Umowa powierzenia przetwarzania danych

Umowa powierzenia przetwarzania danych osobowych (dalej: „DPA") zawierana jest pomiędzy:

Administratorem

Klient korzystający z Platformy Loyalif — przedsiębiorca, którego dane firmowe wskazane są podczas rejestracji Konta. Administrator jest podmiotem decydującym o celach i sposobach przetwarzania danych osobowych Konsumentów Końcowych w ramach swojego programu lojalnościowego.

Procesorem

ESPORT INDUSTRIES sp. z o.o., ul. Karmelicka 47, 31-128 Kraków, NIP: 6762690058, KRS: 0001163276, kontakt: [email protected].

DPA zostaje zawarte z chwilą rozpoczęcia korzystania z Platformy przez Administratora (zaakceptowania Regulaminu).

Procesor zobowiązuje się do przetwarzania danych osobowych Konsumentów Końcowych Administratora w imieniu Administratora, w zakresie i celu określonym w DPA, na podstawie art. 28 RODO.

Charakter przetwarzania

Operacje wykonywane na danych: zbieranie, utrwalanie, przechowywanie, modyfikowanie, pobieranie, przeglądanie, ujawnianie poprzez wyświetlanie w portfelach cyfrowych, łączenie, ograniczanie, usuwanie. Procesor nie wykorzystuje powierzonych danych do własnych celów.

Cel

Świadczenie Administratorowi usługi platformy lojalnościowej Loyalif, w szczególności wystawianie cyfrowych kart lojalnościowych, naliczanie pieczątek/punktów, wymiana nagród, wysyłka powiadomień push, prowadzenie statystyk programu lojalnościowego.

Kategorie osób, których dane dotyczą

• Konsumenci Końcowi — klienci Administratora, którzy dodali kartę lojalnościową do Apple Wallet lub Google Wallet.

Kategorie danych

• Dane identyfikujące: imię, nazwisko (opcjonalnie);
• Dane kontaktowe: numer telefonu (opcjonalnie), adres e-mail (opcjonalnie);
• Dane szczególne związane z programem: data urodzenia (opcjonalnie, do kampanii urodzinowych);
• Identyfikatory techniczne: ID karty, push tokens (APNs / FCM), ID urządzenia mobilnego;
• Dane behawioralne: liczba pieczątek, saldo punktów, data ostatniej wizyty, historia transakcji, odebrane nagrody;
• Dane techniczne komunikacji: status doręczenia powiadomień push.

Czas trwania

DPA obowiązuje przez cały okres trwania umowy głównej (Regulaminu) oraz 30 dni po jej rozwiązaniu — wyłącznie w celu umożliwienia Administratorowi pobrania danych lub zażądania ich usunięcia.

Procesor zobowiązuje się do:

1. 1.przetwarzania danych wyłącznie na udokumentowane polecenie Administratora — za polecenie uznaje się akcje wykonywane przez Administratora w panelu Platformy oraz konfigurację jego programu lojalnościowego;
2. 2.zapewnienia, aby osoby upoważnione do przetwarzania danych zobowiązały się do zachowania tajemnicy lub aby podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
3. 3.wdrożenia odpowiednich środków technicznych i organizacyjnych zgodnie z art. 32 RODO (szczegóły w § 6);
4. 4.pomocy Administratorowi w realizacji praw osób, których dane dotyczą (dostęp, sprostowanie, usunięcie, przenoszenie itp.);
5. 5.pomocy Administratorowi w wywiązaniu się z obowiązków zgłaszania naruszeń ochrony danych do organu nadzorczego i osób, których dane dotyczą;
6. 6.po zakończeniu świadczenia usług — usunięcia lub zwrócenia wszelkich danych osobowych zgodnie z wyborem Administratora oraz usunięcia kopii (z wyjątkiem przepisów wymagających ich dalszego przechowywania);
7. 7.udostępniania Administratorowi wszelkich informacji niezbędnych do wykazania zgodności z obowiązkami z art. 28 RODO oraz umożliwienia audytu przeprowadzanego przez Administratora lub upoważnionego audytora.

