ZASADY PRZETWARZANIA DANYCH OSOBOWYCH W SCANYE

1. DEFINICJE

1.1. Następujące terminy mają znaczenie określone poniżej:

„Unijne przepisy dotyczące ochrony danych”
oznaczają: (i) do dnia 24 maja 2018 r. Dyrektywę UE 95/46 / WE, transponowaną do ustawodawstwa krajowego każdego państwa członkowskiego oraz wszelkie zmiany do niej, oraz (ii) od dnia 25 maja 2018 r. RODO; przepisy wykonawcze lub uzupełniające niniejsze rozporządzenie;
„RODO”
oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
„Podmiot stowarzyszony”
oznacza podmiot prawny, który bezpośrednio lub pośrednio poprzez jednego lub więcej pośredników jest kontrolowany przez Stronę. Do celów niniejszej definicji termin „kontrola” oznacza posiadanie, bezpośrednio lub pośrednio, uprawnień do kierowania lub wpływu na kierunek polityki podmiotu, czy to poprzez posiadanie głosu z akcji, na podstawie umowy lub w inny sposób;
„Zasady”
oznacza niniejsze zasady przetwarzania danych osobowych;
„Umowa o świadczenie usług”
oznacza umowę, do której załącznik stanowią Zasady;
„Scanye” i „Partner”
oznacza odpowiednie strony Umowy o świadczenie usług, z tym, że Partner oznacza również osobę lub podmiot akceptujący Regulamin;
„Regulamin”
oznacza regulamin świadczenia usług przez Scanye
„Partner”
oznacza każdorazowa Partnera wskazanego w Umowie o świadczenie usług lub inny podmiot lub osobę, która zaakceptowała Regulamin, a tym samym zawarł umowę powierzenia przetwarzania danych osobowych na warunkach opisanych w niniejszych Zasadach;
„Scanye”
Scanye spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie przy ul. Grzybowskiej 87, 00-844 Warszawa, spółką wpisaną do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla m. st. Warszawy, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000613375, NIP: 527-276-72-50. Ze Spółką można kontaktować się poprzez adres e-mail hq@scanye.io
„Aplikacja”
oznacza serwis internetowy app.scanye.pl, należący do Scanye, którego podstawową funkcjonalnością jest umożliwienie automatycznego odczytu danych z faktur dostarczonych w formatach elektronicznych.

1.2. Terminy „kraj trzeci”, „państwo członkowskie”, „administrator”, „podmiot danych”, „dane osobowe”, „naruszenie danych osobowych”, „przetwarzanie” i „organ nadzoru” mają takie samo znaczenie jak w RODO i ich pokrewne terminy należy interpretować odpowiednio.

2. ZAKRES PRZETWARZANIA DANYCH OSOBOWYCH

I. Udostępnienie danych kontaktowych

  1. 2.1. Scanye jest administratorem danych osobowych osób zatrudnionych u Scanye (pracowników/podwykonawców/zleceniobiorców Scanye) (dalej: Dane Pracowników Scanye). Scanye udostępnia Partnerowi w celu zapewnienia komunikacji niezbędnej dla prawidłowego wykonywania Umowy o świadczenie usług następujące dne osób, w stosunku do których Partner staje się procesorem:
    • imię,
    • nazwisko,
    • służbowy adres e-mail,
    • służbowy nr telefonu,
  2. 2.2. Scanye zobowiązuje się do spełnienia w imieniu Partnera obowiązku informacyjnego (zgodnie z art. 25 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, a od 25 maja 2018 r. zgodnie z art. 14 RODO) w stosunku do osób których dane Scanye udostępnia Partnerowi zgodnie z ustępem 2.1. powyżej.

