Regulamin powierzenia przetwarzania danych osobowych

REGULAMIN POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

(dalej: Regulamin PPDO)

z dnia 1 stycznia 2019 r.

 

[Definicje]

§ 1

 

Ilekroć w Regulaminie PPDO jest mowa o:

 

1. Administratorze należy przez to rozumieć Użytkownika w rozumieniu § 1 ust. 2 lit. j) Regulaminu serwisu mKsiegowa.pl, który samodzielnie ustala cele i sposoby przetwarzania powierzonych danych osobowych;
2. danych osobowych należy przez to rozumieć informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować;
3. danych wrażliwych należy przez to rozumieć dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby, a także dane osobowe dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa, które to dane określone zostały w art. 9 i 10 RODO;
4. infrastrukturze technicznej należy przez to rozumieć zespół współpracujących ze sobą urządzeń oraz oprogramowanie niezbędne do zapewnienia ciągłości działania usług świadczonych przez Podmiot przetwarzający;
5. innym podmiocie przetwarzającym należy przez to rozumieć podmiot, któremu Podmiot przetwarzający podpowierza dane osobowe powierzone do przetwarzania na podstawie niniejszego Regulaminu PPDO;
6. naruszeniu ochrony powierzonych danych osobowych należy przez to rozmieć:
   1. naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub
   2. nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych na podstawie niniejszego Regulaminu PPDO;
7. panelu Użytkownika należy przez to rozumieć serwis Podmiotu przetwarzającego prowadzony przez niego na rzecz Administratora dostępny za pośrednictwem strony internetowej https://mksiegowa.pl pod unikalnym adresem URL;
8. Podmiocie przetwarzającym należy przez to rozumieć Eurosaas sp. z o.o. z siedzibą w Warszawie, przy ul. Trzcinowej 23/26, która w imieniu Administratora przetwarza powierzone mu dane osobowe;
9. poleceniu Administratora należy przez to rozumieć oświadczenie Administratora kierowane do Podmiotu przetwarzającego zobowiązujące do przeprowadzenia określonego przetwarzania w zakresie powierzonych danych osobowych;
10. powierzonych danych należy przez to rozumieć dane osobowe osób, dla których Użytkownik jest Administratorem, w rozumieniu art. 4 pkt 7 RODO i które zostały powierzone Podmiotowi przetwarzającemu do przetwarzania na zasadach określonych niniejszym Regulaminem PPDO;
11. pracownikach Podmiotu przetwarzającego należy przez to rozumieć osoby fizyczne znajdujące się pod stałym i bezpośrednim kierownictwem Podmiotu przetwarzającego oraz świadczące na jego rzecz pracę na podstawie umowy o pracę, umowy cywilnoprawnej (w tym również osoby prowadzące działalność gospodarczą) lub na podstawie innego stosunku prawnego;
12. przetwarzaniu powierzonych danych należy przez to rozumieć operację lub zestaw operacji wskazanych w § 2 ust. 3 Regulaminu PPDO wykonywanych na powierzonych danych oraz operacje wykonywane na odrębne polecenie Administratora;
13. Regulaminie serwisu mKsiegowa.pl należy przez to rozumieć Regulamin serwisu mKsięgowa dostępny pod adresem: https://mksiegowa.pl/www/regulamin
14. Regulaminie PPDO należy przez to rozumieć niniejszy Regulamin powierzenia przetwarzania danych osobowych;
15. RODO należy przez to rozumieć Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/ 679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE;
16. usługach systemu operacyjnego należy przez to rozumieć dodatkowe oprogramowania, składowe, komponenty systemu operacyjnego, w szczególności: PHP, apache, PTP;
17. Umowie o świadczenie usługi należy przez to rozumieć Umowę w rozumieniu § 1 ust. 2 lit. h) Regulaminu serwisu mKsiegowa.pl

 

[Postanowienia ogólne]

§2.

