REGULAMIN KONTRAHENTA PLATFORMY

SECAWA SP. Z O.O. (1.07.2021)

1. Postanowienia ogólne

1.1. Regulamin określa zasady świadczenia przez spółkę SECAWA sp. z o. o. na rzecz Kontrahentów usług zwiększających świadomość pracowników w sferze cyberbezpieczeństwa z wykorzystaniem rozwiązań sztucznej inteligencji (AI), jak również zasady dostępu i korzystania przez Kontrahentów z Platformy SECAWA .

1.2. Platforma SECAWA jest dostępna na stronie internetowej: secawa.com w dedykowanym katalogu.

1.3. Warunkiem uzyskania dostępu do funkcjonalności Platformy SECAWA jest skorzystanie z urządzenia komunikującego się z Internetem i wyposażonego w powszechnie używaną przeglądarkę internetową.

1.4. Operator zastrzega, że świadczenie usług na rzecz Kontrahentów przez Operatora może być oparte o usługi oraz rozwiązania techniczne i informatyczne oferowane przez podmioty zewnętrzne (np. w zakresie pośrednictwa płatności, komunikatorów, widgetów). W tej sytuacji, Kontrahenta obowiązują regulaminy przedstawione przez te podmioty zewnętrzne, po ich akceptacji.

1.5. Operator zastrzega, że Platforma SECAWA znajduje się w wersji produkcyjnej (wersji beta), co oznacza, że nie wszystkie opisane w Regulaminie funkcjonalności lub rozwiązania funkcjonują poprawnie lub są udostępnione dla wszystkich Kontrahentów. Mając na uwadze stale rozwój oprogramowania i systemu wykorzystywanego do świadczenia Usług, Operator oświadcza, że oprogramowanie i treści udostępniane są w stanie, w jakim się znajdują („as is”), bez żadnych gwarancji wyraźnych lub dorozumianych, a w szczególności bez dorozumianych gwarancji przydatności handlowej, przydatności do określonego celu, tytułu własności i nienaruszania praw. Wraz z rozwojem oprogramowania i systemu mogą pojawić się nowe oraz być usuwane dotychczasowe funkcjonalności oraz modyfikowany design Platformy. Zmiany te mogą, lecz nie muszą być notyfikowane, Kontrahentowi z wyprzedzeniem. Operator oświadcza, że funkcjonalności mogą się zmieniać oraz być rozbudowywane, ale dokłada wszelkich starań dostarczając funkcjonalności przetestowane pod kątem bezpieczeństwa systemów i danych.

1.6. Szczegółowe warunki świadczenia usług drogą elektroniczną wskazane są w Regulaminie świadczenia usług SECAWA dostępnym na stronie internetowej www.secawa.com.

2. Definicje Użyte w Regulaminie terminy oznaczają odpowiednio:

2.1. Operator – SECAWA sp. z o.o. z siedzibą w Poznaniu, adres: ul. Przemysłowa 37/4, 61-541 Poznań, wpisaną do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy Poznań - Nowe Miasto i Wilda, VIII Wydział Gospodarczy KRS, pod numerem KRS: 0000776434 NIP: 7831799067 REGON: 382815625, posiadającą kapitał zakładowy w wysokości 5.000,00 zł;

2.2. Platforma – internetowy serwis pod nazwą SECAWA , prowadzony przez Operatora w języku polskim, służący do świadczenia usług związanych z edukacją Security Awareness, w tym przeprowadzaniem praktycznych treningów antyphishingowych oraz testów socjotechnicznych wśród pracowników;

2.3. Kontrahent - osoba fizyczna, osoba prawna lub jednostka organizacyjna nieposiadająca osobowości prawnej, ale mogąca we własnym imieniu nabywać prawa i zaciągać zobowiązania, której ustawa przyznaje zdolność prawną, która na podstawie umowy o świadczenie usług korzysta z usług Operatora w ramach prowadzonej działalności gospodarczej;

2.4. Konto Kontrahenta – przydzielona danemu Kontrahentowi, identyfikowana za pomocą jednego adresu e-mail część Platformy, za pomocą której Kontrahent może dokonywać określonych działań w ramach Platformy;

2.5. Administrator Konta – osoba fizyczna wyznaczona przez Kontrahenta, upoważniona do składania wiążących oświadczeń woli i zawierania umów w imieniu Kontrahenta;