II. Powierzenie przetwarzania danych osobowych

  1. 1.1. Partner jest administratorem danych osobowych osób zatrudnionych u Partnera (pracowników/podwykonawców/zleceniobiorców Partnera) (dalej: Dane Pracowników Partnera) lub administratorem lub podmiotem przetwarzającym dane osobowe powierzone mu w związku ze świadczeniem usług księgowych na rzecz jednego lub wielu administratorów danych osobowych, z którymi ma zawarte umowy powierzenia przetwarzania danych w związku ze świadczeniem na rzecz tych administratorów usług obsługi księgowo-finansowej lub innej podobnej. Partner powierza Scanye dane zebrane przez niego lub powierzone mu, w celu skorzystania z usługi automatycznego odczytu i ewidencji danych zawartych na fakturach, które wprowadza do Aplikacji – łącznie określone Dane Partnera. Dodatkowo Partner powierza Scanye do przetwarzania dane osobowe swoich przedstawicieli, którzy będą utrzymywali bieżący kontakt ze Scanye w zakresie realizowania umowy o świadczenie usług lub umowy przetwarzania danych.
  2. 1.2. Partner powierza Scanye, na podstawie niniejszej umowy, przetwarzanie Danych Partnera, w zakresie niezbędnym do wykonania Umowy o świadczenie usług lub skorzystania z aplikacji, przy czym czynności, do których wykonywania w ramach przetwarzania upoważniony jest Scanye to:
    • odczytanie danych,
    • utrwalenie danych,
    • przechowywanie danych w formie elektronicznej,

    wszystkie te czynności wyłącznie w celu wykonania przedmiotu Umowy o świadczenie usług, w sposób określony w Zasadach i Umowie o świadczenie usług lub korzystania z funkcjonalności Aplikacji.

3. ZASADY PRZETWARZANIA POWIERZONYCH DANYCH OSOBOWYCH

3.1. Partner zobowiązuje się do:

  1. 3.1.1. Upewnienia się, że istnieje podstawa prawna do przetwarzania Danych osobowych w przypadku gdy jest administratorem.
  2. 3.1.2. Upewnienia się, że może dokonać podpowierzenia Danych Partnera w rozumieniu art. 28 ust. 2 RODO i przekazania ich do przetwarzania Scanye.
  3. 3.1.3. Zapewnienia, że wszystkie Dane Partnera są zgodnie z prawem gromadzone, przetwarzane i przekazywane do Scanye celem ich przetwarzania lub dalszego przetwarzania.
  4. 3.1.4. Zapewnienia, że osoby, których dane dotyczą, zgodnie z wymogami unijnych przepisów o ochronie danych, otrzymały wystarczające informacje dotyczące przetwarzania.
  5. 3.1.5. Nie wydawania żadnych instrukcji dla Scanye, które byłyby w jakikolwiek sposób sprzeczne z unijnymi przepisami o ochronie danych lub z prawami osób, których dane dotyczą.
  6. 3.1.6. Niezwłocznie po zwróceniu uwagi przez administratora (jeżeli Partner nie jest administratorem powierzanych danych osobowych), poinformowania Scanye o wszelkich błędnych, poprawionych, zaktualizowanych lub usuniętych danych osobowych podlegających przetwarzaniu przez Scanye.
  7. 3.1.7. Prowadzenia rejestru czynności przetwarzania, gdy z przepisów RODO bądź innych powszechnie obowiązujących przepisów prawa polskiego wynika, że Partner spełnia przesłanki obowiązkowego prowadzenia takiego rejestru.
  8. 3.1.8. Współpracy z organem nadzorczym w ramach wykonywania zadań i swoich obowiązków wynikających z RODO i przepisów powszechnie obowiązujących.
  9. 3.1.9. Stałego i systematycznego monitorowania naruszeń ochrony danych osobowych, a w sytuacjach, w których jest do tego zobowiązany na mocy przepisów RODO lub innych powszechnie obowiązujących przepisów polskiego prawa – do informowania o nich organu nadzorczego oraz osoby, której dane dotyczą.
  10. 3.1.10. W przypadkach, w których jest to wymagane przepisami RODO lub innymi powszechnie obowiązującymi przepisami polskiego prawa – do przeprowadzenia oceny skutków dla ochrony danych.
  11. 3.1.11. Stosowania rozwiązań technicznych i organizacyjnych, które pozwolą osobom, których dane dotyczą realizować ich prawa wynikające z RODO lub innych powszechnie obowiązujących przepisów prawa polskiego.

