Umowa powierzenia przetwarzania danych osobowych

§1. Przedmiot Umowy

1. Niniejsza Umowa określa zasady powierzenia przez Administratora Procesorowi przetwarzania danych osobowych w związku z korzystaniem przez Administratora z systemu strzelApp.
2. Administrator oświadcza, że jest administratorem danych osobowych powierzanych na podstawie niniejszej Umowy, w zakresie, w jakim samodzielnie decyduje o celach i sposobach ich przetwarzania.
3. Procesor oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie spełniało wymagania RODO i chroniło prawa osób, których dane dotyczą.
4. Niniejsza Umowa stanowi umowę powierzenia przetwarzania danych osobowych w rozumieniu art. 28 RODO.

§2. Charakter relacji Stron

1. Administrator powierza Procesorowi przetwarzanie danych osobowych wyłącznie w zakresie niezbędnym do świadczenia usług dostępnych w systemie strzelApp.
2. Procesor przetwarza dane osobowe wyłącznie w imieniu Administratora i na jego udokumentowane polecenie, chyba że obowiązek przetwarzania wynika z prawa Unii Europejskiej lub prawa polskiego, któremu Procesor podlega.
3. Strony potwierdzają, że:
   1. strzelApp działa jako administrator danych w zakresie własnych celów, takich jak prowadzenie kont użytkowników strzelApp, bezpieczeństwo systemu, rozliczenia własnych usług, wsparcie użytkowników, dochodzenie lub obrona roszczeń oraz wykonywanie obowiązków prawnych,
   2. Klub działa jako odrębny administrator danych w zakresie swojej działalności, w szczególności członkostwa, wydarzeń, zapisów, wyników, działalności klubowej i komunikacji organizacyjnej do swoich członków, uczestników i osób powiązanych z Klubem,
   3. strzelApp działa jako podmiot przetwarzający wyłącznie w zakresie, w jakim przetwarza dane osobowe w imieniu Klubu i zgodnie z niniejszą Umową.

§3. Przedmiot, charakter i cel przetwarzania

1. Przedmiotem przetwarzania są dane osobowe wprowadzane do systemu strzelApp lub przetwarzane z jego użyciem przez Klub.
2. Charakter przetwarzania obejmuje w szczególności: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, udostępnianie przez przesłanie, dopasowywanie, ograniczanie, usuwanie lub niszczenie danych — w zakresie niezbędnym do działania usług.
3. Celem przetwarzania jest umożliwienie Administratorowi korzystania z funkcji systemu strzelApp, w szczególności:
   1. prowadzenia danych klubowych i administracji klubem,
   2. obsługi członkostwa, powiązań klubowych i ról użytkowników,
   3. obsługi wydarzeń, zawodów, zapisów, list, wyników i innych funkcji organizacyjnych,
   4. korzystania z narzędzi komunikacji organizacyjnej Klubu,
   5. utrzymania bezpieczeństwa, integralności, dostępności i rozliczalności systemu,
   6. prowadzenia logów technicznych i kopii zapasowych.
4. Moduł komunikacji klubowej w strzelApp służy wyłącznie do komunikacji organizacyjnej dotyczącej działalności Klubu, zawodów, zapisów, członkostwa lub innych spraw administracyjnych. Umowa nie obejmuje świadczenia przez strzelApp usługi obsługi marketingu Klubu.

§4. Czas trwania przetwarzania

1. Umowa zostaje zawarta na czas korzystania przez Administratora z usług strzelApp, chyba że Strony postanowią inaczej.
2. Powierzenie przetwarzania danych obowiązuje od chwili:
   1. zawarcia Umowy w formie pisemnej, albo
   2. akceptacji aktualnej wersji Umowy w panelu strzelApp przez uprawnionego przedstawiciela Klubu.
3. Procesor przetwarza dane osobowe przez okres świadczenia usług oraz przez okres niezbędny do: wykonania obowiązków prawnych, zapewnienia bezpieczeństwa i ciągłości działania, obsługi reklamacji i incydentów, dochodzenia lub obrony roszczeń, utrzymania kopii zapasowych zgodnie z przyjętą polityką retencji.

§5. Kategorie osób, których dane dotyczą

Powierzenie może obejmować dane dotyczące w szczególności:

• członków Klubu,
• kandydatów do Klubu,
• uczestników wydarzeń i zawodów,
• sędziów, instruktorów, trenerów i innych osób współpracujących z Klubem,
• osób kontaktujących się z Klubem lub przypisanych do Klubu w systemie,
• innych osób, których dane Klub zgodnie z prawem przetwarza w ramach swojej działalności.

