UMOWA DALSZEGO POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Załącznik nr 6 do Umowy nr …… (……)
UMOWA DALSZEGO POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w Warszawie w dniu złożenia podpisu przez ostatnią ze Stron, pomiędzy:
Centralnym Ośrodkiem Informatyki z siedzibą w Warszawie, adres: Xxxxx Xxxxxxxxxxxxx 000- 000, 00-000 Xxxxxxxx, wpisanym do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla x.xx. Warszawy w Warszawie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000372110, NIP: 7252036863, REGON: 100999489, zwanym dalej: „Procesorem”, reprezentowanym przez:
1) [imię i nazwisko] – [xxxxxxx];
2) [imię i nazwisko] – [xxxxxxx] oraz
[***] z siedzibą w [***], ul. [***], kod pocztowy [***], wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla [***] w [***], [***] Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS: [***], NIP: [***], REGON: [***], kapitał zakładowy w wysokości [***] złotych, opłacony w całości/do kwoty [***] złotych, zwanym dalej „Dalszym Procesorem”, reprezentowaną przez:
1) [imię i nazwisko] – [xxxxxxx];
2) [imię i nazwisko] – [xxxxxxx];
Procesor i Dalszy Procesor są zwani dalej łącznie „Stronami”, a każdy z nich z osobna „Stroną”.
str. 1
1. PRZEDMIOT UMOWY
1.1. Procesor i Dalszy Procesor zawierają umowę podpowierzenia przetwarzania danych osobowych, zwaną dalej „Umową”, na mocy której Procesor powierza Dalszemu Procesorowi przetwarzanie danych osobowych, rozumianych jako informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”), w zakresie wskazanym w Załączniku A („Dane osobowe”). Procesor przetwarza Dane osobowe w celu wykonania umów zawartych ze Skarbem Państwa – Ministrem Cyfryzacji jako administratorem Danych osobowych („Administrator”).
1.2. Powierzenie Danych osobowych Xxxxxxxx Procesorowi następuje w celu wykonania umowy nr ………………….. zawartej pomiędzy Stronami w dniu ………………
roku (dalej jako „Umowa główna”).
1.3. Dane osobowe będą przetwarzane przez Dalszego Procesora na terenie wskazanym w Załączniku A.
1.4. Zakres powierzenia, wskazany w Załączniku A, może zostać w każdym momencie rozszerzony lub ograniczony przez Procesora.
1.5. Dalszy Procesor może przetwarzać Dane osobowe wyłącznie w zakresie i celu określonym w Umowie oraz w celu i zakresie niezbędnym do świadczenia usług określonych w Umowie głównej. Przetwarzanie Danych osobowych przez Dalszego Procesora odbywa się wyłącznie w czasie obowiązywania Umowy głównej.
2. OŚWIADCZENIA I OBOWIĄZKI DALSZEGO PROCESORA
2.1 Dalszy Procesor niniejszym oświadcza, że posiada zasoby infrastrukturalne, doświadczenie, wiedzę oraz wykwalifikowany personel, w zakresie umożliwiającym należyte wykonanie Umowy, w zgodzie z obowiązującymi przepisami prawa. W szczególności Dalszy Procesor oświadcza, że znane mu są zasady przetwarzania i zabezpieczenia Danych osobowych wynikające z:
2.1.1. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej jako: „RODO”);
2.1.2. ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (tj. Dz. U. z 2018 r., poz. 1000, dalej jako: „Ustawa”).
