1. Niniejszy Regulamin powierzania przetwarzania danych osobowych został przyjęty przez:
„LINK” Spółka z ograniczoną odpowiedzialnością z siedzibą w Wiązownie, ul. Nadrzeczna 17, 05-462 Wiązowna, wpisanej do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla m.st. Warszawy w Warszawie, XIV Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS: 0000140604, NIP: 5210086737, REGON: 008055532 (dalej: LINK),
z uwagi na fakt, że:
1) Od dnia 25 maja 2018 roku rozpoczęło się stosowanie przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
2) W ramach prowadzenia działalności transportowej i spedycyjnej i zawierania oraz wykonywania umów przewozu LINK uczestniczy w procesach Przetwarzania Danych Osobowych, pełniąc zarówno funkcję Administratora Danych Osobowych, powierzającego Przetwarzanie Danych Osobowych innym przewoźnikom oraz zleceniodawcom przewozu, jak również funkcję podmiotu Przetwarzającego Dane Osobowe w imieniu Administratora, którym w takim przypadku może być inny przewoźnik lub zleceniodawca przewozu.
3) Celem LINK jest ustalenie warunków, na jakich każdorazowo, w ramach zawierania i wykonywania umów przewozu, podmiot Przetwarzający Dane Osobowe wykonywać będzie operacje Przetwarzania Danych Osobowych w imieniu Administratora, tak, aby odpowiadały one w pełni przepisom RODO oraz innym przepisom prawa powszechnie obowiązującego.
2. Definicje
2.1. „Dane Osobowe” | oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. |
2.2. „Przetwarzanie” | oznacza operację lub zestaw operacji wykonywanych na Danych Osobowych lub zestawach Danych Osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczenie, usuwanie lub niszczenie oraz inne formy przetwarzania w rozumieniu RODO. |
2.3. „Klient LINK” | oznacza podmiot, który zleca LINK wykonanie lub organizację przewozu towarów. |
2.4. „Podwykonawca LINK” | oznacza podmiot, któremu LINK zleca wykonanie przewozu towarów uprzednio zleconego LINK przez Klienta LINK. |
2.5. „Administrator” | oznacza osobę fizyczną lub prawną, która samodzielnie lub wspólnie z innymi ustala cele i sposoby Przetwarzania Danych Osobowych; w ramach niniejszego Regulaminu za Administratora będzie uważany: 2.5.1. LINK – w odniesieniu do Danych Osobowych jego pracowników i współpracowników (w tym kierowców), w postaci imienia, nazwiska, nazwy stanowiska, służbowego numeru telefonu oraz adresu e-mail i innych danych kontaktowych, numeru dokumentu tożsamości, których Przetwarzanie powierza Klientowi LINK lub Podwykonawcy LINK, a także w odniesieniu do Danych Osobowych Klienta LINK, w postaci imienia, nazwiska, adresów, telefonów kontaktowych, numeru NIP, których Przetwarzanie powierza Podwykonawcy LINK; 2.5.2. Klient LINK – w odniesieniu do Danych Osobowych jego pracowników i współpracowników, w postaci imienia, nazwiska, nazwy stanowiska, służbowego numeru telefonu oraz adresu e-mail i innych danych kontaktowych, oraz w odniesieniu do Danych Osobowych zleceniodawcy przewozu, nadawcy i odbiorcy przesyłki oraz innych uczestników przewozu, w postaci imienia, nazwiska, adresów, telefonów kontaktowych, numeru NIP, których Przetwarzanie powierza LINK; 2.5.3. Podwykonawca LINK – w odniesieniu do Danych Osobowych jego pracowników i współpracowników (w tym kierowców), w postaci imienia, nazwiska, nazwy stanowiska, służbowego numeru telefonu oraz adresu e-mail i innych danych kontaktowych, numeru dokumentu tożsamości, których Przetwarzanie powierza LINK. |
2.6. „Przetwarzający” | oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który Przetwarza Dane Osobowe w imieniu Administratora; w ramach niniejszego Regulaminu za Przetwarzającego będzie uważany: 2.6.1. LINK – w odniesieniu do Danych Osobowych pracowników i współpracowników Klienta LINK lub Podwykonawcy LINK oraz w odniesieniu do Danych Osobowych zleceniodawcy przewozu, nadawcy i odbiorcy przesyłki oraz innych uczestników przewozu, których Przetwarzanie zostało powierzone LINK przez Klienta LINK; 2.6.2. Klient LINK – w odniesieniu do Danych Osobowych pracowników i współpracowników (w tym kierowców) LINK; 2.6.3. Podwykonawca LINK – w odniesieniu do Danych Osobowych pracowników i współpracowników LINK. |
