Regulamin powierzenia przetwarzania danych osobowych

Załącznik nr 2 do Regulaminu Fakturownia.pl

§1 DEFINICJE

1. Użyte w Regulaminie pojęcia oznaczają:
• Dane Osobowe lub Dane - dane osobowe w rozumieniu art. 4 pkt 1) RODO, tj. wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, powierzone Usługodawcy przez Klienta w celu realizacji Umowy o świadczenie Usług;
• Integracja- dodatkowa funkcjonalność Serwisu umożliwiająca połączenie Serwisu z usługą lub systemem podmiotu trzeciego (w tym za pośrednictwem API), aktywowana przez Klienta w ramach usług;
• Moduł- wyodrębniona funkcjonalność Serwisu, udostępniana Klientowi przez Usługodawcę na zasadach określonych w Regulaminie Fakturownia.pl lub regulaminach odrębnych, umożliwiająca korzystanie z określonych usług lub rozszerzonych funkcjonalności Serwisu (np. Moduł „Samodzielna Księgowość”);
• Regulamin- niniejszy Regulamin powierzenia przetwarzania danych osobowych, regulujący zasady powierzenia i przetwarzania przez Usługodawcę Danych Osobowych w związku z realizacją Umowy o świadczenie usług;
• Regulamin Fakturownia.pl- Regulamin Fakturownia.pl dostępny pod adresem: https://fakturownia.pl/regulamin
• RODO- rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
• Umowa o świadczenie usług lub Umowa - umowa o świadczenie usług drogą elektroniczną zawierana pomiędzy Klientem a Usługodawcą na warunkach określonych w Regulaminie Fakturownia.pl lub regulaminach odrębnych.
2. Pojęcia pisane wielką literą, niezdefiniowane w ust. 1 powyżej, mają znaczenie nadane im w Regulaminie Fakturownia.pl.

---

§2 PRZEDMIOT POWIERZENIA

1. Klient, działając na podstawie art. 28 ust. 3 RODO, powierza Usługodawcy Dane Osobowe do przetwarzania, na zasadach i w celach określonych w niniejszym Regulaminie.
2. Klient oświadcza, że jest uprawniony do przetwarzania Danych Osobowych w zakresie i w celach, w jakich powierza je Usługodawcy na podstawie Regulaminu.
3. Usługodawca zobowiązuje się przetwarzać powierzone mu Dane Osobowe zgodnie z niniejszym Regulaminem, RODO oraz przepisami prawa powszechnie obowiązującego, chroniącymi prawa osób, których Dane dotyczą.