2.2 Dalszy Procesor jest zobowiązany:
2.2.1. przetwarzać Dane osobowe zgodnie z RODO, polskimi przepisami przyjętymi w celu umożliwienia stosowania RODO, innymi obowiązującymi przepisami prawa, Umową oraz instrukcjami Procesora. Instrukcje (polecenia) są przekazywane przez Procesora drogą elektroniczną (przesyłane na adres e-mail Dalszego Procesora wskazany w Załączniku A); z zastrzeżeniem postanowień rozdziału 3, Dalszy Procesor powinien wdrożyć instrukcje niezwłocznie, jednak nie później niż w terminie 7 Dni Roboczych od ich otrzymania; jeżeli w ocenie Dalszego Procesora termin 7-dniowy jest zbyt krótki na realizację instrukcji, powinien poinformować o tym fakcie Procesora drogą elektroniczną (przesyłając informację na adres e-mail Procesora wskazany w Załączniku A) wskazując uzasadnienie dla takiej oceny; w takim przypadku Strony wspólnie ustalą późniejszy
str. 2
termin wdrożenia instrukcji. Instrukcje nie będą rozszerzać zakresu obowiązków Dalszego Procesora wynikających z Umowy ani Umowy głównej;
2.2.2. przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie Procesora, chyba że obowiązek taki nakłada na niego obowiązujące prawo krajowe lub unijne. W sytuacji, gdy obowiązek przetwarzania danych osobowych przez Dalszego Procesora wynika z przepisów prawa, informuje on Procesora drogą elektroniczną – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
2.2.3. przetwarzać Dane osobowe wyłączenie w miejscu ustalonym w Umowie głównej oraz na urządzeniach zarządzanych przez Dalszego Procesora i jego personel lub Procesora, z zachowaniem najwyższych zasad bezpieczeństwa i ochrony danych osobowych wymaganych przez obowiązujące przepisy prawa;
2.2.4. udzielać dostępu do Danych osobowych wyłącznie osobom, które ze względu na zakres wykonywanych zadań otrzymały od Dalszego Procesora upoważnienie do ich przetwarzania oraz wyłącznie w celu wykonywania obowiązków wynikających z Umowy oraz podjąć działania mające na celu zapewnienie, by każda osoba fizyczna działająca z upoważnienia Dalszego Procesora, która ma dostęp do Danych osobowych, przetwarzała je wyłącznie na polecenie Procesora, chyba że przetwarzanie jest wymagane przez właściwe przepisy krajowe lub unijne;
2.2.5. zapewnić, aby osoby upoważnione do przetwarzania Danych osobowych zobowiązały się do zachowania tajemnicy, chyba że są to osoby podlegające odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
2.2.6. wdrożyć, zgodnie z wytycznymi wskazanymi w rozdziale 3 Umowy, odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane osobowe będą przetwarzane na podstawie Umowy oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych (określonych w art. 25 RODO);
2.2.7. wspierać Procesora (w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. Współpraca Dalszego Procesora z Procesorem, w zakresie wskazanym w zdaniu poprzedzającym, powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków Procesora; w związku z realizacją tego obowiązku Dalszy Procesor jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych danych osobowych (lub ich kopii) na żądanie Procesora w terminie 2 Dni Roboczych w formie określonej przez Procesora; Dalszy Procesor powinien również niezwłocznie, jednak nie później niż w terminie 1 Dnia Roboczego, poinformować Procesora o wniosku dotyczącym realizacji praw osoby,
str. 3
której dane dotyczą, złożonym u Dalszego Procesora; Dalszy Procesor nie będzie jednak odpowiadał na taki wniosek bez uprzedniej zgody lub wyraźnego polecenia Procesora;
2.2.8. pomagać Procesorowi wywiązać się z obowiązków określonych w art. 32– 36 RODO, tj. w szczególności w zakresie:
- zapewnienia bezpieczeństwa przetwarzania Danych osobowych poprzez wdrożenie stosownych środków technicznych oraz organizacyjnych;
- dokonywania zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu (w rozumieniu art. 4 pkt 21 RODO) oraz zawiadamiania osób, których dane dotyczą o takim naruszeniu (obowiązki Dalszego Procesora w odniesieniu do zgłaszania naruszeń zostały określone w rozdziale 8 Umowy);
- dokonywania przez Procesora oceny skutków dla ochrony danych oraz przeprowadzania konsultacji Procesora z organem nadzorczym;
2.2.9. xxxxxxxxx, w formie pisemnej (w tym elektronicznej), rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Xxxxxxxxx, zawierający informacje o:
- nazwie oraz danych kontaktowych Dalszego Procesora oraz innych podmiotów przetwarzających (w przypadku podpowierzenia Danych osobowych, o którym mowa w rozdziale 4 Umowy) oraz Procesora, a także inspektora ochrony danych, gdy ma to zastosowanie;
- kategoriach przetwarzań dokonywanych w imieniu Xxxxxxxxx;
- gdy ma to zastosowanie – przekazywaniu Danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwie tego państwa trzeciego lub organizacji międzynarodowej;
- ogólnym opisie technicznych i organizacyjnych środków bezpieczeństwa, służących do zabezpieczenia powierzonych danych osobowych;
2.2.10. udostępniać Procesorowi, na każde jego żądanie, nie później niż w terminie 1 Dnia Roboczego, wszelkie informacje niezbędne do wykazania spełnienia przez Procesora obowiązków wynikających z właściwych przepisów prawa, w szczególności z RODO, w tym przekazywać informacje o stosowanych zabezpieczeniach, zidentyfikowanych zagrożeniach i incydentach w obszarze ochrony danych osobowych;
2.2.11. umożliwiać Procesorowi lub audytorowi upoważnionemu przez Procesora przeprowadzanie audytów na zasadach określonych w rozdziale 6 Umowy;
2.2.12. niezwłocznie informować Xxxxxxxxx, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych; informacja w tym przedmiocie przekazana powinna zostać Procesorowi w formie elektronicznej (na adres e-mail wskazany w Załączniku A) oraz powinna zawierać stosowne uzasadnienie i wskazanie przepisu prawa, który zdaniem Dalszego Procesora został naruszony;
2.2.13. niezwłocznie, jednak nie później niż w ciągu 1 Dnia Xxxxxxxxx, informować (o ile nie doprowadzi to do naruszenia przepisów obowiązującego prawa) Procesora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania Danych osobowych przez Dalszego Procesora, o jakiejkolwiek decyzji
str. 4
administracyjnej lub orzeczeniu dotyczącym przetwarzania danych, skierowanej do Dalszego Procesora, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania Danych osobowych przez Dalszego Procesora, w szczególności prowadzonych przez organ nadzoru, a także o wszelkich skargach osób, których dane dotyczą związanych z przetwarzaniem ich Danych osobowych;
2.2.14. przechowywać Dane osobowe tylko tak długo, jak to określił Procesor, a także, bez zbędnej zwłoki, aktualizować, poprawiać, zmieniać, anonimizować, ograniczać przetwarzanie lub usuwać wskazane Dane osobowe zgodnie z wytycznymi Procesora, Umową i Umową główną;
2.2.15. prowadzić prace określone w Umowie głównej pod nadzorem osób wskazanych przez Procesora.
