Umowa powierzenia przetwarzania danych osobowych
Umowa powierzenia przetwarzania danych osobowych
zwana dalej „Umową”, zawarta w Warszawie pomiędzy:
Notariuszem ………………………. prowadzącym Kancelarię Notarialną, ul. , 00-
100 ………, NIP ,
zwanym dalej „Administratorem”
a
Krajową Radą Notarialną, xx. Xxxxx 00/00, 00-000 Xxxxxxxx, (NIP: 525 15 75 982, REGON:
012 30 10 28), reprezentowaną przez:
- Xxxxx Xxxxxxxxxxxx – Prezesa Krajowej Rady Notarialnej,
- Xxxxxxx Xxxx – Wiceprezesa Krajowej Rady Notarialnej zwanym dalej „Przetwarzającym” lub „KRN”
§ 1
Powierzenie przetwarzania danych osobowych
1. W związku z korzystaniem przez Administratora z usług świadczonych drogą elektroniczną przez Przetwarzającego, polegających na prowadzeniu Rejestru Akcjonariuszy Prostej Spółki Akcyjnej udostępnionego w Systemie Rejestry Notarialne, zwanych dalej „Usługą”, Administrator, w trybie art. 28 rozporządzenia 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych (Dz. Urz. UE L 119 z 04.05.2016 r.) - dalej jako „Rozporządzenie”, powierza Przetwarzającemu dane osobowe do przetwarzania, na zasadach i w celu określonym w niniejszej Umowie.
2. Przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą Umową, Rozporządzeniem oraz innymi przepisami prawa powszechnie obowiązującego, chroniącymi prawa osób, których dotyczą przekazywane dane.
3. Przetwarzający oświadcza, że stosuje środki bezpieczeństwa spełniające wymogi Rozporządzenia oraz innych przepisów, o których mowa w ust. 2.
§ 2
Zakres i cel przetwarzania danych
1. Przetwarzający będzie przetwarzał powierzone na podstawie umowy następujące rodzaje danych osobowych: dane zwykłe oraz dane dotyczące następujących kategorii osób - użytkownicy, nabywcy, zastawnicy, akcjonariusze Prostej Spółki Akcyjnej w postaci: imię i nazwisko, nazwa firmy, miejsce zamieszkania, miejsce prowadzenia działalności gospodarczej, adres do doręczeń, adres poczty elektronicznej, jeżeli akcjonariusz, użytkownik, nabywca, zastawnik wyraził zgodę na komunikację pomiędzy spółką i podmiotem prowadzącym rejestr akcjonariuszy, przy wykorzystaniu poczty elektronicznej, serię i numer, rodzaj danej akcji i uprawnienia szczególne z akcji.
2. Powierzone przez Administratora dane osobowe będą przetwarzane przez Przetwarzającego wyłącznie w celu realizacji Usługi.
3. W ramach realizacji niniejszej Umowy powierzenia, Przetwarzający uprawniony jest do przetwarzania powierzonych mu przez Administratora danych osobowych, tj. wykonywania następujących czynności na danych osobowych, o których mowa w art. 4 pkt 2) RODO:
zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, dopasowywanie lub łączenie, ograniczanie, usuwanie, niszczenie, o ile jest to konieczne do zrealizowania celu, o którym mowa w § 2 ust. 2 Umowy powierzenia.
§ 3
Sposób wykonania umowy w zakresie przetwarzania danych osobowych
1. Przetwarzający zobowiązuje się przy przetwarzaniu powierzonych danych, wskazanych w §2, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, zapewniających adekwatny stopień bezpieczeństwa, odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o którym mowa w art. 32 Rozporządzenia.
2. Przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.
3. Przetwarzający zobowiązuje się uzyskać zapewnienie, że osoby upoważnione do przetwarzania danych osobowych w celu realizacji Umowy u Podprzetwarzającego zobowiązały się do zachowania tajemnicy, o której mowa w art. 28 ust. 3 lit. b Rozporządzenia, zarówno w trakcie trwania zatrudnienia ich u Podprzetwarzającego, jak i po jego ustaniu.
4. Po zakończenia obowiązywania Umowy, Przetwarzający zgodnie z pisemną dyspozycją Administratora dostarczoną Przetwarzającemu, przekazuje dane i/lub je zniszczy, chyba że właściwe przepisy prawa krajowego lub unijnego nakazują przechowywanie tych Danych Osobowych. Zniszczenie danych nastąpi w terminie określonym przez Administratora, jednak nie szybciej niż w terminie 7 dni roboczych od daty wpływu do Przetwarzającego pisemnego polecenia zniszczenia danych Z chwilą, gdy Przetwarzający przestaje dysponować danymi, zostaje zwolniony z wszelkiej odpowiedzialności za proces ich przetwarzania ze względu na pozbawienie go narzędzi do obrony przed roszczeniami.
5. Przetwarzający zobowiązuje się pomagać, w miarę możliwości, Administratorowi w niezbędnym zakresie w wywiązywaniu się przez niego z:
a) obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania praw określonych w rozdziale III Rozporządzenia;
b) obowiązków określonych w art. 32 - 36 Rozporządzenia.
6. Przetwarzający powiadamia Administratora danych o każdym podejrzeniu naruszenia ochrony danych osobowych, powierzonych Umową, niezwłocznie, nie później niż w 48 godzin od chwili uzyskania informacji o potencjalnym naruszeniu i informuje Administratora o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu faktycznego naruszenia.
§ 4
Prawo kontroli
1. Zgodnie z art. 28 ust. 3 lit. h Rozporządzenia Administrator ma prawo kontroli, czy środki zastosowane przez Przetwarzającego przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia Umowy i Rozporządzenia.