2.7. „Podmiot Podprzetwarzający” | oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który Przetwarza Dane Osobowe w imieniu Przetwarzającego; w szczególności w ramach niniejszego Regulaminu za Podmiot Podprzetwarzający będzie uważany: 2.7.1. LINK – w odniesieniu do Danych Osobowych pracowników i współpracowników (w tym kierowców) podmiotów, którym Podwykonawca LINK zlecił dalej wykonanie przewozu towarów (w sposób zgodny z warunkami Umowy Przewozu), oraz w odniesieniu do Danych Osobowych zleceniodawcy przewozu, nadawcy i odbiorcy przesyłki oraz innych uczestników przewozu, jeżeli Klient LINK jest podmiotem przetwarzającym te Dane Osobowe i dalej powierza ich Przetwarzanie LINK; 2.7.2. Klient LINK – w odniesieniu do Danych Osobowych pracowników i współpracowników (w tym kierowców) Podwykonawcy LINK i ewentualnych dalszych podwykonawców przewozu towarów; 2.7.3. Podwykonawca LINK – w odniesieniu do Danych Osobowych Klienta LINK, zleceniodawcy przewozu, nadawcy i odbiorcy przesyłki oraz innych uczestników przewozu. |
2.8. „RODO” | oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). |
2.9. „Regulamin” | oznacza niniejszy Regulamin powierzania przetwarzania danych osobowych w LINK Sp. z o.o. z siedzibą w Wiązownie. |
2.10. „Umowa Przewozu” | oznacza umowę zawartą pomiędzy Administratorem a Przetwarzającym, w związku z zawarciem lub wykonywaniem której Administrator powierza Przetwarzającemu Przetwarzanie Danych Osobowych. |
3. Przedmiot Umowy
3.1. Poprzez przystąpienie do wykonywania Umowy Przewozu Administrator, będąc uprawnionym do Przetwarzania Danych Osobowych określonych w pkt 2.5, powierza Przetwarzającemu, w trybie art. 28 RODO, te Dane Osobowe do Przetwarzania, na zasadach i w celu określonym w Regulaminie, Umowie Przewozu oraz w pisemnych poleceniach Administratora.
3.2. Przetwarzający zobowiązuje się Przetwarzać powierzone mu Dane Osobowe zgodnie z Regulaminem, Umową Przewozu, przepisami RODO oraz innymi przepisami prawa powszechnie obowiązującego.
3.3. W przypadku, gdy którekolwiek postanowienie Regulaminu, umów lub poleceń określonych w punkcie 3.1 powyżej naruszy przepisy RODO lub inne przepisy prawa powszechnie obowiązującego, Przetwarzający niezwłocznie poinformuje o tym fakcie Administratora. W takiej sytuacji Strony niezwłocznie przystąpią do analizy prawnej oraz negocjacji w zakresie postanowień lub poleceń niezgodnych z przepisami RODO lub innymi przepisami prawa powszechnie obowiązującego.
3.4. W celu uniknięcia wątpliwości, z tytułu realizacji obowiązków wynikających z Regulaminu, Przetwarzającemu nie przysługuje wynagrodzenie ani prawo do żądania podwyższenia wynagrodzenia należnego Przetwarzającemu, wynikającego z Umowy Przewozu.
3.5. Jeżeli należyta realizacja obowiązków Przetwarzającego wynikających z realizacji Regulaminu oraz Umowy Przewozu będzie tego wymagała, Przetwarzający może dokonać dalszego powierzenia Przetwarzania Danych Osobowych – w zakresie nieprzekraczającym zakresu Przetwarzania przewidzianego Regulaminem. Uprawnienie do dalszego powierzenia Przetwarzania Danych Osobowych przez Przetwarzającego nie obejmuje uprawnienia do przekazywania Danych Osobowych do państwa trzeciego w rozumieniu RODO. W takim przypadku wymagana jest uprzednia zgoda Administratora wyrażona w formie pisemnej lub elektronicznej.
3.6. Warunkiem dalszego powierzenia Danych Osobowych przez Przetwarzającego jest uprzednie powiadomienie Administratora o tym fakcie i uzyskanie jego zgody, z jednoczesnym oświadczeniem Przetwarzającego, że podmiot, któremu Dane Osobowe zostaną dalej powierzone przez Przetwarzającego, spełnia wymogi, o których mowa w Regulaminie (w tym minimalne wymogi określone w Załączniku do Regulaminu), Umowie Przewozu, RODO i innych przepisach prawa powszechnie obowiązującego i zostanie to zagwarantowane w umowie dalszego powierzenia Przetwarzania Danych Osobowych. Uprawnienia podmiotu, któremu Przetwarzający dalej powierzy Przetwarzanie Danych Osobowych, nie mogą być szersze, aniżeli uprawnienia Przetwarzającego wynikające z Regulaminu oraz z Umowy Przewozu. Zabronione jest umożliwienie dostępu do Danych Osobowych powierzonych Przetwarzającemu przez Administratora podmiotom, z którymi nie została zawarta umowa powierzenia Przetwarzania Danych Osobowych lub inny instrument prawny wiążący taki podmiot (za wyjątkiem podmiotów Przetwarzających Dane Osobowe z upoważnienia Administratora lub Przetwarzającego).
