UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
(„Umowa powierzenia”)
zawarta w [****] dnia [***] pomiędzy:
(1) [***] z siedzibą w [***], ul. [***], kod pocztowy [***], NIP: [***], REGON: [***], („Administrator”), reprezentowaną przez:
1) [imię i nazwisko] – [xxxxxxx];
2) [imię i nazwisko] – [xxxxxxx];
oraz
(2) Archivio sp. z o.o. z siedzibą w Warszawie, ul. Annopol 4A, kod pocztowy 00-000 XXXXXXXX wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla x.xx. Warszawy, w XIII Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS: 0000157944 NIP: 524 24 55 994 REGON: 015460448, kapitał zakładowy w wysokości 70 000 złotych, opłacony w całości („Procesor”), reprezentowaną przez:
Xxxxxxxxx Xxxxxxxx – Prezesa Zarządu.
1. PRZEDMIOT UMOWY
1.1. Umowa powierzenia zostaje zawarta w związku i w celu wykonywania umowy [xxx] z dnia [xxx] („Umowa główna”). Przetwarzanie danych osobowych w związku z wykonywaniem Umowy głównej podlega przepisom Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („Rozporządzenie”).
1.2. Na podstawie Umowy powierzenia Administrator powierza Procesorowi
do przetwarzania dane osobowe określone w Załączniku A do Umowy powierzenia („Dane osobowe”).
1.3. Procesor przetwarza Dane osobowe wyłącznie w celu realizacji Umowy głównej
i w zakresie niezbędnym do jej wykonania oraz jedynie w czasie jej obowiązywania.
1.4. Procesor zobowiązany jest przetwarzać dane osobowe zgodnie
z Rozporządzaniem, innymi obowiązującymi przepisami prawa oraz Umową.
1.5. Procesor oświadcza, że posiada zasoby infrastrukturalne, doświadczenie, wiedzę oraz wykwalifikowany personel, w zakresie umożliwiającym należyte wykonanie Umowy, w zgodzie z obowiązującymi przepisami prawa.
2. OBOWIĄZKI STRON
2.1. Procesor zobowiązany jest do:
2.1.1. stosowania odpowiednich środków technicznych i organizacyjnych zabezpieczających Dane osobowe, zgodnie z zasadami określonymi w art. 32 Rozporządzenia;
2.1.2. pomagania Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32-36 Rozporządzenia;
2.1.3. przetwarzania Danych osobowych wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek taki nakłada na niego obowiązujące prawo krajowe lub unijne; w takim przypadku przed rozpoczęciem przetwarzania Procesor informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
2.1.4. w miarę możliwości pomagania Administratorowi poprzez odpowiednie środki techniczne i organizacyjne w wywiązywaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia;
2.1.5. zapewnienia, by osoby upoważnione do przetwarzania Danych osobowych zobowiązywały się do zachowania tajemnicy chyba że będą to osoby zobowiązane do zachowania tajemnicy na podstawie ustawy;
2.1.6. prowadzenia rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora;
Z komentarzem [as1]: Proszę o uzupełnienie przez Administratora
2.1.7. w razie stwierdzenia naruszenia ochrony Danych osobowych, zawiadomienia Administratora o takim naruszeniu niezwłocznie, lecz nie później niż w ciągu 48 godzin od jego wykrycia, na adres email ……………………..
2.1.8. po zakończeniu obowiązywania Umowy, zależenie od decyzji Administratora, odpłatnego usunięcia lub odpłatnego zwrotu otrzymanych od Administratora Danych osobowych oraz usunięcia ich wszelkich kopii, chyba że przepisy prawa bezwzględnie obowiązującego przewidują inaczej i złożenia względem Administratora oświadczenia, potwierdzającego wykonanie powyższego zobowiązania, na każde wezwanie Administratora. W przypadku jeżeli po zakończeniu obowiązywania Umowy nie będzie możliwości skontaktowania się z Administratorem w terminie dłuższym niż 30 dni lub dokonania z Administratorem stosownych uzgodnień, o ile nie zaistnieją okoliczności wynikające z obowiązujących przepisów, Procesor usunie wszystkie dane osobowe otrzymane od Administratora, zaś nośniki takich danych otrzymane od Administratora zostaną komisyjnie zniszczone na Administratora koszt.
2.1.9. Koszt usunięcia z systemu Podmiotu przetwarzającego danych osobowych oraz wszelkich ich istniejących kopii kształtuje się jak poniżej:
• koszt usunięcia jednego dokumentu: 2,50 pln netto za każde zlecenie,
• koszt usunięcia danych z jednego dokumentu: 15 pln netto,
• w pozostałych przypadkach koszt usunięcia danych określa się kosztem jednej roboczogodziny czasu potrzebnego na wykonanie usługi w wysokości: 180 zł netto .
2.2. W celu usunięcia wątpliwości strony ustalają, iż Podmiot przetwarzający nie ma prawa i obowiązku prowadzenia jakiejkolwiek korespondencji z osobami, których dane dotyczą.
2.3. Procesor jest uprawniony do dalszego powierzenia przetwarzania Danych osobowych dalszym podmiotom przetwarzającym, których lista stanowi Załącznik B do Umowy. Procesor poinformuje Administratora o każdej zamierzonej zmianie na liście dalszych podmiotów przetwarzających w sposób przyjęty dla komunikacji zgodnie z Umową główną. Administrator ma możliwość sprzeciwienia się takiej zmianie w ciągu kolejnych
7 dni. Procesor zapewnia, że będzie korzystał wyłącznie z usług takich dalszych podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi Rozporządzenia, a także chroniło prawa osób, których dane dotyczą. Procesor zobowiązany jest zapewnić, by na dalsze podmioty przetwarzające zostały nałożone co najmniej te same obowiązki co nałożone na Procesora w Umowie. Procesor zapewni, by umowy z dalszymi podmiotami przetwarzającymi ulegały rozwiązaniu w zakresie dotyczącym przetwarzania danych Administratora, w każdym wypadku rozwiązania Umowy, niezależnie od przyczyny. Administrator wyraża w tym miejscu ogólną zgodę na dalsze powierzenie przetwarzania danych dostawcom usług hostingowych oraz świadczenia usług serwisowych i rozwojowych systemu informatycznego, kurierskich, pocztowych na rzecz Procesora.
