Niniejszy Załącznik dotyczący przetwarzania danych osobowych („Załącznik”) został zawarty pomiędzy Usługodawcą a Klientem (zwanymi dalej „Stronami” lub indywidualnie „Stroną”) i stanowi integralną część Warunków świadczenia usług Perfect Gym („Warunki”). Użyte w niniejszym Załączniku terminy, o ile nie wskazano inaczej, mają znaczenie odpowiednio przypisane im w Warunkach.
Mając na uwadze fakt, że:
Usługodawca przetwarza dane osobowe w związku ze świadczeniem usług na rzecz Klienta; oraz
Strony pragną określić swoje obowiązki i role na mocy prawa o ochronie danych osobowych w Unii Europejskiej (zdefiniowanego poniżej);
Strony ustalają, że w zamian za odpowiednie wynagrodzenie, którego stosowność i otrzymanie są niniejszym potwierdzone, Usługodawca i Klient, bez względu na jakiekolwiek odmienne uzgodnienia, zgadzają się włączyć następujące postanowienia do Warunków:
Użyte pojęcia otrzymują następujące znaczenie:
Odpowiednie przepisy o ochronie danych osobowych – międzynarodowe, krajowe, federalne i stanowe przepisy dotyczące ochrony danych i prywatności (w tym prawo ochrony danych osobowych Unii Europejskiej mające zastosowanie w przypadku przetwarzania danych osobowych, zgodnie z definicją poniżej);
Administrator – podmiot, który ustala cele i sposoby przetwarzania danych osobowych;
Prawo ochrony danych osobowych Unii Europejskiej – Rozporządzenie Unii Europejskiej 2016/679 (RODO) i odpowiednie przepisy krajowe wprowadzone na jego podstawie oraz Dyrektywa Unii Europejskiej 2002/58/EC i odpowiednie przepisy krajowe ją implementujące; z uwzględnieniem późniejszych zmian;
Dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (podmiotowi danych/osobie, której dane dotyczą); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Usługodawca przyjmuje, że Klient jest Administratorem danych osobowych dotyczących jego pracowników i klientów. Na mocy niniejszego Załącznika, Klient powierza przetwarzanie danych Usługodawcy w zakresie określonym poniżej, a Usługodawca zobowiązuje się do przetwarzania powierzonych danych zgodnie z niniejszym Załącznikiem i instrukcjami Klienta.
Zakres danych osobowych powierzonych do przetwarzania może obejmować:
- w zakresie danych dotyczących klientów Klienta: dane identyfikacyjne (np. imię, nazwisko, numer identyfikacyjny w odpowiednim kraju, data urodzenia), dane kontaktowe (np. adres zamieszkania, numer telefonu, adres e-mail), dane finansowe (np. dane dotyczące płatności za członkostwo w klubie) inne dane niezbędne do świadczenia usług (np. dane dotyczące członkostwa, odciski palców i inne rodzaje danych biometrycznych) lub inne dane klientów pozyskane na potrzeby świadczenia usług;
- dane dotyczące współpracowników Klienta: dane identyfikacyjne (np. imię, nazwisko, numer identyfikacyjny, data urodzenia, stanowisko), dane kontaktowe (np. adres zamieszkania, numer telefonu, adres e-mail), inne dane (takie jak grafik i specjalizacja).
Dane osobowe powierzone Usługodawcy na mocy niniejszego Załącznika będą przetwarzane w celu świadczenia usług.
Charakter przetwarzania obejmuje wszystkie operacje na danych, które są konieczne do świadczenia usług, takie jak zbieranie, rejestrowanie, organizowanie, strukturyzowanie, przechowywanie, dostosowywanie lub modyfikowanie, wyszukiwanie, konsultacje, wykorzystywanie, ujawnianie poprzez przesyłanie, rozpowszechnianie lub w inny sposób udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych.