 

1. Administrator powierza Podmiotowi przetwarzającemu do przetwarzania dane osobowe na zasadach i w zakresie określonym niniejszym Regulaminem PPDO.
2. Powierzenie przetwarzania danych, o którym mowa w ust. 1 następuje wyłącznie w celu i w zakresie niezbędnym do należytego wykonania Umowy o świadczenie usługi zgodnie z postanowieniami Regulaminu serwisu mKsiegowa.pl
3. Podmiot przetwarzający uprawniony jest do: utrwalania, organizowania, porządkowania, kopiowania, przechowywania, modyfikowania, pobierania, przeglądania, usuwania, niszczenia powierzonych mu danych osobowych oraz wszelkich innych operacji na danych osobowych w minimalnym zakresie niezbędnym do realizacji celu przetwarzania (wykonywanie usług na rzecz Administratora na podstawie Regulaminu serwisu mKsiegowa.pl).
4. Dane, o których mowa w ust. 5:
   1. przetwarzane będą w infrastrukturze technicznej Podmiotu przetwarzającego, na terenie jego siedziby oraz biura znajdującego się pod adresem: ul. Czereśniowa 98, 02-456 Warszawa, a także w ramach serwerowni mieszczącej się w Centrum Danych przy ul. Geodetów 16 w Gdańsku;
   2. mogą być przechowywane w innym miejscu niż wskazane w punkcie a), o ile Administrator został uprzednio poinformowany, o tym które dane i w jakim miejscu będą przechowywane oraz nie wyraził sprzeciwu w ciągu 24 godzin od otrzymania informacji od Podmiotu przetwarzającego; komunikacja pomiędzy Stronami w zakresie opisanym w niniejszym punkcie odbywa się poprzez pocztę email.
5. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie zwykłych danych osobowych swoich kontrahentów, a także pracowników i współpracowników.

 

[Oświadczenia Stron]

§3.

 

Administrator oświadcza, iż:

1. jest administratorem w rozumieniu art. 4 pkt 7 RODO w zakresie powierzanych do przetwarzania danych osobowych;
2. dane osobowe zostały zebrane zgodnie z obowiązującymi przepisami prawa;
3. w stosunku do powierzanych danych legitymuje się podstawą prawną do ich przetwarzania, a także do powierzenia przetwarzania w zakresie określonym niniejszym Regulaminem PPDO;
4. zobowiązuje się nie powierzać Podmiotowi przetwarzającemu przetwarzania danych wrażliwych;
5. powierzenie przetwarzania danych osobowych nie narusza praw i wolności osób, których dane dotyczą;
6. zobowiązuje się na prośbę Podmiotu przetwarzającego przedstawić Podmiotowi przetwarzającemu własną analizę ryzyka co do powierzanych danych, która zostanie sporządzona zgodnie z art. 32 RODO, w sposób fachowy, rzetelny oraz na podstawie prawdziwych danych i informacji;
7. jeżeli będzie zobowiązany na podstawie art. 35 RODO do przeprowadzenia oceny skutków dla ochrony danych w zakresie powierzanych danych, po jej wykonaniu niezwłocznie poinformuje Podmiot przetwarzający o jej wynikach;
8. we własnym zakresie będzie wykonywał kopie zapasowe powierzonych danych;
9. zobowiązuje się do skutecznego zabezpieczenia zarządzanych przez siebie: urządzeń, systemów operacyjnych, usług systemu operacyjnego;
10. zobowiązuje się współdziałać z Podmiotem przetwarzającym w wykonaniu postanowień Regulaminu PPDO, udzielać Podmiotowi przetwarzającemu wyjaśnień w razie wątpliwości co do legalności poleceń Administratora, jak też wywiązywać się terminowo ze swoich szczegółowych obowiązków;
11. ponosi pełną odpowiedzialność za wszelkie czynności, których dokonuje on samodzielnie lub przy pomocy osób trzecich (z wyłączeniem Podmiotu przetwarzającego) w infrastrukturze technicznej Podmiotu przetwarzającego lub za jej pomocą, a które mogą powodować lub powodują naruszenie bezpieczeństwa danych osobowych lub przetwarzanie danych osobowych niezgodnie z postanowieniami Regulaminu PPDO lub przepisami o ochronie danych osobowych, w tym w szczególności niezgodnie z RODO;

