Umowa powierzenia przetwarzania danych osobowych (RODO)
Umowa powierzenia przetwarzania danych osobowych (RODO)
W dniu 2018 roku w Warszawie pomiędzy:
1. Spółką działającą pod firmą Parker Poland Spółka z ograniczoną odpowiedzialnością (zwaną dalej „Spółką”) z siedzibą w Warszawie, pod adresem xx. Xxxxxxxxxx 00, 00-000 Xxxxxxxx, wpisanej do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego w Sądzie Rejonowym dla m. st. Warszawy, Wydział XIII Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000109461, o numerze XXX 0000000000, z kapitałem zakładowym w kwocie 3 982 000,00 zł,
reprezentowaną przez:
Xxxxxxx Xxxxx- Prezesa zarządu,
zwaną w treści umowy „Spółką” lub „Administratorem”,
a
1. ………………….. Sp. z o.o. z siedzibą w ………… przy ul. ………………, wpisaną do Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla w
Warszawie ……….. Wydział Krajowego Rejestru Sądowego pod numerem KRS 0000………, NIP ……………………., REGON ………………., kapitał zakładowy w wysokości …………………….,00 zł, reprezentowana przez:
……………………………. – Prezesa Zarządu ,
„Podmiotem przetwarzającym”,
zwanymi łącznie Stronami,
została zawarta umowa następującej treści:
§ 1
Postanowienia wstępne
1. Strony zgodnie oświadczają, iż niniejsza umowa została zawarta z uwagi na koniczność stosowania przepisów rozporządzenia Parlamentu Europejskiego i Rady ( UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ( Dz.U. UE.L z 2016 r nr 119, str. 1), a w szczególności art.28.
2. Strony zgodnie oświadczają, iż w dniu ………………… została zawarta między nimi umowa przedmiotem której jest ( zwana dalej Umową główną ).
3. Niniejsza umowa jest uzupełnieniem Umowy głównej zawartej pomiędzy Stronami i warz z Umową główną w sposób kompleksowy regulują zasady przetwarzania danych osobowych powierzonych Podmiotowi przetwarzającemu w związku z wykonywaniem usług objętych Umową główną
§ 2
Definicje
Ilekroć w niniejszej umowie jest mowa o:
1. Administratorze rozumie się przez to administratora w znaczeniu określonym art. 4 pkt. 7 RODO,
2. Danych osobowych rozumie się przez to dane osobowe w znaczeniu określonym art. 4 pkt. 1 RODO,
3. Danych osobowych klienta rozumie się przez to dane osobowe określone w paragrafie 3 pkt. 3 umowy powierzenia,
4. Naruszeniu ochrony danych osobowych, rozumie się naruszenie ochrony danych osobowych w znaczeniu określonym art. 4 pkt. 12 RODO,
5. Podmiocie przetwarzającym rozumie się podmiot przetwarzający w znaczeniu określonym art. 4 pkt. 8 RODO,
6. Przetwarzaniu rozumie się przez to przetwarzanie danych osobowych w znaczeniu określonym art. 4 pkt. 2 RODO,
7. RODO – rozumie się przez to rozporządzenie Parlamentu Europejskiego i Rady ( UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE,
8. Umowie głównej rozumie się przez to umową zawartą w dniu
…………………..dotyczącą…..
9. Umowie przetwarzania rozumie się przez to niniejszą umowę przetwarzania danych osobowych.
§ 3
Przedmiot umowy
1. Przedmiotem Umowy jest powierzenie przetwarzania danych osobowych Podmiotowi przetwarzającemu oraz ustalenie warunków, na jakich Podmiot przetwarzający będzie przetwarzał powierzone mu przez Administratora dane osobowe w związku z wykonywaniem Umowy głównej.
2. Strony zawierając niniejszą umowę dążą do takiego uregulowania zasad przetwarzania danych osobowych, aby odpowiadały one w pełni postanowieniom rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1).
3. Powierzenie danych osobowych następuje w zakresie niezbędnym do prawidłowego wykonania Umowy głównej i wynika z charakteru oraz rodzaju czynności określonych w Umowie głównej, w szczególności przetwarzanie danych obejmuje następujące kategorie danych osobowych:
3.1. imię i nazwisko, stanowisko, funkcji,
3.2. służbowe dane kontaktowe ( numer telefonu komórkowego oraz adres poczty elektronicznej.