3. ŚRODKI ORGANIZACYJNE I TECHNICZNE
3.1. Dalszy Procesor zapewni w okresie obowiązywania Umowy głównej ochronę Danych osobowych oraz zgodność z wszelkimi obecnymi oraz przyszłymi przepisami prawa dotyczącymi ochrony danych osobowych i prywatności, w zakresie adekwatnym i związanym z realizowanym przedmiotem Umowy głównej, określonym w Umowie głównej.
3.2. Oceniając, czy stopień bezpieczeństwa, o którym mowa w pkt 2.2.6. jest odpowiedni, Dalszy Procesor jest zobowiązany uwzględnić ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
3.3. Dalszy Procesor powinien również wdrożyć – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – odpowiednie środki techniczne i organizacyjne, zaprojektowane w celu skutecznej realizacji zasad ochrony danych określonych w RODO oraz w celu ochrony praw osób, których dane dotyczą (zasada ochrony danych osobowych w fazie projektowania określona w art. 25 ust. 1 RODO), a także odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te Dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania określonego w Załączniku A (zasada domyślnej ochrony danych określona w art. 25 ust. 2 RODO).
3.4. Wdrażając środki organizacyjne i techniczne, o których mowa powyżej, Dalszy Procesor:
3.4.1. przestrzega wytycznych Procesora w zakresie sposobu zabezpieczenia procesów przetwarzania danych osobowych zgodnie z przepisami obowiązującego prawa, o których mowa w pkt. 2.1.1. oraz 2.1.2.;
3.4.2. powinien uwzględnić stan wiedzy technicznej oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, których Dane osobowe będzie przetwarzał na podstawie Umowy.
3.5. W przypadku stwierdzenia, że stosowane środki mogą być nieadekwatne do rozpoznanych zagrożeń, Dalszy Procesor informuje o tym Procesora i w porozumieniu z Procesorem dostosowuje odpowiednio zabezpieczenia
str. 5
przetwarzania Danych osobowych, po uzgodnieniu przez Stron zakresu, sposobu i terminu takich działań oraz rozliczenia związanych z nimi kosztów.
3.6. W przypadku stwierdzenia przez Procesora konieczności zastosowania dodatkowych środków zabezpieczających, Strony uzgodnią zakres, sposób i termin ich wdrożenia oraz rozliczenie kosztów wdrożenia.
4. PODPOWIERZENIE
4.1. Procesor wyraża zgodę na dalsze powierzenie przez Dalszego Procesora przetwarzania Danych osobowych innym podmiotom przetwarzającym wskazanym w Załączniku B do Umowy w zakresie oraz celu zgodnym z Umową. Dalszy Procesor jest zobowiązany do informowania o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia dalszych podmiotów przetwarzających. Procesor może sprzeciwić się dalszemu powierzeniu przez Dalszego Procesora danych osobowych, w terminie 7 Dni Roboczych od otrzymania informacji, o której mowa w zdaniu poprzedzającym. W przypadku wyrażenia sprzeciwu przez Procesora, Dalszy Procesor nie jest uprawniony do powierzenia przetwarzania danych osobowych podmiotowi przetwarzającemu, którego dotyczy sprzeciw.
4.2. Dalszy Procesor zapewnia, że będzie korzystał wyłącznie z usług takich dalszych podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO oraz przepisów obowiązującego prawa z zakresu ochrony danych osobowych, wskazanych w pkt. 2.1.2., a także zapewniało ochronę praw osób, których dane dotyczą.
