Contract

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

(zwana dalej „Umową”)

zawarta w dniu          w Warszawie pomiędzy:

z siedzibą w               , przy ul.           , wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy           ,   Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS           , NIP    , REGON:           , o kapitale zakładowym w wysokości              ,

reprezentowaną przez:

              -             , zwaną dalej „Klientem”,

a

T-Mobile Polska S.A. z siedzibą w Warszawie (02-674), xx. Xxxxxxxxxx 00, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla x.xx. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS 0000391193, NIP 000-00-00-000, REGON 011417295, o kapitale zakładowym w wysokości 000 000 000 złotych (wpłaconym całości), reprezentowaną przez:

Xxxxxx Xxxxxxxxxxxx - Pełnomocnika na podstawie Pełnomocnictwa nr BZ/3857/2018 z dnia 23 sierpnia 2018r.

zwaną dalej „T-Mobile Polska“ lub „Wykonawcą“, zwanymi łącznie „Stronami”.

Mając na uwadze, iż T-Mobile Polska zapewnia Klientowi dostęp do systemu informatycznego eSerwis (dalej

„eSerwis“), stanowiącego Internetowy System Obsługi Klienta, (dalej „Usługa“) pozwalającego na samodzielne zarządzanie posiadanymi przez Klienta produktami i usługami świadczonymi przez T-Mobile Polska na podstawie każdej zawartej z Klientem odrębnie Umowy o świadczenie usług (dalej „Umowa podstawowa“), w tym również wprowadzenie do systemu danych osobowych, których administratorem jest Klient, Strony postanawiają zawrzeć umowę powierzenia przetwarzania danych osobowych o następującej treści:

§ 1 Powierzenie przetwarzania danych

1. Umowa stanowi załącznik do Umowy podstawowej, na podstawie której Wykonawca świadczy na rzecz Klienta usługi określone w Umowie podstawowej („Usługa”). W związku z uzyskaniem dostępu do platformy eSerwis, Klient powierza T-Mobile Polska przetwarzanie danych osobowych w celu i zakresie niezbędnym dla prawidłowej realizacji funkcjonalności Usługi, w tym w szczególności umożliwienia samodzielnego zarządzania usługami i produktami wymagającego podania danych osobowych.

2. Klient oświadcza, że jest administratorem danych w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, "RODO”) w stosunku do danych, których przetwarzanie zamierza powierzyć Wykonawcy i ponosi wszelką odpowiedzialność, gdyby okazało się, że oświadczenie to jest niezgodne z prawdą, a w szczególności zobowiązany jest zwolnić Wykonawcę

z wszelkiej odpowiedzialności z tego tytułu (w tym: wstąpić w miejsce Wykonawcy do postępowań

prowadzonych wobec Wykonawcy z tego tytułu) oraz zwrócić Wykonawcy, na jego żądanie, (i) wszelkie koszty, które Wykonawca poniesie w celu obrony swych praw, a także (ii) wszelkie odszkodowania, zadośćuczynienia, kary administracyjne, grzywny oraz inne podobne należności, które Wykonawca będzie zobowiązany zapłacić na rzecz osób trzecich w związku ze wszczęciem wobec niego postępowań w tym zakresie.

3. W celu realizacji Usługi Klient powierza do przetwarzania, a Wykonawca zobowiązuje się przetwarzać dane osobowe w imieniu i na rzecz Klienta zgodnie z warunkami określonymi w Umowie oraz zgodnie z obowiązującymi przepisami o ochronie danych osobowych, w szczególności RODO.

§ 2 Zakres powierzenia

1. Klient powierza Wykonawcy przetwarzanie Danych osobowych na zasadach określonych w Umowie oraz zgodnie z przepisami o ochronie danych, w szczególności RODO.

2. Zobowiązania Stron w przedmiotowym zakresie oraz charakter działań, w tym zakres czynności, do których uprawniony jest Wykonawca w odniesieniu do Danych osobowych określa Umowa podstawowa. Na podstawie Umowy Klient powierza Wykonawcy do przetwarzania Dane osobowe określone w Załączniku nr 1 do Umowy („Dane osobowe”).

3. Wykonawca przetwarza powierzone Dane osobowe przez czas obowiązywania Umowy podstawowej oraz faktycznego świadczenia Usługi na rzecz Klienta.

4. Wykonawca przetwarza Dane osobowe wyłącznie w celu realizacji Umowy podstawowej i w zakresie niezbędnym do jej wykonania. Jeżeli Umowa nie stanowi inaczej zmiana zakresu lub celu przetwarzania Danych osobowych może mieć miejsce wyłącznie w wyniku zmiany Umowy w formie pisemnej pod rygorem nieważności.