3.2. Scanye zobowiązuje się:

  1. 3.2.1. Przetwarzać Dane Partnera zgodnie z powszechnie obowiązującymi przepisami prawa regulującymi zasady przetwarzania danych osobowych, postanowieniami niniejszej Umowy oraz instrukcjami Partnera (o ile są one zgodne z prawem).
  2. 3.2.2. Zapewnić, iż dostęp do powierzonych do przetwarzania Danych Partnera będą mieć tylko osoby, którym nadano upoważnienie. Scanye na żądanie Partnera osobowych udostępni ewidencję osób upoważnionych do przetwarzania Danych Partnera powierzonych do przetwarzania przez Partnera.
  3. 3.2.3. Zapewnić, że każda osoba (pracownik etatowy, osoba świadcząca czynności na podstawie umów cywilnoprawnych, inne osoby pracująca na jego rzecz), która została upoważniona do przetwarzania Danych osobowych zostanie zobowiązana do zachowania tych danych w tajemnicy. Tajemnica ta obejmuje również wszelkie informacje dotyczące sposobów zabezpieczenia powierzonych do przetwarzania Danych Partnera.
  4. 3.2.4. Wdrożyć odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa odpowiedniego dla ryzyka, biorąc pod uwagę stan wiedzy, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko różnego prawdopodobieństwa i dotkliwości w odniesieniu do praw i wolności osób fizycznych, w tym, w stosownych przypadkach, środki, o których mowa w art. 32 ust. 1 RODO, oraz w celu wypełnienia zobowiązań Partnera w zakresie odpowiedzi na wnioski o wykonanie praw podmiotów danych zgodnie z przepisami ochrony danych osobowych UE.
  5. 3.2.5. Dokonywać stałego i systematycznego monitorowania naruszeń ochrony danych osobowych (w szczególności: utraty, kradzieży, niewłaściwego użycia, nieuprawnionego dostępu lub nielegalnego przetwarzania danych osobowych), a w razie stwierdzenia takiego naruszenia niezwłocznego – nie później niż w ciągu 24 godzin od stwierdzenia takiego naruszenia – powiadomienia o tym Partnera, poprzez przekazanie informacji drogą elektroniczną na adres podany podczas rejestracji w Aplikacji i zapewnienia mu wszelkiej niezbędnej pomocy w celu rozwiązania problemów wynikających z takiego naruszenia.
  6. 3.2.6. Podjąć wszelkie niezbędne kroki w celu przestrzegania obowiązujących przepisów dotyczących ochrony danych.
  7. 3.2.7. Zapewnić Partnerowi wszelką inną rozsądną pomoc w zapewnieniu zgodności ze zobowiązaniami wynikającymi z art. 32-36 RODO (np. pomoc Partnerowi podczas przeprowadzania oceny skutków ochrony danych i wcześniejsze konsultacje), biorąc pod uwagę charakter przetwarzania i informacje dostępne dla Scanye.
  8. 3.2.8. Udostępnić Partnerowi informacje niezbędne do wykazania zgodności i spełnienia przez Scanye wymogów określonych w niniejszej Umowie oraz umożliwić i wnieść wkład w audyty, w tym kontrole, przeprowadzane przez uprawnione podmioty.
  9. 3.2.9. Prowadzić – w przypadkach, gdy obowiązek ten wynika z RODO lub innych powszechnie obowiązujących przepisów prawa polskiego – rejestr czynności przetwarzania.
  10. 3.2.10. Informować Partnera niezwłocznie – nie później niż w ciągu 24 godzin od otrzymania – o wszelkich żądaniach osób, których dane dotyczą kierowanych do Partnera za pośrednictwem Scanye (np. żądania udzielenia informacji, żądania usunięcia danych, żądania sprostowania danych, cofnięciu zgody itp.).
  11. 3.2.11. Stosować rozwiązania techniczne i organizacyjne, które pozwolą osobom, których dane dotyczą realizować ich prawa wynikające z RODO lub innych powszechnie obowiązujących przepisów prawa polskiego.
  12. 3.2.12. Niezwłocznie poinformować Partnera danych o wszelkich czynnościach z udziałem Scanye w sprawach dotyczących ochrony Danych osobowych, prowadzonych w szczególności przez Generalnego Inspektora Ochrony Danych Osobowych lub inny właściwy organ, policję lub sąd.
  13. 3.2.13. Udzielać Partnerowi danych, na każde jego żądanie, informacji na temat przetwarzania powierzonych do przetwarzania Danych Partnera.