4.3. Dalszy Procesor zapewni w umowie z dalszym podmiotem przetwarzającym, że na podmiot ten zostaną nałożone obowiązki odpowiadające obowiązkom Dalszego Procesora określonym w Umowie, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO.
4.4. Dalszy Procesor zapewni również w umowie z dalszym podmiotem przetwarzającym możliwość realizacji przez Procesora lub Administratora bezpośredniej kontroli względem dalszego podmiotu przetwarzającego (w tym możliwość przeprowadzania audytów, o których mowa w rozdziale 6 Umowy). Dalszy Procesor jest zobowiązany poinformować dalszy podmiot przetwarzający, że informacje, w tym dane osobowe, na temat tego podmiotu przetwarzającego mogą być udostępnione Procesorowi w celu wykonania przez niego uprawnień, o których mowa w zdaniu poprzedzającym.
4.5. Dalszy Procesor jest w pełni odpowiedzialny przed Procesorem za spełnienie obowiązków wynikających z umowy powierzenia zawartej pomiędzy Dalszym Procesorem a dalszym podmiotem przetwarzającym. Jeżeli dalszy podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Procesora za wypełnienie obowiązków tego dalszego podmiotu przetwarzającego spoczywa na Dalszym Procesorze.
4.6. Dalszy Procesor zobowiązany jest zapewnić, by umowy z dalszymi podmiotami przetwarzającymi ulegały rozwiązaniu w każdym wypadku rozwiązania Umowy, niezależnie od przyczyny.
str. 6
5. TRANSFER DANYCH OSOBOWYCH
5.1. Dalszy Procesor nie może przekazywać (transferować) Danych osobowych do państwa trzeciego, które znajduje się poza Europejskim Obszarem Gospodarczym, chyba że Procesor udzieli mu uprzedniej, pisemnej pod rygorem bezskuteczności, zgody zezwalającej na taki transfer.
5.2. Jeśli Procesor udzieli Dalszemu Procesorowi uprzedniej zgody na przekazanie Danych osobowych do państwa trzeciego, które znajduje się poza Europejskim Obszarem Gospodarczym, Dalszy Procesor może dokonać transferu tych danych osobowych tylko wtedy, gdy:
5.2.1. państwo docelowe zapewnia adekwatny poziom ochrony danych osobowych do tego, który obowiązuje w Unii Europejskiej; lub
5.2.2. Procesor i Dalszy Procesor lub dalszy podmiot przetwarzający zawarli umowę w oparciu o standardowe klauzule umowne lub wdrożyli inny mechanizm, który zgodnie z przepisami prawa legalizuje transfer danych do państwa trzeciego.
6. AUDYT
6.1. Administrator lub Procesor (dalej każdy z nich zwany „Podmiotem Audytującym”) jest w każdym momencie upoważniony do przeprowadzenia audytu zgodności przetwarzania Danych osobowych przez Dalszego Procesora z Umową oraz obowiązującymi przepisami prawa, w szczególności Podmiot Audytujący może przeprowadzić weryfikację zgodności i adekwatności środków technicznych i organizacyjnych, zabezpieczających przetwarzanie Danych osobowych, wdrożonych przez Dalszego Procesora.
6.2. Podmiot Audytujący poinformuje Dalszego Procesora co najmniej na 3 Dni Robocze przed planowaną datą audytu o zamiarze jego przeprowadzenia, chyba że z uwagi na wysokie ryzyko zagrożenia praw i wolności osób, których dane dotyczą, audyt powinien być przeprowadzony niezwłocznie. Jeżeli w ocenie Dalszego Procesora audyt nie może zostać przeprowadzony we wskazanym terminie Dalszy Procesor powinien poinformować o tym fakcie Podmiot Audytujący drogą elektroniczną (przesyłając informację na adres e-mail Procesora wskazany w Załączniku A) wskazując uzasadnienie dla takiej oceny. W takim przypadku Strony wspólnie ustalą późniejszy termin audytu.
6.3. Dalszy Procesor ma obowiązek współpracować z podmiotem audytującym i upoważnionymi przez niego audytorami, w szczególności zapewniać im dostęp do pomieszczeń i dokumentów obejmujących Dane osobowe oraz informacje o sposobie przetwarzania Danych osobowych, infrastruktury teleinformatycznej oraz systemów IT, a także do osób mających wiedzę na temat procesów przetwarzania Danych osobowych realizowanych przez Dalszego Procesora. Podmiot audytujący będzie prowadzić audyt z poszanowaniem tajemnic przedsiębiorstwa Dalszego Procesora.