---

§3 ZAKRES I CEL PRZETWARZANIA

1. Zakres powierzanych do przetwarzania Danych Osobowych obejmuje Dane Osobowe wprowadzone przez Klienta do Serwisu lub w inny sposób udostępnione Usługodawcy w związku z korzystaniem przez Klienta z usług świadczonych za pośrednictwem Serwisu, w tym z aktywowanych Modułów oraz Integracji – których przetwarzanie przez Usługodawcę odbywa się wyłącznie w celach i na potrzeby realizacji zleconych mu przez Klienta usług. Powierzenie przetwarzania Danych Osobowych może obejmować w szczególności Dane Osobowe klientów i kontrahentów Klienta oraz ich przedstawicieli, a także pracowników oraz współpracowników Klienta będących Użytkownikami Serwisu, w zakresie ujawnionym Usługodawcy za pośrednictwem Serwisu, w tym m.in. w zakresie:
   • a. podstawowych danych identyfikacyjnych, takich jak: imię, nazwisko, firma, adres prowadzonej działalności gospodarczej, adres zamieszkania, nr NIP, Rola, zakres uprawnień, przypisany Dział Firmy;
   • b. danych kontaktowych, takich jak: adres korespondencyjny, nr telefonu, adres e-mail, fax;
   • c. danych finansowych i transakcyjnych, takich jak: nr rachunku bankowego, dane dot. umów lub transakcji realizowanych przez Klienta z jego klientami lub kontrahentami (zakres świadczonych usług, dane dot. rozliczeń finansowych);
   • d. wszelkich innych Danych, o ile zostały one wprowadzone przez Klienta do Serwisu, a ich przetwarzanie przez Usługodawcę jest niezbędne w celu realizacji zawartej z Klientem Umowy o świadczenie usług lub w celu umożliwienia poprawnego działania aktywowanych przez Klienta Modułów i Integracji.
2. Szczegółowy zakres powierzanych do przetwarzania Danych Osobowych wynika każdorazowo z zakresu usług świadczonych przez Usługodawcę na rzecz Klienta, w tym funkcjonalności Serwisu, Modułów oraz Integracji aktywowanych przez Klienta i pozostaje adekwatny do funkcjonalności wybranego przez Klienta Planu Abonamentowego. Dla uniknięcia wątpliwości Strony potwierdzają, że zmiana Planu Abonamentowego lub aktywacja albo dezaktywacja Modułu lub Integracji jest równoznaczna z rozszerzeniem lub ograniczeniem przez Klienta zakresu powierzanych Danych Osobowych o informacje wynikające z danej funkcjonalności, z zastrzeżeniem odmiennych postanowień Regulaminu Fakturownia.pl. Zmiana zakresu powierzanych Usługodawcy Danych Osobowych nie stanowi zmiany Regulaminu.
3. Celem powierzenia przetwarzania Danych Osobowych przez Klienta jest umożliwienie realizacji przez Strony przedmiotu Umowy o świadczenie usług oraz poprawnego działania aktywowanych przez Klienta Integracji oraz Modułów (jeśli dotyczy).
4. Usługodawca uprawniony jest do przetwarzania Danych Osobowych w ramach wszelkich czynności przetwarzania, o których mowa w art. 4 pkt 2) RODO, które są niezbędne do prawidłowej realizacji Umowy o świadczenie usług, zgodnie z wybranym przez Klienta Planem Abonamentowym, a także do zapewnienia prawidłowego działania aktywowanych przez Klienta Integracji lub Modułów. W szczególności Usługodawca jest uprawniony do ujawniania Danych Osobowych poprzez ich przesyłanie lub udostępnianie, jeżeli – w związku z korzystaniem przez Klienta z danej Integracji, Modułu lub funkcjonalności oraz w celu zapewnienia ich prawidłowego działania – zachodzi konieczność przekazania powierzonych Danych Osobowych zewnętrznemu dostawcy lub innemu odbiorcy danych.
5. Przetwarzanie Danych Osobowych przez Usługodawcę odbywa się wyłącznie za pośrednictwem systemów informatycznych i nie odbywa się przy wykorzystaniu kartotek papierowych.
6. Korzystanie przez Klienta z Integracji może wiązać się z koniecznością przekazania przez Usługodawcę powierzonych mu przez Klienta Danych Osobowych podmiotom trzecim, dostarczającym usługi w ramach poszczególnych Integracji. Aktywując Integrację, Klient zobowiązuje Usługodawcę do przekazania wskazanemu dostawcy wszelkich Danych Osobowych niezbędnych do prawidłowego działania tej Integracji, w zakresie określonym w ust. 1 powyżej. Przekazywanie Danych, w zależności od charakteru danej Integracji, jest dokonywane przez Usługodawcę na rzecz podmiotu trzeciego dostarczającego usługi w ramach poszczególnych Integracji lub następuje poprzez udostępnienie temu podmiotowi API konta Klienta i nie wiąże się z przekazaniem temu podmiotowi indywidualnych danych logowania Klienta do Serwisu.
7. W przypadku korzystania przez Klienta z funkcjonalności Serwisu lub Modułu umożliwiających wystawianie, przesyłanie, odbieranie lub obsługę faktur ustrukturyzowanych, Klient zleca Usługodawcy dokonanie czynności niezbędnych do realizacji tych funkcjonalności, w tym ujawnienie (przesłanie/udostępnienie) Danych Osobowych zawartych w fakturach ustrukturyzowanych oraz metadanych technicznych związanych z ich wysyłką lub odbiorem (np. identyfikatory operacji, identyfikatory faktur, statusy, daty) do KSeF, tj. do Szefa Krajowej Administracji Skarbowej – w zakresie niezbędnym do realizacji Umowy o świadczenie usług oraz wykonania obowiązków podatkowych Klienta. Dla uniknięcia wątpliwości Strony potwierdzają, że Szef Krajowej Administracji Skarbowej przetwarza dane przekazywane do KSeF jako odrębny administrator danych osobowych, na podstawie przepisów prawa powszechnie obowiązującego.