§ 3 Zobowiązania Stron

1. Wykonawca przetwarza Dane osobowe przy zachowaniu wymagań określonych w przepisach prawa, w tym RODO.

2. Wykonawca przetwarza Dane osobowe wyłącznie na udokumentowane polecenie Klienta, chyba że obowiązek taki nakłada na niego obowiązujące prawo krajowe lub unijne; w takim przypadku przed rozpoczęciem przetwarzania Wykonawca informuje Klienta o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny. Za udokumentowane polecenie Klienta uważa się w szczególności postanowienia Umowy podstawowej.

3. Wykonawca oświadcza, iż:

3.1 będzie stosował środki techniczne i organizacyjne wymagane przepisami prawa, w szczególności RODO, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku wynikającemu z charakteru przetwarzania Danych osobowych, stosownie do sposobu i zakresu przetwarzania powierzonych danych;

3.2 upoważni do przetwarzania danych jedynie osoby, którym dostęp do danych jest potrzebny dla należytego świadczenia Usługi i wykonania Umowy, oraz zapewni, by osoby te zobowiązały się do zachowania tajemnicy, chyba że podlegają obowiązkowi zachowania tajemnicy wynikającemu z obowiązującego prawa unijnego lub krajowego;

3.3 poinformuje Klienta – jeśli na Wykonawcy będzie ciążył obowiązek prawny przetwarzania powierzonych Danych osobowych niewynikający z Umowy – o tym obowiązku prawnym, o ile przepisy prawa nie zabraniają udzielania takiej informacji z uwagi na ważny interes publiczny;

3.4 biorąc pod uwagę charakter przetwarzania wynikający z Usługi: będzie w miarę możliwości, poprzez odpowiednie środki techniczne i organizacyjne, udzielał pomocy Klientowi w wywiązaniu się z obowiązków odpowiadania na żądania osób, których dane dotyczą w zakresie wykonywania ich praw; za podejmowane w tym zakresie działania Wykonawca może naliczyć stosowne opłaty, o czym poinformuje Klienta przed wykonaniem tych czynności;

3.5 biorąc pod uwagę charakter przetwarzania wynikający z Usługi oraz dostępne informacje: będzie pomagać Klientowi przy wykonywaniu przez niego obowiązków z obszaru ochrony Danych osobowych, o których mowa w art. 32–36 RODO;

3.6 udostępni Klientowi do wglądu, na jego wniosek, informacje niezbędne do wykazania spełnienia

obowiązków określonych obowiązującymi przepisami o ochronie danych osobowych, w tym RODO;

3.7 umożliwi przeprowadzanie audytów na zasadach opisanych w paragrafie 6 (z zastrzeżeniem, że audytorem nie może być podmiot prowadzący działalność konkurencyjną w stosunku do Wykonawcy);

3.8 poinformuje Klienta, jeżeli – jego zdaniem - wydane mu polecenie stanowi naruszenie przepisów o ochronie danych osobowych, w tym RODO.

4. Każda ze Stron jest zobowiązana powiadomić drugą Stronę o wszelkich istotnych okolicznościach mogących mieć wpływ na wykonywanie Umowy, w szczególności o stwierdzonych naruszeniach ochrony Danych osobowych (chyba, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych), wnioskach organu nadzorującego przetwarzanie Danych osobowych lub innego organu, postępowaniu administracyjnym lub sądowym, decyzji administracyjnej, orzeczeniu, zapowiedzianych kontrolach, audytach i inspekcjach, jeśli dotyczą Danych osobowych powierzonych Wykonawcy do przetwarzania przez Klienta. Informacje, o których mowa wyżej, przekazywane będą pocztą lub pocztą elektroniczną, na adres do korespondencji / adres e-mail wskazany w Umowie podstawowej, w sposób zapewniający ich poufność.

§ 4 Podwykonawcy

1. W związku z charakterem świadczonych usług oraz rozmiarem przedsiębiorstwa Wykonawcy, Klient akceptuje i wyraża zgodę na dalsze powierzenie przetwarzania Danych osobowych innym podmiotom („Podwykonawcy” lub „Procesorzy”), przy pomocy których Wykonawca wykonuje Umowę podstawową i Umowę, w szczególności utrzymuje infrastrukturę telekomunikacyjną, systemy informatyczne i inną infrastrukturę, a także korzysta z innego wsparcia Podwykonawców, w zależności od okoliczności, w tym aktualnych potrzeb Wykonawcy i możliwości Podwykonawców. Lista aktualnych Podwykonawców stanowi Załącznik nr 2. Na żądanie Klienta Wykonawca udostępni każdorozowo aktualny wykaz Podwykonawców, w terminie nie dłuższym niż 14 dni roboczych.

