REGULAMIN powierzenia ENAF Sp. z o.o. czynności przetwarzania danych osobowych przez Klienta

§ 1. Definicje

Użyte w niniejszym Regulaminie określenia będą miały następujące znaczenie:

1. Rozporządzenie – oznacza rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
2. Usługi – oznaczają wszelkie usługi świadczone przez ENAF na rzecz Klienta na podstawie zamówień składanych przez Klienta, w tym w szczególności produkcja (drukowanie) wizytówek, identyfikatorów, pieczątek, papeterii itp.;
3. Administrator – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych;
4. Dane Osobowe – oznacza dane w rozumieniu przepisu art. 4 pkt 1) Rozporządzenia, a mianowicie wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, których przetwarzanie zostało powierzone ENAF przez Klienta na podstawie Umowy Powierzenia;
5. Naruszenie Ochrony Danych Osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych Osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
6. Organ Nadzorczy – oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 51 Rozporządzenia;
7. Przetwarzanie – oznacza operację lub zestaw operacji wykonywanych na Danych Osobowych lub zestawach Danych Osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
8. Podmiot Przetwarzający – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora;
9. Państwo Trzecie – oznacza państwo nienależące do Europejskiego Obszaru Gospodarczego;
10. ENAF - spółka pod firmą ENAF spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie, adres: adres: ul. Krakowiaków 16, 02-255 Warszawa, wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m.st. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000142756, posiadającą kapitał zakładowy w wysokości: 400.000,00 zł, NIP: 534-22-11-228;
11. Klient - podmiot, który złożył do ENAF zamówienie na świadczenie Usług przez ENAF;
12. Regulamin - niniejszy dokument obejmujący zasady powierzenia ENAF przez Klienta czynności przetwarzania Danych Osobowych, którego zaakceptowanie przez Klienta w formie elektronicznej (zgodnie z przepisem art. 28 ust. 9 Rozporządzenia) prowadzi do zawarcia Umowy Powierzenia pomiędzy ENAF i Klientem;
13. Umowa Powierzenia - umowa powierzenia przetwarzania Danych Osobowych, o której mowa w przepisie art. 28 ust. 3 Rozporządzenia, zawarta pomiędzy Klientem jako Administratorem a ENAF jako Podmiotem Przetwarzającym, poprzez zaakceptowanie przez Klienta niniejszego Regulaminu w formie elektronicznej (zgodnie z przepisem art. 28 ust. 9 Rozporządzenia).

 

§ 2. Dane Osobowe przetwarzane przez ENAF w imieniu Klienta

1. Klient, jako Administrator, działając na podstawie art. 28 ust. 3 Rozporządzenia, powierza ENAF, jako Podmiotowi Przetwarzającemu, przetwarzanie następujących kategorii Danych Osobowych:

a) imię i nazwisko;

b) stanowisko służbowe;

c) dane pracodawcy lub reprezentowanego podmiotu;

d) dane dotyczące grupy kapitałowej;

e) adres służbowy;

f)   adres e-mail;

g) telefon służbowy komórkowy;

h) telefon służbowy stacjonarny;

i)   numer fax;

j)   wizerunek (w przypadku zlecenia na produkty obejmujące zdjęcie osoby, której Dane Osobowe dotyczą);

k) inne Dane Osobowe mające być umieszczone na produktach przez ENAF zgodnie z zamówieniem Klienta oraz podane dobrowolnie przez Klienta; 

na potrzeby świadczenia Usług, do których realizacji ENAF zobowiązał się w zamówieniu.

1. ENAF, jako Podmiot Przetwarzający, przyjmuje Dane Osobowe do przetwarzania i zobowiązuje się je przetwarzać w imieniu Klienta na warunkach określonych w niniejszym Regulaminie.
2. Zakres powierzonych Danych Osobowych określa zamówienie składane przez Klienta do ENAF składane przy wykorzystaniu dedykowanych do tego systemów informatycznych (systemu on-line 5X9) lub w inny sposób (mailowy, telefoniczny itp.)

