Ta strona wymaga JavaScript aby działać prawidłowo. Proszę włącz JavaScript w swojej przeglądarce lub zmień ją na inną i odśwież stronę.

Umowa Powierzenia Przetwarzania Danych Osobowych (DPA)

Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (dalej również jako „DPA") stanowi dodatek do Umowy Świadczenia Usług zawieranej na podstawie Regulaminu Platformy Fitebo (dalej jako „Umowa Podstawowa") i określa zasady przetwarzania przez Digital Rep Sp. z o.o. danych osobowych powierzonych przez Trenera w związku z korzystaniem z Platformy.

DPA zostaje zawarte drogą elektroniczną, bez konieczności zawierania odrębnej umowy w formie pisemnej, z chwilą utworzenia Konta i akceptacji Regulaminu przez Trenera, o ile i w zakresie, w jakim Trener wprowadza do Platformy dane osobowe, których jest administratorem albo które przetwarza jako podmiot uprawniony do ich dalszego powierzenia zgodnie z obowiązującymi przepisami prawa.

Stronami DPA są:

Trener korzystający z Platformy, jako administrator danych osobowych albo podmiot uprawniony do ich dalszego powierzenia zgodnie z obowiązującymi przepisami prawa, zwany dalej „Administratorem",
Digital Rep Sp. z o.o., adres siedziby: Chmielna 2/31, 00-020 Warszawa, PL, wpisana do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla m.st. Warszawy w Warszawie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000915075, kapitał zakładowy: 5 000,00 zł, NIP: 5252872328, REGON: 389664477, zwana dalej „Podmiotem Przetwarzającym".

Definicje
1. Administrator – Trener będący administratorem danych osobowych albo podmiotem uprawnionym do ich dalszego powierzenia zgodnie z obowiązującymi przepisami prawa.
2. Podmiot Przetwarzający – Digital Rep Sp. z o.o., świadcząca usługi w ramach Platformy Fitebo.
3. Platforma – Platforma Fitebo, obejmująca Aplikację webową, Aplikację mobilną oraz funkcjonalności dostępne w ramach Fitebo Companion, zgodnie z Regulaminem.
4. Regulamin – regulamin Platformy Fitebo, określający zasady świadczenia usług drogą elektroniczną przez Podmiot Przetwarzający.
5. Umowa Podstawowa – umowa o świadczenie usług drogą elektroniczną zawarta pomiędzy Administratorem a Podmiotem Przetwarzającym na podstawie Regulaminu.
6. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
7. Dane Osobowe Powierzone – dane osobowe wprowadzane przez Administratora do Platformy lub przekazywane Podmiotowi Przetwarzającemu w związku z korzystaniem z usług objętych Umową Podstawową.
8. Podwykonawca lub Dalszy Podmiot Przetwarzający – podmiot, z którego usług korzysta Podmiot Przetwarzający przy wykonywaniu DPA i który przetwarza Dane Osobowe Powierzone w imieniu Administratora.
9. Naruszenie Ochrony Danych Osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych Osobowych Powierzonych.
Charakter i zakres obowiązywania DPA
1. DPA stanowi integralną część Umowy Podstawowej i ma zastosowanie wyłącznie w zakresie, w jakim Podmiot Przetwarzający przetwarza Dane Osobowe Powierzone w imieniu Administratora.
2. DPA obowiązuje przez czas trwania Umowy Podstawowej, z zastrzeżeniem postanowień, które ze swojej natury obowiązują również po jej zakończeniu, w szczególności dotyczących poufności, odpowiedzialności oraz usunięcia lub zwrotu danych.
3. W zakresie dotyczącym przetwarzania Danych Osobowych Powierzonych postanowienia DPA mają pierwszeństwo przed postanowieniami Regulaminu, jeżeli pomiędzy tymi dokumentami wystąpi sprzeczność.
4. Administrator nie powinien wprowadzać do Platformy danych osobowych, których nie jest uprawniony przetwarzać lub powierzać do przetwarzania.
