UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w trybie art. 384 Kodeksu cywilnego w Rzeszowie pomiędzy:
zwaną dalej „Administratorem”
a
XXXXXXX.XX Spółka z ograniczoną odpowiedzialnością Spółka komandytowa, z siedzibą xx. Xxxxxxxx 0X xxxxx 00, 00-000 Xxxxxxx, KRS: 0000655956, NIP: 000-000-00-00, REGON: 180793541, reprezentowaną przez komplementariusza XXXXXXX.XX Sp. z o. o., zwaną dalej „Podmiotem przetwarzającym”
(dalej łącznie jako: „Strony”)
poprzez wypełnienie przez Administratora formularza udostępnionego w systemie informatycznym Podmiotu przetwarzającego.
Strony zawierają niniejszą umowę powierzenia przetwarzania danych osobowych w związku z umową główną, na podstawie której Podmiot przetwarzający świadczy dla Administratora w zakresie i na warunkach ustalonych w umowie głównej usługi, które są związane z przetwarzaniem danych osobowych przez Podmiot przetwarzający.
§1. Definicje
1. RODO – Rozporządzenie Parlamentu Europejskiego i Rady(UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
2. Administrator – administrator w rozumieniu art. 4 pkt. 7 RODO.
3. Dane osobowe – dane osobowe w rozumieniu art. 4 pkt. 1 RODO.
4. Powierzone dane osobowe – Dane osobowe określone w §2 ust. 2 Umowy powierzenia.
5. Podmiot przetwarzający – Podmiot przetwarzający w rozumieniu art. 4 pkt. 8 RODO.
6. Przetwarzanie – przetwarzanie danych osobowych w rozumieniu art. 4 pkt. 2 RODO.
7. Podpowierzenie – dalsze powierzenie przetwarzania danych osobowych przez Podmiot przetwarzający dalszemu
podmiotowi przetwarzającemu.
8. Naruszenie ochrony danych osobowych – naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt. 12 RODO.
9. Umowa główna – umowa o świadczenie Usług zawarta na podstawie Regulaminu korzystania z serwisu Xxxxxxx.xx.
10. Umowa powierzenia – niniejsza umowa powierzenia przetwarzania danych osobowych, stanowiąca zgodnie z wolą Stron integralną część umowy głównej.
§2. Przedmiot umowy
1. Niniejsza umowa określa warunki Przetwarzania przez Podmiot przetwarzający w imieniu Administratora powierzonych danych osobowych określonych poniżej w §2 ust. 2 w zakresie niezbędnym do wykonywania usług określonych na podstawie umowy głównej.
2. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie następujących danych osobowych:
2.1. Rodzaj danych osobowych objętych Umową:
numer domu, nr lokalu, kod pocztowy, nr telefonu);
b) dane identyfikacyjne i adresowe nadawców przesyłek pocztowych (imię i nazwisko, kraj, miasto, ulica,
numer domu, nr lokalu, kod pocztowy, nr telefonu);
d) W przypadku konieczności dodania dodatkowego rodzaju danych osobowych niewskazanych na liście powyżej, Administrator poinformuje o tym Podmiot przetwarzający w formie pisemnej, przy czym każdorazowa modyfikacja danych osobowych wskazanych na liście nie wymaga formy aneksu do niniejszej umowy, a jedynie pisemnego oświadczenia Administratora złożonego Podmiotowi przetwarzającemu z dokładnym wskazaniem rodzaju danych osobowych, jakie dodatkowo są wprowadzane.
2.2. Kategorie osób, których dane osobowe dotyczą:
• Odbiorcy i nadawcy przesyłek pocztowych:
• pracownicy Administratora i podmiotów stowarzyszonych Administratora;
• klienci bądź potencjalni klienci Administratora;
• osoby, z którymi Administrator wchodzi w interakcje społeczne;
• kontrahenci (odbiorcy i dostawcy) i partnerzy handlowi Administratora;
• subskrybenci Administratora.
3. Podmiot przetwarzający będzie przetwarzał powierzone dane osobowe w zakresie usług wykonywanych
na podstawie umowy głównej.
4. Powierzenie przetwarzania danych osobowych przez Administratora następuje w celu wykonania umowy
głównej.
§3. Przetwarzanie powierzonych danych osobowych przez Podmiot przetwarzający
1. Podmiot przetwarzający będzie przetwarzał powierzone dane osobowe wyłącznie w celu, w zakresie i na warunkach określonych w umowie powierzenia.
3. Podmiot przetwarzający poinformuje Administratora, jeżeli polecenie przekazane mu zgodnie z §3 ust. 2, uznać należy za niezgodne z RODO lub innymi przepisami o ochronie danych osobowych.
§4. Okres przetwarzania
1. Powierzone dane osobowe będą przetwarzane przez Podmiot przetwarzający w okresie obowiązywania umowy
głównej, z zastrzeżeniem §4 ust 2 i ust 3.