2. Przetwarzający zobowiązuje się do udostępnienia Administratorowi wszelkich informacji niezbędnych do kontroli spełnienia przez siebie obowiązków określonych w art. 28 Rozporządzenia.
3. Przetwarzający niezwłocznie informuje Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie umowy, RODO lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.
§ 5
Odpowiedzialność Przetwarzającego
1. Przetwarzający jest odpowiedzialny za przetwarzanie danych osobowych niezgodnie z treścią Umowy, przepisami Rozporządzenia lub innymi przepisami, o których mowa w § 1 ust. 2, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
2. Przetwarzający zobowiązuje się przetwarzać Dane Osobowe wyłącznie na udokumentowane polecenie Administratora.
3. Przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora o wszelkich wiadomych mu:
a) postępowaniach, w szczególności sądowych lub administracyjnych,
b) decyzjach administracyjnych i orzeczeniach sądowych,
c) planowanych lub realizowanych kontrolach i inspekcjach, w szczególności prowadzonych przez inspektorów upoważnionych przez Prezesa Urzędu Ochrony Danych Osobowych lub inny podmiot powołany odpowiednimi przepisami do pełnienia tożsamej funkcji,
dotyczących danych, o których mowa w § 2 Umowy, powierzonych przez Administratora.
§ 6
Podpowierzenie
1. Administrator wyraża zgodę na korzystanie przez Przetwarzającego z usług firmy RejNet spółka z ograniczoną odpowiedzialnością z siedzibą przy ulicy Kodowej 26, 43-210 Kobiór, XXX 0000000000 w zakresie dostarczenia i utrzymania oprogramowania oraz infrastruktury serwerowej.
2. Administrator dopuszcza możliwość dalszego powierzenia przetwarzania (podpowierzenia) przez Przetwarzającego danych osobowych (o których mowa w niniejszej Umowie) innym niż wskazany w ust. 1 podmiotom przetwarzającym, w tym podwykonawcom Przetwarzającego wyłącznie po uprzednim uzyskaniu pisemnej zgody Administratora danych lub w przypadku spełnienia następujących warunków dalszego powierzenia przetwarzania (podpowierzenia):
1) uprzedniego poinformowania Administratora przez Przetwarzającego o zamiarze dalszego powierzenia przetwarzania danych osobowych innym podmiotom przetwarzającym, w tym podwykonawcom Przetwarzającego (potencjalnym dalszym przetwarzającym) w zakresie konkretnych czynności przetwarzania lub dokonaniu zmiany w zakresie podmiotu będącego już dalszym przetwarzającym,
2) braku zgłoszenia przez Administratora sprzeciwu dla zamierzonego dalszego powierzenia przetwarzania danych osobowych (podpowierzenia) w terminie 14 (słownie: czternastu) dni roboczych licząc od dnia doręczenia Administratorowi informacji, o której mowa w ust. 1 powyżej.
3. W przypadku uprzedniego poinformowania Administrotora danych zgodnie z ust. 2 pkt 1) oraz niewyrażeniu sprzeciwu wobec dalszego powierzenia przetwarzania (podpowierzenia) w terminie wskazanym w ust. 2 pkt 2) przez Administratora, Przetwarzający uprawniony będzie
do dokonania dalszego powierzenia przetwarzania (w zakresie konkretnych czynności przetwarzania) danych osobowych, o których mowa w §2 Umowy.
4. Przetwarzający oświadcza, że podmiot wskazany w ust. 1 będzie zapewniać poziom bezpieczeństwa danych, w tym spełniają wymogi prawne/ odpowiadające wszystkim postanowieniom niniejszej umowy. Ponadto Przetwarzający oświadcza, że w przypadku zmian, realizowanych w trybie ust. 2 również będzie korzystał z usług wyłącznie takich podmiotów.
5. Za wszystkie działania lub zaniechania podmiotów, z których usług przy realizacji niniejszej umowy korzysta Przetwarzający ponosi on odpowiedzialność wobec Administratora jak za własne działania lub zaniechania.
6. Strony zgodnie postanawiają, iż zgłoszenie przez Administratora sprzeciwu dotyczącego korzystania przez Przetwarzającego z usług podmiotu wskazanego w ust. 1 i w zakresie tam opisanym jest równoznaczne z niemożliwością realizacji przez Przetwarzającego Usług w odniesieniu do Administratora. Administrator jest wówczas odpowiedzialny za konsekwencje wynikające z tego faktu.
§ 7
Czas obowiązywania Umowy
1. Niniejsza Xxxxx obowiązuje od dnia jej zawarcia na czas nieokreślony.
2. Każda ze Stron może wypowiedzieć niniejszą Umowę z zachowaniem miesięcznego okresu wypowiedzenia.
§ 8
Rozwiązanie Umowy
1. Administrator może rozwiązać niniejszą Umowę ze skutkiem natychmiastowym, w sytuacji, gdy Przetwarzający:
a) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli, nie usunie ich w wyznaczonym terminie;
b) przetwarza dane osobowe w sposób niezgodny z Umową, Rozporządzeniem lub innymi przepisami, o których mowa w § 1 ust. 2;
c) powierzył przetwarzanie danych osobowych innemu podmiotowi bez pisemnej zgody Administratora.
§ 10
Postanowienia końcowe
1. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach.
2. W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego, Rozporządzenia oraz innych przepisów prawa, o których mowa w § 1 ust. 2.
3. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej Umowy będzie sąd powszechny właściwy miejscowo dla Przetwarzającego.
4. Wszelkie zmiany niniejszej Umowy wymagają formy pisemnej pod rygorem nieważności.
…………….. ………………