Podmiot przetwarzający oświadcza, iż:

1. zajmuje się zawodowo działalnością z zakresu świadczenia usług księgowości elektronicznej oraz zatrudnia i współpracuje z osobami legitymującymi się najwyższą wiedzą, doświadczeniem i umiejętnościami z tego zakresu;
2. dysponuje odpowiednimi środkami organizacyjnymi oraz technicznymi, dzięki którym przetwarzanie powierzonych mu danych osobowych odbywać się będzie w zgodzie z wymogami RODO, a prawa osób, których dane dotyczą będą należycie chronione;
3. pracownikom za pomocą, których wykonuje Umowę o świadczenie usługi nadane zostały stosowne upoważnienia do przetwarzania danych osobowych oraz że osoby te zostały zapoznane z przepisami dotyczącymi ochrony danych osobowych, a także z odpowiedzialnością grożąca im za ich nieprzestrzeganie;
4. osoby, o których mowa w punkcie 3) zobowiązały się do zachowania w tajemnicy wszelkich informacji związanych z realizacją postanowień niniejszego Regulaminu PPDO, w szczególności informacji o powierzonych danych osobowych;
5. zobowiązuje się do nieprzenoszenia powierzonych danych osobowych poza granice Europejskiego Obszaru Gospodarczego;
6. nie ponosi odpowiedzialności za wszelkie czynności, których Administrator dokonuje samodzielnie lub przy pomocy osób trzecich w infrastrukturze technicznej Podmiotu przetwarzającego lub za jej pomocą, a które mogą powodować lub powodują naruszenie bezpieczeństwa danych osobowych lub przetwarzanie danych niezgodnie z niniejszym Regulaminem PPDO lub przepisami o ochronie danych osobowych, w tym w szczególności niezgodnie z RODO.
3. Szczegółowy wykaz odpowiednich środków organizacyjnych oraz technicznych stanowi załącznik nr 1 do niniejszego Regulaminu przetwarzania danych osobowych.

 

[Polecenia Administratora]

§4.

 

1. Wszelkie polecenia Administratora odnośnie przetwarzania przekazanych przez niego danych osobowych muszą przybrać formę pisemną lub zostać złożone za pośrednictwem panelu Użytkownika.
2. W sytuacji, gdy polecenie dotyczy zmiany treści postanowień Regulaminu PPDO, w szczególności zmiany charakteru, zakresu, czasu lub celu przetwarzania powierzonych danych osobowych, takie polecenie traktowane będzie jako jednoznaczne z wypowiedzeniem ze skutkiem natychmiastowym (bez zachowania okresu wypowiedzenia) Umowy o świadczenie usługi z przyczyn leżących po stronie Administratora.
3. Jeżeli wykonanie polecenia Administratora mogłoby wiązać się z naruszeniem prawa, w szczególności RODO lub innych przepisów prawa ochrony danych osobowych, Podmiot przetwarzający ma prawo wstrzymać się z wykonaniem powyższego polecenia o czym niezwłocznie informuje Administratora uzasadniając przy tym swoje stanowisko.
4. W przypadku, gdy Administrator pomimo sygnalizacji grożącego ryzyka naruszenia przepisów prawa wskutek wykonania przez Podmiot przetwarzający polecenia nadal podtrzymuje swoje polecenie, to Podmiot przetwarzający uprawniony jest do wypowiedzenia ze skutkiem natychmiastowym (bez zachowania okresu wypowiedzenia) Umowy o świadczenie usługi z przyczyn leżących po stronie Administratora.

 

[Dalsze powierzenia przetwarzania danych osobowych]

§5.