1. ENAF jest uprawniony do wykonywania na Danych Osobowych wszelkich zautomatyzowanych lub niezautomatyzowanych operacji przetwarzania uzasadnionych i niezbędnych dla realizacji Usług, które mogą obejmować m.in.: zbieranie, utrwalanie, organizowanie, porządkowanie, aktualizację, przechowywanie, archiwizowanie, modyfikowanie, pobieranie, kopiowanie, przeglądanie, wykorzystywanie, udostępnianie, usuwanie lub niszczenie.
2. Celem powierzenia przetwarzania Danych Osobowych jest należyte wykonanie Usług przez ENAF, w tym należyte wykonanie wszystkich zleconych wydruków, które mogą obejmować w swojej treści powierzone Dane Osobowe. ENAF jest uprawniony do przetwarzania Danych Osobowych wyłącznie w celach związanych z realizacją tych Usług świadczonych na rzecz Klienta na podstawie zamówień składanych przez Klienta.
3. Klient jako Administrator oświadcza, że spełnił wszelkie warunki legalności przetwarzania Danych Osobowych w świetle wymogów Rozporządzenia. Klient zobowiązuje się do pokrycia wszelkich szkód i kosztów poniesionych przez ENAF w związku z brakiem spełnienia warunku legalności w odniesieniu do którychkolwiek Danych Osobowych powierzonych do przetwarzania ENAF na podstawie Umowy Powierzenia.
4. Zgodnie z przepisem art. 28 ust. 3 lit. g) Rozporządzenia Klient powierza ENAF przetwarzanie Danych Osobowych w jego imieniu do dnia zakończenia świadczenia Usług, a mianowicie przez okres realizacji danego zamówienia złożonego przez Klienta oraz okres po jego zrealizowaniu (gdyż jest to niezbędne celem należytego wykonania przez ENAF danego zamówienia, w tym w szczególności celem dokonania korekty faktury wystawionej tytułem realizacji zamówienia, bądź rozpatrzenia przez ENAF reklamacji Klienta dotyczącej realizacji zamówienia), tj. do dnia upływu terminu 90 (dziewięćdziesięciu) dni kalendarzowych liczonych od ostatniego dnia miesiąca kalendarzowego, w którym zostało zrealizowane dane zamówienie złożone przez Klienta.

 

§ 3. Dalsze powierzenie przetwarzania Danych Osobowych przez ENAF

1. ENAF jest uprawniony, w odniesieniu do przetwarzania powierzonych mu Danych Osobowych, do korzystania z usług innego podmiotu przetwarzającego w trakcie realizacji przetwarzania Danych Osobowych na podstawie Umowy Powierzenia bez dodatkowej pisemnej zgody Klienta (ogólna pisemna zgoda Administratora, o której mowa w przepisie art. 28 ust. 2 Rozporządzenia).
2. Lista innych podmiotów przetwarzających Dane Osobowe jest udostępniana na każde życzenie Administratora pod następującym adresem: rodo@enaf.pl. ENAF przy każdym zapytaniu będzie aktualizował listę, o której mowa w zdaniu poprzedzającym, w zależności od rodzaju przetwarzania danych.

 

§ 4. Obowiązki ENAF

1. ENAF jest odpowiedzialny za ochronę powierzonych mu do przetwarzania Danych Osobowych.
2. ENAF podejmuje środki wymagane na mocy art. 32 Rozporządzenia w celu zapewnienia bezpieczeństwa Danych Osobowych, w tym zapewnia wdrożenie środków organizacyjnych i technicznych, mających zapewnić bezpieczeństwo przetwarzania Danych Osobowych określonych w Załączniku nr 1 do niniejszego Regulaminu.
3. ENAF zapewnia, by osoby upoważnione przez niego do przetwarzania Danych Osobowych zobowiązały się do zachowania tajemnicy Danych Osobowych i środków ich zabezpieczenia, zarówno w okresie realizacji zamówień składanych przez Klienta, jaki i po ich zrealizowaniu.
4. ENAF, biorąc pod uwagę charakter przetwarzania, jest obowiązany w miarę możliwości pomagać Klientowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia.
5. ENAF, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Klientowi wywiązać się z obowiązków określonych w art. 32–36 Rozporządzenia.
6. ENAF jest obowiązany udostępnić Klientowi informacje niezbędne do wykazania, iż spełnia obowiązki określone w niniejszym paragrafie oraz umożliwia Klientowi lub upoważnionemu przez niego audytorowi przeprowadzanie audytów zgodnie z zasadami, o których mowa w § 5 niniejszego Regulaminu i przyczynia się do nich.
7. W związku z obowiązkiem określonym w ust. 6 powyżej ENAF niezwłocznie poinformuje Klienta, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie Rozporządzenia.
8. ENAF poinformuje Klienta o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania Danych Osobowych przez ENAF, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania Danych Osobowych, skierowanej do ENAF, a także o wszelkich czynnościach kontrolnych podjętych wobec niego przez organ nadzorczy oraz o wynikach takiej kontroli, jeżeli jej zakresem objęto Dane Osobowe powierzone ENAF na podstawie Umowy Powierzenia.
9. ENAF po stwierdzeniu Naruszenia Ochrony Danych Osobowych jest zobowiązany bez zbędnej zwłoki zgłosić je Klientowi, wskazując w zgłoszeniu:
   1. charakter Naruszenia Ochrony Danych Osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów Danych Osobowych, których dotyczy naruszenie;
   2. opis możliwych konsekwencji Naruszenia Ochrony Danych Osobowych;
   3. opis środków zastosowanych lub proponowanych przez ENAF w celu zaradzenia Naruszeniu Ochrony Danych Osobowych, w tym opis działań podjętych w celu zminimalizowania ewentualnych negatywnych skutków naruszenia.