4. Przekazane do przetwarzania dane osobowe dotyczą:
4.1. osób kontaktowych,
4.2. członków organów spółki,
4.3. pracowników,
4.4. współpracowników,
4.5. kontrahentów,
5. Powierzone dane osobowe przetwarzane będą jedynie w celu wykonania obowiązków wynikających z Umowy głównej.
6. Dane osobowe będą przetwarzane głównie w formie elektronicznej, co nie wyłącza w uzasadnionych przypadkach możliwości ich przetwarzania w tradycyjnej formie papierowej.
§ 3
Okres przetwarzania
1. Dane osobowe przekazane przez Spółkę będą przetwarzane przez okres:
1.1. Obowiązywania Umowy głównej,
1.2. Wynikający z obowiązujących przepisów prawa w zakresie obowiązku przechowywania dokumentacji,
1.3. Umożliwiający dochodzenie lub obronę roszczeń wynikających lub związanych z realizacją Umowy głównej lub Umowy przetwarzania.
2. Podmiot przetwarzający zobowiązuje się do:
2.1 trwałego usunięcia powierzone przez Spółkę danych osobowych oraz ich kopii niezwłocznie po upływie okresów wskazanych w pkt. 1 ppkt. 1.1. -1.3. powyżej,
2.2 zwrotu wszelkich nośników danych osobowych
§ 4
Obowiązki Administratora
1. Administrator zobowiązany jest współdziałać z Podmiotem przetwarzającym w wykonaniu Umowy.
2. Administrator zobowiązany jest do udzielenia Podmiotowi przetwarzającemu wyjaśnień w razie wątpliwości co do legalności poleceń Administratora, jak też wywiązywać się terminowo ze swoich szczegółowych obowiązków.
§ 5
Obowiązki Podmiotu przetwarzającego
1. Podmiot przetwarzający zobowiązuje się:
1.1. do przestrzegania niniejszej umowy i przepisów prawa mających zastosowanie do przetwarzania danych osobowych stanowiących przedmiot niniejszej umowy a w szczególności zobowiązuje się do przestrzegania obowiązków podmiotu przetwarzającego wynikających z RODO.
1.2. do dołożenia należytej staranności przy przetwarzaniu powierzonych danych osobowych.
1.3. przy przetwarzaniu danych osobowych do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 RODO,
1.4. biorąc pod uwagę charakter przetwarzania, w miarę możliwości, do pomocy Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania praw określonych w rozdziale III RODO,
1.5. do ograniczenia dostępu do danych osobowych wyłącznie do osób, których dostęp do danych jest potrzebny dla realizacji Umowy głównej i posiadających odpowiednie upoważnienie oraz przeszkolonych w zakresie ochrony danych osobowych.
2. Pomiot przetwarzający zapewnia, że osoby upoważnione do przetwarzania danych osobowych zostały zobowiązane do zachowania tajemnicy zarówno w okresie przetwarzania danych jak i po jego zakończeniu.
3. Podmiot przetwarzający jest uprawniony do wykonywania na powierzonych mu przez Administratora danych osobowych zautomatyzowanych i niezautomatyzowanych czynności przetwarzania bezpośrednio związanych lub wynikających z realizacji czynności objętych Umową główną koniecznych, w szczególności do przechowywania, modyfikowania, udostępniania i przesyłania przez ogólnoświatowy system połączeń komputerowych - Internet.
4. Podmiot przetwarzający współpracuje z Administratorem przy wykonywaniu przez Administratora obowiązków z obszaru ochrony danych osobowych, o których mowa w art. 32−36 RODO (ochrona danych, zgłaszanie naruszeń organowi nadzorczemu, zawiadamianie osób dotkniętych naruszeniem ochrony danych, ocena skutków dla ochrony danych i uprzednie konsultacje z organem nadzorczym).
§ 4
Odpowiedzialność Podmiotu przetwarzającego
1. Podmiot przetwarzający jest odpowiedzialny za przetwarzania powierzonych danych osobowych zgodnie z niniejszą umową oraz przepisami o ochronie danych osobowych w tym w szczególności z przepisami RODO.
2. Podmiot przetwarzający może powierzyć przetwarzania danych osobowych w drodze pisemnej umowy w ramach dalszego powierzenia przetwarzania danych osobowych innym podmiotom przetwarzającym, pod warunkiem uprzedniej akceptacji dalszego powierzenia przez Administratora lub braku sprzeciwu z jego strony.