2.4. Procesor udostępni Administratorowi informacje niezbędne do wykonywania jego obowiązków związanych z powierzeniem przetwarzania Danych osobowych. Procesor umożliwi Administratorowi przeprowadzenie audytów w zakresie dotyczącym powierzenia przetwarzania Danych osobowych z minimum 7 dniowym wyprzedzeniem przesłanym w formie pisemnej i zapewni współpracę w tym zakresie. Audyty mogą być prowadzone wyłącznie w dni powszednie, w godzinach od 8.00 do 16.00 i w sposób nie uciążliwy dla działalności gospodarczej Procesora. Koszt prowadzenia audytu obciąża wyłącznie Administratora. Dodatkowe koszty osobowe oraz materiałowe, które wynikną z takiego audytu po stronie Procesora będą pokrywane przez Administratora.
2.5. Procesor jest uprawniony do upoważnienia osób działających na jego rzecz, w tym dalszych podmiotów przetwarzających, do przetwarzania Danych osobowych w imieniu
Administratora, w tym do wydawania tym podmiotom w imieniu Administratora poleceń dotyczących przetwarzania Danych osobowych.
3. TRANSFER DANYCH
3.1. Procesor nie będzie przekazywał Danych osobowych do państw trzecich (tj. poza terytorium EOG), chyba że uzyska w tym zakresie odrębną uprzednią zgodę Administratora, wyrażoną w formie pisemnej pod rygorem bezskuteczności, a taki transfer będzie odbywać się w zgodzie z właściwymi przepisami Rozporządzenia.
4. ODPOWIEDZIALNOŚĆ
4.1. Z tytułu naruszenia Umowy, Administrator może żądać od Procesora zapłaty kar umownych, jeśli zostały one określone w Umowie głównej. Zapłata kar umownych nie wyłącza odpowiedzialności Procesora na zasadach ogólnych, jeśli wyrządzona szkoda przekracza wartość kar umownych. Maksymalny limit odpowiedzialności Procesora wobec Administratora za wyrządzone szkody na jedno i wszystkie zdarzenia jest ograniczony do kwoty (w zależności od wartości umowy głównej, nie więcej niż wartość polisy OC w zakresie szkód związanych z przetwarzaniem danych osobowych) złotych brutto.
5. POSTANOWIENIA KOŃCOWE
5.1. Umowa zawarta jest na czas obowiązywania Umowy głównej. Umowa może zostać wypowiedziana przez Administratora ze skutkiem natychmiastowym w przypadku rażącego lub powtarzającego się naruszania Umowy, pomimo wcześniejszego wezwania na piśmie Procesora i wyznaczenia mu rozsądnego terminu, nie krótszego niż 72 godziny, do zaprzestania naruszeń lub przywrócenia stanu zgodnego z Umową. Wypowiedzenie Umowy wymaga formy pisemnej pod rygorem bezskuteczności.
5.2. Zmiany Umowy są możliwe wyłącznie w formie pisemnej pod rygorem bezskuteczności, z zastrzeżeniem sytuacji, w których Umowa wprost przewiduje inną formę dokonywania zmian.
5.3. Adresem email do wymiany korespondencji z Procesorem w ramach niniejszej umowy jest adres xxx@xxxxxxxx.xx
5.4. Wszelkie pojęcia pisane wielką literą, a niezdefiniowane w Umowie, mają znaczenie nadane im w Umowie głównej.
5.5. Wszelkie spory mające związek z Umową będą rozstrzygane przez Sąd właściwy zgodnie z Umową główną.
5.6. Obowiązującym językiem umowy pozostaje wyłącznie język polski.
5.7. Załączniki do Umowy stanowią jej integralną część. Lista Załączników jest następująca:
5.7.1. Załącznik A – Zakres powierzenia danych osobowych
5.7.2. Załącznik B – Lista dalszych podmiotów przetwarzających
……………………… …………………………..
Administrator Procesor
ZAŁĄCZNIK A DO UMOWY POWIERZENIA
ZAKRES POWIERZENIA DANYCH OSOBOWYCH
1. Charakter oraz cele przetwarzania: (…)
2. Kategorie osób, których dane dotyczą: (…)
Z komentarzem [as2]: Proszę o uzupełnienie przez Administratora
3. Rodzaj danych osobowych: (…)
4. Obszar, na którym przetwarzane będą dane osobowe: (…)
ZAŁĄCZNIK B DO UMOWY POWIERZENIA
LISTA DALSZYCH PODMIOTÓW PRZETWARZAJĄCYCH
1. Utrzymanie systemów IT - BlueSoft sp. z o.o.- Aleje Jerozolimskie 96, 00-000 Xxxxxxxx, XXX 000 00 67 699, Regon 015274190;
2. Serwery – OVH Sp. z o.o. – Szkocka 5 lok 1, 00-000 Xxxxxxx, XXX 000 00 20 556, Regon 933029040.
3. Emiks Info – Arch –Xxxxxxx Xxxxxxxxxx z siedzibą w Lublinie - ul Mełgiewska 152, NIP 946 179 97 67, REGON 431111349