§6. Kategorie danych osobowych

Powierzenie może obejmować w szczególności:

• dane identyfikacyjne, w tym imię, nazwisko, identyfikatory systemowe,
• dane kontaktowe, w tym adres e-mail i numer telefonu,
• dane dotyczące przynależności klubowej, ról, statusów i uprawnień,
• dane dotyczące zapisów, wydarzeń, obecności, uczestnictwa, wyników i innych aktywności klubowych,
• dane związane z komunikacją organizacyjną kierowaną przez Klub,
• dane techniczne i logi związane z korzystaniem z systemu, w tym informacje o czasie operacji, adresie IP, urządzeniu, user-agencie i identyfikatorach sesji,
• inne dane przekazane przez Klub do systemu zgodnie z zakresem świadczonych usług i przepisami prawa.

§7. Szczególne kategorie danych

1. Co do zasady system strzelApp nie jest przeznaczony do powierzania szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO, ani danych dotyczących wyroków skazujących i czynów zabronionych, chyba że Strony wyraźnie uzgodnią inaczej w formie pisemnej lub elektronicznej i wdrożą adekwatne dodatkowe zabezpieczenia.
2. Administrator zobowiązuje się nie wprowadzać do systemu danych wykraczających poza uzgodniony i zgodny z prawem zakres.

§8. Obowiązki Administratora

1. Administrator odpowiada za zgodność z prawem pozyskania danych osobowych i ich wprowadzenia do systemu strzelApp.
2. Administrator odpowiada za:
   1. posiadanie właściwej podstawy prawnej przetwarzania danych,
   2. spełnienie obowiązku informacyjnego wobec osób, których dane dotyczą,
   3. legalność zakresu i aktualność danych przekazywanych do systemu,
   4. realizację praw osób, których dane dotyczą, chyba że zgodnie z RODO obowiązek ten spoczywa na Procesorze,
   5. treść i cel komunikacji wysyłanej do odbiorców z wykorzystaniem funkcji klubowych.
3. Administrator zobowiązuje się wydawać Procesorowi wyłącznie polecenia zgodne z prawem.
4. Administrator odpowiada za prawidłowe przypisanie użytkowników do Klubu, ról, grup odbiorców i zakresów dostępu po stronie klubowej.
5. Administrator zobowiązuje się nie wykorzystywać modułu komunikacji klubowej do przesyłania informacji handlowych, reklam, ofert, treści sponsorskich, promocji ani innej komunikacji marketingowej, chyba że strzelApp w przyszłości wyraźnie udostępni taką funkcję na odrębnych zasadach.

§9. Obowiązki Procesora

1. Procesor zobowiązuje się:
   1. przetwarzać dane wyłącznie na udokumentowane polecenie Administratora,
   2. zapewnić, by osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności albo podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,
   3. wdrożyć odpowiednie środki techniczne i organizacyjne zapewniające poziom bezpieczeństwa odpowiadający ryzyku,
   4. pomagać Administratorowi, uwzględniając charakter przetwarzania i dostępne informacje, w realizacji obowiązków dotyczących praw osób, bezpieczeństwa przetwarzania, zgłaszania naruszeń, oceny skutków dla ochrony danych oraz konsultacji z organem nadzorczym,
   5. informować Administratora, jeżeli w jego ocenie wydane polecenie narusza RODO lub inne przepisy o ochronie danych,
   6. udostępniać Administratorowi informacje niezbędne do wykazania spełnienia obowiązków wynikających z niniejszej Umowy.
2. Procesor nie wykorzystuje powierzonych danych do własnych celów Administratora Klubu, z wyjątkiem przypadków wyraźnie wynikających z prawa albo z odrębnej roli strzelApp jako administratora we własnym zakresie, opisanej w Polityce prywatności lub innych dokumentach.

§10. Poufność i upoważnienia

1. Procesor zapewnia, że dostęp do danych powierzonych mają wyłącznie osoby, które: muszą mieć taki dostęp w związku z wykonywaniem obowiązków, zostały odpowiednio upoważnione lub zobowiązane do poufności, zostały przeszkolone lub poinformowane o zasadach ochrony danych.
2. Obowiązek poufności obowiązuje także po ustaniu współpracy lub ustaniu dostępu do danych.