2.6. Manager Konta - osoba fizyczna wyznaczona przez Kontrahenta, upoważniona do bieżącego zarządzania Kontem Kontrahenta;

2.7. Użytkownik — osoba fizyczna, zatrudniona przez Kontrahenta w ramach stosunku pracy lub na podstawie jakiejkolwiek umowy cywilnoprawnej, która w trybie przewidzianym w Regulaminie utworzyła Konto Użytkownika oraz korzysta z usług Operatora w ramach Platformy;

2.8. Umowa – umowa, której przedmiotem jest wykonanie usług świadczonych przez Operatora na rzecz Kontrahenta;

2.9. Strona internetowa – strona internetowa SECAWA dostępna pod adresem secawa.com;

2.10. Usługi – usługi świadczone przez SECAWA na rzecz Kontrahenta, w szczególności polegające na przeprowadzaniu na zgłoszonej przez Klienta biznesowego grupie pracowników testów socjotechnicznych, treningów antyphishingowych zwiększających efektywność edukacji w sferze cyberbezpieczeństwa z wykorzystaniem rozwiązań sztucznej inteligencji (AI), usługi dostępu do Platformy oraz przeprowadzanie szkoleń i warsztatów z zakresu cyberbezpieczeństwa;

2.11. Regulamin – niniejszy dokument.

3. Przetwarzanie danych

3.1. Operator przetwarza dane osobowe podane przez Kontrahentów zgodnie z obowiązującymi przepisami prawa oraz zgodnie z Zasadami przetwarzania danych, których treść stanowi Załącznik nr 1 do Regulaminu. W przypadku wcześniejszego zawarcia Umowy, wiążące są zapisy dołączanej do niej umowy powierzenie przetwarzania danych osobowych a nie Załącznik nr 1 do Regulaminu.

3.2. Ochrona prywatności Użytkowników realizowana przez Operatora oraz sposób wykorzystywania cookies i podobnych technologii na Stronie internetowej reguluje Polityka Prywatności, która jest dostępna na Stronie Internetowej w taki sposób, aby Użytkownik mógł z łatwością zapoznać się z jej treścią, w tym pozyskać, odtworzyć i utrwalić jej treść.

3.3. Kontrahent przed rozpoczęciem korzystania z usług Operatora, jest zobowiązany do przekazania Użytkownikom niezbędnych informacji dotyczących przetwarzania danych. W tym zakresie przekazuje Użytkownikom treść Polityki Prywatności Operatora dostępnej pod adresem secawa.com

3.4. Nieuprawnione przetwarzanie danych oraz wykorzystywanie informacji i materiałów dostępnych na Platformie w celach innych niż określone w Regulaminie, Polityce Prywatności i przepisach prawa jest zabronione. Zabronione jest jakiekolwiek agregowanie i przetwarzanie danych oraz innych informacji dostępnych na Platformie w celu ich dalszego udostępniania osobom trzecim w ramach innych serwisów internetowych, jak i poza Internetem.

3.5. Zabronione jest również wykorzystywanie oznaczeń Platformy, w tym charakterystycznych elementów grafiki, bez uprzedniej wyraźnej zgody Operatora utrwalonej na trwałym nośniku.

4. Konto Kontrahenta

4.1. Świadczenie Usług na podstawie Umowy oraz korzystanie z Platformy przez Kontrahenta wymaga akceptacji Regulaminu i wypełnienia przez Kontrahenta odpowiedniego formularza, celem utworzenia Konta Kontrahenta i umieszczenia w nim danych Kontrahenta.

4.2. Aktywacja Konta następuje po utworzeniu hasła, wskazaniu adresu e-mail przez Administratora Kontrahenta oraz potwierdzeniu rejestracji za pomocą linku rejestracyjnego wysłanego na wskazany służbowy adres email.

4.3. Aktywacja Konta zapewnia Kontrahentowi pełen dostęp do jego Profilu.

4.4. Klient może posiadać i korzystać w ramach Platformy maksymalnie z jednego Konta.

4.5. Założenie i prowadzenie Konta w ramach Platformy jest bezpłatne dla Kontrahenta.

5. Profil Kontrahenta

5.1. Zakładając Konto, Kontrahent powinien uzupełnić swój Profil poprzez wypełnienie formularza dostępnego na Stronie internetowej, określającego dane identyfikacyjne podmiotu (nazwa, siedziba, numer KRS, numer NIP, numer REGON, branża, liczba osób zatrudnionych) oraz wskazać osobę działającą w imieniu i na rzecz Kontrahenta jako Administrator Konta.