2. Dane określone w §2 ust. 2.1 lit. c) będą przetwarzane przez okres 3 miesięcy natomiast dane określone w §2 ust 2.1 lit. a) przez okres 3 lat od zrealizowania usługi wynikającej z umowy głównej związanej z przetwarzaniem powierzonych danych osobowych.
3. Po rozwiązaniu umowy głównej bądź po zakończeniu świadczenia usługi związanej z przetwarzaniem powierzonych danych osobowych, z zastrzeżeniem ust. 2 Podmiot przetwarzający ma obowiązek usunąć bądź zwrócić Administratorowi – zależnie od decyzji Administratora – powierzone dane osobowe, jak również usunąć wszelkie ich istniejące kopie, chyba że powszechnie obowiązujące przepisy nakazują przechowywanie tych danych osobowych. W braku decyzji Administratora powziętej najpóźniej w dniu rozwiązania umowy lub zakończenia świadczenia usługi, uznaje się, że podjął decyzję o usunięciu danych.
4. W przypadku, gdyby zakres powierzonych danych osobowych został zmieniony lub ograniczony, ust. 3 stosuje się odpowiednio do tych danych osobowych, które wskutek tej zmiany lub ograniczenia nie będą dalej powierzane Podmiotowi przetwarzającemu.
§5. Obowiązki Podmiotu przetwarzającego
1. Podmiot przetwarzający zobowiązuje się do przestrzegania umowy powierzenia i właściwych przepisów prawa mających zastosowanie do przetwarzania danych osobowych stanowiącego przedmiot umowy powierzenia,
w szczególności zobowiązuje się do przestrzegania obowiązków Podmiotu przetwarzającego wynikających
z RODO.
2. Podmiot przetwarzający zapewnia, że osoby upoważnione przez niego do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
3. Podmiot przetwarzający oświadcza, że zapewnia niezbędne gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, w celu zapewnienia zgodności z RODO i ochrony praw osób, których dane dotyczą.
4.1. zgłoszenia Administratorowi bez zbędnej zwłoki na adres email wskazany przez Administratora wszelkich naruszeń ochrony danych stwierdzonych przez Podmiot przetwarzający w związku z wykonywaniem Umowy powierzenia;
4.2. udzielenia Administratorowi w miarę możliwości dodatkowych informacji dotyczących stwierdzonego przez Podmiot przetwarzający i zgłoszonego naruszenia ochrony danych osobowych w zakresie niezbędnym do ustalenia przez Administratora prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności osób, których dane osobowe są objęte tym naruszeniem, oraz w zakresie niezbędnym do dokonania zgłoszenia zgodnie z art. 33 i 34 RODO naruszenia ochrony danych osobowych do organu nadzorczego lub zawiadamiania o naruszeniu ochrony danych osobowych osób, których dane dotyczą - na pisemne zapytanie Administratora.
5. W przypadku stwierdzenia naruszenia ochrony danych osobowych spowodowanego z winy Podmiotu przetwarzającego lub z winy podwykonawcy Podmiotu przetwarzającego, Podmiot przetwarzający dokona przeglądu stosowanych środków technicznych i organizacyjnych oraz w razie potrzeby i w miarę możliwości wprowadzi odpowiednie zmiany w celu zapobiegnięcia powtórzeniu się takiego naruszenia ochrony danych osobowych w przyszłości.
6. Podmiot przetwarzający zobowiązuje się przesłać Administratorowi każdy wniosek lub korespondencję od osoby, której dane Podmiot przetwarzający przetwarza w ramach umowy powierzenia, w tym zawierającą żądanie w zakresie wykonywania praw osoby, której dane dotyczą określonych w rozdziale III RODO, w celu dalszego przetwarzania przez Administratora, chyba że co innego wynika z obowiązujących przepisów prawa.
§6. Uprawnienia Administratora
1. W okresie obowiązywania umowy głównej Administrator jest uprawniony do składania zapytań o informacje określone w §5 oraz żądania - w stopniu nieprzekraczającym racjonalnych granic tych aktywności - udzielenia przez Podmiot przetwarzający informacji dotyczących sposobu wykonywania umowy powierzenia przetwarzania danych osobowych.
2. Administrator jest uprawniony do składania zapytań o informacje dotyczące naruszenia ochrony danych
osobowych, o którym mowa w §5 ust. 4 w drodze korespondencji pisemnej.
3. Podmiot przetwarzający umożliwia Administratorowi przeprowadzenie audytów, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy, z zastrzeżeniem następujących warunków:
3.1. Administrator powiadomi w tradycyjnej formie pisemnej o zamiarze przeprowadzeniu audytu Podmiot
przetwarzający.
