§1. Strony umowy

• Administrator danych:Klient (pracodawca zarejestrowany w Serwisie TerminarzKadrowy.pl) — dalej "Administrator"
• Podmiot przetwarzający (Procesor): TerminarzKadrowy Sp. z o.o., NIP: [NIP do uzupełnienia], z siedzibą: [Adres do uzupełnienia]— dalej "Procesor"

§2. Przedmiot umowy

Administrator powierza Procesorowi przetwarzanie danych osobowych pracowników Administratora w celu świadczenia usługi śledzenia terminów kadrowych i BHP oraz wysyłania przypomnień o zbliżających się terminach, zgodnie z Regulaminem serwisu TerminarzKadrowy.pl.

§3. Zakres powierzenia

a) Rodzaje danych osobowych

• Imiona i nazwiska
• Stanowiska i działy
• Dane kontaktowe (email, telefon)
• Daty badań lekarskich i numery orzeczeń lekarskich
• Daty szkoleń BHP, PPOŻ i numery zaświadczeń
• Daty wygaśnięcia zezwoleń na pracę i numery dokumentów
• Daty wygaśnięcia uprawnień kwalifikacyjnych (UDT, SEP, spawalnicze itp.)
• Daty zakończenia umów

b) Kategorie osób, których dane dotyczą

• Pracownicy Administratora
• Zleceniobiorcy i współpracownicy Administratora
• Osoby zatrudnione na podstawie umów cywilnoprawnych

c) Charakter przetwarzania

• Zbieranie danych (wprowadzanie przez Administratora)
• Przechowywanie w bazie danych
• Przeglądanie i wyświetlanie w interfejsie użytkownika
• Generowanie raportów
• Wysyłanie przypomnień email/SMS
• Eksport danych na żądanie Administratora

d) Cel przetwarzania

Realizacja usługi opisanej w Regulaminie serwisu TerminarzKadrowy.pl, tj. śledzenie terminów kadrowych i BHP oraz wysyłanie przypomnień.

e) Czas przetwarzania

Okres obowiązywania subskrypcji Administratora + 30 dni grace period po zakończeniu subskrypcji. Po tym czasie dane są trwale usuwane.

§4. Obowiązki Procesora

Procesor zobowiązuje się do:

1. Przetwarzanie zgodnie z instrukcjami: Przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Administratora, w tym w zakresie przekazywania danych do państw trzecich, chyba że obowiązek taki nakłada prawo Unii lub prawo państwa członkowskiego.
2. Poufność: Zapewnienia, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub podlegają ustawowemu obowiązkowi zachowania tajemnicy.
3. Środki bezpieczeństwa (art. 32 RODO): Wdrożenia odpowiednich środków technicznych i organizacyjnych, w tym:
   • Szyfrowanie danych wrażliwych (AES-256)
   • Szyfrowanie transmisji (TLS 1.2+)
   • Hashowanie haseł (bcrypt)
   • Izolacja danych firm (Row-Level Security)
   • Regularne, szyfrowane kopie zapasowe
   • Kontrola dostępu oparta na rolach
4. Pomoc w realizacji praw osób: Pomagania Administratorowi w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą (dostęp, sprostowanie, usunięcie, przenoszenie).
5. Pomoc przy naruszeniach: Pomagania Administratorowi w zgłaszaniu naruszeń ochrony danych do UODO oraz informowania osób, których dane dotyczą. Procesor powiadomi Administratora o naruszeniu bez zbędnej zwłoki, nie później niż w ciągu 24 godzin od wykrycia naruszenia.
6. Usunięcie/zwrot danych: Po zakończeniu umowy — usunięcie danych w ciągu 30 dni lub zwrot na żądanie Administratora (funkcja eksportu dostępna w ustawieniach konta).
7. Wykazanie zgodności: Udostępniania Administratorowi informacji niezbędnych do wykazania zgodności z obowiązkami określonymi w art. 28 RODO.

§5. Subprocesorzy

Administrator wyraża ogólną zgodę na korzystanie przez Procesora z subprocesorów (dalszych podmiotów przetwarzających).

Aktualna lista subprocesorów:

Procesor informuje Administratora o zmianach dotyczących dodania lub zastąpienia subprocesorów z 14-dniowym wyprzedzeniem, dając tym samym Administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian. Brak sprzeciwu w ciągu 14 dni oznacza akceptację zmiany.

§6. Naruszenia ochrony danych

W przypadku wykrycia naruszenia ochrony danych osobowych, Procesor powiadomi Administratora bez zbędnej zwłoki, nie później niż w ciągu 24 godzin od momentu wykrycia naruszenia, przekazując informacje o:

• Charakterze naruszenia
• Kategoriach i przybliżonej liczbie osób, których dane dotyczą
• Prawdopodobnych konsekwencjach naruszenia
• Środkach zastosowanych lub proponowanych w celu zaradzenia naruszeniu

§7. Audyt

Administrator ma prawo przeprowadzenia audytu zgodności Procesora z niniejszą umową oraz wymogami RODO. Audyt może być przeprowadzony przez Administratora lub wyznaczonego przez niego audytora, po wcześniejszym uzgodnieniu terminu (minimum 14 dniprzed planowaną datą audytu).

§8. Odpowiedzialność

Procesor odpowiada za szkody spowodowane przetwarzaniem danych niezgodnym z niniejszą umową, przepisami RODO lub instrukcjami Administratora, do których Procesor nie miał prawa się stosować.

Ograniczenie odpowiedzialności: Odpowiedzialność Procesora ograniczona jest do wartości opłat abonamentowych uiszczonych przez Administratora w okresie ostatnich 12 miesięcy poprzedzających zdarzenie powodujące szkodę. Ograniczenie to nie dotyczy szkód wyrządzonych umyślnie lub wskutek rażącego niedbalstwa.

§9. Postanowienia końcowe

1. Niniejsza umowa wchodzi w życie z chwilą rejestracji Administratora w Serwisie (zaznaczenie checkboxa "Akceptuję Umowę Powierzenia Przetwarzania Danych").
2. Umowa obowiązuje przez cały okres korzystania z Serwisu.
3. Prawem właściwym jest prawo polskie.
4. Wszelkie spory wynikające z niniejszej umowy będą rozstrzygane przez sąd właściwy dla siedziby Procesora.
5. Zmiany niniejszej umowy wymagają formy pisemnej lub elektronicznej (aktualizacja dokumentu z powiadomieniem Administratora drogą mailową z 14-dniowym wyprzedzeniem).