Umowa powierzenia przetwarzania danych (DPA)

1. Role stron

W zakresie danych Podopiecznych wprowadzanych przez Trenera, Trener działa jako administrator danych w rozumieniu art. 4 pkt 7 RODO, a Operator jako podmiot przetwarzający w rozumieniu art. 4 pkt 8 RODO.

W zakresie danych konta Trenera Administratorem jest Operator – takie przetwarzanie nie jest objęte niniejszą umową powierzenia, lecz polityką prywatności Operatora.

2. Przedmiot, czas trwania, charakter i cel powierzenia

Przedmiotem powierzenia jest przetwarzanie danych Podopiecznych w celu świadczenia przez Operatora usług określonych w regulaminie CoachReview.

Charakter przetwarzania obejmuje zbieranie, utrwalanie, przechowywanie, organizowanie, modyfikowanie, wyświetlanie, udostępnianie wyłącznie na rzecz Trenera, ograniczanie i usuwanie danych w środowisku informatycznym Operatora.

Powierzenie obowiązuje przez czas obowiązywania umowy o korzystanie z serwisu i wygasa z chwilą jej rozwiązania, z zastrzeżeniem postanowień dotyczących usunięcia lub zwrotu danych.

3. Kategorie danych i kategorie osób

Powierzenie obejmuje dane identyfikacyjne i kontaktowe Podopiecznych, notatki treningowe, materiały, zadania, nagrania wideo, kalendarz dostępności oraz powiązane metadane techniczne.

Kategorie osób, których dane dotyczą: Podopieczni Trenera, ich opiekunowie prawni (jeżeli dotyczy) oraz inne osoby, których dane Trener wprowadza do serwisu w związku z prowadzoną działalnością trenerską.

4. Obowiązki podmiotu przetwarzającego

Operator przetwarza dane wyłącznie na udokumentowane polecenie Trenera, którym jest sama umowa, regulamin i konfiguracja konta. Jeżeli prawo Unii lub państwa członkowskiego nakłada na Operatora obowiązek przetwarzania, Operator informuje Trenera, chyba że prawo tego zabrania.

Operator zapewnia, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania tajemnicy lub podlegają ustawowemu obowiązkowi tajemnicy.

5. Bezpieczeństwo (art. 32 RODO)

Operator stosuje odpowiednie środki techniczne i organizacyjne zapewniające stopień bezpieczeństwa odpowiadający ryzyku, w tym szyfrowanie danych w tranzycie, kontrolę dostępu opartą na rolach, zasadę minimalnych uprawnień, monitorowanie zdarzeń bezpieczeństwa, regularne kopie zapasowe, polityki haseł oraz testy bezpieczeństwa.

Szczegółowy opis środków bezpieczeństwa jest udostępniany na żądanie Trenera w zakresie niezbędnym do wykazania zgodności z RODO.

6. Podprocesorzy

Trener wyraża ogólną zgodę na korzystanie przez Operatora z podprocesorów obejmujących w szczególności dostawców hostingu, obiektowego przechowywania plików, poczty transakcyjnej i operatora płatności. Aktualna lista podprocesorów jest udostępniana na żądanie pod adresem mindmotion.tech@gmail.com.

Operator informuje Trenera o planowanych zmianach dotyczących dodania lub zastąpienia podprocesora z co najmniej 30-dniowym wyprzedzeniem. Trener może wnieść uzasadniony sprzeciw; w razie braku możliwości znalezienia rozwiązania umowa może zostać rozwiązana zgodnie z procedurą wskazaną w regulaminie.

Operator zawiera z każdym podprocesorem umowę o zakresie ochrony danych nie niższym niż wynikający z niniejszej umowy oraz odpowiada wobec Trenera za działania i zaniechania podprocesorów.

7. Pomoc Administratorowi i naruszenia danych

Operator pomaga Trenerowi, w odpowiednim zakresie, w realizacji praw osób, których dane dotyczą oraz w wykonywaniu obowiązków z art. 32–36 RODO, w szczególności w zakresie bezpieczeństwa, zgłaszania naruszeń, oceny skutków dla ochrony danych i konsultacji z organem nadzorczym.

Operator informuje Trenera o stwierdzonym naruszeniu ochrony danych bez zbędnej zwłoki, nie później niż w ciągu 48 godzin od jego stwierdzenia, dostarczając informacje wymagane do zgłoszenia naruszenia organowi nadzorczemu.

8. Audyt

Operator udostępnia Trenerowi informacje niezbędne do wykazania zgodności z obowiązkami wynikającymi z RODO i umożliwia audyty (w tym inspekcje) prowadzone przez Trenera lub upoważnionego audytora, na zasadach uzgodnionych każdorazowo z Operatorem, z poszanowaniem tajemnicy przedsiębiorstwa i bezpieczeństwa innych klientów.

Operator może wykazać zgodność udostępniając aktualne raporty audytowe (np. SOC 2, ISO 27001) lub równoważne potwierdzenia własne i podprocesorów.

9. Transfery danych

Operator może przekazywać dane poza Europejski Obszar Gospodarczy wyłącznie z zastosowaniem odpowiednich zabezpieczeń, w tym standardowych klauzul umownych (SCC) lub innych mechanizmów zgodnych z rozdziałem V RODO. Lista podprocesorów zawiera lokalizację przetwarzania.

10. Zwrot lub usunięcie danych

Po zakończeniu świadczenia usługi Operator – zgodnie z wyborem Trenera dokonanym przed zakończeniem umowy – usuwa lub zwraca wszystkie dane osobowe oraz usuwa istniejące kopie, chyba że prawo Unii lub państwa członkowskiego nakazuje dalsze przechowywanie danych.

Trener może w każdej chwili wyeksportować dane Podopiecznych za pomocą funkcji eksportu udostępnionej w panelu serwisu.

11. Odpowiedzialność

Odpowiedzialność stron z tytułu naruszenia niniejszej umowy podlega ogólnym zasadom określonym w regulaminie, z zastrzeżeniem art. 82 RODO oraz przepisów bezwzględnie obowiązujących.