3.2. Audytorem Administratora nie może być podmiot prowadzący działalność konkurencyjną wobec Podmiotu przetwarzającego, ani podmiot z nim powiązany lub jego pracownik lub podmiot/osoba z nim współpracująca, bez względu na podstawę zatrudnienia lub współpracy.
3.3. Podmiot przetwarzający może uzależnić udział audytora lub wyznaczonego pracownika Administratora w audycie od uprzedniego zawarcia odpowiedniej umowy poufności.
3.4. W czasie audytu Administrator i audytor mają obowiązek przestrzegania wewnętrznych procedur i polityk Podmiotu przetwarzającego lub podwykonawcy Podmiotu przetwarzającego dotyczących bezpieczeństwa i poufności.
3.5. Audyt nie może obejmować informacji lub dokumentów dotyczących innych klientów Podmiotu przetwarzającego, ani zmierzać lub skutkować uzyskaniem dostępu Administratora do danych osobowych innych niż powierzone dane osobowe.
3.6. Audyt nie powinien być przeprowadzany częściej niż raz w roku kalendarzowym i nie powinien trwać dłużej niż 3 dni.
3.7. Administrator ponosi wszelkie koszty związane z audytami przeprowadzonymi na własne żądanie, w tym
pełne koszty audytora.
4. Administrator powinien korzystać z uprawnień określonych w niniejszej Umowie powierzenia w taki sposób by nie zakłócić wykonywania umowy głównej oraz prowadzenia bieżącej działalności przez Podmiot przetwarzający i jego podwykonawców. W przypadku zakłócenia bieżącej działalności Podmiotu przetwarzającego, Podmiot przetwarzający może przerwać proces audytowy w trakcie jego trwania.
5. Podmiot przetwarzający zobowiązany jest do aktywnego udziału w audycie i odpowiedniej współpracy z Administratorem i audytorem;
§7. Oświadczenia i obowiązki Administratora
1. Administrator oświadcza, że przetwarza dane osobowe w imieniu własnym, a także w imieniu innego lub innych Administratorów na podstawie stosownej umowy i gwarantuje, że są przez niego przetwarzane zgodnie z prawem.
2. Administrator oświadcza, że jest uprawniony do powierzenia przetwarzania danych osobowych i zobowiązuje się do zapewnienia, że w momencie przekazania danych osobowych Podmiotowi przetwarzającemu, istnieć będzie ważna podstawa prawna do ich przetwarzania w tym, że każda zgoda jest udzielana wyraźnie, dobrowolnie, jednoznacznie i na podstawie uzyskanych w tym zakresie informacji. Na żądanie Podmiotu przetwarzającego, Administrator zobowiązuje się na piśmie do wskazania i / lub udokumentowania podstawy przetwarzania danych osobowych.
3. Poprzez zawarcie niniejszej umowy Administrator poleca przetwarzanie danych osobowych Podmiotowi przetwarzającemu, a także każdej osobie działającej z upoważnienia Podmiotu przetwarzającego mającej dostęp do powierzonych danych osobowych, co stanowi udokumentowane polecenie w rozumieniu art. 28 ust. 3 lit. a w zw. z art. 29 RODO.
4. Administrator zobowiązuje się do przestrzegania umowy powierzenia oraz właściwych przepisów prawa mających zastosowanie do przetwarzania danych osobowych, w szczególności zobowiązuje się do przestrzegania obowiązków Administratora wynikających z RODO.
§8. Podpowierzenie danych
1. Administrator udziela ogólnej zgody na dalsze podpowierzenie Powierzonych danych osobowych podmiotom, za pomocą których Podmiot przetwarzający świadczy usługę (tzw. dalszym podmiotom przetwarzającym). Podmiot przetwarzający będzie utrzymywał pełną i kompletną listę dalszych podmiotów przetwarzających, która jest dostępna do wglądu w siedzibie Podmiot przetwarzającego oraz na stronie xxxxx://xxxxxxx.xx/xxxxx- subprocesorow.
2. Administrator uprawnia Podmiot przetwarzający do nadawania upoważnień, wydawania instrukcji i poleceń
w rozumieniu art. 29 RODO w stosunku do dalszych podmiotów przetwarzających.
4. Podmiot przetwarzający może korzystać wyłącznie z usług takich dalszych podmiotów przetwarzających, które zapewniają wystarczającą gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
5. Administrator wyraża także zgodę na udostępnienie powierzonych danych osobowych innym podmiotom, które staną się administratorami tych danych, w zakresie w jakim udostępnienie takie będzie niezbędne do wykonania usługi zamówionej przez Administratora. Dotyczy to w szczególności udostępnienia powierzonych danych osobowych operatorom pocztowym, którzy na podstawie przepisów prawa pozostają uprawnieni do
przetwarzania danych nadawców i adresatów przesyłek w związku ze świadczoną usługą, rozliczeniami międzyoperatorskimi lub innymi obowiązkami nałożonymi przepisami prawa.