5.2. Kontrahent za pośrednictwem Profilu zgłasza Użytkowników zatrudnionych przez Kontrahenta w ramach stosunku pracy lub na podstawie jakiejkolwiek umowy cywilnoprawnej, którzy mają być objęci świadczeniem Usług przez Operatora. Przetwarzanie danych osobowych Użytkowników zgłoszonych przez Kontrahenta odbywa się na zasadach wskazanych w Załączniku nr 1, który stanowi integralną część Regulaminu.

5.3. W ramach określonych pakietów usług, Użytkownik zgłoszony przez Kontrahenta może założyć Konto Użytkownika na zasadach określonych w Regulaminie Użytkownika Platformy SECAWA. Założenie Konta Użytkownika nie jest wymagane do świadczenia Usług na rzecz Kontrahenta.

5.4. Zmiana zgłoszonych Użytkowników następuje przez wprowadzenie odpowiedniej aktualizacji w Profilu Kontrahenta.

5.5. Wszelkie informacje dotyczące przebiegu, wyników i raportów z przeprowadzonych testów i treningów dotyczące Użytkowników zgłoszonych przez Kontrahenta są umieszczane na jego Profilu i widoczne dla Kontrahenta. Z poziomu Profilu Kontrahent ma zapewniony dostęp do wszystkich przeprowadzonych testów i treningów, w tym do danych historycznych, ankiet oraz raportów.

5.6. Kontrahent może modyfikować swoje dane w Profilu po zalogowaniu się do Platformy.

5.7. Kontrahent przyjmuje do wiadomości, że zanonimizowane informacje i dane gromadzone na Profilach Kontrahentów oraz zgłoszonych przez nich Użytkowników mogą być podstawą do tworzenia przez Operatora modeli sztucznej inteligencji w celu automatycznego doboru treści symulacji ataków phishingowych (treningowych) o różnym poziomie trudności.

6. Administrator i Manager Konta

6.1. W przypadku osób prawnych i jednostek organizacyjnych, utworzyć Konto Kontrahenta w ich imieniu oraz dokonywać wszelkich dalszych czynności w ramach Platformy może jedynie osoba, która jest umocowana do działania w imieniu tych podmiotów w tym zakresie, wskazana jako Administrator Konta. Operator uprawniony jest do weryfikacji, czy osoba, która założyła Konto Kontrahenta, posiadała do tego stosowne umocowanie. W tym celu może żądać przekazania dokumentu potwierdzającego takie umocowanie (np. pełnomocnictwa).

6.2. Kontrahent może również wskazać za pośrednictwem Profilu osobę odpowiedzialną za zarządzanie Kontem – Managera.

6.3. Wskazanie osoby Administratora oraz Managera przez Kontrahenta jest równoznaczne z udzieleniem upoważnienia dla tych osób do występowania w imieniu i na rzecz Klienta w zakresie określonym umową o świadczenie usług zawartą z Operatorem.

6.4. Zmiana osób Administratora i Managera następuje przez wprowadzenie odpowiedniej aktualizacji w Profilu Kontrahenta.

7. Pakiet Usług i Subskrypcja

7.1. Kontrahent może wykupić za pośrednictwem Konta pakiet Usług spośród oferowanych przez SECAWA („Pakiet Usług”) oraz dostęp do Usług w formie subskrypcji, spośród oferowanych przez SECAWA pakietów abonamentów („Subskrypcja”).

7.2. W ramach wybranego Pakietu Usług lub Subskrypcji, SECAWA zobowiązuje się do świadczenia Usług objętych Pakietem lub Subskrypcją, a Kontrahent do zapłaty określonej ceny. Szczegółowy zakres Usług, w tym rodzaj Usług, cenę, częstotliwość oraz czas ich wykonywania zawiera opis Pakietu Usług lub Subskrypcji wybrany przez Kontrahenta.

7.3. Zamówienie Usług odbywa się poprzez wybór i zapłatę za wybrany Pakiet Usług lub Subskrypcję za pośrednictwem Konta Kontrahenta. Z chwilą otrzymania Zamówienia Kontrahenta przez Operatora zawierana jest Umowa na świadczenie Usług objętych Pakietem Usług lub Subskrypcją.