§11. Środki techniczne i organizacyjne

1. Procesor stosuje odpowiednie środki techniczne i organizacyjne adekwatne do ryzyka, obejmujące w szczególności: kontrolę dostępu do systemów i danych, uwierzytelnianie użytkowników i zarządzanie uprawnieniami, zabezpieczenie transmisji danych, logowanie zdarzeń i operacji administracyjnych, mechanizmy kopii zapasowych i przywracania dostępności, ochronę przed nieuprawnionym ujawnieniem, modyfikacją, utratą lub zniszczeniem danych, procedury reagowania na incydenty, aktualizacje i utrzymanie środowiska przetwarzania.
2. Administrator przyjmuje do wiadomości, że szczegółowe rozwiązania techniczne mogą ulegać zmianie wraz z rozwojem usług, o ile poziom ochrony pozostaje adekwatny do ryzyka i zgodny z wymaganiami prawa.

§12. Dalsze podmioty przetwarzające

1. Administrator wyraża ogólną zgodę na korzystanie przez Procesora z dalszych podmiotów przetwarzających w zakresie niezbędnym do świadczenia usług objętych Umową.
2. Dalszymi podmiotami przetwarzającymi mogą być w szczególności dostawcy: hostingu i infrastruktury serwerowej, baz danych i kopii zapasowych, poczty elektronicznej i wysyłki wiadomości, usług SMS, monitoringu, logów, bezpieczeństwa i utrzymania technicznego.
3. Aktualny wykaz dalszych podmiotów przetwarzających może być udostępniany w załączniku do Umowy, w panelu Klubu lub w odrębnym wykazie publikowanym przez strzelApp.
4. Procesor zapewni, aby każdy dalszy podmiot przetwarzający był związany obowiązkami ochrony danych co najmniej równoważnymi obowiązkom wynikającym z niniejszej Umowy.
5. W przypadku istotnej zmiany w zakresie dalszych podmiotów przetwarzających Administrator może zostać o niej poinformowany w panelu, drogą e-mailową lub w inny odpowiedni sposób.

§13. Transfery danych poza EOG

1. Co do zasady Procesor przetwarza dane osobowe na terytorium Europejskiego Obszaru Gospodarczego.
2. Jeżeli realizacja usług będzie wymagała przekazania danych poza EOG, Procesor zapewni zastosowanie odpowiedniego mechanizmu prawnego wymaganego przez RODO, w szczególności decyzji stwierdzającej odpowiedni stopień ochrony albo standardowych klauzul umownych, jeżeli będą wymagane.
3. Informacja o takich transferach może być wskazana w wykazie dalszych podmiotów przetwarzających lub w innym dokumencie udostępnianym Administratorowi.

§14. Pomoc przy realizacji praw osób, których dane dotyczą

1. Procesor, uwzględniając charakter przetwarzania, pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne, w miarę możliwości, wywiązać się z obowiązku odpowiadania na żądania osób, których dane dotyczą.
2. Jeżeli osoba, której dane dotyczą, skieruje żądanie bezpośrednio do Procesora w zakresie danych przetwarzanych przez Procesora wyłącznie w imieniu Administratora, Procesor — o ile jest to dopuszczalne — przekaże takie żądanie Administratorowi albo poinformuje osobę o konieczności kontaktu z Administratorem.

§15. Naruszenia ochrony danych

1. W razie stwierdzenia naruszenia ochrony danych osobowych dotyczącego danych powierzonych przez Administratora, Procesor poinformuje Administratora bez zbędnej zwłoki.
2. Informacja o naruszeniu powinna — w miarę dostępności danych — obejmować: opis charakteru naruszenia, kategorie i przybliżoną liczbę osób, których dotyczy naruszenie, kategorie i przybliżoną liczbę rekordów danych, możliwe konsekwencje naruszenia, środki zastosowane lub proponowane w celu zaradzenia naruszeniu.
3. Procesor współpracuje z Administratorem przy ocenie naruszenia oraz przy realizacji obowiązków zgłoszeniowych i informacyjnych, jeśli będą wymagane.

§16. Audyt i wykazanie zgodności

1. Administrator ma prawo uzyskać od Procesora informacje niezbędne do wykazania spełnienia obowiązków wynikających z niniejszej Umowy.
2. Administrator może przeprowadzić audyt lub kontrolę zgodności, nie częściej niż raz w roku kalendarzowym, chyba że: wystąpi incydent bezpieczeństwa, istnieje uzasadnione podejrzenie istotnego naruszenia Umowy lub przepisów, obowiązek audytu wynika z prawa.
3. Audyt powinien być przeprowadzany po uprzednim uzgodnieniu terminu, w godzinach roboczych, w sposób niepowodujący nieuzasadnionych zakłóceń działalności Procesora, z poszanowaniem tajemnicy przedsiębiorstwa, bezpieczeństwa innych klientów i poufności.
4. Procesor może zaproponować w pierwszej kolejności audyt zdalny, ankietę bezpieczeństwa albo udostępnienie dokumentacji, jeżeli pozwala to osiągnąć cel weryfikacji.
5. Jeżeli audyt wykaże istotne naruszenia po stronie Procesora, Procesor podejmie działania naprawcze bez zbędnej zwłoki.