Administrator wyraża ogólną zgodę na korzystanie przez Procesora z następujących dalszych podmiotów przetwarzających (subprocesorów). Procesor odpowiada za działania subprocesorów jak za swoje własne.

Aktualna lista subprocesorów

• Stripe Payments Europe Ltd. + Stripe Inc. (Irlandia / USA) — nie przetwarza danych Konsumentów Końcowych, wyłącznie dane Administratora związane z subskrypcją.
• Apple Inc. (USA) — usługa Apple Wallet i powiadomienia APNs (push tokens, treści powiadomień).
• Google LLC (USA) — usługa Google Wallet i powiadomienia FCM.
• Resend, Inc. (USA) — wysyłka transakcyjnych e-maili (jeśli dotyczy danych Konsumentów Końcowych — np. potwierdzenia rejestracji w programie).
• Cloudflare, Inc. (USA) — przechowywanie zasobów (R2: zdjęcia kart, logo), DNS, CDN, ochrona przed atakami.
• Hostinger International Ltd. (Cypr / Litwa) — hosting serwerów aplikacyjnych i baz danych w UE.
• Backblaze, Inc. (USA) — szyfrowane offsite kopie zapasowe baz danych (B2 Cloud Storage).

Powiadomienia o zmianach

Procesor poinformuje Administratora o zamierzonej zmianie subprocesorów (dodaniu lub zmianie) z 14-dniowym wyprzedzeniem na e-mail. Administrator może wnieść uzasadniony sprzeciw — w takim przypadku stronom przysługuje prawo rozwiązania umowy z 30-dniowym okresem wypowiedzenia.

Procesor wdraża i utrzymuje następujące środki bezpieczeństwa:

Środki techniczne

• szyfrowanie ruchu sieciowego — TLS 1.2+ na wszystkich endpointach;
• szyfrowanie danych w spoczynku — bazy danych PostgreSQL z szyfrowaniem dyskowym, kopie zapasowe szyfrowane przed transferem do Backblaze;
• haszowanie haseł algorytmem bcrypt (cost factor 12);
• wieloskładnikowe uwierzytelnianie (MFA) dla dostępu administracyjnego;
• segregacja środowisk (dev / staging / production) z osobnymi danymi dostępowymi;
• codzienne kopie zapasowe baz danych z 14-dniową retencją lokalną i 90-dniową offsite;
• zapora sieciowa (UFW), fail2ban, automatyczne aktualizacje bezpieczeństwa systemu operacyjnego;
• monitoring dostępności i czasu odpowiedzi (UptimeRobot).

Środki organizacyjne

• zasada najmniejszych uprawnień (least-privilege access) — dostęp do danych produkcyjnych ograniczony do niezbędnego minimum;
• zobowiązania do zachowania poufności podpisane przez wszystkich pracowników i współpracowników mających dostęp do danych;
• rejestr czynności przetwarzania (art. 30 RODO);
• procedury zgłaszania naruszeń ochrony danych;
• okresowe przeglądy bezpieczeństwa.

W razie stwierdzenia naruszenia ochrony danych osobowych powierzonych przez Administratora, Procesor:

1. 1.powiadomi Administratora w terminie do 48 godzin od stwierdzenia naruszenia, drogą e-mail na adres podany w danych Konta;
2. 2.przekaże Administratorowi wszystkie informacje niezbędne do wywiązania się z obowiązku zgłoszenia naruszenia do PUODO (charakter naruszenia, kategorie i przybliżona liczba osób, których dane dotyczą, prawdopodobne konsekwencje, podjęte środki zaradcze);
3. 3.podejmie działania ograniczające skutki naruszenia i zapobiegające jego ponownemu wystąpieniu;
4. 4.udokumentuje naruszenie i przebieg obsługi incydentu.