3.3. Scanye ma prawo do

anonimizacji danych osobowych Partnera lub osób występujących w imieniu Partnera jako środka ochrony oraz ze względów technicznych i zgodnie z przepisami ustawowymi i wykonawczymi.

4. PODWYKONAWCY

  1. 4.1. Niniejszym, Partner upoważnia Scanye do angażowania dowolnego podwykonawcy do wykonywania określonych czynności przetwarzania w celu wykonania niniejszej Umowy, pod warunkiem, że podwykonawca wykonuje wszystkie zobowiązania wynikające z niniejszej Umowy, ponieważ mają one zastosowanie do przetwarzania danych osobowych Partnera przez tego podwykonawcę, tak jakby był stroną tej umowy. Każdy podwykonawca zapewni wystarczające gwarancje i wdroży odpowiednie środki techniczne i organizacyjne w taki sposób, aby przetwarzanie spełniało wymagania unijnych przepisów o ochronie danych. W przypadku, gdy podwykonawca nie wypełni swoich zobowiązań w zakresie ochrony danych, Scanye pozostaje odpowiedzialny wobec Partnera za wykonanie zobowiązań podwykonawcy. W tym Partner upoważnia Scanye do dalszego powierzenia przetwarzania Danych Partnera do podmiotów, z którym Scanye współpracuje przy prowadzeniu działalności gospodarczej, tj. podmiotom z branży IT i podmiotom księgowym, a w szczególności Partner upoważnia Scanye do powierzania przetwarzania danych osobowych uzyskanych od Partnera następującym podmiotom obsługującym aplikacje:
    • Amazon Web Services
    • Google Cloud Vision

    W przypadku dalszego powierzenia danych osobowych do podmiotów amerykańskich, te podmioty gwarantują poufność danych zapisywanych na jego bazach. Oba ww. podmioty przystąpiły do programu Tarczy Prywatności i zapewniają odpowiedni poziom ochrony danych osobowych wymagany przez przepisy europejskie.

  2. 4.2. Scanye poinformuje Partnera o wszelkich zamerzonych zmianach dotyczących dodania lub wymiany takich podwykonawców, dając Partnerowi możliwość zgłoszenia sprzeciwu. Jeżeli takie zastrzeżenia nie będą uzasadnione i spowodują dodatkowe koszty lub wydatki ze strony Scanye, Scanye otrzyma rekompensatę od Partnera za takie dodatkowe i / lub zwiększone koszty i wydatki.
  3. 4.3. W celu uniknięcia wątpliwości, Partner wyraża pełną i wyraźną zgodę na (i) korzystanie z podwykonawców, z którymi Scanye posiada umowy obowiązujące w chwili wejścia w życie niniejszej Umowy, (ii) korzystanie z wszystkich podmiotów stowarzyszonych Scanye i (iii) korzystanie z wszelkich podmiotów, z których Scanye korzysta w celu stworzenia, prowadzenia, serwisowania i utrzymania Aplikacji oraz jej wszystkich funkcjonalności.