§17. Zwrot, usunięcie i dalsze przechowywanie danych

1. Po zakończeniu świadczenia usług związanych z przetwarzaniem danych osobowych Procesor, zależnie od charakteru usługi i decyzji Administratora: usunie dane osobowe, albo zwróci dane Administratorowi i usunie ich kopie, chyba że dalsze przechowywanie danych wynika z prawa lub jest niezbędne do realizacji uzasadnionych i zgodnych z prawem celów wskazanych w niniejszej Umowie.
2. Ustęp 1 nie wyłącza prawa Procesora do zachowania danych w zakresie niezbędnym do: wykonania obowiązków prawnych, zapewnienia bezpieczeństwa systemu, utrzymania kopii zapasowych do czasu ich nadpisania lub usunięcia, dochodzenia lub obrony roszczeń, wykazania faktu i zakresu wykonania usługi.
3. W zakresie, w jakim natychmiastowe usunięcie danych z kopii zapasowych nie jest technicznie możliwe, Procesor zapewni ich dalsze zabezpieczenie i wyłączenie z bieżącego przetwarzania do czasu nadpisania lub usunięcia.

§18. Odpowiedzialność Stron

1. Każda ze Stron odpowiada za naruszenie obowiązków, które ciążą na niej zgodnie z RODO i niniejszą Umową.
2. Administrator odpowiada w szczególności za: legalność pozyskania i zakres danych, podstawę prawną przetwarzania, obowiązek informacyjny, treść oraz cel komunikacji klubowej, prawidłowość poleceń wydawanych Procesorowi.
3. Procesor odpowiada w szczególności za: przetwarzanie danych zgodnie z Umową i prawem, bezpieczeństwo danych w zakresie obowiązków procesora, dobór i nadzór nad dalszymi podmiotami przetwarzającymi zgodnie z Umową.
4. Żadne postanowienie niniejszej Umowy nie wyłącza odpowiedzialności, której wyłączenie byłoby niedopuszczalne na mocy prawa.

§19. Forma zawarcia, wersjonowanie i akceptacja elektroniczna

1. Niniejsza Umowa może zostać zawarta: w formie pisemnej, albo w formie elektronicznej, w szczególności przez akceptację w panelu strzelApp przez osobę uprawnioną do reprezentowania Administratora.
2. Za moment zawarcia Umowy w formie elektronicznej uznaje się chwilę zarejestrowania w systemie strzelApp akceptacji aktualnej wersji dokumentu wraz z identyfikatorem użytkownika, datą, godziną, adresem IP, user-agentem oraz identyfikatorem albo numerem wersji dokumentu.
3. Każda wersja Umowy otrzymuje numer wersji oraz datę wejścia w życie.
4. Korzystanie z wybranych funkcji klubowych, w szczególności modułu komunikacji organizacyjnej, może wymagać akceptacji aktualnej wersji Umowy.
5. W przypadku zmiany Umowy strzelApp może wymagać ponownej akceptacji aktualnej wersji przed dalszym korzystaniem z funkcji, których zmiana dotyczy.

§20. Postanowienia końcowe

1. W sprawach nieuregulowanych niniejszą Umową zastosowanie mają przepisy RODO oraz właściwe przepisy prawa polskiego.
2. Jeżeli którekolwiek postanowienie Umowy okaże się nieważne lub nieskuteczne, nie wpływa to na ważność pozostałych postanowień.
3. W razie sprzeczności pomiędzy niniejszą Umową a innymi uzgodnieniami Stron dotyczącymi ochrony danych osobowych, pierwszeństwo ma niniejsza Umowa w zakresie przetwarzania danych powierzonych przez Administratora.
4. Integralną część Umowy mogą stanowić: wykaz dalszych podmiotów przetwarzających, opis środków technicznych i organizacyjnych, informacje o wersji dokumentu i historii zmian, inne załączniki udostępnione Administratorowi w panelu lub w formie dokumentowej.
5. Kontakt w sprawach dotyczących ochrony danych i niniejszej Umowy: info@strzelapp.pl.