7.4. Płatność za Pakiet Usług lub Subskrypcję jest możliwa wyłącznie w formie bezgotówkowej na rachunek bankowy SECAWA .

7.5. Zapłata za Pakiet Usług następuje na zasadzie 100% przedpłaty. Zapłaty za Subskrypcję dokonuje się poprzez zapłatę z góry opłaty abonamentowej za cały okres Subskrypcji lub w formie miesięcznej opłaty abonamentowej.

7.6. Dostęp do Usług jest możliwy po dokonaniu pełnej zapłaty. Za datę dokonania zapłaty uważa się datę uznania na rachunku bankowym SECAWA .

7.7. Kontrahent po zalogowaniu do swojego Konta i opłaceniu Subskrypcji ma możliwość dostępu do Usług oferowanych w ramach abonamentu, w tym samodzielnego lub z pomocą ekspertów SECAWA generowania testów socjotechnicznych i treningów antyphishingowych za pomocą dostępnych funkcjonalności Platformy, wyboru szkoleń i warsztatów online/offline oraz monitorowania wyników testów i okresu Subskrypcji.

7.8. Kontrahent ma na bieżąco wgląd w aktualne saldo Usług za pośrednictwem Konta.

7.9. Zawierając Umowę z SECAWA Kontrahent jest świadomy wyboru danego Pakietu lub Subskrypcji, zakresu oferowanych Usług, a także ceny za Usługę.

7.10. W przypadku zalegania przez Kontrahenta z płatnością miesięcznej opłaty abonamentowej, o której mowa w ust. 7.5 lub jakiejkolwiek innej opłaty należnej za świadczone Usługi, Operator ma prawo wstrzymać się ze świadczeniem Usług oraz zablokować Konto Kontrahenta, do czasu uregulowania płatności przez Kontrahenta. Operator ma prawo wypowiedzieć Umowę na świadczenie usług w trybie natychmiastowym w przypadku braku uregulowania płatności w terminie wyznaczonym w wezwaniu do zapłaty, nie krótszym niż 7 dni od dnia otrzymania wezwania.

8. Zasady odpowiedzialności

8.1. Operator podejmuje działania i dokłada należytej staranności, w celu zapewnienia poprawnego i nieprzerwanego działania usług dostępu do Platformy. Za niemożność korzystania z usługi dostępu do Platformy i powstałe z tego tytułu szkody, Użytkownikom nie przysługuje jakiekolwiek odszkodowanie. Operator nie udziela żadnych gwarancji w związku ze skorzystaniem z usługi dostępu do Platformy przez Kontrahentów.

8.2. Operator zobowiązuje się do utrzymania środowiska informatycznego niezbędnego do funkcjonowania usługi dostępu do Platformy. Nie dotyczy to przerw lub innych ograniczeń w funkcjonowaniu wynikających wystąpienia awarii albo z konieczności prac konserwacyjnych lub aktualizacyjnych przeprowadzanych na serwerze lub stronie internetowej Platformy.

8.3. Operator umożliwia Kontrahentom dostęp do swoich danych w Profilu na zasadach określonych w Regulaminie.

8.4. Operator nie ponosi odpowiedzialności za prawdziwość i rzetelność danych podanych w Profilu.

8.5. Operator nie ponosi odpowiedzialności za działania leżące po stronie Kontrahentów oraz zgłoszonych przez nich Użytkowników, w szczególności za prawdziwość, rzetelność oraz zgodność z przepisami prawa publikowanych przez nich treści.

8.6. Operator nie weryfikuje informacji przekazanych przez Kontrahenta o zatrudnieniu Użytkownika w ramach stosunku pracy lub jakiejkolwiek umowy cywilnoprawnej i nie ponosi żadnej odpowiedzialności za podanie nieprawdziwych lub nieaktualnych danych przez Kontrahenta.

8.7. Operator nie ponosi odpowiedzialności za należyte wypełnienie przez Kontrahenta obowiązku informacyjnego w zakresie przekazania Operatorowi danych osobowych względem pracowników Kontrahenta.

8.8. Operator nie ponosi odpowiedzialności za rezultat prowadzonych czynności audytowych i szkoleniowych w ramach świadczonych Usług.