6.4. Po przeprowadzonym audycie przedstawiciel Podmiotu Audytującego sporządza protokół pokontrolny, który podpisują przedstawiciele Podmiotu Audytującego i Dalszego Procesora. Dalszy Procesor zobowiązuje się w rozsądnym czasie, w terminie uzgodnionym z Podmiotem Audytującym, dostosować do zaleceń pokontrolnych zawartych w protokole, mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania Danych osobowych. W przypadku gdy
str. 7
wdrożenie tych zaleceń będzie wiązać się z dodatkowymi kosztami, Dalszy Procesor i Podmiot Audytujący wspólnie ustalą sposób ich ponoszenia przez Xxxxxx.
6.5. Podmiot Audytujący ma także prawo żądać od Dalszego Procesora składania pisemnych wyjaśnień dotyczących realizacji Umowy. Dalszy Procesor zobowiązuje się odpowiedzieć niezwłocznie, jednak nie później niż w terminie 1 Dzień Roboczy, na każde pytanie Podmiotu Audytującego dotyczące przetwarzania powierzonych mu na podstawie Umowy Danych osobowych.
6.6. Dalszy Procesor jest zobowiązany zapewnić w umowie z dalszym podmiotem przetwarzającym możliwość przeprowadzania przez Podmiot Audytujący audytu zgodności przetwarzania danych osobowych przez dalszy podmiot przetwarzający z Umową na zasadach określonych w pkt. 6.1. – 6.4. powyżej.
6.7. Koszty związane z przeprowadzeniem audytu ponosi Dalszy Procesor i Podmiot Audytujący we własnym zakresie, przy czym Dalszy Procesor nie ma prawa do żądania zwrotu takich kosztów ani zapłaty jakiegokolwiek dodatkowego wynagrodzenia z tytułu poniesienia takich kosztów.
7. POUFNOŚĆ
7.1. Dalszy Procesor ma obowiązek ochrony informacji poufnych, niezależnie od formy ich przekazania i przetwarzania, rozumianych jako informacje takie jak:
7.1.1. powierzone przez Procesora Xxxx Xxxxxxx, w tym szczególne kategorie danych osobowych (w rozumieniu art. 9 ust. 1 RODO);
7.1.2. informacje stanowiące tajemnicę przedsiębiorstwa Procesora (w rozumieniu ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji);
7.1.3. informacje wymagające ochrony ze względu na ich znaczenie dla interesów Procesora, w tym wszelkie dane techniczne, finansowe i handlowe, materiały i dokumenty lub inne informacje bez względu na fakt, czy są one utrwalone w formie pisemnej lub w jakikolwiek inny sposób, zapisane w jakiejkolwiek formie i na jakimkolwiek nośniku, dotyczące Procesora, lub jego kontrahentów, dostawców, a także informacje dotyczące usług, polityki cenowej, sprzedaży, wynagrodzeń pracowników, które Dalszy Procesor otrzymał w okresie obowiązywania Umowy, lub o których dowiedział się, czy też do których miał dostęp lub będzie w ich posiadaniu, w związku z prowadzonymi rozmowami i negocjacjami, a które nie są powszechnie znane.
7.2. Dalszy Procesor w szczególności zapewnia, że:
7.2.1. wszelkie przekazane, udostępnione lub ujawnione mu przez Procesora informacje poufne będą chronione i zachowane w tajemnicy, w sposób zgodny z obowiązującymi przepisami prawa oraz postanowieniami Umowy;
7.2.2. uzyskane informacje poufne zostaną użyte i wykorzystane wyłącznie w celu, w jakim zostały przekazane, udostępnione lub ujawnione;
7.2.3. posiadane informacje poufne nie zostaną przekazane lub ujawnione żadnej osobie trzeciej – bezpośrednio ani pośrednio (z zastrzeżeniem wyjątków przewidzianych w Umowie) – bez uprzedniej zgody Procesora, wyrażonej w formie pisemnej;
7.2.4. będzie chronić na swój koszt informacje poufne poprzez dołożenie najwyższego poziomu staranności.
str. 8
7.3. Dalszy Procesor zobowiązuje się nie kopiować, ani w inny sposób nie powielać dostarczonych przez Procesora informacji poufnych lub ich części, z wyjątkiem przypadków, kiedy jest to konieczne w celu, dla jakiego zostały przekazane lub w innym celu ściśle związanym z przedmiotem współdziałania Stron. Wszelkie wykonane w takim przypadku kopie lub reprodukcje informacji poufnych, utrwalonych na jakichkolwiek nośnikach informacji, łącznie z nośnikami elektronicznymi, pozostają własnością Procesora i zostaną wydane, zniszczone lub skutecznie usunięte z nośników informacji na jego żądanie.
