Umowa powierzenia przetwarzania danych

Administrator powierza Operatorowi przetwarzanie danych osobowych wyłącznie w celu i zakresie niezbędnym do świadczenia usługi (przechowywanie zdjęć, generowanie wersji podglądowych i paczek ZIP, udostępnianie galerii pod linkiem/kodem QR oraz prowadzenie podstawowych statystyk).

Umowa obowiązuje przez czas korzystania z usługi (czas trwania Regulaminu) i wygasa z chwilą jej zakończenia oraz usunięcia danych zgodnie z §8.

Przetwarzanie obejmuje operacje: utrwalanie, przechowywanie, przeglądanie, udostępnianie i usuwanie.

• Kategorie osób: klienci Administratora oraz inne osoby widoczne na zdjęciach.
• Kategorie danych: wizerunek, ewentualne imię/oznaczenie klienta na galerii, data wykonania usługi.
• Dane szczególnej kategorii (art. 9 RODO): w zakresie, w jakim zdjęcia ujawniają stan zdrowia (np. zabiegi medycyny estetycznej) — przetwarzane wyłącznie na podstawie i w granicach zgody pozyskanej przez Administratora.

1. przetwarza dane wyłącznie na udokumentowane polecenie Administratora (w tym konfigurację konta i działania w aplikacji);
2. zapewnia, że osoby upoważnione do przetwarzania zobowiązały się do zachowania poufności;
3. stosuje środki bezpieczeństwa, o których mowa w art. 32 RODO (§6);
4. pomaga Administratorowi w realizacji żądań osób oraz w wypełnianiu obowiązków z art. 32–36 RODO;
5. po zakończeniu usługi usuwa lub zwraca dane (§8);
6. udostępnia informacje niezbędne do wykazania zgodności i umożliwia audyty (§7);
7. niezwłocznie informuje Administratora, jeżeli jego zdaniem polecenie narusza przepisy o ochronie danych.

Administrator wyraża ogólną zgodę na korzystanie z podwykonawców niezbędnych do świadczenia usługi, w szczególności dostawcy infrastruktury/hostingu oraz poczty transakcyjnej. Operator nakłada na nich obowiązki ochrony danych nie mniejsze niż wynikające z Umowy i informuje o zamierzonych zmianach, umożliwiając zgłoszenie sprzeciwu.

[Wskaż aktualnych subprocesorów: dostawca hostingu, dostawca SMTP, ew. operator płatności.]

• szyfrowanie transmisji (HTTPS);
• kontrola dostępu i uwierzytelnianie (hasła w postaci skrótów scrypt, sesje, ograniczanie liczby żądań);
• linki do galerii oparte na trudnym do odgadnięcia identyfikatorze; brak indeksowania przez wyszukiwarki;
• ograniczenie czasu dostępności galerii (retencja) oraz możliwość usunięcia danych na żądanie.

Administrator ma prawo do weryfikacji zgodności przetwarzania, w tym poprzez żądanie informacji lub audyt uzgodniony z odpowiednim wyprzedzeniem, w sposób niezakłócający działania Operatora.

Po zakończeniu świadczenia usługi oraz na żądanie Administratora Operator usuwa dane (w tym kopie) albo je zwraca, chyba że obowiązek dalszego przechowywania wynika z prawa. Usunięcie konta lub galerii w aplikacji powoduje usunięcie odpowiednich plików ze storage.

Operator bez zbędnej zwłoki zgłasza Administratorowi stwierdzone naruszenie ochrony danych, przekazując informacje niezbędne do realizacji obowiązków Administratora wobec organu nadzorczego i osób, których dane dotyczą.

Każda ze stron odpowiada za szkody spowodowane przetwarzaniem niezgodnym z RODO w zakresie, w jakim nie wywiązała się z obowiązków nałożonych na nią przez przepisy. Pozostałe ograniczenia odpowiedzialności określa Regulamin.