5. PRAWA AUDYTU

  1. 5.1. Scanye zezwala na racjonalne kontrole w celu sprawdzenia, czy Scanye i podwykonawcy przestrzegają postanowień niniejszej Umowy.
  2. 5.2. Scanye, w normalnych godzinach pracy i po odpowiednim powiadomieniu (przy czym okres wynoszący co najmniej 20 dni roboczych zostanie uznany za uzasadniony), zapewni Partnerowi odpowiedni dostęp do części obiektów, w których Scanye prowadzi przetwarzanie danych w imieniu Partnera oraz informacje związane z przetwarzaniem danych osobowych Partnera w ramach niniejszej Umowy. Audyt przeprowadza się tak szybko, jak to możliwe i nie zakłóca normalnej działalności biznesowej Scanye. Audytor powinien przestrzegać zasad pracy Scanye, wymogów bezpieczeństwa i norm przy przeprowadzaniu wizyt na miejscu. Przed rozpoczęciem audytu Partner zawrze umowę (-y) poufności dostarczoną przez Scanye.
  3. 5.3. Organ nadzoru zawsze ma bezpośredni i nieograniczony dostęp do pomieszczeń Scanye, urządzeń do przetwarzania danych i dokumentacji w celu sprawdzenia, czy przetwarzanie danych osobowych Partnera przez Scanye, odbywa się zgodnie z unijnymi przepisami dotyczącymi ochrony danych.

6. MIĘDZYNARODOWY TRANSFER DANYCH

W odniesieniu do danych osobowych przetwarzanych w imieniu Partnera w obrębie UE / EOG i przekazanych podwykonawcom Scanye lub podmiotom stowarzyszonym Scanye na terytorium UE / EOG, stosuje się zasady określone w RODO. Scanye dopuszcza, a Partner akceptuje fakt, że Dane Partnera mogą zostać zapisane w bazie systemów mających siedzibą poza obrębem UE / EOG i będą przechowywane na serwerze znajdującym się w Stanach Zjednoczonych Ameryki (USA). Scanye informuje, iż podmioty te przystąpiły do programu Tarczy Prywatności i zapewnia odpowiedni poziom ochrony danych osobowych wymagany przez przepisy europejskie.

7. WYNAGRODZENIE

  1. 7.1. Scanye zezwala na racjonalne kontrole w celu sprawdzenia, czy Scanye i podwykonawcy przestrzegają postanowień niniejszej Umowy.
  2. 7.2. W przypadku, gdy (i) Partner zmieni swoje pisemne instrukcje, o których mowa w punkcie 3.1.5, lub (ii) Partner wymagałby wdrożenia dodatkowych środków technicznych lub organizacyjnych, a to spowodowałoby wzrost kosztów Scanye; wówczas Scanye będzie uprawniony do korekty wynagrodzenia.

8. TERMIN I ZAKOŃCZENIE

Niniejsza Umowa powierzenia przetwarzania danych wchodzi w życie w dacie podpisania przez strony lub z chwilą akceptacji Regulaminu lub Zasad. O ile nie zostanie wypowiedziana wcześniej zgodnie z poniższymi postanowieniami, niniejsza Umowa pozostaje w mocy do czasu rozwiązania lub wygaśnięcia Umowy o świadczenie usług, po czym wygasa automatycznie, bez zachowania okresu wypowiedzenia.

9. USUWANIE LUB ZWROT DANYCH OSOBOWYCH PARTNERA

  1. 9.1. Z zastrzeżeniem postanowień pkt. 9.2 poniżej, Scanye przestaje przetwarzać dane osobowe przetwarzane w imieniu Partnera po rozwiązaniu niniejszej Umowy. Ponadto Scanye, na pisemne polecenie Partnera, na koszt Partnera, zapewni powrót do Partnera wszystkich takich danych osobowych wraz z kopiami znajdującymi się w jego posiadaniu lub kontrolą. Jeśli Partner nie dostarczy instrukcji dotyczących zwrotu w ciągu trzech (3) miesięcy od daty rozwiązania Umowy, Scanye ma prawo usunąć wszelkie takie dane osobowe, w tym ich kopie, chyba że przechowywanie danych osobowych jest wymagane przez prawo lub niezbędne dla dochodzenia roszczeń lub ochrony przed nimi. Jeżeli dane osobowe zostaną zwrócone zgodnie z powyższym, zostaną zwrócone we wspólnym, czytelnym formacie uzgodnionym między Stronami.
  2. 9.2. Scanye może przechowywać dane osobowe Partnera w zakresie dopuszczalnym/wymaganym przez prawo UE lub państwa członkowskie i wyłącznie w zakresie i okresie dopuszczalnym/wymaganym przez prawo UE lub prawo państwa członkowskiego i zawsze pod warunkiem, że Scanye zapewni poufność wszystkich takich Danych Partnera oraz zadba o to, aby takie Dane Partnera przetwarzane były wyłącznie w celach określonych w przepisach UE lub państwa członkowskiego wymagających ich przechowywania i niewykorzystywania do żadnych innych celów.