7.4. Informacje poufne mogą zostać przekazane tylko upoważnionym pracownikom Dalszego Procesora, osobom zatrudnionym przez Dalszego Procesora na podstawie umów cywilnoprawnych, podwykonawcom Dalszego Procesora, którzy z uwagi na zakres swych obowiązków, bądź zadania im powierzone będą zaangażowani w wykonanie Umowy na rzecz Procesora, i którzy zostaną wcześniej wyraźnie poinformowani o charakterze informacji poufnych oraz o zobowiązaniach Dalszego Procesora do zachowania ich w tajemnicy wynikających z Umowy oraz zobowiążą się do przestrzegania zasad ochrony informacji poufnych, w tym procedur bezpieczeństwa wynikających z obowiązujących przepisów prawa i Umowy głównej. Procesor upoważnia Dalszego Procesora do udzielania dalszych upoważnień do przetwarzania informacji poufnych. Dalszy Procesor ponosi całkowitą odpowiedzialność za działania i zaniechania ww. osób.
7.5. Dalszy Procesor będzie zwolniony z obowiązku zachowania w tajemnicy informacji poufnych w przypadku, gdy obowiązek ujawnienia informacji poufnych wynikać będzie z bezwzględnie obowiązujących przepisów prawa, bądź też prawomocnego orzeczenia lub decyzji uprawnionego sądu lub organu. O każdorazowym powzięciu informacji o takim obowiązku Dalszy Procesor jest zobowiązany niezwłocznie, nie później niż w terminie 24 godzin od dowiedzenia się o nim, powiadomić Procesora. W takim przypadku Dalszy Procesor obowiązany jest do:
7.5.1. ujawnienia tylko takiej części informacji poufnych, jaka jest wymagana przez prawo;
7.5.2. podjęcia wszelkich możliwych działań w celu zapewnienia, iż ujawnione informacje poufne będą traktowane w sposób poufny i wykorzystywane tylko w zakresie uzasadnionym celem ujawnienia.
7.6. Zobowiązanie do zachowania poufności nie wygasa po zakończeniu Umowy i jest nieograniczone w czasie. W przypadku gdyby powyższe zastrzeżenie okazało się nieważne lub bezskuteczne, zobowiązanie do zachowania poufności trwa przez okres 10 lat od dnia wygaśnięcia Umowy głównej, niezależnie od przyczyny.
8. ZGŁASZANIE NARUSZEŃ
8.1. Dalszy Procesor jest zobowiązany do wdrożenia i stosowania procedur służących wykrywaniu naruszeń ochrony Danych osobowych oraz wdrażaniu właściwych środków naprawczych.
8.2. Po stwierdzeniu naruszenia ochrony powierzonych mu Danych osobowych Dalszy Procesor, bez zbędnej zwłoki, jednak nie później niż w ciągu 8 godzin od wykrycia naruszenia, zgłasza je Xxxxxxxxxxx. Zgłoszenie powinno zawierać co najmniej informacje o:
8.2.1. dacie, czasie trwania oraz lokalizacji naruszenia ochrony Danych osobowych;
str. 9
8.2.2. charakterze i skali naruszenia, tj. w szczególności o kategoriach i przybliżonej liczbie osób, których dane dotyczą, oraz kategoriach i przybliżonej liczbie wpisów Danych osobowych, których dotyczy naruszenie;
8.2.3. systemie informatycznym, w którym wystąpiło naruszenie (jeżeli naruszenie nastąpiło w związku z przetwarzaniem Danych osobowych w systemie informatycznym);
8.2.4. przewidywanym czasie potrzebnym do naprawienia szkody spowodowanej naruszeniem;
8.2.5. charakterze i zakresie Danych osobowych objętych naruszeniem;
8.2.6. kategoriach osób, których dotyczą Dane osobowe objęte naruszeniem, a w razie możliwości także wskazania podmiotów danych, których dotyczyło naruszenie;
8.2.7. możliwych konsekwencjach naruszenia, z uwzględnieniem konsekwencji dla osób, których dane dotyczą;
8.2.8. środkach podjętych w celu zminimalizowania konsekwencji naruszenia oraz proponowanych działaniach zapobiegawczych i naprawczych;
8.2.9. danych kontaktowych osoby mogącej udzielić dalszych informacji o naruszeniu.
8.3. Jeżeli Dalszy Procesor nie jest w stanie w tym samym czasie przekazać Procesorowi wszystkich informacji, o których mowa powyżej, powinien je udzielać sukcesywnie, bez zbędnej zwłoki.
8.4. Dalszy Procesor bez zbędnej zwłoki podejmuje wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków naruszenia.
8.5. Dalszy Procesor jest zobowiązany do dokumentowania wszelkich naruszeń ochrony powierzonych mu Danych osobowych, w tym okoliczności naruszenia ochrony Danych osobowych, jego skutków oraz podjętych działań zaradczych. Dalszy Procesor jest zobowiązany na każde żądanie Procesora niezwłocznie udostępnić mu dokumentację, o której mowa w zdaniu poprzednim.