3.7. Jeżeli Umowa Przewozu wymaga wyraźnej zgody Administratora do zaangażowania Podmiotu Podprzetwarzającego (zgoda na wykonanie przewozu za pośrednictwem Podwykonawcy), taka zgoda lub brak zgody jest równoznaczny ze zgodą lub brakiem zgody na dalsze powierzenie Przetwarzania Danych Osobowych.
3.8. Uprawnienie, o którym mowa w punkcie 3.5 powyżej, nie wyłącza możliwości wyrażenia przez Administratora sprzeciwu wobec dalszego powierzenia, który Administrator może wyrazić w terminie 24 (dwudziestu czterech) godzin od poinformowania go o zamiarze dalszego powierzenia Danych Osobowych. Brak reakcji Administratora w terminie, o którym mowa w zdaniu poprzednim, jest równoznaczny z brakiem sprzeciwu, chyba że Umowa Przewozu wyraźnie stanowi o wymogu uzyskania zgody Administratora na dalsze powierzenie Przetwarzania Danych Osobowych w postaci wykonania przewozu za pośrednictwem podwykonawcy.
4. Okres powierzenia Przetwarzania Danych Osobowych
4.1. Przetwarzający uprawniony jest do Przetwarzania powierzonych Danych Osobowych przez czas niezbędny do wykonania Umowy Przewozu oraz okres przedawnienia roszczeń wynikających z Umowy Przewozu.
4.2. Przetwarzający, w terminie uzasadnionym względami technicznymi, lecz w żadnym wypadku nie później niż w ciągu 14 (czternastu) dni od upływu okresu Przetwarzania powierzonych Danych Osobowych, zobowiązuje się, zależnie od decyzji Administratora do:
4.2.1. nieodwracalnej anonimizacji wszystkich powierzonych Danych Osobowych oraz usunięcia ich kopii; albo
4.2.2. zwrócenia administratorowi wszystkich powierzonych Danych Osobowych oraz usunięcia ich kopii, chyba że właściwe przepisy prawa nakazują przechowywanie tych Danych Osobowych przez Przetwarzającego.
5. Obowiązki Stron
5.1. Dostęp do powierzonych Przetwarzającemu Danych Osobowych mogą mieć jedynie pracownicy lub współpracownicy Przetwarzającego, którzy otrzymali jego upoważnienie do Przetwarzania tych danych, poprzedzone złożeniem przez te osoby oświadczenia o zachowaniu tych danych oraz sposobu ich zabezpieczenia w tajemnicy.
5.2. Przetwarzający zobowiązany jest zapewnić bezpieczeństwo Przetwarzania powierzonych Danych Osobowych poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych, adekwatnych do rodzaju powierzonych danych oraz ryzyka naruszenia praw osób, których te dane dotyczą. Przetwarzający oświadcza, że znane mu są zasady Przetwarzania i zabezpieczenia Danych Osobowych wynikające z RODO oraz innych przepisów prawa powszechnie obowiązującego. Ponadto Przetwarzający oświadcza, że posiada wiedzę fachową, wiarygodność, zasoby infrastrukturalne oraz niezbędne środki techniczne i organizacyjne, mające na celu zapewnienie zgodności Przetwarzania Danych Osobowych z przepisami RODO oraz stosuje środki bezpieczeństwa spełniające wymogi RODO oraz pozwalające na należyte wykonanie postanowień Regulaminu. Na żądanie Administratora, Przetwarzający okaże Administratorowi dowody na potwierdzenie prawdziwości powyższego oświadczenia.
5.3. Wykaz minimalnych środków technicznych i organizacyjnych, jakie ma obowiązek stosować Przetwarzający w celu ochrony Danych Osobowych, został określony w Załączniku do Regulaminu. Zmieniając lub aktualizując te środki, Przetwarzający nie może obniżyć poziomu ochrony Danych Osobowych poniżej określonego w Załączniku.