10. ODPOWIEDZIALNOŚĆ I ZWOLNIENIE Z ODPOWIEDZIALNOŚCI

  1. 10.1. Każda ze Stron rekompensuje drugiej Stronie wszelkie bezpośrednie straty wynikające z roszczeń stron trzecich wynikających z jakiegokolwiek naruszenia przez pierwszą ze Stron niniejszej Umowy lub w wyniku takiego naruszenia.
  2. 10.2. Niezależnie od powyższego i warunków Umowy o świadczenie usług, Scanye nie ponosi odpowiedzialności za straty pośrednie, w tym szkody i szkody wtórne, takie jak utrata zysków lub dochodów lub inne straty gospodarcze poniesione zgodnie z niniejszą Umową, z wyjątkiem przypadków umyślnego zamiaru lub rażącego niedbalstwa ze strony Scanye.
  3. 10.3. Całkowita odpowiedzialność Scanye wobec Partnera nie może przekroczyć niższej z kwot: (i) kwoty zapłaconej na rzecz Scanye zgodnie z Umową o świadczenie usług w okresie ostatnich dwunastu (12) miesięcy, oraz (ii) limitu odpowiedzialności określonego w Umowie o świadczenie usług.

11. SIŁA WYŻSZA

Scanye nie ponosi odpowiedzialności za jakiekolwiek niewykonanie lub opóźnienie w wykonaniu swoich zobowiązań wynikających z niniejszej Umowy, jeżeli w przypadku niewykonania zobowiązania lub opóźnienia są spowodowane przez okoliczności znajdujące się poza kontrolą Scanye i że Scanye nie może rozsądnie przewidzieć lub zapobiec („Siła wyższa”). Niewykonanie przez podwykonawcę będzie traktowane, jako zdarzenie siły wyższej, pod warunkiem, że podstawową przyczyną niewykonania zobowiązania przez podwykonawcę jest zdarzenie, które uznano by za zdarzenie siły wyższej, gdyby było bezpośrednio związane z Scanye.

12. RÓŻNE

  1. 12.1. Wszystkie zawiadomienia przekazane Stronie w ramach niniejszej Umowy będą miały formę pisemną lub elektroniczną i zostaną wysłane na jej adres podany podczas rejestracji w Aplikacji lub na inny adres podany na piśmie przez Stronę.
  2. 12.2. Niedopełnienie przez którąkolwiek ze Stron jakichkolwiek praw wynikających z niniejszej Umowy lub w związku z nią nie stanowi zrzeczenia się tych praw ani w żaden inny sposób nie narusza tych praw.
  3. 12.3. Żadne z praw i obowiązków wynikających z niniejszej Umowy nie może być przypisane ani przeniesione przez którąkolwiek ze Stron na jakąkolwiek stronę trzecią.
  4. 12.4. Niniejsza Umowa może zostać zmieniona tylko na podstawie pisemnego porozumienia między Stronami lub w formie akceptacji elektronicznej przez obie Strony.
  5. 12.5. Jeżeli którekolwiek postanowienie niniejszej Umowy zostanie uznane za nieważne lub niemożliwe do wyegzekwowania przez sąd lub trybunał właściwej jurysdykcji, pozostałe postanowienia niniejszej Umowy pozostaną w mocy, chyba że te ostatnie postanowienia będą uważane za nierozerwalnie związane z nieważnym lub niewykonalnym postanowieniem. W przypadku, gdy pozostałe postanowienia zachowują ważność, wszystkie Strony będą starały się zastąpić nieważne lub niewykonalne postanowienie ważnym postanowieniem, które odzwierciedla pierwotny zamiar Stron w jak największym zakresie.

13. OBOWIĄZUJĄCE PRAWO

Prawo właściwe i spory będą rozpatrywane zgodnie z postanowieniami, jakie przewiduje w tym zakresie Umowa o świadczenie usług.