Przedmiot, cel i charakter przetwarzania
1. Administrator powierza Podmiotowi Przetwarzającemu przetwarzanie Danych Osobowych Powierzonych w trybie art. 28 RODO.
2. Podmiot Przetwarzający będzie przetwarzał Dane Osobowe Powierzone wyłącznie w celu realizacji Umowy Podstawowej, w szczególności w celu umożliwienia Administratorowi korzystania z funkcjonalności Platformy służących do:
  - tworzenia, przechowywania i udostępniania planów treningowych,
  - prowadzenia Kart Podopiecznych,
  - udostępniania danych i treści w Fitebo Companion,
  - prowadzenia dziennika treningowego,
  - komunikacji pomiędzy Trenerem a Podopiecznym,
  - gromadzenia i prezentowania pomiarów, raportów, zdjęć oraz innych danych dodanych przez Administratora lub Podopiecznego,
  - zapewnienia wsparcia technicznego oraz utrzymania i bezpieczeństwa Platformy.
3. Charakter przetwarzania obejmuje operacje niezbędne do wykonania Umowy Podstawowej, w szczególności: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, modyfikowanie, przeglądanie, wykorzystywanie, udostępnianie poprzez funkcjonalności Platformy, ograniczanie, usuwanie oraz niszczenie danych.
4. Podmiot Przetwarzający przetwarza Dane Osobowe Powierzone wyłącznie na udokumentowane polecenie Administratora, którym jest w szczególności Regulamin, niniejsze DPA oraz indywidualne działania podejmowane przez Administratora w ramach korzystania z funkcjonalności Platformy.
5. Jeżeli zdaniem Podmiotu Przetwarzającego polecenie Administratora narusza przepisy RODO lub inne przepisy prawa dotyczące ochrony danych osobowych, Podmiot Przetwarzający poinformuje o tym Administratora, chyba że przepisy prawa zabraniają udzielenia takiej informacji.
Kategorie osób i zakres danych
1. DPA obejmuje dane osobowe osób, których dane Administrator wprowadza do Platformy w związku z korzystaniem z usług, w szczególności Podopiecznych oraz użytkowników Fitebo Companion.
2. Zakres Danych Osobowych Powierzonych może obejmować w szczególności dane zwykłe, takie jak:
  - imię i nazwisko,
  - adres e-mail,
  - numer telefonu,
  - dane identyfikacyjne przypisane do konta Podopiecznego,
  - inne dane wprowadzone przez Administratora w ramach funkcjonalności Platformy.
3. Zakres Danych Osobowych Powierzonych może obejmować również szczególne kategorie danych osobowych oraz dane dotyczące zdrowia, jeżeli Administrator zdecyduje się je wprowadzić do Platformy, w szczególności:
  - datę urodzenia,
  - wzrost, wagę oraz inne parametry ciała,
  - informacje o liczbie dni treningowych w tygodniu,
  - informacje o kontuzjach, wadach postawy, ograniczeniach ruchowych i odczuwanym bólu,
  - informacje o poziomie zaawansowania treningowego, preferencjach treningowych oraz posiadanym sprzęcie fitness,
  - pomiary ciała i postępów treningowych,
  - zdjęcia,
  - dane dotyczące przebiegu treningów, w tym liczby serii, liczby powtórzeń, zastosowanego obciążenia i subiektywnej oceny trudności,
  - dane przekazane w raportach, w tym informacje o samopoczuciu, jakości snu, motywacji, regeneracji, zmęczeniu, frekwencji treningowej oraz innych informacjach przekazanych przez Podopiecznego Administratorowi.
4. Administrator decyduje o zakresie Danych Osobowych Powierzonych wprowadzanych do Platformy i ponosi odpowiedzialność za adekwatność tego zakresu do celu przetwarzania.
Oświadczenia i obowiązki Administratora
1. Administrator oświadcza, że Dane Osobowe Powierzone zostały pozyskane i są przetwarzane zgodnie z obowiązującymi przepisami prawa.