Biorąc pod uwagę stan wiedzy technicznej, koszty wdrożenia, a także charakter, zakres, kontekst i cele przetwarzania, podmiot przetwarzający powinien wdrożyć odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa adekwatnego do ryzyka. Przez odpowiednie środki techniczne strony rozumieją wdrożenie i utrzymanie systemu zarządzania bezpieczeństwem informacji zgodnego z dobrymi praktykami w szczególności z normą ISO 27001. Usługodawca zapewnia, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności.
W przypadku wykrycia naruszenia bezpieczeństwa danych osobowych, prowadzącego do przypadkowego lub nieuprawnionego usunięcia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych wysłanych, przechowywanych lub w inny sposób przetwarzanych, Usługodawca powiadamia o tym Klienta bez nieuzasadnionej zwłoki.
Usługodawca zobowiązuje się do przeprowadzania okresowych audytów obejmujących poziom bezpieczeństwa informacji w organizacji i, na żądanie Klienta, dostarcza raporty dotyczące przeprowadzonych audytów - w tym również audytów przeprowadzonych przez osoby trzecie lub jednostki certyfikujące.
Usługodawca może upoważnić inny podmiot do przetwarzania danych osobowych w drodze pisemnej umowy (ogólna zgoda w rozumieniu art. 28 ust. 2 RODO). W takiej umowie zostaną określone takie same obowiązki w zakresie ochrony danych jak w niniejszym Aneksie. Lista aktualnych podmiotów przetwarzających jest dostępna na żądanie Administratora lub na stronie internetowej Usługodawcy pod adresem www.perfectgym.com/sub-processors. Usługodawca zobowiązuje się do aktualizowania listy, a Administrator powinien na bieżąco weryfikować listę podmiotów przetwarzających pod kątem ewentualnych zastrzeżeń, które powinny być zgłaszane w terminie 7 dni od dodania podmiotu na liście podmiotów przetwarzających.
Uwzględniając charakter przetwarzania, Usługodawca powinien wspierać Klienta poprzez zastosowanie odpowiednich środków technicznych i organizacyjnych, w zakresie, w jakim jest to możliwe, w wypełnieniu obowiązku Usługodawcy, polegającym na odpowiadaniu na żądania dotyczące danych osobowych wystosowane przez osoby, których te dane dotyczą, określone m.in. w rozdziale III RODO. W ramach tego obowiązku, Strony rozumieją niezwłoczne powiadomienie o otrzymaniu żądań od osób, których dane dotyczą.
Usługodawca powinien wspierać Klienta w zapewnieniu zgodności z obowiązkami wynikającymi z art. 32-36 RODO, mając na uwadze charakter przetwarzania i informacje dostępne Usługodawcy.
Klient zapewnia, że powierzone Usługodawcy dane osobowe zostały zebrane zgodnie z prawem oraz że posiada odpowiednią podstawę prawną do ich przetwarzania.
Usługodawca może dostarczyć Klientowi wzorce regulaminu, polityki prywatności i/lub tłumaczenia. Klient potwierdza, że nie będzie traktował sugestii Usługodawcy jako substytutu porady prawnej oraz że sam Klient jest wyłącznie odpowiedzialny za wszelkie informacje zawarte w swoich regulaminach, polityce prywatności lub na swoich stronach internetowych.
Jeśli którakolwiek ze Stron otrzyma jakiekolwiek zapytanie, skargę lub korespondencję (zawiadomienie od strony trzeciej) od osoby fizycznej, organu regulacyjnego lub innej strony trzeciej dotyczące przetwarzania danych osobowych pracowników/klientów Klienta w związku ze świadczonymi usługami, niezwłocznie poinformuje o tym drugą Stronę, a Strony będą współpracować w dobrej wierze i w zakresie umożliwiającym spełnienie wymagań wystosowanych w zawiadomieniu od strony trzeciej.
W przypadku jakichkolwiek rozbieżności pomiędzy treścią Warunków, a postanowieniami niniejszego Aneksu, pierwszeństwo mają postanowienia Aneksu.
Zarezerwuj spotkanie online, aby zapoznać się z oprogramowaniem PerfectGym!