---

§4 PRAWA I OBOWIĄZKI STRON

1. Usługodawca przetwarza Dane Osobowe wyłącznie na udokumentowane polecenie Klienta, przy czym za takie udokumentowane polecenia uważa się niniejszy Regulamin. Usługodawca może również przetwarzać Dane Osobowe w zakresie, w jakim obowiązek taki nakłada na niego prawo Unii Europejskiej lub prawo polskie. Usługodawca niezwłocznie informuje Klienta, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych. Poleceniem Klienta w rozumieniu niniejszego ustępu jest m.in. aktywacja przez Klienta funkcjonalności Serwisu związanej z KSeF oraz dokonanie przez Klienta dyspozycji wysyłki/odbioru faktury ustrukturyzowanej za pośrednictwem KSeF.
2. Klient zobowiązany jest posiadać podstawę prawną dla operacji przetwarzania Danych Osobowych, które powierza Usługodawcy do przetwarzania na podstawie niniejszego Regulaminu.
3. Usługodawca będzie przetwarzać Dane Osobowe przez okres niezbędny do realizacji zleconych usług i wywiązania się ze wszystkich obowiązków nałożonych przez Klienta na podstawie Umowy. Z zastrzeżeniem odmiennych postanowień Regulaminu Fakturownia.pl lub regulaminów odrębnych, po zakończeniu obowiązywania Umowy o świadczenie usług Usługodawca, zależnie od decyzji Klienta i możliwości technicznych Usługodawcy, usunie lub zwróci Klientowi Dane Osobowe oraz wszelkie ich istniejące kopie, chyba że prawo Unii Europejskiej lub prawo polskie nakazują przechowywanie Danych.
4. Usługodawca zobowiązany jest dołożyć należytej staranności przy przetwarzaniu powierzonych Danych Osobowych. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, Usługodawca zobowiązany jest wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
5. Usługodawca zobowiązany jest do nadania upoważnień do przetwarzania Danych Osobowych wszystkim osobom, które będą przetwarzały powierzone Dane Osobowe w celu realizacji Umowy.
6. Usługodawca zobowiązany jest zapewnić zachowanie tajemnicy powierzonych Danych Osobowych, o której mowa w art. 28 ust. 3 lit. b RODO przez osoby, które upoważnia do przetwarzania Danych Osobowych, zarówno w trakcie ich zatrudnienia (w trakcie ich współpracy z Usługodawcą), jak i po jego ustaniu (po zakończeniu współpracy).
7. Usługodawca, biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga Klientowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której Dane Osobowe dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO, jak również z obowiązków określonych w art. 32–36 RODO.
8. Usługodawca, po stwierdzeniu naruszenia ochrony Danych Osobowych, zobowiązany jest zgłosić je Klientowi bez zbędnej zwłoki. Zgłoszenie naruszenia nastąpi na adres e-mail Klienta będący jego loginem w Serwisie lub adres e-mail służący do kontaktu z Klientem, przypisany do jego konta w Serwisie. Zgłoszenie naruszenia powinno zawierać co najmniej informacje wskazane w art. 33 ust. 3 RODO.
9. Usługodawca udostępnia Klientowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.