2. Administrator zapewnia, że posiada odpowiednią podstawę prawną do przetwarzania Danych Osobowych Powierzonych oraz do ich powierzenia Podmiotowi Przetwarzającemu.
3. Jeżeli zakres powierzonych danych obejmuje szczególne kategorie danych osobowych, Administrator oświadcza, że posiada także odpowiednią podstawę prawną do ich przetwarzania na podstawie art. 9 RODO oraz spełnił wszystkie wymagania przewidziane przez prawo.
4. Administrator zobowiązuje się wykonać wobec osób, których dane dotyczą, obowiązki informacyjne wymagane przez przepisy prawa, chyba że obowiązek ten zgodnie z uzgodnionym modelem współpracy wykonuje Podmiot Przetwarzający w imieniu Administratora przy wykorzystaniu funkcjonalności Platformy.
5. Administrator odpowiada za treść, zakres, prawidłowość i aktualność Danych Osobowych Powierzonych wprowadzanych do Platformy, chyba że nieprawidłowość wynika wyłącznie z działania lub zaniechania Podmiotu Przetwarzającego.
6. Administrator zobowiązuje się wydawać wyłącznie takie polecenia dotyczące przetwarzania danych, które są zgodne z prawem.
Obowiązki Podmiotu Przetwarzającego
1. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane Osobowe Powierzone zgodnie z DPA, RODO oraz innymi przepisami prawa powszechnie obowiązującego mającymi zastosowanie do przetwarzania danych osobowych.
2. Podmiot Przetwarzający wdraża odpowiednie środki techniczne i organizacyjne zapewniające stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem Danych Osobowych Powierzonych, zgodnie z art. 32 RODO.
3. Podmiot Przetwarzający zapewnia, aby osoby upoważnione do przetwarzania Danych Osobowych Powierzonych zobowiązały się do zachowania ich w poufności lub były objęte odpowiednim ustawowym obowiązkiem zachowania tajemnicy.
4. Podmiot Przetwarzający zapewnia, że dostęp do Danych Osobowych Powierzonych mają wyłącznie osoby, dla których dostęp taki jest niezbędny do realizacji Umowy Podstawowej.
5. Podmiot Przetwarzający, w miarę możliwości i z uwzględnieniem charakteru przetwarzania, pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązywać się z obowiązku odpowiadania na żądania osób, których dane dotyczą.
6. Podmiot Przetwarzający, z uwzględnieniem charakteru przetwarzania i dostępnych mu informacji, pomaga Administratorowi wywiązywać się z obowiązków określonych w art. 32-36 RODO.
7. Podmiot Przetwarzający udostępnia Administratorowi informacje niezbędne do wykazania spełnienia obowiązków wynikających z art. 28 RODO, z zastrzeżeniem ochrony tajemnicy przedsiębiorstwa, bezpieczeństwa innych klientów i ograniczeń wynikających z przepisów prawa.
8. Podmiot Przetwarzający bez zbędnej zwłoki poinformuje Administratora o stwierdzonym Naruszeniu Ochrony Danych Osobowych dotyczącym Danych Osobowych Powierzonych, nie później jednak niż w terminie 48 godzin od jego stwierdzenia, chyba że z okoliczności wynika, że naruszenie nie powoduje ryzyka naruszenia praw lub wolności osób fizycznych.
9. Podmiot Przetwarzający może przetwarzać Dane Osobowe Powierzone również wtedy, gdy obowiązek taki wynika z prawa Unii Europejskiej lub prawa państwa członkowskiego, któremu podlega Podmiot Przetwarzający. W takim przypadku Podmiot Przetwarzający, przed rozpoczęciem przetwarzania, informuje Administratora o tym obowiązku prawnym, o ile prawo nie zabrania udzielenia takiej informacji.
Dalsze powierzenie danych
1. Administrator wyraża ogólną zgodę na korzystanie przez Podmiot Przetwarzający z Dalszych Podmiotów Przetwarzających przy realizacji Umowy Podstawowej.