8.6. Dalszy Procesor nie będzie bez wyraźnej instrukcji Procesora powiadamiał o naruszeniu:
8.6.1. osób, których dane dotyczą; ani
8.6.2. organu nadzorczego.
9. CZAS TRWANIA UMOWY ORAZ ZASADY ODPOWIEDZIALNOŚCI
9.1. Umowa zostaje zawarta na czas określony i przestaje obowiązywać wraz z zakończeniem obowiązywania Umowy głównej.
9.2. Procesor uprawniony jest do wypowiedzenia Umowy ze skutkiem natychmiastowym w przypadku zaistnienia ważnych powodów, w tym także w razie naruszenia przez Dalszego Procesora lub dalszy podmiot przetwarzający przepisów RODO, innych obowiązujących przepisów prawa lub Umowy, a w szczególności, gdy:
9.2.1. organ nadzoru nad przestrzeganiem zasad przetwarzania danych osobowych stwierdzi, że Dalszy Procesor lub dalszy podmiot przetwarzający nie przestrzega zasad przetwarzania Danych osobowych,
9.2.2. prawomocne orzeczenie sądu powszechnego wykaże, że Dalszy Procesor nie przestrzega zasad przetwarzania Danych osobowych;
str. 10
9.2.3. Podmiot Audytujący, w wyniku przeprowadzenia audytu, o którym mowa w rozdziale 6 Umowy stwierdzi, że Dalszy Procesor nie przestrzega zasad przetwarzania Danych osobowych wynikających z Umowy lub obowiązujących przepisów prawa lub Dalszy Procesor nie zastosuje się do zaleceń pokontrolnych, o których mowa w pkt. 6.4.
9.3. Naruszenie przez Dalszego Procesora postanowień Umowy, RODO lub innych obowiązujących przepisów prawa z zakresu ochrony danych osobowych stanowi podstawę do wypowiedzenia Umowy głównej.
9.4. W dniu zakończenia obowiązywania Umowy Dalszy Procesor powinien zgodnie z dyspozycją Procesora zwrócić lub zniszczyć, w sposób odrębnie ustalony z Procesorem, wszelkie Dane osobowe i ich kopie, chyba że właściwe przepisy prawa krajowego lub unijnego nakazują przechowywanie tych Danych osobowych.
9.5. Na prośbę Procesora Dalszy Procesor przesyła pisemne potwierdzenie zniszczenia Danych osobowych w terminie przez niego wskazanym.
9.6. W przypadku ograniczenia zakresu powierzenia przetwarzania przez Procesora, w trybie określonym w Umowie, postanowienia o rozwiązaniu Umowy stosuje się odpowiednio do Danych osobowych, które wskutek ograniczenia zakresu nie mogą już być przetwarzane przez Dalszego Procesora.
9.7. W przypadku dalszego powierzenia przetwarzania Danych osobowych Dalszy Procesor zobowiązuje się do zawarcia w umowach z dalszymi podmiotami przetwarzającymi postanowień, zgodnie z którymi umowy dalszego przetwarzania danych będą ulegały automatycznemu rozwiązaniu w razie zakończenia obowiązywania Umowy.
9.8. Dalszy Procesor odpowiada za szkody, jakie powstaną u Procesora, osób, których dane dotyczą lub innych osób trzecich w wyniku niezgodnego z Umową lub przepisami prawa przetwarzania przez Dalszego Procesora Danych osobowych, a w szczególności w związku z udostępnianiem Danych osobowych osobom nieupoważnionym.
9.9. Dalszy Procesor ponosi względem Procesora odpowiedzialność na zasadach ogólnych do wysokości rzeczywistej szkody, z wyłączeniem utraconych korzyści. Procesor jest uprawniony do naliczenia Dalszemu Procesorowi kary umownej z tytułu opóźnienia w zgłoszeniu naruszenia w terminie określonym w pkt 8.2, w wysokości 5.000 zł (słownie: pięć tysięcy złotych i 00/100) za każdy przypadek opóźnienia w zgłoszeniu naruszenia. Wysokość kar umownych należnych Procesorowi od Dalszego Procesora w toku realizacji Umowy nie przekroczy całkowitej kwoty wynagrodzenia brutto przewidzianego w Umowie głównej.
9.10. Naliczenie kary umownej nie wyłącza odpowiedzialności Dalszego Procesora w pełnej wysokości jeżeli wyrządzona szkoda przekracza wartość kary umownej.
