UMOWA
UMOWA
POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zwana dalej „umową”, zawarta w dniu DATA. w Krakowie, pomiędzy:
"NAZWA PLACÓWKI" z siedzibą pod adresem ADRES, NIP: XXXXXXX, reprezentowane przez: właściciela – IMIĘ NAZWISKO
zwaną dalej „Administratorem danych” a
Xxxxxxxx Xxxxxxxx prowadzącym działalność gospodarczą pod firmą GEOGIS – Xxxxxx Xxxxxxx z siedzibą w Krakowie (30-383) przy ul. Obozowej 31/13, NIP: 9930209213, REGON: 121173304, wpisaną do Centralnej Ewidencji i Informacji o Działalności Gospodarczej prowadzonej przez Ministra Rozwoju i Technologii, będącym właścicielem,
zwany dalej „Podmiotem przetwarzającym”
zwanymi dalej również jako Strony, a każda z osobno jako Strona o treści:
§ 1 Przedmiot umowy
1. Administrator danych powierza Podmiotowi przetwarzającemu, w trybie art. 28 ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych,), zwanego w dalszej części
„Rozporządzeniem”, dane osobowe do przetwarzania, na zasadach i w celu określonym w niniejszej umowie.
2. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą umową, Rozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą, na podstawie umowy o udzielenie licencji na korzystanie z serwisu internetowego o nazwie monteStory zlokalizowanego w domenie xxxxx://xxx.xxxxxxxxxx.xx oraz świadczenia usług serwisowych zawartej między Stronami w dniu DATA w Krakowie.
3. Podmiot przetwarzający oświadcza, iż stosuje środki bezpieczeństwa spełniające wymogi Rozporządzenia.
§2 Cel i zakres umowy
1. Podmiot przetwarzający może przetwarzać dane osobowe wyłącznie w celu świadczenia usługi korzystania z serwisu internetowego o nazwie monteStory zlokalizowanego w domenie xxxxx://xxx.xxxxxxxxxx.xx oraz świadczenia usług serwisowych na rzecz Administratora danych.
2. Dane osobowe stanowiące zbiór danych powierzone Podmiotowi przetwarzającemu w warunkach niniejszej umowy określa się w następującym zakresie:
Lp. | Nazwa zbioru | Zakres danych |
1 | Rodzice i opiekunowie prawni dzieci | Xxxx, nazwisko, adres zamieszkania, adres zameldowania, numer telefonu, adres e-mail |
2 | Dzieci | Xxxx, drugie imię, nazwisko, data urodzenia, miejsce urodzenia, numer PESEL, adres zamieszkania, adres zameldowania, wizerunek, adres e-mail, xxxx, dane dotyczące zdrowia |
3 | Pracownicy | Xxxx, nazwisko, adres e-mail, numer telefonu |
3. Zmiana zakresu oraz celu przetwarzania danych osobowych może zostać dokonana jedynie w drodze zmiany niniejszej umowy w drodze pisemnej.
§3 Obowiązki Podmiotu przetwarzającego
1. Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia.
2. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.
3. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej umowy.
4. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, (o której mowa w art. 28 ust 3 pkt b Rozporządzenia) przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej umowy, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.
5. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zwraca Administratorowi wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
6. W miarę możliwości Podmiot przetwarzający pomaga Administratorowi danych w niezbędnym zakresie wywiązywać się
z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 Rozporządzenia.
7. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi danych w ciągu w ciągu 24 h.
8. Podmiot przetwarzający oświadcza, że każda osoba (np. pracownik etatowy, osoba świadcząca czynności na podstawie umów cywilnoprawnych, inne osoby pracujące na rzecz Podmiotu przetwarzającego, np. w relacji B2B), która zostanie dopuszczona do przetwarzania powierzonych przez Podmiot przetwarzający danych osobowych, zostanie zobowiązana do zachowania tych danych w tajemnicy. Tajemnica ta obejmuje również wszelkie informacje dotyczące sposobów zabezpieczenia powierzonych do przetwarzania danych osobowych.
9. Podmiot przetwarzający zobowiązuje się niezwłocznie zawiadomić Administratora danych o:
i. każdym prawnie umocowanym żądaniu udostępnienia danych osobowych właściwemu organowi państwa, chyba, że zakaz zawiadomienia wynika z przepisów prawa,
a szczególności przepisów postępowania karnego, gdy zakaz ma na celu zapewnienia poufności wszczętego dochodzenia;
ii. każdym nieupoważnionym dostępie do danych osobowych;
iii. każdym żądaniu otrzymanym od osoby, której dane przetwarza, powstrzymując się jednocześnie od odpowiedzi na żądanie;
iv. wszczęciu u Podmiotu przetwarzającego kontroli sposobu przetwarzania powierzonych danych osobowych.
§4 Prawo do kontroli
1. Administrator danych zgodnie z art. 28 ust. 3 pkt h) Rozporządzenia ma prawo kontroli, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy.
2. Administrator danych realizować będzie prawo kontroli w godzinach pracy Podmiotu przetwarzającego i z minimum 3 dniowym jego uprzedzeniem.
3. Podmiot przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora danych nie dłuższym niż 7 dni.
4. Podmiot przetwarzający udostępnia Administratorowi danych wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia oraz umożliwia Administratorowi danych lub audytorowi upoważnionemu przez Administratora danych, w tym inspekcji, i przyczynia się do nich.