6. Jeżeli podwykonawca Podmiotu przetwarzającego nie wywiąże się ze spoczywających na nim obowiązków ochrony powierzonych danych osobowych, Podmiot przetwarzający ponosi wobec Administratora odpowiedzialność za niewypełnienie obowiązków przez podwykonawcę tak jak za własne działania i zaniechania.
§9. Odpowiedzialność Stron Umowy
1. Administrator odpowiada za prawidłowe wykonywanie obowiązków Administratora danych osobowych zgodnie
z RODO, innymi właściwymi przepisami ochrony danych osobowych i niniejszą umową powierzenia.
2. Podmiot przetwarzający odpowiada za prawidłowe wykonywanie swoich obowiązków zgodnie z RODO, innymi właściwymi przepisami ochrony danych osobowych i niniejszą umową powierzenia.
3. Żadna ze stron nie będzie odpowiedzialna wobec drugiej strony za jakiekolwiek szkody przypadkowe, których nie dało się przewidzieć przy zachowaniu należytej staranności.
4. Żadna ze stron nie ponosi odpowiedzialności wobec drugiej strony za:
4.1. błędy lub opóźnienia, pozostające poza rozsądną kontrolą strony niewykonującej, w tym ogólne opóźnienia w dostępie do sieci, awarie zasilania lub usterki maszyn;
4.2. błędy spowodowane przez systemy lub działania drugiej strony, zaniechania lub zaniedbania, za które wyłączną odpowiedzialność ponosi ta strona.
5. Całkowite i maksymalne zobowiązanie którejkolwiek ze stron wobec drugiej strony w ramach roszczeń w związku z wykonywaniem umowy głównej oraz niniejszej umowy lub w związku z jakąkolwiek transakcją przewidzianą w umowie w każdym dwunastomiesięcznym (12) okresie nie może w żadnym przypadku przekroczyć kwoty równej całkowitej kwocie zapłaconej za usługi w ramach umowy głównej za okres dwunastu (12) miesięcy poprzedzających zdarzenie, które pociąga za sobą odpowiedzialność.
6. Powyższe ograniczenia nie mają zastosowania do szkód spowodowanych oszustwem, rażącym niedbalstwem lub umyślnym niewłaściwym postępowaniem.
7. Odpowiedzialność Podmiotu przetwarzającego za wykonanie polecenia Administratora, które jest niezgodne z RODO lub innymi przepisami o ochronie danych osobowych oraz w związku z poleceniami Administratora, które nie zostały złożone zgodnie z §3 ust.2, jest wyłączona.
8. Postanowienia §9 pozostają w mocy po rozwiązaniu lub wygaśnięciu umowy powierzenia.
§10. Postanowienia końcowe
1. Umowa powierzenia wchodzi w życie ze skutkiem od dnia wejścia w życie umowy głównej, stanowi integralną część umowy głównej i zostaje zawarta na okres wykonywania umowy głównej.
2. W sprawach nieuregulowanych w niniejszej umowie powierzenia zastosowanie będą miały przepisy RODO
oraz właściwe przepisy prawa polskiego.
3. Każdej ze Stron przysługuje prawo rozwiązania niniejszej umowy w trybie natychmiastowym, w przypadku
naruszenia postanowień umowy przez drugą Stronę.
4. Rozwiązanie lub wygaśniecie umowy głównej skutkuje odpowiednio rozwiązaniem lub wygaśnięciem umowy powierzenia bez potrzeby składania dodatkowych oświadczeń. Rozwiązanie umowy powierzenia przed upływem okresu na jaki została zawarta umowa główna stanowi podstawę do rozwiązania umowy głównej bez okresu wypowiedzenia.
5. Strony uzgadniają, że przetwarzanie powierzonych danych osobowych będzie wykonywane wyłącznie na terytorium Unii Europejskiej. Przekazanie przez Podmiot przetwarzający powierzonych danych osobowych do państwa trzeciego wymaga uprzedniej zgody Administratora w formie pisemnej lub dokumentowej, chyba że obowiązek taki nakłada na niego prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega.
6. Wszelkie obowiązki informacyjne i aktualizacje przetwarzanych kategorii danych bądź listy dalszych Podmiotów przetwarzających mogą być realizowane w formie elektronicznej np. przy wykorzystaniu poczty elektronicznej.
7. Umowa powierzenia i umowa główna regulują w sposób całkowity uzgodnione przez strony warunki przetwarzania powierzonych danych osobowych przez Podmiot przetwarzający w związku z wykonywaniem usług i uchylają jakiekolwiek wcześniejsze ustalenia Stron dokonane w tym zakresie. W przypadku rozbieżności postanowień umowy powierzenia i umowy głównej pierwszeństwo mają postanowienia umowy powierzenia.