usługodawcą a Usługobiorcą została nawiązana współpraca oraz Umowa na świadczenie Usług, na podstawie Regulaminu dostępnego pod adresem https://heymedic.com/regulamin (dalej: „Umowa główna”).

2. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych w trybie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „Ogólne rozporządzenie o ochronie danych” lub „RODO”).

3. Administrator oświadcza, że jest administratorem danych powierzanych Podmiotowi przetwarzającemu na mocy Umowie powierzenia lub podmiotem przetwarzającym upoważnionym do ich dalszego powierzenia Podmiotowi przetwarzającemu.

4. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych w zakresie określonym w § 2 Umowy powierzenia.

5. Pisane wielką literą pojęcia stosowane w Umowie powierzenia mają znaczenie nadane im w Regulaminie lub RODO, chyba że szczególne postanowienie Umowy powierzenia stanowi inaczej.

1. Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie na udokumentowane polecenie Administratora oraz wyłącznie w celu świadczenia Usług. Za „udokumentowane polecenie” Strony uznają w szczególności zawarcie Umowy głównej.

2. Kategorie danych osobowych będących przedmiotem powierzenia (dalej: „powierzone dane osobowe”) oraz kategorie osób, których powierzone dane osobowe dotyczą, zostały wskazane w Załączniku nr 1 do Umowy powierzenia.

3. Dane osobowe powierzane przez Administratora na podstawie Umowy powierzenia nie stanowią danych szczególnej kategorii, o których mowa w art. 9 RODO, ani danych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 RODO.

4. Przetwarzanie powierzonych danych osobowych będzie odbywało się przy wykorzystaniu systemów informatycznych (w sposób zautomatyzowany) oraz w formie papierowej (w sposób niezautomatyzowany).

1. Podmiot przetwarzający zobowiązuje się do zabezpieczenia powierzonych danych osobowych poprzez wdrożenie (jeszcze przed przystąpieniem do przetwarzania) oraz utrzymywanie, środków technicznych i organizacyjnych odpowiednich do charakteru, zakresu, kontekstu i celu przetwarzania powierzonych danych, w tym środków wymaganych przez odpowiednie przepisy powszechnie obowiązującego prawa, by przetwarzanie powierzonych danych osobowych spełniało wymogi Ogólnego rozporządzenia o ochronie danych.

2. Podmiot przetwarzający zobowiązuje się zapewnić, aby osoby upoważnione do przetwarzania danych osobowych powierzonych na podstawie Umowy powierzenia zobowiązane były do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.

3. Podmiot przetwarzający zobowiązuje się, w zakresie uzasadnionym przedmiotem Umowy powierzenia, w miarę możliwości, pomagać Administratorowi w wywiązywaniu się przez niego z obowiązku odpowiedzi na żądania osób, których dane dotyczą, w zakresie wykonywania przez te osoby praw wynikających z przepisów prawa powszechnie obowiązującego, w tym w rozdziale III Ogólnego rozporządzenia o ochronie danych.

4. Podmiot przetwarzający zobowiązuje się niezwłocznie zawiadomić Administratora o:

   a) każdym naruszeniu ochrony powierzonych danych osobowych, przy czym przez „naruszenie ochrony powierzonych danych” należy rozumieć każde przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do powierzonych danych osobowych. Zawiadomienia, o którym mowa w niniejszym pkt 1 należy dokonać najpóźniej w ciągu 48 godzin od wykrycia naruszenia ochrony powierzonych danych;

   b) każdym żądaniu otrzymanym od osoby, której dane przetwarza, powstrzymując się jednocześnie od odpowiedzi na żądanie, do czasu otrzymania opinii Administratora. Zawiadomienia, o którym mowa w niniejszym pkt 2 należy dokonać najpóźniej w ciągu 48 godzin od otrzymania żądania;

   c) każdym prawnie umocowanym żądaniu udostępnienia danych osobowych właściwemu organowi państwa, chyba że zakaz zawiadomienia wynika z przepisów prawa, a szczególności przepisów postępowania karnego, gdy zakaz ma na celu zapewnienie poufności wszczętego dochodzenia;

   d) przeprowadzeniu przez Prezesa Urzędu Ochrony Danych Osobowych lub inny organ nadzorczy kontroli zgodności przetwarzania danych osobowych i jej wynikach oraz o innych czynnościach organów władzy publicznej dotyczących tych danych.