 

1. Administrator udziela Podmiotowi przetwarzającemu ogólnej zgody na dalsze powierzanie danych osobowych objętych postanowieniami Regulaminu PPDO innym podmiotom przetwarzającym. Lista podmiotów, którym Podmiot przetwarzający może powierzyć dane osobowe stanowi Załącznik nr 2 do Umowy
2. Jednakże Podmiot przetwarzający przed każdym dalszym powierzeniem przetwarzania danych informuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym Administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
3. Brak wniesienia sprzeciwu w terminie 7 dni kalendarzowych od momentu poinformowania Administratora o zamiarze dalszego powierzenia równoznaczny jest z wyrażeniem zgody przez Administratora.
4. Wniesienie sprzeciwu, o którym mowa w ust. 3 upoważnia Podmiot przetwarzający do rozwiązania Umowy o świadczenie usługi ze skutkiem natychmiastowym z przyczyn leżących po stronie Administratora.
5. W sytuacjach niecierpiących zwłoki jak np. nagła awaria sprzętu, Podmiot przetwarzający w celu zapobiegnięcia utraty, zniszczenia lub zniekształcenia powierzonych mu danych może podpowierzyć ich przetwarzanie w niezbędnym zakresie innym podmiotom bez uzyskiwania uprzedniej zgody Administratora. Jednakże w takim przypadku Podmiot przetwarzający zobowiązany jest niezwłocznie poinformować o tym fakcie Administratora, a także oczekiwać od niego dalszych instrukcji. Postanowienia ust. 2- ust. 4 stosuje się odpowiednio.
6. Podmiot przetwarzający zobowiązany jest nałożyć na inny podmiot przetwarzający, na rzecz, którego nastąpiło dalsze powierzenie te same obowiązki, które zostały określone Regulaminem PPDO, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO.

 

[Informowanie Administratora]

§6.

 

1. Podmiot przetwarzający stosownie do charakteru przetwarzania zobowiązuje się w miarę możliwości do pomocy Administratorowi w wywiązaniu się z obowiązku udzielania odpowiedzi na żądanie osoby, której dane dotyczą w zakresie realizacji praw tej osoby określonych w rozdziale III RODO.
2. W przypadku wystąpienia naruszenia ochrony powierzonych danych osobowych takiego jak np. utrata, włamanie, kradzież lub nieuprawnione udostępnienie danych osobowych Podmiot przetwarzający zobowiązany jest:
   1. powiadomić o tym fakcie Administratora bez zbędnej zwłoki, nie później jednak niż w ciągu 72 h od wykrycia naruszenia;
   2. natychmiast podjąć wszelkie możliwe działania zaradcze, aby zapobiec i zminimalizować skutki naruszenia ochrony powierzonych danych osobowych;
   3. udokumentować okoliczności naruszenia ochrony powierzonych danych osobowych, w tym skutki oraz podjęte działania zaradcze;
   4. wspierać w kwestiach techniczno — informatycznych Administratora w procedurze zgłoszenia organowi nadzoru naruszenia, gdyby okazało się, że taki incydent może skutkować naruszeniem praw i wolności osób fizycznych.
3. Jeżeli w trakcie realizacji Umowy o świadczenie usługi, Podmiot przetwarzający poweźmie informację o postępowaniu Administratora mogącym skutkować w zakresie powierzonych danych naruszeniem przepisów RODO lub innych przepisów o ochronie danych osobowych może on wezwać Administratora do złożenia wyjaśnień jak również wezwać do przywrócenia stanu zgodnego z prawem oraz z niniejszym Regulaminem PPDO wyznaczając mu do tego odpowiedni termin.
4. Do czasu przywrócenia stanu zgodnego z prawem Podmiot przetwarzający uprawniony jest do wstrzymania się z realizacją postanowień Regulaminu serwisu mKsięgowa.pl, Regulaminu PPDO oraz Umowy o świadczenie usługi, tak w całości, jak i w poszczególnych ich częściach, co pozostaje bez wpływu na obowiązek uiszczenia przez Administratora opłaty abonamentowej za ten okres.
5. W przypadku bezskutecznego upływu terminu, o którym mowa w ust. 3 Podmiot przetwarzający uprawniony jest do rozwiązania Umowy o świadczenie usługi ze skutkiem natychmiastowym z przyczyn leżących po stronie Administratora.

