Umowa o przetwarzanie danych

Zgodnie z art. 28 RODO (Rozporządzenie o Ochronie Danych Osobowych)

Administrator

[NAZWA KLIENTA]

[ULICA KLIENTA]

[KOD POCZTOWY MIASTO], Niemcy

reprezentowany przez [PLACEHOLDER]

Podmiot przetwarzający

Packteam24.de Power GmbH

Am Altenwerder Kirchtal 1–3

21129 Hamburg, Niemcy

reprezentowany przez Przemyslaw Topolnicki, Prezes zarządu

§ 1 Wprowadzenie, zakres, definicje

1.1 Niniejsza umowa reguluje prawa i obowiązki Administratora i Podmiotu przetwarzającego (zwanych dalej „Stronami") w ramach przetwarzania danych osobowych w imieniu zgodnie z art. 28 RODO.

1.2 Niniejsza umowa ma zastosowanie do wszystkich czynności, w których Podmiot przetwarzający, jego pracownicy lub podwykonawcy przetwarzają dane osobowe Administratora.

1.3 Pojęcia użyte w niniejszej umowie należy rozumieć zgodnie z ich definicją w RODO.

§ 2 Przedmiot i czas trwania przetwarzania

2.1 Podmiot przetwarzający podejmuje się następujących czynności przetwarzania: Zbieranie/rejestracja, przechowywanie, wykorzystywanie danych pracowników i danych rejestracji czasu pracy od pracowników i administratorów Administratora w celu rejestracji czasu pracy i obecności.

2.2 Przetwarzanie trwa bezterminowo do czasu wypowiedzenia niniejszej umowy lub Umowy głównej przez którąkolwiek ze stron.

§ 3 Charakter i cel przetwarzania danych

3.1 Administrator korzysta z rozwiązania B2B SaaS „Workflex360 Time". Obejmuje to rejestrację czasu pracy (Web/Mobile/Kiosk), NFC check-in/check-out oraz opcjonalnie punktowy GPS dla zdarzeń rejestracji czasu pracy.

3.2 Przetwarzanie odbywa się w sposób: zbieranie, rejestrowanie, przechowywanie, odczytywanie, wykorzystywanie, przesyłanie w obrębie najemcy, ograniczanie, usuwanie oraz utrzymywanie logów bezpieczeństwa.

3.3 Przetwarzanie służy celom rejestracji czasu pracy i obecności, prowadzenia ewidencji, administracji wewnętrznej i optymalizacji procesów.

3.4 Przetwarzane są następujące kategorie danych osobowych:

ID pracownika
Imię i nazwisko/skrót pracowników
Przypisania (dział/lokalizacja/stanowisko)
Zdarzenia rejestracji czasu pracy (znacznik czasu, ID tagu NFC, ID terminala)
Opcjonalnie: punktowe współrzędne GPS
Dane konta administratora (imię i nazwisko, służbowy adres e-mail)
Opcjonalnie: tokeny Push dla mobilnych powiadomień push

3.5 Przetwarzaniem objęci są: Pracownicy Administratora i Administratorzy Administratora (kontekst B2B).

§ 4 Obowiązki Podmiotu przetwarzającego

4.1 Podmiot przetwarzający przetwarza dane osobowe wyłącznie zgodnie z umową lub zgodnie z poleceniami Administratora.

4.2 Podmiot przetwarzający potwierdza, że zna odpowiednie przepisy o ochronie danych i przestrzega zasad prawidłowego przetwarzania danych.

4.3-4.9 Podmiot przetwarzający zobowiązuje się do zachowania poufności, szkolenia personelu, wspierania Administratora w tworzeniu rejestru czynności przetwarzania i przeprowadzaniu oceny skutków dla ochrony danych.

4.10 Przetwarzanie w imieniu odbywa się zasadniczo w Niemczech lub w obrębie UE/EOG (infrastruktura chmurowa: Hetzner Online GmbH). Transfer do państw trzecich następuje tylko przy użyciu odpowiednich zabezpieczeń zgodnie z rozdziałem V RODO.

§ 5 Środki techniczne i organizacyjne

Środki bezpieczeństwa danych opisane w Załączniku 1 są ustanowione jako wiążące. Określają one minimum należne od Podmiotu przetwarzającego.

§ 6-16 Pozostałe postanowienia

Umowa zawiera również postanowienia dotyczące: korygowania, usuwania i blokowania danych (§6), relacji podprzetwarzania (§7), praw i obowiązków Administratora (§8), obowiązków powiadamiania (§9), instrukcji (§10), zakończenia zlecenia (§11), wynagrodzenia (§12), odpowiedzialności (§13-13b), kar umownych (§14), specjalnych praw wypowiedzenia (§15) oraz postanowień różnych (§16).

Załącznik 1 - Środki techniczne i organizacyjne

Kontrola dostępu fizycznego: Fizyczny dostęp do centrów danych tylko dla upoważnionego personelu
Kontrola dostępu do systemu: RBAC, MFA dla administratorów, automatyczne blokowanie
Kontrola dostępu do danych: Oddzielenie najemców, logowanie wszystkich dostępów
Kontrola przekazywania: TLS ≥ 1.2, szyfrowanie danych w spoczynku
Kontrola wprowadzania: Pełne logowanie, niezmienne logi audytu, przechowywanie 90 dni
Kontrola dostępności: Codzienne kopie zapasowe, geo-redundantne przechowywanie, RTO/RPO ≤ 24h
Reagowanie na incydenty: Pierwsza reakcja ≤ 2 godziny

Załącznik 2 - Zatwierdzeni podwykonawcy

Hetzner Online GmbH

Industriestr. 25, 91710 Gunzenhausen, Niemcy

Zakres: Hosting w chmurze i usługi kopii zapasowych w Niemczech lub UE

Apple Inc. (APNs)

One Apple Park Way, Cupertino, CA 95014, USA

Zakres: Dostarczanie powiadomień push do urządzeń iOS

Status: opcjonalny / tylko po aktywacji przez Administratora

Google LLC (FCM)

1600 Amphitheatre Parkway, Mountain View, CA 94043, USA

Zakres: Dostarczanie powiadomień push do urządzeń Android

Status: opcjonalny / tylko po aktywacji przez Administratora

Dostawcy płatności (PSP)

Stripe / Paddle / Lemon Squeezy

Zakres: Płatności/rozliczenia

Status: opcjonalny / tylko po aktywacji przez Administratora

Załącznik 3 - Upoważnione osoby do instrukcji

1. Wydawanie instrukcji (Administrator):

[PLACEHOLDER_NAZWA], [PLACEHOLDER_FUNKCJA], [PLACEHOLDER_EMAIL]

2. Odbiór instrukcji (Podmiot przetwarzający):

Workflex360 – Ochrona danych / Wsparcie
privacy@workflex360.com

Niniejsza umowa o przetwarzanie danych stanowi integralną część Umowy głównej SaaS Workflex360 Time.