---

§5 ZASADY PODPOWIERZENIA

1. Klient wyraża niniejszym zgodę na dalsze powierzenie przetwarzania Danych Osobowych podwykonawcom Usługodawcy, wskazanym w Załączniku nr 1 do Regulaminu, z zastrzeżeniem, że nie wszyscy wskazani podwykonawcy uczestniczą w przetwarzaniu Danych Osobowych każdego Klienta. Zmiana Załącznika nr 1 stanowi zmianę Regulaminu i odbywa się na warunkach określonych w Regulaminie Fakturownia.pl. Obowiązek zapewnienia wystarczających gwarancji dotyczy wyłącznie tych podwykonawców, którzy faktycznie uczestniczą w przetwarzaniu Danych Osobowych powierzonych przez danego Klienta.
2. Klient przyjmuje do wiadomości, że zakres podwykonawców, którym Usługodawca może podpowierzać przetwarzanie Danych Osobowych, zależy od funkcjonalności Serwisu, z których Klient korzysta, w szczególności od aktywacji określonych Modułów lub Integracji.
3. W przypadku podpowierzenia Danych Osobowych podwykonawcy na podwykonawcę nałożone zostają te same obowiązki ochrony Danych Osobowych jak w Regulaminie, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie Danych odpowiadało wymogom RODO. Jeżeli podwykonawca, któremu Usługodawca podpowierzył przetwarzanie Danych Osobowych nie wywiąże się ze spoczywających na nim obowiązków ochrony Danych, pełna odpowiedzialność wobec Klienta za wypełnienie obowiązków podwykonawcy spoczywa na Usługodawcy.
4. Usługodawca może przekazać Dane Osobowe do państwa trzeciego, znajdującego się poza Europejskim Obszarem Gospodarczym pod warunkiem spełnienia wymogów, o których mowa w rozdziale V RODO (art. 44-50).
5. Niezależnie od podwykonawców wskazanych w Załączniku nr 1 do Regulaminu, Klient przyjmuje do wiadomości, że w zakresie niezbędnym do realizacji obowiązków prawnych ciążących na Usługodawcy, w szczególności przeprowadzania audytów, kontroli lub analiz zgodności działalności Usługodawcy z przepisami prawa, Usługodawca może ujawniać powierzone mu Dane Osobowe profesjonalnym doradcom i audytorom, w szczególności doradcom prawnym, podatkowym, biegłym rewidentom oraz audytorom wewnętrznym i zewnętrznym. Podmioty te przetwarzają Dane Osobowe jako odrębni administratorzy danych osobowych oraz są ustawowo zobowiązane do zachowania poufności danych osobowych na zasadach tajemnicy zawodowej lub są związane równoważnymi zobowiązaniami do zachowania poufności. Ujawnienie Danych Osobowych podmiotom, o których mowa powyżej, nie stanowi dalszego powierzenia przetwarzania danych osobowych w rozumieniu art. 28 RODO.