5. Podmiot przetwarzający zobowiązuje się, w zakresie uzasadnionym przedmiotem Umowy powierzenia i dostępnymi mu informacjami, pomagać Administratorowi w wywiązywaniu się przez niego z obowiązków wynikających z przepisów prawa powszechnie obowiązującego, w tym z art. 32-36 Ogólnego rozporządzenia o ochronie danych i dotyczących bezpieczeństwa przetwarzania danych osobowych, zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu i osobie, której dane te dotyczą, oceny skutków dla ochrony danych i związanych z tą oceną konsultacji z organem nadzorczym.

6. Podmiot przetwarzający zobowiązuje się:

   a) udostępniać Administratorowi w terminie 14 dni od dnia otrzymania żądania, wszelkie informacje i dokumenty niezbędne do wykazania spełnienia przez Administratora ciążących na nim obowiązków określonych w przepisach prawa powszechnie obowiązującego;

   b) umożliwić Administratorowi lub upoważnionemu przez niego audytorowi przeprowadzanie audytów, w tym inspekcji, i przyczyniać się do nich, na zasadach każdorazowo określonych przez Strony oraz z zastrzeżeniem postanowień niniejszego paragrafu.

7. Audyt, o którym mowa w ust. 7 pkt 2 powyżej może zostać przeprowadzony:

   a) nie wcześniej niż 14 dni od dnia otrzymania przez Podmiot przetwarzający zapowiedzi jego przeprowadzenia, w terminie ustalonym przez Strony oraz

   b) po zawarciu pomiędzy Podmiot przetwarzający a Administratorem lub upoważnionym przez niego audytorem umowy o zachowaniu poufności.

8. Po zakończeniu audytu, Strony sporządzą protokół w 2 egzemplarzach, które podpiszą upoważnieni przedstawiciele obu Stron. Podmiot przetwarzający może wnieść zastrzeżenia do protokołu w ciągu 5 Dni roboczych od dnia jego podpisania przez przedstawicieli Stron.

9. W razie stwierdzenia w toku audytu uchybień mających wpływ na bezpieczeństwo przetwarzania powierzonych danych osobowych Podmiot przetwarzający zobowiązuje się dostosować do zaleceń sformułowanych przez Administratora lub upoważnionego przez niego audytora.

1. Administrator zobowiązany jest zapewnić, aby przez cały okres obowiązywania Umowy powierzenia dysponował prawną podstawą przetwarzania powierzanych danych osobowych i aby przysługiwały mu odpowiednie uprawnienia umożliwiające ich powierzenie na rzecz Podmiotu przetwarzającego. W razie utraty ww. podstawy prawnej lub uprawnień wobec określonych powierzanych danych osobowych, Administrator zobowiązany jest niezwłocznie przedsięwziąć kroki niezbędne do zaprzestania ich powierzania, w szczególności zawiadomić o tym Podmiot przetwarzający.

2. Administrator zobowiązuje się nie wydawać Podmiotowi przetwarzającemu poleceń dotyczących przetwarzania powierzanych danych osobowych, które byłyby niezgodne z przepisami prawa powszechnie obowiązującego, postanowieniami Umowy powierzenia lub innymi zobowiązaniami umownymi.

1. Administrator wyraża ogólną zgodę na dokonywanie przez Podmiot przetwarzający dalszego powierzania przetwarzania danych osobowych (dalej: „podpowierzenie”) wybranym przez siebie podwykonawcom.