 

[Udostępnianie danych osobowych]

§7.

 

1. W celu wykonania postanowień Regulaminu PPDO Podmiot przetwarzający może korzystać z pomocy pracowników uprzednio upoważnionych do przetwarzania danych osobowych oraz zobowiązanych do zachowania w tajemnicy informacji uzyskanych wskutek wykonania postanowień Regulaminu PPDO. Przetwarzanie, w szczególności udostępnienie powierzonych danych osobowych osobom, o których mowa w zdaniu poprzednim nie stanowi naruszenia postanowień Regulaminu PPDO.
2. Podmiot przetwarzający zobowiązany jest niezwłocznie powiadomić Administratora o zgłoszonym przez osobę trzecią żądaniu ingerującym w proces przetwarzania powierzonych danych osobowych, w szczególności dotyczy to żądania skopiowania, zabezpieczenia lub udostępnienia tych danych osobowych. W takim przypadku Podmiot przetwarzający zobowiązany jest niezwłocznie powiadomić Administratora o zgłoszonym żądaniu, chyba że co innego wynika z przepisów prawa.
3. Jeżeli żądanie, o którym mowa w ust. 2 zgłaszają organy władzy państwowej takie jak: sądy, organy administracji publicznej, policja lub inne służby Podmiot przetwarzający nie jest zobowiązany do powiadamiania o tym fakcie Administratora, ani też o fakcie spełnienia żądania.
4. W przypadku, gdy przepis prawa zobowiązuje Podmiot przetwarzający do wykonania określonej operacji odnośnie powierzonych danych osobowych, w szczególności dotyczy to prawnego obowiązku udostępnienia danych osobowych podmiotom, o których mowa w ust. 2 lub 3 wykonanie powyższego obowiązku nie stanowi naruszenia postanowień Regulaminu PPDO.

 

[Nadzór]

§ 8.

 