5.4. Przetwarzający jest zobowiązany współpracować z Administratorem w zakresie udzielania odpowiedzi na żądania osób, których Dane Osobowe dotyczą, opisanych w rozdziale III RODO (żądania w zakresie prawa do informowania i przejrzystej komunikacji, dostępu do Danych Osobowych, sprostowania, usunięcia, ograniczenia Przetwarzania, przenoszenia Danych Osobowych, sprzeciwu wobec Przetwarzania Danych Osobowych). W tym celu Przetwarzający zobowiązany jest niezwłocznie poinformować Administratora o każdym żądaniu osoby uprawnionej w ramach wykonywania przez tę osobę praw wynikających z RODO oraz udzielania Administratorowi wszelkich niezbędnych informacji w tym zakresie.
5.5. Mając na uwadze charakter Przetwarzania powierzonych Danych Osobowych oraz dostępnych Przetwarzającemu informacji, Przetwarzający zobowiązany jest wspierać Administratora w wywiązywaniu się przez Administratora z obowiązków w zakresie bezpieczeństwa danych, zarządzania naruszeniami ochrony Danych Osobowych oraz ich zgłaszania do organu nadzoru oraz osoby, której dane dotyczą, a także, w razie zaistnienia takiego obowiązku, dokonywania oceny skutków dla ochrony danych oraz prowadzenia konsultacji w tym zakresie z organem nadzoru (art. 32-36 RODO).
5.6. Przetwarzający zobowiązany jest niezwłocznie po stwierdzeniu naruszenia ochrony Danych Osobowych, nie później jednak niż w terminie 24 h od stwierdzenia takiego naruszenia, poinformować o tym Administratora, przekazując mu jednocześnie możliwie szczegółowe informacje o charakterze naruszenia, możliwych konsekwencjach i zastosowanych lub planowanych środkach w celu zaradzenia naruszeniu.
6. Polecenia Administratora
6.1. Przetwarzający Przetwarza Dane Osobowe wyłącznie na podstawie udokumentowanych poleceń Administratora. Regulamin oraz Umowa Przewozu stanowią pełne i ostateczne udokumentowane polecenia dla Przetwarzającego dotyczące Przetwarzania Danych Osobowych.
6.2. Wszelkie polecenia dodatkowe Administrator może wydawać w formie e-mail, jednak nie mogą one wykraczać poza zakres związany z wykonaniem Umowy Przewozu i niezbędny dla jej wykonania. Z tytułu wydania nowych poleceń Przetwarzającemu nie przysługuje odrębne wynagrodzenie ani prawo do żądania podwyższenia wynagrodzenia należnego Przetwarzającemu, wynikającego z Umowy Przewozu.
6.3. Przetwarzający może odmówić wykonania poleceń, o których mowa w pkt. 6.2, w przypadku, gdy dane polecenie jest sprzeczne z RODO. W takim przypadku Przetwarzający jest zobowiązany do niezwłocznego, nie później niż w terminie 24 godzin, przesłania Administratorowi uzasadnienia odmowy.
7. Prawo kontroli
7.1. Przetwarzający zobowiązany jest udzielać Administratorowi wszelkich informacji niezbędnych dla wykazania przez Administratora wywiązywania się ze wszystkich obowiązków określonych w Regulaminie, Umowie Przewozu, przepisach RODO i innych przepisach prawa powszechnie obowiązującego.
7.2. Administrator jest uprawniony do przeprowadzania audytów zgodności Przetwarzania przez Przetwarzającego powierzonych Danych Osobowych z przepisami RODO, innymi przepisami prawa powszechnie obowiązującego, postanowieniami Regulaminu oraz Umowy Przewozu, polegających w szczególności na żądaniu udzielenia pisemnej informacji lub wyjaśnień, przekazania dokumentacji dotyczącej bezpieczeństwa Danych Osobowych u Przetwarzającego lub Podmiotów Podprzetwarzających, oraz inspekcjach miejsc Przetwarzania Danych Osobowych przez Przetwarzającego lub Podmioty Podprzetwarzające. Przetwarzający ma prawo do odmowy udzielenia pisemnej informacji lub wyjaśnień lub udzielenia dostępu do miejsc Przetwarzania Danych Osobowych jedynie w takim zakresie, w którym audyt mógłby zagrażać ujawnieniu innych Danych Osobowych, aniżeli Przetwarzane przez Przetwarzającego na mocy Regulaminu lub Umowy Przewozu.
7.3. Informacja o planowanej inspekcji miejsca Przetwarzania Danych Osobowych zostanie przekazana Przetwarzającemu z co najmniej 7-dniowym wyprzedzeniem, z jednoczesnym wskazaniem zakresu inspekcji oraz listy osób upoważnionych przez Administratora do przeprowadzenia inspekcji. W przypadku, gdyby przedstawiony przez Administratora zakres inspekcji bądź narzędzia do wykonania czynności podczas inspekcji stanowiły naruszenie przepisów prawa ochrony danych przez Przetwarzającego, jest on uprawniony do sprzeciwienia się przeprowadzeniu przez Administratora inspekcji, jednocześnie zobowiązany jest do niezwłocznego powiadomienia o tym fakcie Administratora w formie elektronicznej lub pisemnej.