2. Wykonawca może korzystać z usług Podwykonawcy na podstawie umowy zawartej na piśmie, która to umowa będzie zawierać zobowiązania Podwykonawcy do realizacji wszystkich obowiązków Wykonawcy wynikających z Umowy, z wyjątkiem tych, które nie mają zastosowania ze względu na naturę konkretnego dalszego powierzenia przetwarzania Danych osobowych.

3. Wykonawca informuje Klienta o zamierzonych zmianach dotyczących dodania lub zastąpienia Podwykonawców znanych dotychczas Klientowi. W razie braku sprzeciwu Klienta w terminie 5 dni roboczych od daty zawiadomienia Klienta, Wykonawca może rozpocząć korzystanie z usług przedstawionego Podwykonawcy. Klient może zgłosić sprzeciw wobec danego Podwykonawcy tylko z ważnych, obiektywnie uzasadnionych powodów.

4. Klient przyjmuje do wiadomości i akceptuje, że ze względu na okoliczność, iż Wykonawca świadczy usługi tożsame z Usługą na rzecz innych klientów oraz konieczność zapewnienia niezakłóconego świadczenia takich usług na rzecz innych klientów, na skutek wyrażenia sprzeciwu, o którym mowa w ust. 3 powyżej, Wykonawca może rozwiązać Umowę podstawową z przyczyn dotyczących Klienta i na zasadach przewidzianych w Umowie podstawowej - żądać odszkodowania lub kary umownej z tego tytułu. Komunikacja dotycząca kwestii poruszonej w niniejszym paragrafie będzie prowadzona za pośrednictwem poczty elektronicznej na adres email wskazany jako adres do kontaktu w Umowie podstawowej.

5. Jeśli w przypadku, o którym mowa w ust. 3 powyżej, Klient zgłosił sprzeciw bez uzasadnionego powodu, w szczególności, gdy Podwykonawca spełnia warunki określone przepisami prawa oraz powierzenie przetwarzania Danych osobowych odpowiada dotychczasowej praktyce, uznaje się, iż rozwiązanie Umowy podstawowej następuje z winy Klienta.

6. Wykonawca jest uprawniony do upoważnienia osób działających na jego rzecz, w tym Procesorów do przetwarzania Danych osobowych w imieniu Xxxxxxx, w tym do wydawania tym podmiotom w imieniu Klienta poleceń dotyczących przetwarzania Danych osobowych.

§ 5 Odpowiedzialność

1. Odpowiedzialność Wykonawcy względem Klienta za szkody wynikające z niewykonania lub niewłaściwego wykonania Umowy ograniczona jest do rzeczywistej straty i nie może przekraczać wartości opłat wynikających z Umowy podstawowej, poniesionych przez Klienta w okresie ostatnich 6 miesięcy od daty

wystąpienia zdarzenia, chyba że bezwzględnie obowiązujące przepisy prawa stanowią inaczej.

2. W celu uniknięcia wątpliwości Strony ustalają, że Wykonawca ponosi odpowiedzialność za działania swoich pracowników i innych osób oraz podmiotów, przy pomocy których przetwarza powierzone Dane osobowe, w tym Podwykonawców, czy też umożliwia im dostęp do powierzonych danych jak za własne działanie i zaniechanie.

§ 6 Audyty i inspekcje

1. Klient jest uprawniony do przeprowadzania audytów zgodności przetwarzania przez Wykonawcę powierzonych Danych osobowych z RODO oraz Umową. Strony zgodnie ustalają, że audyty zgodności będą w szczególności polegać na żądaniu udzielenia pisemnej informacji lub ustnych wyjaśnień, w terminie nie późniejszym niż 10 dni roboczych od dnia ich przekazania w formie mailowej. W uzasadnionych przypadkach Klient będzie uprawniony do przeprowadzenia - inspekcji miejsc przetwarzania Danych osobowych przez Wykonawcę - z wyłączeniem możliwości przeprowadzania testów penetracyjnych lub innych podobnych testów systemów informatycznych. Wykonawca ma prawo do odmowy udzielenia pisemnej informacji lub udzielenia dostępu do miejsc przetwarzania Danych osobowych w zakresie, w którym audyt lub inspekcja mógłby zagrażać ujawnieniu danych nieobjętych zakresem powierzenia lub informacji stanowiących tajemnicę przedsiębiorstwa Wykonawcy.

