Umowa Powierzenia Przetwarzania Danych

Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (dalej: „Umowa DPA") zawierana jest na podstawie art. 28 ust. 3 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) i stanowi integralną część Regulaminu serwisu GrafikGodzin.pl.

Administratorem danych jest Klient — podmiot rejestrujący konto w serwisie GrafikGodzin.pl (dalej: „Administrator"). Podmiotem przetwarzającym jest GrafikGodzin sp. z o.o. z siedzibą w Warszawie, ul. Złota 59, 00-120 Warszawa (dalej: „Procesor").

Umowa DPA wchodzi w życie automatycznie z chwilą zawarcia umowy o świadczenie usług (rejestracji konta) i obowiązuje przez cały czas korzystania z serwisu.

Procesor przetwarza dane osobowe wyłącznie w celu świadczenia usług objętych Regulaminem, tj. obsługi systemu grafiku pracy, ewidencji czasu pracy oraz generowania raportów kadrowych.

Kategorie danych osobowych objęte powierzeniem: - dane identyfikacyjne pracowników (imię, nazwisko, adres email) - dane ewidencji czasu pracy (godziny pracy, nieobecności, nadgodziny) - dane lokalizacyjne GPS (współrzędne w momencie clock in/out) - dane urządzenia mobilnego (opcjonalnie)

Kategorie osób, których dane dotyczą: pracownicy Administratora, współpracownicy i inne osoby wykonujące pracę na rzecz Administratora.

Przetwarzanie trwa przez czas obowiązywania umowy o świadczenie usług, chyba że przepisy prawa wymagają dłuższego przechowywania.

Procesor zobowiązuje się do:

1. przetwarzania danych wyłącznie na udokumentowane polecenie Administratora; 2. zapewnienia, by osoby upoważnione do przetwarzania danych zachowały poufność lub podlegały odpowiedniemu ustawowemu obowiązkowi poufności; 3. wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiedni do ryzyka (szyfrowanie TLS 1.3, bcrypt, kontrola dostępu, audyt); 4. niesprzedawania, nieujawniania ani niekopiowarnia danych do celów własnych lub podmiotów trzecich bez zgody Administratora; 5. usunięcia lub zwrotu wszelkich danych po zakończeniu świadczenia usług (w ciągu 30 dni od rozwiązania umowy) oraz usunięcia istniejących kopii; 6. udostępnienia Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO.

Procesor korzysta z usług następujących podprocesorów, którym powierzono przetwarzanie danych:

- Supabase Inc. (USA) — infrastruktura bazy danych; dane przechowywane w regionie eu-central-1 (Frankfurt, DE); zabezpieczenie: standardowe klauzule umowne UE (SCCs) - Amazon Web Services Inc. (USA) — infrastruktura serwerowa; region eu-central-1 (Frankfurt, DE); zabezpieczenie: SCCs + DPA AWS - Stripe Inc. (USA) — obsługa płatności; certyfikat PCI DSS Level 1; zabezpieczenie: SCCs

Procesor informuje Administratora o planowanych zmianach podprocesorów z co najmniej 14-dniowym wyprzedzeniem, umożliwiając wyrażenie sprzeciwu.

Wszystkie podpowierzenia odbywają się na podstawie umów nakładających na podprocesora obowiązki co najmniej równorzędne z wynikającymi z niniejszej Umowy DPA.

Procesor wspiera Administratora w realizacji obowiązków wynikających z rozdziału III RODO (prawa podmiotów danych), w szczególności:

- umożliwia eksport danych pracownika w formacie CSV na żądanie Administratora; - umożliwia anonimizację lub usunięcie danych konkretnego pracownika w panelu Ustawienia → RODO; - dostarcza narzędzia do ograniczenia zakresu przetwarzania (wyłączenie GPS, zmiana okresu retencji).

Zapytania dotyczące realizacji praw podmiotów danych kieruj na: privacy@grafikgodzin.pl

W przypadku wykrycia naruszenia ochrony danych osobowych Procesor powiadomi Administratora bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia, za pośrednictwem adresu email powiązanego z kontem Administratora.

Powiadomienie zawierać będzie co najmniej: opis charakteru naruszenia, kategorie i przybliżoną liczbę osób i rekordów, możliwe konsekwencje, zastosowane lub proponowane środki zaradcze.

Umowa DPA podlega prawu polskiemu i unijnemu (RODO). W sprawach nieuregulowanych zastosowanie mają przepisy RODO oraz Regulamin serwisu.

Umowa DPA zawierana jest automatycznie bez konieczności składania dodatkowych podpisów — stanowi integralną część Regulaminu akceptowanego przy rejestracji.

W przypadku pytań dotyczących przetwarzania danych lub żądania egzemplarza Umowy DPA w formie PDF skontaktuj się: privacy@grafikgodzin.pl