9. Naruszenia Regulaminu

9.1. W sytuacji, gdy Konto lub działalność Kontrahenta w ramach Serwisu wymaga dodatkowej weryfikacji danych, w przypadku powzięcia przez Operatora uzasadnionych obaw co do bezpieczeństwa Konta, dotyczących w szczególności nieuprawnionego przejęcia Konta przez inną osobę, Operator może uzależnić korzystanie z Konta od wiarygodnego potwierdzenia przez Administratora Kontrahenta jego tożsamości. Po ustaniu wyżej wskazanych okoliczności, Operator zniesie ograniczenia zastosowane wobec Kontrahenta.

9.2. Kontrahent zostanie poinformowany w razie dokonania blokady Konta, najpóźniej z chwilą, gdy blokada stanie się skuteczna, w formie wiadomości e-mail, ze wskazaniem zablokowanej treści, powodów decyzji o blokadzie ze wskazaniem podstaw decyzji z powołaniem treści Regulaminu. W wiadomości tej przekazane zostaną informacje, jakie działania Kontrahent powinien podjąć, by Konto zostało odblokowane.

9.3. Kontrahent ma możliwość zakwestionowania decyzji w przedmiocie blokady Konta poprzez złożenie sprzeciwu od przekazania przez Operatora informacji o blokadzie Konta w terminie 7 dni od uzyskania informacji o blokadzie.

9.4. W przypadku uznania sprzeciwu za zasadny lub w razie pozytywnej weryfikacji tożsamości Administratora Kontrahenta, Operator anuluje blokadę treści lub Konta i zablokowane Konto zostanie przywrócone.

9.5. W przypadku blokady Konta, Kontrahent nie ma dostępu do danych w Profilu. Blokada Konta oznacza utratę przez Kontrahenta możliwości zalogowania się do Konta.

10. Prawa autorskie

10.1. Prawa autorskie oraz prawa własności intelektualnej do Platformy jako całości oraz jej poszczególnych elementów, w tym treści, grafik, utworów, wzorów i znaków dostępnych w jego ramach należą do Operatora lub innych uprawnionych podmiotów trzecich i objęte są ochroną ustawy o prawie autorskim i prawach pokrewnych oraz innych powszechnie obowiązujących przepisów prawa. Ochrona przyznana Platformie obejmuje wszystkie formy ich wyrażania. Platformę należy traktować podobnie jak każdy inny utwór podlegający ochronie autorskiej. W ramach Platformy mogą znajdować się odnośniki do treści zewnętrznych, do których prawa własności intelektualnej przysługują innym podmiotom niż Operator lub inne uprawnione podmioty trzecie.

10.2. Znaki handlowe Operatora oraz podmiotów trzecich powinny być używane zgodnie z obowiązującymi przepisami prawa.

11. Odstąpienie od Umowy

11.1. Niniejszy punkt Regulaminu ma zastosowanie jedynie do Kontrahentów będących osobami fizycznymi zawierającymi Umowę bezpośrednio związaną z ich działalnością gospodarczą, gdy z treści tej Umowy wynika, że nie posiada ona charakteru zawodowego, wynikającego w szczególności z przedmiotu wykonywanej działalności gospodarczej udostępnionego na podstawie przepisów o Centralnej Ewidencji i Informacji o Działalności Gospodarczej (tzw. quasiprzedsiębiorcy).

11.2. Kontrahent będący quasi-przedsiębiorcą ma prawo do odstąpienia od Umowy bez podania przyczyny w terminie 14 dni od dnia zawarcia Umowy.

11.3. Do zachowania terminu wystarczające jest wysłanie oświadczenia o odstąpieniu przed upływem tego terminu.

11.4. Oświadczenie o odstąpieniu od Umowy można złożyć m.in. w formie elektronicznej za pośrednictwem poczty elektronicznej na adres: prawne@secawa.com. Przykładowy wzór formularza odstąpienia od Umowy jest zawarty w załączniku nr 2 do ustawy z dnia 30 maja 2014 r. o prawach konsumenta. Skorzystanie ze wzoru nie jest konieczne do prawidłowego odstąpienia od Umowy.

11.5. Bieg terminu do odstąpienia od Umowy rozpoczyna się od dnia zawarcia Umowy.

11.6. Prawo do odstąpienia od Umowy nie przysługuje w sytuacji, gdy spełnianie świadczenia rozpoczęło się za wyraźną zgodą Kontrahenta przed upływem terminu do odstąpienia od Umowy i po poinformowaniu go o utracie prawa odstąpienia od Umowy, jak również po wykonaniu całości Umowy.