2. Warunkiem przeprowadzenia inspekcji będzie wspólne ustalenie przez Strony terminu jej przeprowadzenia, wraz z jednoczesnym wskazaniem zakresu inspekcji oraz osób upoważnionych przez Klienta do przeprowadzenia inspekcji. Powyższe nie wyklucza zlecenia wykonania inspekcji przez podmiot zewnętrzny upoważniony przez Klienta. Każda z osób przeprowadzająca inspekcję w imieniu Xxxxxxx będzie zobowiązana do uprzedniego przedstawienia Wykonawcy upoważnienia imiennego do dokonania inspekcji. W przypadku przeprowadzania przez Klienta inspekcji przez okres dłuższy niż 3 dni robocze, Wykonawca będzie uprawniony do żądania zwrotu wszelkich poniesionych z tytułu inspekcji kosztów. Klient lub audytor upoważniony przez Klienta, przed rozpoczęciem czynności audytowych podpisze zobowiązanie o zachowaniu w poufności wszelkich informacji uzyskanych podczas realizacji audytu lub inspekcji, w tym danych osobowych, których administratorem danych jest Wykonawca.

3. Po przeprowadzonym audycie zgodności/inspekcji przedstawiciel Klienta sporządza protokół pokontrolny, który podpisują przedstawiciele obu Stron. Wykonawca zobowiązuje się w rozsądnym czasie, w terminie uzgodnionym z Klientem, dostosować do zaleceń pokontrolnych zawartych w protokole, mających na celu usunięcie uchybień i poprawę zgodności przetwarzania Danych osobowych z RODO lub Umową. W przypadku, gdy wdrożenie tych zaleceń będzie wiązać się z dodatkowymi kosztami, Strony wspólnie ustalą sposób ich ponoszenia przez Xxxxxx.

§ 7 Obowiązywanie Umowy i postanowienia końcowe

1. Umowa jest zawarta na czas obowiązywania Umowy podstawowej. Wygaśnięcie lub rozwiązanie Umowy podstawowej powoduje wygaśnięcie lub rozwiązanie Umowy.

2. W razie wygaśnięcia lub rozwiązania Umowy Wykonawca w terminie nie dłuższym niż 14 dni kalendarzowych od daty rozwiązania lub wygaśnięcia Umowy – w zależności od decyzji Klienta – zwraca mu (jeżeli będzie to możliwe) lub usuwa wszelkie Dane osobowe (wraz z kopiami), z zastrzeżeniem obowiązków wynikających z przepisów prawa.

3. Umowa podlega prawu polskiemu. Wszelkie spory związane z Umową podlegają wyłącznej jurysdykcji sądu właściwego dla siedziby Wykonawcy, przy czym przed skierowaniem sprawy do sądu Strony zobowiązują się do podjęcia próby rozwiązania sporu na drodze przedsądowej, w terminie nie krótszym niż 30 dni.

4. W sprawach nieuregulowanych Umową, zastosowanie znajdują postanowienia Umowy podstawowej, przepisy prawa polskiego oraz prawa Unii Europejskiej.

5. Jeżeli Umowa nie stanowi inaczej, wszelkie zmiany Umowy powinny być dokonane w formie pisemnej pod rygorem nieważności.

6. T-Mobile Polska wyraża zgodę na tłumaczenie Umowy i pozostałych dokumentów z nią związanych na inne języki z zastrzeżeniem, iż wersja polska jest wiążąca dla wszelkich, powstałych w związku z tłumaczeniami, przypadków interpretacji zapisów Umowy i pozostałych dokumentów z nią związanych.

7. Załączniki do Umowy stanowią jej integralną część.

8. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.

Załączniki:

1. Zakres przetwarzania Danych osobowych przez Wykonawcę.

2. Lista Podwykonawców.

w imieniu i na rzecz Klienta	w imieniu i na rzecz Wykonawcy
	Xxxxxx Xxxxxxxxxxxx Kierownik Działu Obsługi Klienta B2B
(Czytelny podpis i pieczątka firmowa)	(Czytelny podpis i pieczątka firmowa)

Załącznik nr 1 – Zakres przetwarzania Danych osobowych przez Wykonawcę

Klient powierza przetwarzanie Danych osobowych przez Wykonawcę w następującym zakresie:

lp	Kategorie osób	Rodzaj danych	Charakter przetwarzania
1
2
3
4

Załącznik nr 2 – Lista podwykonawców

Execon Services Sp. z o.o. z siedzibą w Warszawie przy Xx. Xxxxxxxxxxxxx 000, 00-000 Xxxxxxxx, NIP: 5242699354