7.4. Administratorowi przysługuje prawo wydawania Przetwarzającemu rekomendacji co do sposobu Przetwarzania powierzonych Danych Osobowych oraz stosowanych przez Przetwarzającego środków technicznych i organizacyjnych zabezpieczających powierzone Dane Osobowe. Rekomendacja zobowiązuje Przetwarzającego do weryfikacji możliwości jej wdrożenia w wewnętrzne procedury Przetwarzania Danych Osobowych i nie może zakładać naruszenia przepisów prawa powszechnie obowiązującego w przypadku jej wdrożenia przez Przetwarzającego.
7.5. Przetwarzający zobowiązany jest niezwłocznie powiadomić Administratora o wszelkich skargach, pismach, kontrolach organu nadzoru, postępowaniach sądowych i administracyjnych pozostających w związku z powierzonymi Danymi Osobowymi oraz współdziałać z Administratorem w tym zakresie, w szczególności poprzez udostępnianie Administratorowi wszelkiej dokumentacji z tym związanej.
7.6. Przetwarzający zobowiązuje się do niezwłocznego usunięcia wszelkich ewentualnych uchybień stwierdzonych podczas audytu.
8. Zasady zachowania poufności
8.1. Przetwarzający zobowiązuje się do zachowania w tajemnicy oraz zabezpieczenia przed ujawnieniem lub niepożądanym wykorzystaniem wszelkich informacji, danych, materiałów, dokumentów i Danych Osobowych otrzymanych od Administratora oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej.
8.2. Z zastrzeżeniem postanowień Regulaminu, Umowy Przewozu, przepisów RODO i innych przepisów prawa powszechnie obowiązującego, Strony mają obowiązek ochrony informacji poufnych, niezależnie od formy ich przekazania i Przetwarzania (dalej: „Informacje poufne”), takich jak:
8.2.1. Dane Osobowe, w tym w szczególności Dane Wrażliwe;
8.2.2. informacje stanowiące tajemnicę przedsiębiorstwa (w rozumieniu ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji);
8.2.3. informacje wymagające ochrony bez względu na fakt, czy są one utrwalone w formie pisemnej lub w jakikolwiek inny sposób, zapisane w jakiejkolwiek formie i na jakimkolwiek nośniku, dotyczące Administratora lub jego klientów, kontrahentów, dostawców, a także informacje dotyczące usług, polityki cenowej, sprzedaży, wynagrodzeń pracowników, które Przetwarzający otrzymał w związku z zawarciem lub wykonaniem Umowy Przewozu lub o których dowiedział się, czy też do których miał dostęp lub będzie w ich posiadaniu w związku z prowadzonymi rozmowami i negocjacjami, a które nie są powszechnie znane.
8.3. Strony w szczególności zapewniają, że:
8.3.1. wszelkie przekazane, udostępnione lub ujawnione przez drugą Stronę Informacje poufne będą chronione i zachowane w tajemnicy, w sposób zgodny z obowiązującymi przepisami prawa oraz postanowieniami Regulaminu oraz Umowy Przewozu;
8.3.2. uzyskane Informacje poufne zostaną użyte i wykorzystane wyłącznie w celu, w jakim zostały przekazane, udostępnione lub ujawnione, chyba że konieczność wykorzystania ich w innym celu wynika z przepisów RODO lub innych powszechnie obowiązujących przepisów prawa;
8.3.3. posiadane Informacje poufne nie zostaną przekazane ani ujawnione żadnej osobie trzeciej – bezpośrednio ani pośrednio – bez uprzedniej zgody drugiej Strony, wyrażonej w formie pisemnej, chyba że obowiązek lub potrzeba ich ujawnienia lub przekazania wynika z przepisów RODO lub innych powszechnie obowiązujących przepisów prawa;
8.3.4. będą chronić na swój koszt Informacje poufne poprzez dołożenie najwyższego poziomu staranności przy zapewnieniu odpowiedniej infrastruktury zabezpieczającej przed ich nieuprawnionym ujawnieniem.
8.4. Strony zobowiązują się nie kopiować ani w inny sposób nie powielać dostarczonych przez drugą Stronę Informacji poufnych lub ich części, z wyjątkiem przypadków, kiedy jest to niezbędne w celu, dla jakiego zostały przekazane. Wszelkie wykonane w takim przypadku kopie lub reprodukcje Informacji poufnych, utrwalone na jakichkolwiek nośnikach informacji, łącznie z nośnikami elektronicznymi, pozostają własnością Strony dostarczającej Informacje poufne i zostaną wydane, zniszczone albo skutecznie usunięte z nośników informacji na jej żądanie.