12. Postępowanie reklamacyjne

12.1. Wszelkie reklamacje związane ze świadczeniem Usług powinny być składane przez Kontrahenta drogą mailową na adres prawne@secawa.com.

12.2. Reklamacje powinny być składane w ciągu 14 dni od momentu, w którym Kontrahent dowiedział się o naruszeniu.

12.3. Reklamacje powinny zawierać: (i) imię i nazwisko osoby składającej reklamację, (ii) opis problemu, (iii) powód reklamacji.

12.4. Rozpatrzenie reklamacji następuje w najszybszym możliwym terminie, nie później niż w terminie 14 od otrzymania reklamacji, w zależności od wyboru Operatora, w formie elektronicznej, pisemnej lub telefonicznej.

13. Postanowienia końcowe

13.1. Usługi świadczone są przez Operatora w ramach Konta przez czas obowiązywania umowy o świadczenie usług z Kontrahentem.

13.2. Kontrahent przyjmuje do wiadomości, że posiadanie Konta Kontrahenta jest niezbędne w celu świadczenia Usług przez Operatora.

13.3. Regulamin dostępny jest w Serwisie, a także za pośrednictwem dedykowanej strony internetowej, na której udostępniany stale jest regulamin w formacie .pdf. Link do tej strony internetowej przesyłany jest Kontrahentom drogą poczty elektronicznej na adres e-mail wskazany przez Kontrahenta w sytuacjach wymaganych przez przepisy prawa.

13.4. O zmianie Regulaminu Operator poinformuje poprzez zamieszczenie informacji na Stronie internetowej oraz przez przesłanie Kontrahentowi informacji drogą elektroniczną.

13.5. Zmiany Regulaminu wchodzą w życie w terminie wskazanym przez Operatora, nie krótszym jednak niż 15 dni od dnia zamieszczenie informacji na Stronie internetowej.

13.6. Usługi aktywowane przed wejściem w życie zmian będą wykonane na warunkach dotychczasowych, dalsze zaś aktywacje będą możliwe tylko na warunkach bieżących.

13.7. W celu wypowiedzenia umowy, Kontrahent powinien wysłać stosowne oświadczenie na adres e-mail: prawne@secawa.com. Jeśli Kontrahent i Operator nie ustalą inaczej, Usługa przestanie być świadczona w terminie w niej przewidzianym lub po upływie opłaconych okresów abonamentowych.

13.8. Po wygaśnięciu Konta, Kontrahent traci dostęp do informacji przekazanych lub wygenerowanych w toku korzystania z Platformy. Operator umożliwi Kontrahentowi pobranie informacji przekazanych lub wygenerowanych w toku korzystania z Platformy w terminie 14 dni od dnia wygaśnięcia Konta.

13.9. Operator może wprowadzić zmianę Regulaminu bez zachowania 15-dniowego terminu, o którym mowa powyżej, w tym ze skutkiem natychmiastowym, w przypadku, gdy:

  • podlega obowiązkowi prawnemu lub regulacyjnemu, na podstawie którego zobowiązana jest do zmiany Regulaminu w sposób, który uniemożliwia jej dotrzymanie wyżej wymienionego 15-dniowego okresu powiadomienia.
  • musi w drodze wyjątku zmienić Regulamin, aby przeciwdziałać nieprzewidzianemu i bezpośredniemu zagrożeniu związanemu z ochroną usług pośrednictwa internetowego, Użytkowników przed oszustwami, złośliwym oprogramowaniem, spamem, naruszeniem danych lub innymi zagrożeniami dla cyberbezpieczeństwa.

13.10. O ile bezwzględnie obowiązujące przepisy prawa nie stanowią inaczej, prawem właściwym dla całości umowy pomiędzy Kontrahentem a Operatorem, której przedmiotem jest świadczenie przez Operatora usług na warunkach określonych w Regulaminie, jest prawo polskie.

13.11. Wszelkie spory związane z usługami świadczonymi przez Operatora w ramach Platformy będą rozstrzygane przez polskie sądy powszechne właściwe dla siedziby Operatora.