3. Podmiot przetwarzający zobowiązuje się współpracować z takimi podwykonawcami, którzy posiadają takie środki techniczne i organizacyjne, umożliwiające przetwarzanie danych osobowych zgodnie ze wymogami RODO.
4. Podmiot przetwarzający ponosi pełną odpowiedzialność za naruszenie przepisów o ochronie danych osobowych przez podmiot, któremu powierzył dalsze przetwarzanie danych osobowych.
5. Podmiot przetwarzający zobowiązuje się do ograniczenia dostępu do danych osobowych wyłącznie do osób, których dostęp do danych jest potrzebny dla realizacji Umowy głównej i posiadających odpowiednie upoważnienie oraz przeszkolonych w zakresie ochrony danych osobowych.
6. Podmiot przetwarzający dołoży wszelkiej staranności by osoby upoważnione do przetwarzania powierzonych danych osobowych zachowały ich treść w tajemnicy w okresie ich przetwarzania oraz po tym okresie.
7. Podmiot przetwarzający oświadcza, że nie przekazuje danych osobowych do państwa trzeciego lub organizacji międzynarodowej (czyli poza Europejski Obszar Gospodarczy („EOG”)). Przetwarzający oświadcza również, że nie korzysta z podwykonawców, którzy
przekazują dane osobowe poza EOG. Jeżeli Podmiot przetwarzający ma zamiar lub obowiązek przekazywać dane osobowe poza EOG, informuje o tym Administratora, w celu umożliwienia Administratorowi podjęcia decyzji i działań niezbędnych do zapewnienia zgodności przetwarzania z prawem lub zakończenia powierzenia przetwarzania.
8. Podmiot przetwarzający powiadamia Administratora danych o każdym naruszeniu ochrony danych osobowych nie później niż w 48 godziny od pierwszego zgłoszenia, umożliwia Administratorowi uczestnictwo w czynnościach wyjaśniających i informuje Administratora o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia. Powiadomienie o stwierdzeniu naruszenia, powinno być przesłane wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, aby umożliwić Administratorowi spełnienie obowiązku powiadomienia organ nadzoru.
§ 5
Uprawnienia Spółki
1. Administrator kontroluje sposób przetwarzania powierzonych danych osobowych po uprzednim poinformowaniu Podmiotu przetwarzającego, co najmniej z 7 dniowym wyprzedzeniem, o planowanej kontroli i jednoczesnym udostępnieniu Podmiotowi przetwarzającemu planu kontroli. Administrator lub wyznaczone przez niego osoby są uprawnione do wstępu do pomieszczeń, w których przetwarzane są dane osobowe oraz wglądu do dokumentacji związanej z przetwarzaniem danych osobowych.
2. W przypadku stwierdzenia przez Administratora, iż Podmiot przetwarzający narusza zasady przetwarzania danych osobowych, Podmiot przetwarzający zobowiązany jest do usunięcia zauważonych nieprawidłowości w terminie 7 dni od daty ich ustalenia oraz podjęcia stosownych działań eliminujących w przyszłości naruszenie ochrony danych osobowych.
3. Administrator uprawniony jest do żądania od Podmiotu przetwarzającego udzielania informacji dotyczących przebiegu przetwarzania danych osobowych, oraz udostępnienia rejestrów przetwarzania. Administrator lub wyznaczone przez niego osoby w trakcie wykonywanych czynności nie mogą:
3.1. zakłócać bieżącej pracy Podmiotu przetwarzającego,
3.2. xxxxxxxx zasad bezpieczeństwa, w tym bezpieczeństwa informacji,
3.3. xxxxxxxx ustanowionych praw autorskich,
3.4. żądać udostępnienia informacji stanowiących tajemnicę przedsiębiorstwa Podmiotu przetwarzającego.
4. Jeżeli Podmiot przetwarzający poweźmie wątpliwości, co do zgodności z prawem wydanych przez Administratora poleceń lub instrukcji, Podmiot przetwarzający natychmiast informuje Administratora o stwierdzonej wątpliwości, w sposób udokumentowany wraz z uzasadnieniem.
5. Niezależnie od uprawnień opisanych w pkt. 1 -3 powyżej Administrator uprawniony jest do :
5.1. dostępu do danych osobowych,
5.2. żądania sprostowania danych osobowych,
5.3. żądania ograniczenia lub usunięcia danych osobowych,
5.4. żądania zaprzestania przetwarzania danych osobowych,
5.5. żądanie zaniechania przekazywania danych osobowych,
5.6. sprzeciwu,
5.7. wniesienia skargi do organu nadzorczego
§ 6
Odpowiedzialność Stron Umowy
1. Spółka oświadcza, iż jest Administratorem ochrony danych osobowych Spółki i że są przez nią przetwarzane zgodnie z prawem.