5. Podmiot przetwarzający zobowiązuje się odpowiedzieć niezwłocznie i właściwie na każde pytanie Administratora danych dotyczące przetwarzania powierzonych mu na podstawie umowy danych osobowych.
6. W przypadku wygaśnięcia niniejszej umowy, Podmiot przetwarzający jest bezwzględnie zobowiązany do usunięcia (zwrotu lub zniszczenia lub trwałego usunięcia potwierdzonego
protokołem powierzonych mu danych osobowych) oraz skasowania wszelkich kopii tych danych będących w posiadaniu Podmiotu przetwarzającego oraz podjęcia stosownych działań w celu wyeliminowania dalszego przetwarzania danych powierzonych na podstawie niniejszej umowy.
§ 5 Dalsze powierzenie danych osobowych do przetwarzania
1. Podmiot przetwarzający może powierzyć dane osobowe objęte niniejszą umową do dalszego przetwarzania podwykonawcom jedynie w celu wykonania umowy po uzyskaniu uprzedniej pisemnej zgody Administratora danych.
2. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora danych chyba, że obowiązek taki nakłada na Podmiot przetwarzający prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
3. Podwykonawca, o którym mowa w §5 ust. 1 umowy winien spełniać te same gwarancje i obowiązki jakie zostały nałożone na Podmiot przetwarzający w niniejszej umowie.
4. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora danych za nie wywiązanie się ze spoczywających na podwykonawcy obowiązków ochrony danych.
§ 6 Odpowiedzialność Podmiotu przetwarzającego
1. Za zbieranie danych osobowych zgodnie z obowiązującym prawem odpowiedzialny jest administrator, a tam gdzie jest to konieczne (wizerunek), dokonuje zbierania danych po uprzednim odebraniu zgody od osób fizycznych.
2. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z umową, a w szczególności za udostępnienie osobom nieupoważnionym.
3. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora danych o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych w umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie przetwarzającym tych danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez Prezesa Urzędu Ochrony Danych Osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora danych.
4. Podmiot przetwarzający odpowiada za szkody, jakie powstały wobec Administratora danych lub osób trzecich w wyniku niezgodnego z umową przetwarzania danych osobowych.
5. W przypadku udokumentowanego naruszenia Rozporządzenia lub niniejszej umowy z przyczyn leżących po stronie Podmiotu przetwarzającego, Administrator danych może dochodzić odszkodowania na zasadach ogólnych.
§ 7 Czas obowiązywania umowy
1. Niniejsza umowa zawarta jest na czas trwania umowy korzystanie z serwisu internetowego o nazwie monteStory zlokalizowanego w domenie xxxxx://xxx.xxxxxxxxxx.xx oraz świadczenia usług serwisowych z dnia DATA.
§ 8 Wypowiedzenie Umowy
1. Każda ze Stron może wypowiedzieć niniejszą umowę z zachowaniem 1 (jedno) miesięcznego okresu wypowiedzenia.
2. Administrator danych może rozwiązać niniejszą umowę ze skutkiem natychmiastowym gdy Podmiot przetwarzający:
a) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie;
b) przetwarza dane osobowe w sposób niezgodny z umową;
c) powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Administratora danych.
3. Strony zgodnie ustalają, iż rozwiązanie ze skutkiem natychmiastowym umowy korzystanie z serwisu internetowego o nazwie monteStory zlokalizowanego w domenie xxxxx://xxx.xxxxxxxxxx.xx oraz świadczenia usług serwisowych łączącej Strony, zawartej w dniu DATA. w Krakowie, niesie również skutek wypowiedzenia lub rozwiązania ze skutkiem natychmiastowym przedmiotowej umowy.
4. W przypadku wypowiedzenia umowy lub rozwiązania jej ze skutkiem natychmiastowym z winy Podmiotu przetwarzającego, Podmiot przetwarzający niezwłocznie usuwa wszystkie dane. Powyższe zwrócenie danych nie wyklucza dochodzenia roszczeń przez Administratora danych na zasadach ogólnych.
§ 9 Zasady zachowania poufności
1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora danych i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
2. Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub umowy.
§ 10 Adresy Stron i dane osób
1. Wszelka korespondencja w sprawach związanych z umową będzie kierowana na podane niżej adresy Stron:
Administrator danych:
ADRES
Telefon: XXXXXXXX E-mail: ADRES EMAIL
Podmiot przetwarzający:
Xx. Xxxxxxx 00/00 00-000 Xxxxxx,
Telefon: 000 000 000
Zmiana adresów i danych osób, o których mowa w ust.1, nie stanowi zmiany niniejszej umowy. O każdej zmianie powyższych danych Strony powiadomią się na piśmie, za potwierdzeniem odbioru lub drogą elektroniczną.
§ 11 Postanowienia końcowe
1. Zmiana niniejszej umowy może nastąpić tylko w formie pisemnego aneksu, pod rygorem nieważności.
2. W sprawach nieuregulowanych niniejszą umową mają zastosowania przepisy Rozporządzenia oraz kodeksu cywilnego.
3. Spory wynikłe z tytułu umowy będzie rozstrzygał Sąd właściwy dla miejsca siedziby Administratora danych.
4. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.