Administrator pozostaje wyłącznie odpowiedzialny za zgłoszenie naruszenia do organu nadzorczego (PUODO) oraz powiadomienie osób, których dane dotyczą — zgodnie z art. 33 i 34 RODO.

Administrator ma prawo do przeprowadzenia audytu przestrzegania DPA przez Procesora — osobiście lub przez upoważnionego audytora — z zachowaniem następujących zasad:

• audyt zostanie zapowiedziany z co najmniej 30-dniowym wyprzedzeniem na piśmie lub e-mail;
• audyt nie powinien zakłócać normalnej działalności Procesora i odbywa się w godzinach roboczych;
• koszty audytu pokrywa Administrator, chyba że audyt wykaże istotne uchybienia — wtedy koszty pokrywa Procesor;
• Procesor może w pierwszej kolejności udostępnić aktualne raporty bezpieczeństwa, certyfikaty (np. ISO 27001 jeśli posiada) lub raporty audytów stron trzecich w celu spełnienia obowiązku;
• audytor zobowiązany jest do zachowania poufności i może objąć audytem wyłącznie obszary związane z przetwarzaniem danych Administratora.

Procesor pomaga Administratorowi w realizacji obowiązków wynikających z praw osób, których dane dotyczą (art. 12–22 RODO):

• udostępnia Administratorowi w panelu Platformy narzędzia do wyświetlania, eksportu i usuwania danych poszczególnych Konsumentów Końcowych;
• na żądanie Administratora — pomaga w obsłudze nietypowych żądań (np. ograniczenie przetwarzania, sprzeciw);
• na żądanie Administratora — eksportuje dane w formacie ustrukturyzowanym (JSON) niezbędnym do przeniesienia danych do innego administratora.

Po zakończeniu świadczenia usług Procesor — w zależności od decyzji Administratora wyrażonej w panelu lub e-mailowo:

• usunie wszystkie dane Konsumentów Końcowych powierzone przez Administratora — domyślnie po upływie 30 dni od rozwiązania umowy głównej;
• lub przed usunięciem zwróci dane Administratorowi w formacie ustrukturyzowanym (JSON / CSV) na żądanie zgłoszone przed upływem 30 dni;
• usunie kopie z systemów produkcyjnych w ciągu 30 dni i z kopii zapasowych w ramach standardowego cyklu rotacji (do 90 dni).

Wyjątek: dane zachowywane na mocy obowiązujących przepisów prawa (np. dokumenty rozliczeniowe — wyłącznie w odniesieniu do Klienta, nie Konsumentów Końcowych).

Każda ze stron odpowiada za szkody wynikające z przetwarzania niezgodnego z RODO w zakresie odpowiadającym własnym uchybieniom (art. 82 RODO).

W przypadku gdy obie strony są odpowiedzialne za szkodę, ponoszą odpowiedzialność solidarną — zachowując prawo regresu zgodnie ze stopniem zawinienia.

Łączna odpowiedzialność Procesora wobec Administratora z tytułu DPA — z wyjątkiem szkód wyrządzonych umyślnie lub naruszenia obowiązku poufności — ograniczona jest do wysokości opłat zapłaconych przez Administratora w ciągu 12 miesięcy poprzedzających zdarzenie.

• W sprawach nieuregulowanych DPA stosuje się przepisy RODO, ustawy o ochronie danych osobowych z 10 maja 2018 r. oraz prawo polskie.
• Sądem właściwym do rozstrzygania sporów wynikających z DPA jest sąd właściwy dla siedziby Procesora — Kraków.
• DPA stanowi integralną część Regulaminu (/terms). W razie sprzeczności postanowień, w zakresie ochrony danych osobowych pierwszeństwo mają zapisy DPA.
• Aktualna wersja DPA dostępna jest pod adresem /gdpr. O istotnych zmianach Administrator zostanie poinformowany e-mailowo z 14-dniowym wyprzedzeniem.