2. Spółka odpowiada za prawidłowe wykonywanie obowiązków Administratora danych osobowych zgodnie z postanowieniami RODO, innymi stosowymi przepisami o ochronie danych osobowych oraz niniejszą umową.
3. Podmiot przetwarzający odpowiada za prawidłowe wykonywanie obowiązków Podmiotu przetwarzającego zgodnie z RODO, innymi właściwymi przepisami ochrony danych osobowych i niniejszą umową.
4. Podmiot przetwarzający ponosi odpowiedzialność za szkody jakie powstaną u Administratora lub osób trzecich w konsekwencji niezgodnego z umową przetwarzania danych osobowych.
5. W przypadku jakichkolwiek roszczeń skierowanych do Administratora a dotyczących przetwarzania danych osobowych przez Podmiot przetwarzający, Podmiot przetwarzający zobowiązany jest do udzielenia pomocy Administratorowi w wyjaśnieniu sprawy i podjęciu wszelkich niezbędnych działań zmierzających do wykazania braku zasadności roszczeń. W przypadku nałożenia na Administratora kar lub zasądzenia odszkodowań wynikających z działania Podmiotu przetwarzającego, Podmiot przetwarzający zobowiązany jest do zwolnienia Administratora z odpowiedzialności w tym zakresie oraz pokryje ewentualne szkody wynikające z działania Podmiotu przetwarzającego, w szczególności przez zapłatę kar lub odszkodowań.
6. W przypadku wszczęcia przeciwko Podmiotowi przetwarzającemu jakichkolwiek postępowań administracyjnych, sądowych lub karnych dotyczących przetwarzania powierzonych danych osobowych, Podmiot przetwarzający zobowiązany jest do niezwłocznego powiadomienia o tym fakcie Administratora. Powiadomienie powinno zawierać wskazanie zakresu postępowania, organu kontrolującego oraz przyczyny kontroli jak również wyjaśnić zasadność prowadzonej kontroli.
7. Konieczność powiadomienia, o której mowa w pkt. 5-6 powyżej dotyczy również wydanych postanowień, wyroków lub decyzji związanych z naruszeniem ochrony danych osobowych przez Podmiot przetwarzający.
§ 7
Czas trwania umowy
1. Niniejsza umowa obowiązuje od dnia jej zawarcia do czasu rozwiązania Umowy głównej z zastrzeżeniem postanowień pkt. 3 poniżej.
2. W dacie zakończenia Umowy głównej następuje równoczesne rozwiązanie niniejszej umowy bez konieczności składania odrębnego oświadczenia.
3. Administratorowi przysługuje prawo rozwiązania niniejszej umowy ze skutkiem natychmiastowym w przypadku:
3.1. stwierdzenia przetwarzania danych osobowych w sposób niezgodny z treścią niniejszej umowy,
3.2. powierzenia przetwarzania danych osobowych podmiotowi trzeciemu bez zgody lub wbrew sprzeciwowi Administratora,
3.3. wydania orzeczenia przez organ nadzorczy lub sad o naruszeniach przez Podmiot przetwarzający przepisów o ochronie danych osobowych,
3.4. wykorzystywania lub udostępniania danych osobowych osobom nieupoważnionym do ich przetwarzania,
3.5. zaniechania usunięcia nieprawidłowości w przetwarzaniu danych osobowych zgodnie z paragrafem 4 pkt. 7 niniejszej umowy
§ 8
Postanowienia końcowe
1. Umowa powierzenia stanowi integralną część Umowy głównej.
2. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach po jednym dla każdej ze stron umowy.
3. Zmiana lub uzupełnienie umowy wymaga zachowania formy pisemnej pod rygorem nieważności.
4. Sądem właściwym do rozstrzygania ewentualnych sporów powstałych w związku z realizacją niniejszej umowy jest sąd powszechny właściwy dla siedziby Administratora.
5. W sprawach nieuregulowanych w niniejszej umowie mają zastosowanie przepisy kodeksu cywilnego oraz przepisy dotyczące ochrony danych osobowych w tym postanowienia RODO.
Administrator Podmiot przetwarzający