2. Aktualna lista Dalszych Podmiotów Przetwarzających dostępna jest na Platformie pod adresem wskazanym przez Podmiot Przetwarzający.
3. Podmiot Przetwarzający będzie informował Administratora o planowanych zmianach w zakresie Dalszych Podmiotów Przetwarzających poprzez publikację aktualizacji na Platformie lub za pośrednictwem poczty elektronicznej, z odpowiednim wyprzedzeniem umożliwiającym Administratorowi zgłoszenie uzasadnionego sprzeciwu.
4. Jeżeli Administrator zgłosi uzasadniony sprzeciw wobec planowanego zaangażowania nowego Dalszego Podmiotu Przetwarzającego, Strony podejmą działania w dobrej wierze w celu usunięcia podstaw sprzeciwu. Jeżeli nie będzie to możliwe, Administrator może zaprzestać korzystania z funkcjonalności Platformy, których dotyczy dane dalsze powierzenie, albo wypowiedzieć Umowę Podstawową zgodnie z jej postanowieniami.
5. Podmiot Przetwarzający zapewnia, że każdy Dalszy Podmiot Przetwarzający zostanie zobowiązany do przestrzegania obowiązków w zakresie ochrony danych osobowych nie mniej rygorystycznych niż przewidziane w niniejszym DPA, w zakresie adekwatnym do powierzanych mu czynności.
6. Podmiot Przetwarzający ponosi odpowiedzialność za działania i zaniechania Dalszych Podmiotów Przetwarzających jak za własne działania i zaniechania, w zakresie przewidzianym przez obowiązujące przepisy prawa.
7. Jeżeli w związku z korzystaniem z Dalszych Podmiotów Przetwarzających dochodzi do przekazania Danych Osobowych Powierzonych poza Europejski Obszar Gospodarczy, Podmiot Przetwarzający zapewni, aby takie przekazanie odbywało się zgodnie z obowiązującymi przepisami prawa, w szczególności przy zastosowaniu odpowiedniego mechanizmu legalizującego transfer danych.
Prawo kontroli i audytu
1. Administrator ma prawo żądać od Podmiotu Przetwarzającego informacji niezbędnych do wykazania spełnienia obowiązków wynikających z DPA oraz art. 28 RODO.
2. Administrator ma prawo przeprowadzić audyt lub kontrolę działań Podmiotu Przetwarzającego dotyczących przetwarzania Danych Osobowych Powierzonych, z zastrzeżeniem postanowień niniejszego punktu.
3. Audyt powinien być przeprowadzany w sposób nienaruszający tajemnicy przedsiębiorstwa Podmiotu Przetwarzającego, bezpieczeństwa danych innych klientów oraz ciągłości świadczenia usług.
4. O zamiarze przeprowadzenia audytu Administrator zobowiązany jest poinformować Podmiot Przetwarzający z co najmniej 14-dniowym wyprzedzeniem, chyba że konieczność przeprowadzenia audytu wynika z Naruszenia Ochrony Danych Osobowych lub wiążącego żądania organu publicznego.
5. Audyt powinien, w pierwszej kolejności, opierać się na dokumentacji, wyjaśnieniach oraz informacjach udostępnionych przez Podmiot Przetwarzający. Kontrola na miejscu może zostać przeprowadzona wyłącznie wtedy, gdy jest to niezbędne i proporcjonalne.
6. Koszty audytu ponosi Administrator, chyba że audyt wykaże istotne naruszenie DPA przez Podmiot Przetwarzający.
Żądania osób, których dane dotyczą, i współpraca z organami
1. Jeżeli osoba, której dane dotyczą, skieruje do Podmiotu Przetwarzającego żądanie dotyczące Danych Osobowych Powierzonych, Podmiot Przetwarzający, o ile jest to prawnie dopuszczalne, poinformuje o tym Administratora bez zbędnej zwłoki.
2. Jeżeli organ nadzorczy lub inny uprawniony organ publiczny skieruje do Podmiotu Przetwarzającego żądanie, zapytanie, kontrolę lub inne działanie dotyczące Danych Osobowych Powierzonych, Podmiot Przetwarzający, o ile jest to prawnie dopuszczalne, poinformuje o tym Administratora bez zbędnej zwłoki.