 

§ 5. Prawo audytu

1. Klient jest uprawniony do przeprowadzenia audytu przetwarzania Danych Osobowych w celu zweryfikowania, czy ENAF spełnienia obowiązki określone w § 4 niniejszego Regulaminu, z zachowaniem postanowień niniejszego paragrafu.
2. Audyt będzie prowadzony po podpisaniu przez Klienta i upoważnioną przez niego osobę przeprowadzającą audyt oświadczenia o zachowaniu poufności według wzoru przestawionego przez ENAF.
3. Prowadzenie audytu nie może naruszać zasad poufności ani innych zobowiązań wynikających z umów zawartych przez ENAF z osobami trzecimi oraz naruszać zasad przetwarzania danych osobowych w rozumieniu Rozporządzenia powierzonych ENAF przez osoby trzecie.
4. Klient jest zobowiązany do poinformowania ENAF o chęci, zakresie, dacie przeprowadzenia audytu z co najmniej z 21- (dwudziestojedno-) dniowym wyprzedzeniem na piśmie.
5. Strony ustalają następujące zasady prowadzenia audytu, o którym mowa w ust. 1 powyżej:

1. audyt może polegać zarówno na żądaniu przedstawienia dokumentów oraz informacji dotyczących przetwarzania Danych Osobowych, jak i na czynnościach kontrolnych prowadzonych w miejscu przetwarzania Danych Osobowych powierzonych na podstawie Umowy Powierzenia w trakcie dni roboczych (rozumianych jako dni od poniedziałku do piątku, z wyłączeniem sobót i świąt) w godzinach od 10:00 do 16:00,
2. Klient upoważni na piśmie swoich pracowników do przeprowadzenia audytu w jego imieniu.

1. Czynności kontrolne prowadzone w toku audytu, o których mowa w ust. 5 lit. a niniejszego paragrafu, mogą polegać wyłącznie na sporządzaniu:
   1. notatek z przeprowadzonych czynności (w szczególności notatek z odebranych wyjaśnień i przeprowadzonych oględzin);
   2. kopii dokumentów dotyczących przetwarzania Danych Osobowych powierzonych na podstawie Umowy Powierzenia;
   3. wydruków Danych Osobowych powierzonych na podstawie Umowy Powierzenia z systemów informatycznych;
   4. wydruków kopii obrazów wyświetlanych na ekranach urządzeń wchodzących w skład systemów informatycznych wykorzystywanych do przetwarzania Danych Osobowych powierzonych na podstawie Umowy Powierzenia;
   5. kopii zapisów rejestrów systemów informatycznych, o ile dotyczą Danych Osobowych powierzonych na podstawie Umowy Powierzenia;

- w odniesieniu do zasobów zaangażowanych w przetwarzanie powierzonych Danych Osobowych powierzonych na podstawie Umowy Powierzenia i w zakresie adekwatnym do wykazania wdrożenia odpowiednich w stosunku do ryzyka środków organizacyjnych i technicznych. ENAF ma prawo odmówić dostępu do swoich zasobów, w tym systemów informatycznych, jeżeli dostęp taki będzie oznaczał ryzyko dostępu (przetwarzania) przez audytorów Klienta do danych osobowych w rozumieniu Rozporządzenia, powierzonych ENAF do przetwarzania przez podmioty trzecie (w tym innym zleceniodawców i klientów ENAF).

1. Koszty wyżej wskazanego audytu ponosi wyłącznie Klient.
2. Klient niezwłocznie dostarcza ENAF raport z przeprowadzonego audytu celem jego potwierdzenia przez ENAF. W przypadku stwierdzenia w toku audytu niezgodności działań ENAF z niniejszym Regulaminem lub obowiązującymi przepisami o ochronie danych osobowych, do których stosowania ENAF jest zobowiązany, ENAF zapewni zgodność przetwarzania Danych Osobowych powierzonych na podstawie Umowy Powierzenia z postanowieniami niniejszego Regulaminu lub przepisami, których naruszenie stwierdzono w potwierdzonym przez ENAF raporcie z audytu.