8.5. Przetwarzający zobowiązuje się uzyskać od osób biorących udział w Przetwarzaniu (podmiotów wyznaczonych do wykonania Umowy Przewozu) pisemne zobowiązania do przestrzegania poufności Informacji poufnych, chyba że osoby te są objęte obowiązkiem ustawowym do zachowania tajemnicy.
8.6. Strony będą zwolnione z obowiązku zachowania w tajemnicy Informacji poufnych w przypadku, gdy obowiązek ujawnienia Informacji poufnych wynikać będzie z powszechnie obowiązujących przepisów prawa bądź też z prawomocnego orzeczenia lub decyzji sądu lub organu. Przy każdorazowym powzięciu informacji o takim obowiązku Strona zobowiązania do ujawnienia Informacji poufnych będzie obowiązana do:
8.6.1. ujawnienia tylko takiej części Informacji poufnych, jaka jest wymagana przez prawo;
8.6.2. podjęcia wszelkich możliwych działań w celu zapewnienia, iż ujawnione Informacje poufne będą traktowane w sposób poufny i wykorzystywane tylko w zakresie uzasadnionym celem ujawnienia.
8.7. Zobowiązanie Przetwarzającego do zachowania poufności w odniesieniu do Danych Osobowych powierzonych w związku z Umową Przewozu jest nieograniczone w czasie i trwa niezależnie od wygaśnięcia lub rozwiązania Umowy Przewozu.
9. Postanowienia końcowe
9.1. Niniejszy Regulamin stanowi inny instrument prawny wiążący Przetwarzającego w przedmiocie powierzenia przetwarzania Danych Osobowych, o którym mowa w art. 28 ust. 3 RODO, i zostaje opublikowany na stronie internetowej LINK. Postanowienia Regulaminu są stosowane od dnia 25 maja 2018 r.
9.2. Postanowienia Regulaminu zastępują wszelkie inne ustalenia dokonane pomiędzy stronami dotyczące powierzenia Przetwarzania Danych Osobowych i są nadrzędne nad postanowieniami Umowy Przewozu. Stosowanie postanowień Regulaminu może zostać wyłączone jedynie w przypadku zawarcia przez Strony odrębnej pisemnej umowy powierzenia Przetwarzania Danych Osobowych.
9.3. LINK jest uprawniony do dokonywania zmian Regulaminu poprzez opublikowanie na swojej stronie internetowej jego nowej treści. Nowa treść Regulaminu znajduje zastosowanie do powierzenia Przetwarzania Danych Osobowych w ramach każdej Umowy Przewozu zawieranej po dokonaniu zmiany Regulaminu.
9.4. Wszelkie zawiadomienia i oświadczenia kierowane do LINK na podstawie lub w związku z Regulaminem będą dokonywane w formie elektronicznej na adres e-mail: daneosobowe@linktransport.eu.
9.5. Sądem właściwym dla rozpatrzenia sporów wynikających z Regulaminu lub z nim związanych będzie sąd powszechny właściwy dla siedziby LINK.
ZAŁĄCZNIK
DO REGULAMINU POWIERZANIA PRZETWARZANIA DANYCH OSOBOWYCH
WYKAZ MINIMALNYCH ŚRODKÓW ORGANIZACYJNYCH I TECHNICZNYCH U PODMIOTU PRZETWARZAJĄCEGO
1. Niniejszy Załącznik ustanawia minimalne standardy środków organizacyjnych i technicznych, które muszą zostać zapewnione przez Przetwarzającego przy Przetwarzaniu Danych Osobowych powierzonych Przetwarzającemu przez Administratora.
2. Przetwarzający jest obowiązany wdrożyć dokumentację i procesy zapewniające ochronę Danych Osobowych w sposób określony w RODO, w szczególności:
2.1. własną dokumentację ochrony Danych Osobowych, uwzględniając charakter, zakres, kontekst i cele Przetwarzania Danych Osobowych oraz ryzyko naruszenia praw lub wolności osób fizycznych;
2.2. rejestr czynności Przetwarzania Danych Osobowych oraz rejestr kategorii czynności Przetwarzania, jeżeli przepisy RODO go do tego zobowiązują;
2.3. procedurę zapewniania osobom, których Dane Osobowe dotyczą, prawa dostępu do danych;
2.4. procedurę działania w sytuacjach naruszeń ochrony Danych Osobowych;
2.5. procedurę ograniczenia Przetwarzania Danych Osobowych oraz usuwania danych nadmiarowych, w związku z prawem „do bycia zapomnianym”, w sytuacjach wskazanych w RODO.