2. Podmiot przetwarzający zobowiązuje się zapewnić, aby:

   a) podmiot, wobec których dokonuje podpowierzenia, stosował odpowiednie środki techniczne i organizacyjne w celu zagwarantowania przetwarzania powierzonych danych osobowych zgodnie z przepisami RODO;

   b) zakres obowiązków dalszego podmiotu przetwarzającego w zakresie ochrony danych odpowiadał obowiązkom Podmiotu przetwarzającego przewidzianych w Umowie powierzenia.

3. W przypadku zamiaru podpowierzenia przetwarzania danych osobowych danemu podwykonawcy, Podmiot przetwarzający zobowiązany jest zawiadomić o tym Administratora nie później niż na 7 (siedem) dni przed dokonaniem podpowierzenia za pomocą poczty elektronicznej. Administrator może sprzeciwić się dokonaniu podpowierzenia, o którym mowa w zdaniu poprzedzającym, poprzez zgłoszenie sprzeciwu za pomocą poczty elektronicznej, w terminie 7 (siedmiu) dni od dnia otrzymania zawiadomienia o podpowierzeniu.

4. Po bezskutecznym upływie terminu na zgłoszenie sprzeciwu, o którym mowa w ust. 3 powyżej, Podmiot przetwarzający może dokonać podpowierzenia przetwarzanych danych osobowych wybranemu podwykonawcy

5. W przypadku zgłoszenia sprzeciwu, o którym mowa w ust. 3 powyżej, Podmiot przetwarzający może odstąpić od Umowy głównej ze skutkiem natychmiastowym

6. Podpowierzenie, o którym mowa w ust. 3 powyżej, nie stanowi zmiany Umowy powierzenia.

7. Lista aktualnych podprocesorów stanowi Załącznik nr 2 do Umowy powierzenia.

1. Strony zobowiązują się wykorzystać materiały, dane oraz wszelkie informacje pozyskane od drugiej Strony w celu wykonania Umowy powierzenia wyłącznie do jej realizacji oraz zachować te materiały, dane oraz informacje w tajemnicy, zarówno w czasie trwania Umowy powierzenia, jak i po jej rozwiązaniu.

1. W przypadku rozwiązania Umowy powierzenia, Podmiot przetwarzający, niezwłocznie, nie później niż w terminie 14 (czternastu) Dni roboczych od dnia rozwiązania Umowy powierzenia, zobowiązuje się zwrócić Administratorowi oraz usunąć z własnych nośników wszelkie dane osobowe, których przetwarzanie zostało mu powierzone, w tym skutecznie usunąć je również z nośników elektronicznych pozostających w jego dyspozycji. Postanowienia zdania poprzedzającego nie dotyczą tych danych osobowych, których przechowywanie przez Podmiot przetwarzający, zgodnie z przepisami powszechnie obowiązującego prawa, wymagane jest przez czas dłuższy niż okres obowiązywania Umowy powierzenia.

1. Integralną częścią Umowy jest Załącznik nr 1 - Kategorie powierzonych danych osobowych oraz kategorie osób, których powierzone dane osobowe dotyczą oraz Załącznik nr 2 – Lista podmiotów, którym przekazano przetwarzanie danych osobowych (podprocesorzy).

2. Do zmian Umowy powierzenia stosuje się odpowiednio postanowienia Regulaminu.

3. W sprawach nieuregulowanych w Umowie powierzenia mają zastosowanie postanowienia Regulaminu, przepisy RODO oraz odpowiednie przepisy prawa polskiego.

1. Contabo GmbH - dostawca usług chmurowych i hostingowych.

2. VERCOM S.A. - dostawca usług związanych z automatyzacją i skalowanie komunikacji (SMS, e-mail, push).

3. Benhauer Sp. z o.o. - dostawca usług związanych z automatyzacją marketingu, personalizację komunikacji, analizę zachowań online.