 

§ 6. Odpowiedzialność Stron

1. ENAF odpowiada za szkody, jakie powstaną z jego winy u Klienta lub osób trzecich w wyniku niezgodnego z niniejszym Regulaminem przetwarzania przez ENAF Danych Osobowych powierzonych na podstawie Umowy Powierzenia.
2. W przypadku niewykonania lub nienależytego wykonania przez ENAF Umowy Powierzenia, ENAF ponosi odpowiedzialność na zasadach ogólnych, z zastrzeżeniem że łączna kwota odpowiedzialności ENAF w zakresie dopuszczalnym obowiązującymi przepisami prawa nie przekroczy kwoty 50.000 zł. Wyłącza się odpowiedzialność ENAF z tytułu utraconych korzyści.

 

§ 7. Postanowienia końcowe

Załącznik nr 1 do niniejszego Regulaminu obejmujący listę wdrożonych przez ENAF środków organizacyjnych i technicznych, mających zapewnić bezpieczeństwo przetwarzania Danych Osobowych, stanowi jej integralną część.

 

Załącznik nr 1 do Regulaminu powierzenia

ENAF Sp. z o.o. czynności przetwarzania danych osobowych przez klienta

ENAF zobowiązuje się do wdrożenia następujących środków organizacyjnych i technicznych, mających zapewnić bezpieczeństwo przetwarzania Danych Osobowych powierzonych mu przez Klienta na podstawie Umowy Powierzenia:

1.    Ciągłe uświadamianie personelu (pracowników i innych osób współpracujących na podstawie umów cywilnoprawnych) ENAF odnośnie zagrożeń związanych z cyberprzestępczością oraz niewłaściwą ochroną informacji oraz uczenie metod obrony przed tymi zagrożeniami.

2.    Zapewnienie powszechnego i ciągłego działania w systemach ENAF programów antywirusowych posiadających aktualne definicje wirusów oraz odpowiednio skonfigurowanych programów lub urządzeń blokujących wykonanie podejrzanych operacji w systemach.

3.    Niezwłoczna aktualizacja używanego oprogramowania, zarówno użytkowego jak i systemowego, w przypadku, gdy jego producent opublikuje poprawkę podnoszącą poziom bezpieczeństwa lub usuwającą podatność na cyberatak.

4.    Zabezpieczenie posiadanych sieci komputerowych, zarówno przewodowych jak i bezprzewodowych, poprzez odpowiednią konfigurację urządzeń i systemów umożliwiającą blokowanie podejrzanej transmisji danych.

5.    Zarządzanie dostępem zarówno do pomieszczeń jak i do systemów oraz programów komputerowych poprzez audytowalny proces nadawania, przeglądu i odbierania uprawnień oraz stosowanie bezpiecznych mechanizmów uwierzytelniania.

6.    Silne szyfrowanie danych na urządzeniach przenośnych (takich jak laptopy czy smartfony) i pamięciach zewnętrznych (np. karty SD) a także silne szyfrowanie komunikacji odbywającej się przy pomocy sieci zewnętrznej Internet, o ile przenoszone lub przesyłane są dane osobowe, w których posiadanie ENAF wejdzie podczas realizacji powierzonych przez Klienta czynności.

7.    Zapewnienie kontrolowanego sposobu wprowadzania zmian w środowisku ENAF, poprzedzonego formalnym procesem testowym oraz uwzględniającego walidację powdrożeniową.

8.    Przechowywanie kopii bezpieczeństwa posiadanych informacji w bezpiecznej lokalizacji i zabezpieczonych przed nieautoryzowanym dostępem.

9.    Zapewnienie kontrolowanego sposobu zarządzania cyklem życia informacji zarówno w formie elektronicznej jak i trwałej, w szczególności jej bezpieczne pozyskiwanie, przetwarzanie, przechowywanie i usuwanie.

10.   Zapewnienie nadzoru nad osobami niebędącymi personelem ENAF a przebywającymi w siedzibie ENAF, wykluczającego ich dostęp do danych osobowych.

11.   Posiadanie udokumentowanej polityki ochrony danych osobowych lub innych aktów  wewnętrznych obowiązujących w przedsiębiorstwie ENAF określających zasady bezpieczeństwa informacji,  zarządzania takim systemem oraz informowania Klienta o naruszeniach ochrony danych osobowych, zgodnych z obowiązującymi przepisami w zakresie przetwarzania danych osobowych.

12.   Zapewnienie regularnego (co najmniej raz na rok) testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

13.   Posiadanie i regularne testowanie planów awaryjnych, które, w przypadku wystąpienia zdarzeń uniemożliwiających należyte wywiązanie się z powierzonych mu przez Klienta czynności, zapewnią ciągłość wykonywania tych czynności, w tym w szczególności planów działania przewidujących sposoby odzyskiwania danych chroniące przed ich utratą spowodowaną awarią zasilania, innymi awariami lub zakłóceniami, działaniami osób i podmiotów trzecich oraz innymi zdarzeniami losowymi.

 

Najnowsza wersja naszej Polityki Prywatności jest zawsze dostępna w naszym tutaj.