3. Wykaz środków organizacyjnych:
3.1. Pomieszczenia stanowiące obszar Przetwarzania Danych Osobowych powierzonych Przetwarzającemu przez Administratora powinny pozostawać w wyłącznej dyspozycji Przetwarzającego.
3.2. Obszar Przetwarzania Danych Osobowych powinien być zabezpieczony przed dostępem osób nieupoważnionych co najmniej za pomocą drzwi zamykanych na klucz.
3.3. Przetwarzający sprawuje nadzór nad kluczami do pomieszczeń stanowiących obszar Przetwarzania Danych Osobowych powierzonych Przetwarzającemu przez Administratora i zapewnia, że do kluczy nie mają dostępu osoby nieupoważnione.
3.4. Wszelka dokumentacja papierowa zawierająca Dane Osobowe powierzone Podmiotowi Przetwarzającemu przez Administratora jest przechowywana w szafach zamykanych na klucz, do których dostęp mają odpowiednio upoważnione osoby.
3.5. Do Danych Osobowych powierzonych Przetwarzającemu przez Administratora dostęp mogą posiadać wyłącznie osoby posiadające upoważnienie do Przetwarzania Danych Osobowych
3.6. Jeżeli istnieje taka możliwość, obszar Przetwarzania Danych Osobowych powierzonych Przetwarzającemu przez Administratora chroni się za pomocą systemu alarmowego, monitoringu przemysłowego, dozoru lub ochrony fizycznej
3.7. Przetwarzanie Danych Osobowych powierzonych Przetwarzającemu ma odbywać się co do zasady wyłącznie w obszarze Przetwarzania Danych Osobowych. W przypadku, gdy zachodzi konieczność Przetwarzania ww. danych poza obszarem Przetwarzania Danych Osobowych, Przetwarzający ma obowiązek zadbać o zachowanie poufności Przetwarzania Danych Osobowych, w szczególności poprzez ograniczenie dostępu osób nieupoważnionych do przedmiotowych danych.
4. Wykaz środków technicznych:
4.1. Ochronie podlega każdy nośnik Danych Osobowych, niezależnie od tego, czy jest to oryginał lub kopia dokumentu, notatka lub zapiski wykonane odręcznie lub wydrukowane w postaci elektronicznej.
4.2. W formie papierowej mogą być Przetwarzane wyłącznie oryginały dokumentów zawierających Dane Osobowe. Zakazane jest wykonywanie kopii lub drukowanie dokumentów, których posiadanie przez Przetwarzającego w formie papierowej nie jest niezbędne do wykonywania Umowy Przewozu zawartej z Administratorem.
4.3. Jeżeli została sporządzona kopia dokumentu, notatka lub zapisek w celach roboczych zawierające Dane Osobowe, Przetwarzający jest obowiązany chronić ten nośnik Danych Osobowych przed dostępem do niego osób nieupoważnionych, w szczególności przechowywać go w szafie zamkniętej na klucz, oraz zniszczyć go w sposób trwały i niemożliwy do odczytania lub odtworzenia niezwłocznie po ustaniu potrzeby do przechowywania tego dokumentu, notatki lub zapisku.
4.4. Zniszczenie papierowego nośnika Danych Osobowych odbywa się wyłącznie w niszczarce do dokumentów lub w inny sposób gwarantujący niemożność odczytania lub odzyskania tych danych.
4.5. Zabronione jest zapisywanie kopii lub skanów dokumentów zawierających Dane Osobowe powierzone Przetwarzającemu przez Administratora na dyskach lokalnych komputerów, na serwerach fizycznych lub wirtualnych, z wyłączeniem zapisywania dokumentów w formie elektronicznej wyłącznie w celu niezbędnym do wykonania postanowień Regulaminu, Umowy Przewozu lub w celu ich prezentacji lub przekazania uprawnionemu odbiorcy.
4.6. Jeżeli kopia elektroniczna dokumentu zawierającego Dane Osobowe jest zapisywana w celu niezbędnym do wykonania postanowień Regulaminu lub Umowy Przewozu, jest ona usuwana niezwłocznie po realizacji celu uzasadniającego dokonanie zapisu kopii elektronicznej dokumentu.