13.12. Regulamin wchodzi w życie w dniu 1.09.2021 r.


ZAŁĄCZNIK NR 1 DO REGULAMIN KONTRAHENTA PLATFORMY SECAWA SP. Z O.O. ZASADY PRZETWARZANIA DANYCH OSOBOWYCH

§1 Powierzenie przetwarzania danych osobowych

  1. Kontrahent (dalej: Administrator danych) powierza Operatorowi (dalej: Podmiotowi przetwarzającemu) w trybie art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1) – dalej RODO, dane osobowe do przetwarzania, na zasadach i w celu określonym w niniejszych Zasadach.

  2. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z Regulaminem, RODO oraz z innymi przepisami prawa powszechnie obowiązującego, chroniącymi prawa osób, których dane dotyczą.

  3. Podmiot przetwarzający oświadcza, iż stosuje środki bezpieczeństwa spełniające wymogi RODO.

§2 Charakter oraz cel przetwarzania danych

Powierzenie przetwarzania danych osobowych następuje wyłącznie w celu realizacji usług wymienionych Regulaminie.

§3 Rodzaj danych osobowych oraz kategorie osób, których dane dotyczą

  1. W celu realizacji Regulaminu - wyłącznie w zakresie wynikającym z realizacji Usług, Podmiot przetwarzający będzie przetwarzał:
    1. dane zwykłe w postaci:
    • imię, nazwisko, numer telefonu, adres poczty elektronicznej, stanowisko, departament, przełożony, płeć, avatar – w odniesieniu do osób wytypowanych przez Administratora, biorących udział w realizacji usługi na platformie treningów antyphishingowych;
    • imię i nazwisko, stanowisko, nr telefonu, e-mail, avatar – w odniesieniu do osoby pełniącej rolę Administratora Konta i Managera Konta; Dane określone ww. dotyczą następujących kategorii osób: Pracownicy i współpracownicy Administratora.
  2. Dane te będą dostępne w postaci elektronicznej jak i papierowej.

§4 Prawa i obowiązki Administratora

Administrator danych ma obowiązek:

  1. wykonać ocenę skutków dla ochrony danych w procesach realizowanych przez Podmiot przetwarzający, o ile będzie to wymagane przez przepisy prawa powszechnie obowiązującego;
  2. wykonać uprzednie konsultacje z organem nadzorczym, jeśli zachodzi taka konieczność;
  3. ściśle współpracować z Podmiotem przetwarzającym przy wykonywaniu niniejszego Regulaminu;
  4. wykonywać inne obowiązki nałożone na niego przepisami prawa powszechnie obowiązującego lub decyzjami albo orzeczeniami odpowiednich organów lub sądów.

§5 Prawa i obowiązki Podmiotu przetwarzającego

  1. Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 RODO.
  2. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.
  3. W zakresie wykraczającym poza zakres niniejszej Regulaminu, Podmiot przetwarzający może przetwarzać dane osobowe wyłącznie na udokumentowane polecenie Administratora.
  4. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji Regulaminu.
  5. Podmiot przetwarzający zobowiązuje się do ograniczenia dostępu do danych osobowych wyłącznie do osób, których dostęp do danych jest potrzebny dla realizacji Regulaminu i posiadających odpowiednie upoważnienie.
  6. Podmiot przetwarzający zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
  7. Podmiot przetwarzający podejmuje wszelkie środki wymagane na mocy art. 32 RODO.
  8. Podmiot przetwarzający biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.
  9. Podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO.
  10. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwia Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
  11. Podmiot przetwarzający, w związku z obowiązkiem określonym w art. 28 ust. 3 lit. h) RODO, niezwłocznie informuje Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego RODO lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.
  12. W przypadku przetwarzania danych osobowych w formie elektronicznej, Podmiot przetwarzający dąży do tego, aby dostawcy poszczególnych rozwiązań lub aplikacji wykorzystujących dane zapewniali domyślnie włączone ustawienia chroniące prywatność.

§6 Prawo kontroli

  1. Administrator danych zgodnie z art. 28 ust. 3 pkt h) RODO ma prawo kontroli, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia Regulaminu.
  2. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.
  3. Przetwarzający umożliwia Administratorowi lub upoważnionemu przez niego audytorowi przeprowadzanie audytów lub inspekcji. Przetwarzający współpracuje w zakresie realizacji audytów lub inspekcji.
  4. Informację o planowanym audycie lub kontroli Administrator przekazuje Przetwarzającemu co najmniej z 7-dniowym wyprzedzeniem.