3. Podmiot Przetwarzający nie odpowiada samodzielnie na żądania osób, których dane dotyczą, w imieniu Administratora, chyba że co innego wynika z obowiązujących przepisów prawa albo z wyraźnego uzgodnienia Stron.
Usunięcie lub zwrot danych po zakończeniu współpracy
1. Po zakończeniu świadczenia usług objętych Umową Podstawową Podmiot Przetwarzający usunie lub zwróci Administratorowi Dane Osobowe Powierzone, zgodnie z decyzją Administratora, o ile odpowiednia funkcjonalność techniczna jest dostępna i o ile obowiązujące przepisy prawa nie nakazują dalszego przechowywania danych.
2. Jeżeli Administrator usuwa Konto na Platformie albo Umowa Podstawowa wygasa lub zostaje rozwiązana, Dane Osobowe Powierzone podlegają usunięciu bez zbędnej zwłoki, nie później jednak niż w terminie 30 dni od zakończenia świadczenia usług, chyba że obowiązujące przepisy prawa wymagają dłuższego przechowywania danych.
3. Dane Osobowe Powierzone mogą pozostawać przez ograniczony czas w kopiach zapasowych, jeżeli wynika to z technicznie uzasadnionego cyklu tworzenia, przechowywania i nadpisywania backupów, przy czym w takim okresie nie będą dalej aktywnie przetwarzane poza zakresem niezbędnym do zapewnienia bezpieczeństwa i integralności systemów.
Poufność
1. Podmiot Przetwarzający zobowiązuje się do zachowania w poufności wszelkich informacji, dokumentów, materiałów i danych otrzymanych od Administratora lub pozyskanych w związku z realizacją Umowy Podstawowej, w tym Danych Osobowych Powierzonych.
2. Obowiązek poufności obowiązuje przez cały okres trwania DPA, jak również po jego zakończeniu, bez ograniczenia w czasie, chyba że obowiązek ujawnienia informacji wynika z obowiązujących przepisów prawa.
Odpowiedzialność
1. Każda ze Stron ponosi odpowiedzialność za niewykonanie lub nienależyte wykonanie obowiązków wynikających z DPA zgodnie z obowiązującymi przepisami prawa, w szczególności RODO oraz przepisami krajowymi dotyczącymi ochrony danych osobowych.
2. Podmiot Przetwarzający ponosi odpowiedzialność wyłącznie za takie naruszenia obowiązków dotyczących ochrony danych osobowych, które dotyczą obowiązków nałożonych na niego bezpośrednio przez przepisy prawa lub przez niniejsze DPA.
3. Administrator ponosi odpowiedzialność za zgodność z prawem pozyskania danych, istnienie podstawy prawnej ich przetwarzania oraz zakres i treść poleceń przekazywanych Podmiotowi Przetwarzającemu.
Postanowienia końcowe
1. DPA zostaje zawarte w języku polskim drogą elektroniczną poprzez akceptację Regulaminu przez Administratora.
2. Aktualna treść DPA dostępna jest na Platformie pod adresem wskazanym w Regulaminie.
3. Zmiana DPA następuje zgodnie z zasadami zmiany Regulaminu, chyba że bezwzględnie obowiązujące przepisy prawa wymagają innego trybu.
4. W sprawach nieuregulowanych w DPA zastosowanie mają postanowienia Umowy Podstawowej, przepisy RODO oraz inne właściwe przepisy prawa polskiego i prawa Unii Europejskiej.
5. Strony będą dążyć do polubownego rozstrzygania sporów wynikających z DPA, a w przypadku braku możliwości osiągnięcia porozumienia spory będą rozstrzygane przez właściwe polskie sądy powszechne, z uwzględnieniem bezwzględnie obowiązujących przepisów prawa.

Odkryj funkcje Fitebo

Umowa Powierzenia Przetwarzania Danych Osobowych (DPA)