4.7. Zapisywanie Danych Osobowych powierzonych Przetwarzającemu przez Administratora na elektronicznych mobilnych nośnikach danych, np. pendrive, dysk zewnętrzny, jest możliwe jedynie po spełnieniu następujących warunków:
4.7.1. Dane Osobowe mogą być zapisywane na mobilnym nośniku danych wyłącznie na krótki czas oraz wyłącznie w celu ich prezentacji lub przekazania uprawnionemu odbiorcy oraz, w przypadku braku alternatywnych środków technicznych, wykonania kopii zapasowej dokumentów zawierających Dane Osobowe;
4.7.2. nośnik musi pozostawać do wyłącznej dyspozycji Przetwarzającego i być wykorzystywany wyłącznie do celów służbowych;
4.7.3. nośniki wykorzystywane do zapisywania na nich Danych Osobowych powierzonych Przetwarzającemu przez Administratora muszą być zabezpieczone kryptograficznie lub pliki zawierające Dane Osobowe muszę być zabezpieczone hasłem;
4.7.4. nośniki wykorzystywane do zapisywania na nich Danych Osobowych powierzonych Przetwarzającemu przez Administratora muszą być ewidencjonowane przez Przetwarzającego;
4.7.5. po zaprzestaniu korzystania z nośnika, na którym były lub są zapisane Dane Osobowe powierzone Przetwarzającemu przez Administratora, nośnik ten musi zostać zniszczony fizycznie lub poddany działaniu profesjonalnego narzędzia do trwałego usuwania danych w sposób uniemożliwiający ich odtworzenie lub odzyskanie w całości lub w części;
4.7.6. zniszczenie nośnika lub trwałe usunięcie z niego Danych Osobowych powierzonych Przetwarzającemu przez Administratora jest potwierdzane sporządzonym przez Przetwarzającego protokołem i odnotowane w ewidencji nośników.
4.8. Przetwarzający jest obowiązany używać sieci teleinformatycznej, z której realizowany jest dostęp do Danych Osobowych powierzonych Przetwarzającemu przez Administratora, zapewniającej bezpieczeństwo Przetwarzanych w niej danych.
4.9. Komputer służbowy zabezpiecza się przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do tego komputera, oraz przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem, w szczególności stosuje się zaporę sieciową firewall, procedurę uwierzytelniania za pomocą nazwy użytkownika oraz hasła oraz aktualny system antywirusowy.
4.10. Przetwarzający korzystający z poczty elektronicznej jest obowiązany stosować narzędzia antyspamowe i nie otwierać obcych lub podejrzanych e-maili, które mogą zawierać złośliwe oprogramowanie typu wirus lub malware. Do logowania się do poczty elektronicznej i innych systemów informatycznych, w których Przetwarzane są Dane Osobowe powierzone Przetwarzającemu przez Administratora, można wykorzystywać wyłącznie własne, prywatne/służbowe łącze internetowe, zabronione jest logowanie się przy użyciu obcej sieci internetowej lub publicznego połączenia internetowego typu WiFi lub HotSpot. Poza obszarem Przetwarzania Danych Osobowych dopuszcza się Przetwarzanie Danych Osobowych w formie elektronicznej pod warunkiem ich zaszyfrowania profesjonalnym narzędziem szyfrującym.
4.11. Hasła do stacji roboczych, systemów informatycznych oraz poczty elektronicznej wykorzystywanych przez Przetwarzającego dla potrzeb związanych z Przetwarzaniem Danych Osobowych powierzonych Przetwarzającemu przez Administratora winny:
4.11.1. zawierać co najmniej 8 znaków, w tym małe i wielkie litery, cyfry lub znaki specjalne;
4.11.2. być zmieniane nie rzadziej niż co 6 miesięcy;
4.11.3. nie składać się z pełnych wyrazów lub wyrażeń ani ciągów znaków lub cyfr będących oznaczeniami lub łatwych do odgadnięcia;
4.11.4. być znane wyłącznie osobie, której został przydzielony login, za pomocą którego w powiązaniu z tym hasłem następuje uwierzytelnienie użytkownika w systemie oraz administratorowi danego systemu
4.12. Zakazane jest ujawnianie hasła innym osobom, zapisywanie go w miejscu dostępnym dla innych osób, ustalanie hasła znanego innej osobie lub łatwego do odgadnięcia, jak również umożliwianie zapoznania się z hasłem przez inne osoby w inny sposób.
4.13. W przypadku Przetwarzania Danych Osobowych powierzonych Przetwarzającemu przez Administratora poza obszarem Przetwarzania z wykorzystaniem łączy telekomunikacyjnych, należy korzystać wyłącznie z własnych łączy internetowych (modemy internetowe lub punkt dostępowy realizowany poprzez własny telefon). Do łączenia się z zasobami informatycznymi, na których Przetwarzane są ww. dane, zabronione jest wykorzystywanie darmowych łączy udostępnianych w miejscach publicznych (np. darmowe sieci Wi-Fi w kawiarniach, centrach handlowych itd.)