1. Podmiot przetwarzający zobowiązany jest do udzielania Administratorowi wszelkich informacji niezbędnych do wykazania, iż Administrator spełniania obowiązki określone w art. 28 RODO, w szczególności dotyczy to:
   1. okazania umów dotyczących dalszego powierzenia przetwarzania danych osobowych,
   2. wykazania wdrożenia przez Podmiot przetwarzający odpowiednich środków technicznych i organizacyjnych by przetwarzanie odpowiadało wymogom RODO.
2. Podmiot przetwarzający nie jest zobowiązany do tworzenia na rzecz Administratora dokumentacji z zakresu ochrony danych osobowych.
3. W przypadku uzasadnionych wątpliwości odnośnie prawidłowości przetwarzania danych osobowych Administrator może zwrócić się do Podmiotu przetwarzającego o dopuszczenie audytu wykonanego przez Administratora.
4. Jeżeli do weryfikacji uzasadnionych wątpliwości Administratora wystarczające jest udzielenie informacji w trybie ust. 1 audytu się nie przeprowadza.
5. Wyznaczając termin i godziny audytu należy wziąć pod uwagę termin dogodny dla obu Stron i ustalić go co najmniej na 10 dni kalendarzowych przed planowanym audytem.
6. Audyt przeprowadza się nie częściej niż raz na pół roku, chyba ze wystąpi szczególnie uzasadniony przypadek jak np. naruszenie ochrony powierzonych danych.
7. Administrator może przeprowadzić audyt wraz z upoważnionym przez siebie audytorem.
8. Audyt może również przeprowadzić upoważniony przez Administratora pracownik.
9. Aktualni ani byli pracownicy Podmiotu przetwarzającego nie mogą uczestniczyć w audycie ani jako audytorzy, ani jako pracownicy Administratora. Audytorem nie może być także podmiot ani osoba prowadząca działalność konkurencyjną względem Podmiotu przetwarzającego. Administrator zobowiązany jest zapewnić, iż wyznaczony przez niego do przeprowadzenia audytu audytor nie będzie podmiotem prowadzącym działalność konkurencyjną wobec Podmiotu przetwarzającego i odpowiada w całości za wszelką szkodę poniesioną przez Podmiot przetwarzający w związku z przeprowadzeniem audytu przez podmiot prowadzący działalność konkurencyjną wobec Podmiotu przetwarzającego. Do przeprowadzenia audytu w imieniu Administratora zostaną dopuszczone jedynie osoby, które złożą wobec Podmiotu przetwarzającego pisemne oświadczenie o nieprowadzeniu działalności konkurencyjnej wobec Podmiotu przetwarzającego.
10. Przez działalność konkurencyjną w rozumieniu Regulaminu PPDO rozumie się jakąkolwiek działalność pokrywającą się w całości lub w części z przedmiotem działalności Podmiotu przetwarzającego, wykonywaną odpłatnie lub nieodpłatnie, we własnym imieniu i na własną rzecz bądź w imieniu i na rzecz jakiejkolwiek osoby trzeciej, w ramach jakiegokolwiek stosunku prawnego (np. umowa o pracę, umowa zlecenia, umowa o współpracy, stosunek powołania, wchodzenie w skład organów podmiotu trzeciego).
11. Jeżeli w ramach audytu zachodzi uzasadniona konieczność wizytacji siedziby Podmiotu przetwarzającego, to Administratorowi lub upoważnionemu przez niego pracownikowi lub audytorowi udostępnia się tylko te pomieszczenia, informacje lub dokumenty, które są niezbędne do oceny prawidłowości przetwarzania danych osobowych. Udostępnienie, o którym mowa w zdaniu poprzednim nie może prowadzić do naruszenia praw i wolności innych podmiotów oraz wyjawienia informacji poufnych stanowiących tajemnicę przedsiębiorstwa Podmiotu przetwarzającego lub jego klientów.
12. Administrator oraz upoważniony przez niego pracownik lub audytor zostaną dopuszczeni do wizytacji, o której mowa w ust. 10 pod warunkiem, że uprzednio zobowiążą się do zachowania w tajemnicy uzyskanych informacji poufnych stanowiących tajemnicę przedsiębiorstwa Podmiotu przetwarzającego lub jego klientów pod rygorem zapłaty kary umownej w wysokości 100.000,00 zł.
13. Wszystkie koszty audytu, w szczególności: (1) wynagrodzenie audytora, a także (2) koszty związane z ograniczeniem możliwości prowadzenia działalności przez Podmiot przetwarzający w związku z prowadzonym audytem w ryczałtowej wysokości: 2.000,00 zł/dzień, pokrywa w całości Administrator,
14. Z przeprowadzonego audytu Strony sporządzą protokół końcowy.
15. Administrator ponosi pełną odpowiedzialność za wszelkie szkody wyrządzone podczas audytu z przyczyn leżących po jego stronie lub po stronie osób działających w jego imieniu.

 

[Okres obowiązywania]

9.

 

1. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych na czas trwania Umowy o świadczenie usługi, chyba że przepisy prawa stanowią inaczej.
2. Z dniem rozwiązania lub wygaśnięcia Umowy o świadczenie usługi, postanowienia Regulaminu PPDO w zakresie powierzenia i ochrony danych osobowych przestają obowiązywać, natomiast Podmiot przetwarzający zobowiązany jest do zaprzestania przetwarzania powierzonych mu danych osobowych, chyba że Strony postanowią inaczej.

 

[Usunięcie danych osobowych]

§ 10.

 

1. W przypadku rozwiązania lub wygaśnięcia Umowy o świadczenie usługi zależnie od polecenia Administratora, Podmiot przetwarzający usuwa lub zwraca Administratorowi wszelkie dane osobowe oraz usuwa wszelkie istniejące kopie, chyba że prawo Unii Europejskiej lub prawo polskie nakazują dalsze przechowywanie danych osobowych.
2. Podmiot przetwarzający stosowanie do technologicznego charakteru usługi niezwłocznie usunie powierzone dane, jednakże nie później niż w terminie 90 dni kalendarzowych od dnia rozwiązania Umowy o świadczenie usługi.
3. Na potwierdzenie usunięcia danych osobowych Podmiot przetwarzający mailowo złoży oświadczenie o realizacji tego obowiązku.
4. Na potwierdzenie zwrócenia danych osobowych Strony sporządzą stosowny protokół zdawczo — odbiorczy.