10. ADRESY STRON I DANE OSÓB
10.1. Wszelka korespondencja w sprawach związanych z Umową będzie kierowana na adresy Stron wskazane w Załączniku A.
10.2. Dalszego Procesora w kontaktach z Procesorem oraz Procesora w kontaktach z Dalszym Procesorem w zakresie ustaleń Umowy reprezentować będą osoby wskazane w Załączniku A. Zmiana adresów i danych tych osób nie stanowi zmiany Umowy. O każdej zmianie powyższych danych Strony powiadomią się na piśmie, za potwierdzeniem odbioru lub drogą elektroniczną. Osoby wskazane
str. 11
w Załączniku A nie są uprawnione do zmiany Umowy, jej wypowiedzenia lub rozwiązania, chyba że co innego wynika z treści okazanego przez nie pełnomocnictwa.
11. POSTANOWIENIA KOŃCOWE
11.1. Umowa podlega prawu polskiemu. Umowa została sporządzona w formie elektronicznej.1
11.2. Wszelkie zmiany postanowień zawartej Umowy mogą nastąpić za zgodą obu Stron wyrażoną na piśmie w formie aneksu do Umowy pod rygorem bezskuteczności, z zastrzeżeniem wyraźnie odmiennych postanowień Umowy oraz z uwzględnieniem postanowień ust. 11.3.
11.3. Zgodnie z art. 781 § 2 Kodeksu cywilnego Strony zgodnie potwierdzają, że złożenie oświadczenia, przez którąkolwiek ze Stron, w postaci elektronicznej i opatrzenie go kwalifikowanym podpisem elektronicznym jest tożsame z oświadczeniem złożonym w formie pisemnej i stanowi zachowanie wymogu co do formy określonego w Umowie.
11.4. Dalszy Procesor nie może przenieść praw lub obowiązków wynikających z Umowy bez uprzedniej zgody Procesora wyrażonej w formie pisemnej pod rygorem bezskuteczności.
11.5. Wszelkie spory w związku z Umową zostaną poddane pod rozstrzygnięcie sądu powszechnego miejscowo właściwego zgodnie z Umową główną.
11.6. Załączniki do Umowy stanowią jej integralną część. Lista Załączników jest następująca:
11.6.1. Załącznik A – Zakres powierzenia danych osobowych;
11.6.2. Załącznik B – Lista dalszych podmiotów przetwarzających.
11.6.3. Załącznik C – Wykaz minimalnych środków technicznych i organizacyjnych, które zobowiązany jest wdrożyć Dalszy Procesor.
PODPISY:
Procesor Dalszy Procesor
1 Forma Umowy i ewentualna ilość egzemplarzy do uzgodnienia przed podpisaniem Umowy.
str. 12
ZAŁĄCZNIK A
ZAKRES POWIERZENIA DANYCH OSOBOWYCH ORAZ DANE KONTAKTOWE STRON
1) Charakter oraz cele przetwarzania: (…)
2) Kategorie osób, których dane dotyczą: (…)
3) Rodzaj danych osobowych: (…)
4) Obszar, na którym przetwarzane będą dane osobowe: (…)
5) Dane kontaktowe stron:
a. Wszelka korespondencja w sprawach związanych z Umową będzie kierowana do Procesora na następujące dane kontaktowe: adres [xxx], tel. [xxx], email [xxx];
b. Wszelka korespondencja w sprawach związanych z Umową będzie kierowana do Dalszego Procesora na następujące dane kontaktowe: adres [xxx], tel. [xxx], email [xxx].
6) Dane przedstawicieli Stron:
a. Dalszego Procesora w kontaktach z Procesorem w zakresie ustaleń Umowy reprezentować będą następujące osoby: [xxx];
b. Procesora w kontaktach z Dalszym Procesorem w zakresie ustaleń Umowy reprezentować będą następujące osoby: [xxx].
str. 13
ZAŁĄCZNIK B
WYKAZ DALSZYCH PODMIOTÓW PRZETWARZAJĄCYCH
Lp. | Nazwa podmiotu, któremu powierzono przetwarzanie | Dane kontaktowe, dane XXX | Xxxxxx i cel powierzonego przetwarzania |
str. 14
ZAŁĄCZNIK C
WYKAZ MINIMALNYCH ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH, KTÓRE ZOBOWIĄZANY JEST WDROŻYĆ DALSZY PROCESOR
W celu zapewnienia odpowiedniego stopnia zabezpieczenia powierzonych danych Dalszy Procesor jest zobowiązany stosować środki bezpieczeństwa organizacyjne i techniczne obejmujące następujące obszary:
1) bezpieczeństwo informacji,
2) ochrony danych osobowych,
3) kontrola dostępów i uprawnień,
4) zarządzania incydentami bezpieczeństwa informacji i naruszeniami danych osobowych,
5) stosowania zabezpieczeń kryptograficznych,
6) zarządzania kopiami zapasowymi,
7) zabezpieczenia przed szkodliwym oprogramowaniem,
8) zarządzania podatnościami,
9) zarządzania zmianą,
10) zachowania ciągłości działania, w tym plany awaryjne.
str. 15