---

§6 PRAWO KONTROLI

1. Usługodawca umożliwia Klientowi lub osobie upoważnionej przez Klienta przeprowadzanie kontroli i przyczynia się do nich. Kontrole mogą być przeprowadzane nie częściej niż raz w roku kalendarzowym i trwać nie dłużej niż jeden Dzień Roboczy każda.
2. Każda ze Stron zobowiązana jest ponieść we własnym zakresie koszty związane z przeprowadzeniem kontroli.
3. Audytorem Klienta nie może być podmiot prowadzący działalność konkurencyjną wobec Usługodawcy ani podmiot z nim powiązany lub jego pracownik lub podmiot/osoba z nim współpracująca, bez względu na podstawę zatrudnienia lub współpracy.
4. Klient zobowiązany jest poinformować Usługodawcę o planowanej kontroli, z co najmniej 30-dniowym wyprzedzeniem. Usługodawca ma prawo odmówić przeprowadzenia kontroli we wskazanym przez Klienta terminie, w przypadku wystąpienia wysokiego prawdopodobieństwa, iż przeprowadzenie kontroli w tym terminie zakłóci bieżące funkcjonowanie przedsiębiorstwa Usługodawcy. W takim wypadku Usługodawca zaproponuje inny termin przeprowadzenia kontroli, nie dalszy niż 5 Dni Roboczych po terminie wskazanym przez Klienta. Osoby biorące udział w kontroli, przed przystąpieniem do kontroli, zobowiązane są do podpisania umowy poufności lub oświadczenia o zachowaniu poufności, wedle wytycznych Usługodawcy.
5. Klient realizować będzie prawo kontroli wyłącznie w Dni Robocze, w formule zdalnej, w godzinach pracy Usługodawcy (9:00 – 17:00) oraz w sposób możliwie najmniej zakłócający funkcjonowanie jego pracy. W trakcie kontroli Klient i jego audytor mają obowiązek przestrzegania wewnętrznych procedur i polityk Usługodawcy lub podwykonawcy Usługodawcy dotyczących bezpieczeństwa i poufności.
6. W celu przeprowadzenia kontroli Usługodawca umożliwi i przyczyni się do przeprowadzania czynności kontrolnych, o ile mają bezpośredni związek z wykonywaniem Umowy, w szczególności poprzez udzielenie Klientowi pisemnych lub ustnych wyjaśnień dotyczących przetwarzania powierzonych Danych Osobowych – z wyłączeniem informacji lub czynności, które obejmują tajemnicę przedsiębiorstwa Usługodawcy. Kontrola nie może obejmować informacji lub dokumentów dotyczących innych Klientów Usługodawcy, ani zmierzać lub skutkować uzyskaniem dostępu Klienta do danych osobowych innych niż Dane Osobowe tego Klienta lub do danych poufnych Usługodawcy lub innych podmiotów.
7. Przeprowadzona kontrola zostanie zakończona sporządzeniem protokołu przedstawiającego wyniki kontroli. W przypadku wykazania w protokole uchybień związanych z naruszeniem postanowień Regulaminu, Klient uprawniony jest do przekazania Usługodawcy pisemnych zaleceń pokontrolnych wraz z terminem ich realizacji, który musi być odpowiedni i nie krótszy niż 30 Dni Roboczych. Zalecenia pokontrolne nie mogą iść dalej niż wymogi wynikające z niniejszego Regulaminu lub z powszechnie obowiązujących przepisów prawa, w tym RODO, jak również powinny być obiektywnie zasadne i możliwe do zrealizowania bez zmiany organizacji lub naruszenia ciągłości działania przedsiębiorstwa Usługodawcy lub jego podwykonawcy.

---

§7 POSTANOWIENIA KOŃCOWE

1. Usługodawca odpowiada za niewykonanie lub nienależyte wykonanie postanowień Regulaminu na zasadach wskazanych w Regulaminie Fakturownia.pl. Odpowiedzialność Usługodawcy za wykonanie polecenia i zaleceń pokontrolnych Klienta, które są niezgodne z RODO lub innymi przepisami prawa powszechnie obowiązującego jest wyłączona.
2. Postanowienia Regulaminu stanowią całość zobowiązań oraz warunków powierzenia przetwarzania Danych Osobowych w związku z realizacją Umowy o świadczenie usług. W momencie wejścia w życie niniejszego Regulaminu, jego postanowienia zastępują wszelkie dotychczasowe ustalenia Stron dotyczące powierzenia przetwarzania Danych Osobowych, chyba że Strony inaczej uzgodniły.
3. Klient nie jest uprawniony do wypowiedzenia Umowy w związku ze zmianą Regulaminu lub Załącznika nr 1, jeżeli zmiana dotyczy podwykonawców lub funkcjonalności Serwisu, z których Klient nie korzysta lub jej nie aktywował na dzień poinformowania przez Usługodawcę o tej zmianie.
4. W sprawach nieuregulowanych niniejszym Regulaminem zastosowanie mają odpowiednie postanowienia Regulaminu Fakturownia.pl.
5. W przypadku rozbieżności pomiędzy postanowieniami Regulaminu oraz Regulaminu Fakturownia.pl, zastosowanie mają postanowienia niniejszego Regulaminu.
6. Niniejszy Regulamin jest innym instrumentem prawnym w rozumieniu art. 28 ust. 3 RODO.

---

Załącznik nr 1 – Wykaz podwykonawców

Wskazanie podmiotu w niniejszym wykazie nie oznacza, że dany podwykonawca uczestniczy w przetwarzaniu Danych Osobowych każdego Klienta. Zakres faktycznego udziału poszczególnych podwykonawców w przetwarzaniu Danych Osobowych zależy od funkcjonalności Serwisu, Modułów oraz Integracji, z których korzysta Klient.