 

[Odpowiedzialność]

11.

 

1. W zakresie szkód powstałych w związku z niewykonaniem lub nienależytym wykonaniem przez Strony postanowień Regulaminu PPDO, postanowienia niniejszego paragrafu mają pierwszeństwo przed zapisami dotyczącymi odpowiedzialności cywilnej określonymi w Regulaminie.
2. Odpowiedzialność Podmiotu przetwarzającego za niewykonanie lub nienależyte wykonanie postanowień niniejszego Regulaminu PPDO, jak również odpowiedzialność Podmiotu przetwarzającego wobec Administratora za wypełnienie obowiązków umownych przez inny podmiot przetwarzający, któremu Podmiot przetwarzający powierzył dane osobowe do dalszego przetwarzania, ogranicza się wyłącznie do szkód wyrządzonych z winy umyślnej Podmiotu przetwarzającego. W przypadku odpowiedzialności Podmiotu przetwarzającego za wypełnienie obowiązków umownych przez inny podmiot przetwarzający, do aktualizacji odpowiedzialności Podmiotu przetwarzającego dodatkowo wymagana jest wina umyślna innego podmiotu przetwarzającego. Strony wyłączają dalej idącą odpowiedzialność Podmiotu przetwarzającego.
3. Podmiot przetwarzający nie odpowiada za szkody Administratora lub osoby trzeciej powstałe na skutek:
   1. uzasadnionej odmowy wykonania polecenia Administratora, jeżeli wykonanie tego polecenia mogłoby spowodować naruszenie prawa;
   2. uzasadnionego wstrzymania się z realizacją postanowień Regulaminu PPDO, które nastąpiło w trybie § 4 ust. 3 i ust. 4 Regulaminu PPDO;
   3. wykonania obowiązku wynikającego z przepisów prawa;
   4. niewłaściwej oceny ryzyka/oceny skutków dla ochrony danych sporządzonej wadliwie przez Podmiot przetwarzający wskutek nieudostępnienia lub udostępnienia przez Administratora własnej, wadliwej oceny ryzyka lub oceny skutków dla ochrony danych;
   5. rozwiązania przez Podmiot przetwarzający Umowy o świadczenie usługi w trybie natychmiastowym w przypadkach określonych wprost w niniejszym Regulaminie PPDO i z przyczyn leżących po stronie Administratora;
   6. Podmiot przetwarzający nie odpowiada za szkody Administratora lub osoby trzeciej powstałe z winy Administratora, w szczególności powstałe wskutek:
      1. naruszenia postanowień RODO;
      2. przetwarzania danych osobowych niezgodnie z prawem;
      3. niewykonania lub nienależytego wykonania postanowień Regulaminu PPDO lub Regulaminu serwisu mKsiegowa.pl;
      4. powierzenia przetwarzania danych osobowych, co do których Administrator nie legitymuje się podstawą prawną do przetwarzania;
      5. przetwarzania danych osobowych w sposób sprzeczny z celami, dla których te dane pozyskał;
      6. wykonania sprzecznego z prawem polecenia Administratora, gdy ten choćby nieumyślnie wprowadził Podmiot przetwarzający w błąd co do okoliczności determinujących bezprawność wykonania takiego polecenia;
      7. przechowywania, dostarczania i wymiany treści, informacji, danych niezgodnych z prawem, postanowieniami Regulaminu PPDO lub umową oświadczenie usługi;
   7. korzystania z infrastruktury technicznej w sposób niezgodny z jej przeznaczeniem oraz z Regulaminem serwisu mKsiegowa.pl;
   8. nieprzeprowadzenia przez Administratora rekomendowanej przez Podmiot przetwarzający aktualizacji serwisu lub usług systemu operacyjnego w zakresie bezpieczeństwa danych osobowych lub niezastosowania zalecanych zabezpieczeń;