§7 Podpowierzenie

  1. W sytuacjach wyjątkowych Podmiot przetwarzający może powierzyć dane osobowe objęte Umową do dalszego przetwarzania osobom trzecim w celu realizacji Regulaminu Kontrahenta, tylko po uzyskaniu uprzedniej pisemnej zgody Administratora danych. Podmiot, o którym mowa w zdaniu poprzednim, winien spełniać te same gwarancje i obowiązki, jakie zostały nałożone na Podmiot przetwarzający w Umowie.
  2. W sytuacji, o której mowa w ust. 1 niniejszego paragrafu, na podmiot ten powinny zostać nałożone na mocy stosownej umowy podpowierzenia danych osobowych te same obowiązki ochrony danych co wynikające z niniejszego Regulaminu oraz przepisów RODO, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na Podmiocie przetwarzającym.
  3. Z zastrzeżeniem ust. 4 oraz ust. 5 niniejszego paragrafu, po wygaśnięciu Konta, zależnie od decyzji Administratora podmiot, któremu Podmiot przetwarzający podpowierzył dane osobowe, zobowiązany jest do usunięcia lub zwrócenia wszelkich danych osobowych oraz usunięcia ich kopii.
  4. Podmiot, z którym Podmiot przetwarzający zawarł umowę podpowierzenia danych osobowych, ma prawo zatrzymać jedną kopię danych, odpowiednio zaszyfrowaną, w celu wyjaśnienia reklamacji lub roszczeń związanych ze świadczeniem usług na rzecz Podmiotu przetwarzającego bądź też roszczeń wynikających z realizacji Regulaminu podpowierzenia danych osobowych, jednakże nie dłużej niż przez okres 3 lat od dnia wygaśnięcia albo rozwiązania niniejszej Regulaminu, na co Administrator wyraża zgodę.
  5. Podmiot przetwarzający zobowiązany jest do informowania Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia podmiotów przetwarzających, dając tym samym Administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.

§8 Odpowiedzialność Podmiotu przetwarzającego

Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Regulaminu, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym i w konsekwencji za wszelkie szkody tym spowodowane.

§9 Czas obowiązywania

  1. Z zastrzeżeniem ust. 2 oraz ust. 3 niniejszego paragrafu, po wygaśnięciu świadczenia Usługi, zależnie od decyzji Administratora, Podmiot przetwarzający usuwa lub zwraca wszelkie dane osobowe oraz usuwa ich kopie. Po wykonaniu tego zobowiązania, Przetwarzający złoży Administratorowi pisemne oświadczenie na ten temat zawierające informację kiedy i kto dokonał usunięcia lub zwrotu danych i ich kopii.
  2. Podmiot przetwarzający ma prawo zatrzymać jedną kopię danych, odpowiednio zaszyfrowaną, w celu wyjaśnienia reklamacji lub roszczeń związanych ze świadczeniem Usług na podstawie Regulaminu, jednakże nie dłużej niż przez okres 3 lat od dnia wygaśnięcia albo rozwiązania niniejszej Regulaminu, na co Administrator wyraża zgodę.
  3. Przetwarzający może wykorzystywać w celach biznesowych, w tym statystycznych, marketingowych, dane wynikające z przeprowadzonych testów/treningów tylko po ich zanonimizowaniu w rozumieniu RODO.

§10 Naruszenia ochrony danych

  1. Podmiot przetwarzający powiadamia Administratora danych o każdym podejrzeniu naruszenia ochrony danych osobowych nie później niż w 36 godzinie od pierwszego zgłoszenia, umożliwia Administratorowi uczestnictwo w czynnościach wyjaśniających i informuje Administratora o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia.
  2. Powiadomienie o stwierdzeniu naruszenia, powinno być przesłane wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, aby umożliwić Administratorowi spełnienie obowiązku powiadomienia organu nadzoru. Na żądanie Administratora Podmiot przetwarzający zobowiązany jest do przesłania uzupełniającej dokumentacji dotyczącej naruszenia.
  3. Przetwarzający zobowiązuje się do przeprowadzenia wstępnej analizy ryzyka naruszenia praw i wolności osób, których dane dotyczą, i przekazania wyników tej analizy do Administratora w ciągu 48 godzin od wykrycia zdarzenia stanowiącego naruszenie ochrony danych osobowych.
  4. Powiadomienia o naruszeniach danych osobowych wysyłane są na wskazany przez Administratora danych adres mailowy.