   9. nieprawidłowego przetwarzania, korzystania, konfiguracji, aktualizacji lub zabezpieczenia stosowanych przez siebie systemów operacyjnych, usług systemu operacyjnego lub aplikacji zainstalowanych w infrastrukturze technicznej Podmiotu przetwarzającego.
4. Podmiot przetwarzający nie odpowiada za prawidłowe zabezpieczenie danych osobowych w tej części systemu teleinformatycznego, która jest zarządzana przez Administratora.
5. Podmiot przetwarzający jest w szczególności wyłączony z odpowiedzialności za zabezpieczenie danych osobowych w warstwie usług systemu operacyjnego oraz w warstwie aplikacji instalowanych na urządzeniach końcowych przez Administratora.
6. Jeżeli Podmiot przetwarzający lub jego klienci poniosą szkodę wskutek niewykonania lub nienależytego wykonania postanowień niniejszego Regulaminu PPDO przez Administratora, w szczególności wskutek zastosowania nienależytych zabezpieczeń lub niewłaściwego korzystania, konfiguracji, aktualizacji lub zabezpieczenia systemu operacyjnego/usług systemu operacyjnego aplikacji Administrator zobowiązany jest do jej naprawienia w całości.
7. Jeżeli wskutek działania lub zaniechania Administratora stanowiącego naruszenie postanowień Regulaminu PPDO, Regulaminu serwisu mKsięgowa.pl lub przepisów obowiązującego prawa, w szczególności wskutek wykonania polecenia Administratora, Prezes Urzędu Ochrony Danych Osobowych nałoży na Podmiot przetwarzający lub inny podmiot przetwarzający karę pieniężną lub inną sankcję Administrator zobowiązany będzie do naprawienia wobec Podmiotu przetwarzającego  całości wynikłej stąd szkody, obejmującej w szczególności zwrot uregulowanej przez Podmiot przetwarzający kary pieniężnej.
8. Jeżeli wskutek działania lub zaniechania Administratora stanowiącego naruszenie postanowień Regulaminu PPDO, Regulaminu serwisu mKsięgowa.pl lub przepisów obowiązującego prawa, w szczególności wskutek wykonania polecenia Administratora, osoba, której dane osobowe są przetwarzane na podstawie Regulaminu PPDO zgłosi do Podmiotu przetwarzającego roszczenia odszkodowawcze, Administrator zobowiązany jest do:
   1. zwolnienia Podmiotu przetwarzającego z długu poprzez wstąpienie w jego miejsce i zaspokojenie roszczeń wobec osoby je zgłaszającej, oraz
   2. naprawienia wobec Podmiotu przetwarzającego wynikłej stąd szkody w całości, obejmującej w szczególności zwrot uregulowanej przez Podmiot przetwarzający kwoty odszkodowania.

 

[Postanowienia końcowe]

12.

 

1. Jeżeli Regulamin PPDO nie stanowi inaczej, w razie sprzeczności pomiędzy postanowieniami Regulaminu PPDO a Regulaminem serwisu mKsięgowa.pl, pierwszeństwo mają postanowienia Regulaminu PPDO.
2. W razie konieczności Podmiot przetwarzający może zmienić postanowienia niniejszego Regulaminu PPDO. W takim przypadku §11 Regulaminu serwisu mKsiegowa.pl stosuje się odpowiednio.
3. Niniejszy Regulamin PPDO może ulec zmianie gdy konieczność taka powstanie w wyniku zmiany powszechnie obowiązujących przepisów prawa.
4. Sądem właściwym dla rozstrzygania sporów wynikłych z Regulaminu PPDO jest sąd właściwy dla każdorazowej siedziby Podmiotu przetwarzającego.
5. Regulamin PPDO obowiązuje od chwili zaakceptowania jego postanowień przez Administratora.
6. W sprawach nieunormowanych Regulaminem PPDO zastosowanie znajduje RODO, krajowe przepisy o ochronie danych osobowych, Kodeks cywilny i inne odpowiednie przepisy.