UMOWA O POWIERZENIU PRZETWARZANIA DANYCH OSOBOWYCH
UMOWA O POWIERZENIU PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w Krakowie …………………………………..
pomiędzy Administratorem danych (zwanym również „Powierzającym”),
……………………………………………………………………………………………………………………………………………………………
……………………………………………………………………………………………………………………………………………………………
……………………………………………………………………………………………………………………………………………………………
……………………………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………. a Xxx.xx spółka z ograniczoną odpowiedzialnością z siedzibą w Krakowie (31-305), ul. E. Radzikowskiego 3 zarejestrowana w Sądzie Rejonowym dla Krakowa – Śródmieścia w Krakowie, XI Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000434320, NIP: 9512360611, REGON: 146203721, reprezentowaną przez Xxxx Xxxxxxxx – Prezesa Zarządu - uprawnionym do wyłącznej reprezentacji Spółki zgodnie z zasadami ujawnionymi w Krajowym Rejestrze Sądowym, zwaną dalej:
„Przetwarzającym”, zwanymi dalej odpowiednio, samodzielnie: „Stroną” i łącznie: „Stronami”.
Zważywszy, że Xxxxxx łączy współpraca, przedmiotem której jest świadczenie usług przez Przetwarzającego na rzecz Administratora danych, dla której konieczne jest przetwarzanie danych osobowych, Strony zawierają niniejszą umowę powierzenia przetwarzania danych osobowych o następującej treści:
§ 1. Słowniczek
1. Administrator danych/ Powierzający – podmiot, na rzecz którego Przetwarzający świadczy usługi na podstawie Umowy głównej,
2. Dane osobowe – dane osobowe powierzone przez Administratora danych Przetwarzającemu na podstawie niniejszej umowy powierzenia przetwarzania danych osobowych,
3. Xxx Xxxxxxx – dni od poniedziałku do piątku, poza dniami ustawowo wolnymi od pracy,
4. Naruszenie – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych,
5. Podpowierzenie – dalsze powierzenie przetwarzania Danych osobowych przez Podmiot przetwarzający,
6. Rozporządzenie – Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
7. Umowa główna – umowa, na podstawie której Przetwarzający świadczy usługi na rzecz Administratora Danych.
§2. Przedmiot umowy
1. Administrator danych powierza Przetwarzającemu w trybie art. 28 Rozporządzenia Dane osobowe do przetwarzania, na zasadach, w zakresie i w celu określonym w niniejszej Umowie.
2. Powierzający oświadcza, że jest administratorem Danych osobowych, które powierza Przetwarzającemu.
3. Przetwarzający zobowiązuje się przetwarzać powierzone mu Dane osobowe zgodnie z Rozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego.
4. Poprzez zawarcie niniejszej umowy Powierzający poleca Przetwarzającemu, a także każdej osobie działającej z upoważnienia Przetwarzającego mającej dostęp do Danych osobowych, przetwarzanie Danych osobowych w zakresie i celu wskazanym w niniejszej umowie (i załącznikach do umowy), co stanowi udokumentowane polecenie zgodnie z art. 28 ust. 3 lit. a w zw. z art. 29 Rozporządzenia.
5. Przetwarzający oświadcza, iż od dnia 25 maja 2018 roku działa zgodnie z obowiązkami wynikającymi z Rozporządzenia i stosuje środki bezpieczeństwa spełniające wymogi Rozporządzenia.
§ 3. Zakres i cel przetwarzania
1. Przedmiotem przetwarzania są Dane osobowe inne niż dane osobowe szczególnych kategorii.
2. Administrator danych powierza Przetwarzającemu Dane osobowe następujących kategorii: pracownicy Powierzającego, zleceniobiorcy Powierzającego, kandydaci do pracy Powierzającego, klienci Powierzającego, dostawcy Powierzającego, oferenci Powierzającego, osoby przesyłające korespondencję do Powierzającego, pozostali kontrahenci Powierzającego. Zakres powierzenia może zostać w każdym momencie zmieniony, rozszerzony lub ograniczony w drodze pisemnego aneksu do niniejszej Umowy.
3. Powierzający upoważnia Przetwarzającego do wykonywania na Danych osobowych takich operacji jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie przez przesłanie, rozpowszechnienie lub innego rodzaju udostępnianie, ograniczanie, usuwanie lub niszczenie Danych osobowych.
4. Dane osobowe będą przetwarzane przez Przetwarzającego w celu i w zakresie niezbędnym do prawidłowego wykonania obowiązków wynikających z Umowy głównej. Przetwarzający będzie przetwarzał Dane osobowe w sposób zgodny z postanowieniami Umowy głównej i tylko w czasie jej obowiązywania.
5. Przetwarzanie Danych osobowych odbywać się będzie w formie tradycyjnej (papierowej) oraz przy wykorzystaniu systemów informatycznych.
§ 4. Obowiązki Przetwarzającego
1. Przetwarzający zobowiązuje się, przy przetwarzaniu Danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o którym mowa w obowiązującym art. 32 Rozporządzenia.
2. Przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu Danych osobowych.
3. Przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania Danych osobowych wszystkim osobom, które będą przetwarzały Dane osobowe w celu realizacji niniejszej umowy.
4. Przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy (o której mowa w art. 28 ust 3 pkt b Rozporządzenia) Danych osobowych przez osoby, które Przetwarzający upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej umowy, zarówno w trakcie zatrudnienia tych osób, jak i po jego ustaniu.
5. Przetwarzający zobowiązuje się stosować do prawnie dopuszczalnych i uzasadnionych instrukcji wydawanych przez Powierzającego. Instrukcje podlegają wdrożeniu niezwłocznie, jednak nie
później niż w terminie 21 dni od dnia ich odebrania przez Przetwarzającego, lub w innym terminie uzgodnionym przez Strony.
6. Przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem Danych osobowych, zgodnie z wolą Powierzającego usuwa lub zwraca Powierzającemu Dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że powszechnie obowiązujące przepisy prawa polskiego lub unijnego nakazują przechowywanie Danych osobowych. W przypadku, gdy Administrator danych nie określi sposobu postępowania z Danymi osobowymi w terminie 6 miesięcy od dnia zakończenia obowiązywania niniejszej umowy, Przetwarzający, po uprzednim wezwaniu Administratora danych i wyznaczeniu mu odpowiedniego terminu, ma prawo do usunięcia Danych osobowych.
7. W miarę możliwości Przetwarzający pomaga Administratorowi danych w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 Rozporządzenia.
8. W miarę możliwości Przetwarzający udostępnia Administratorowi danych w uzgodnionym przez Strony terminie, informacje niezbędne do wykazania spełnienia obowiązków wskazanych w przepisach Rozporządzenia, innych powszechnie obowiązujących przepisach prawa oraz w niniejszej umowie.
9. W przypadku stwierdzenia Naruszenia ochrony Danych osobowych, Przetwarzający zawiadamia Powierzającego niezwłocznie, jednakże nie później niż w ciągu 48 godzin. Zawiadomienie następuje drogą elektroniczną na adres e-mail Powierzającego i może nastąpić za pomocą formularza stanowiącego załącznik numer 1 do niniejszej umowy. Jeżeli nie da się udzielić wszelkich niezbędnych informacji w tym samym czasie, Przetwarzający udziela informacji sukcesywnie i bez zbędnej zwłoki.
10. Przetwarzający zobowiązuje się do niezwłocznego, jednakże nie później niż w terminie 7 Dni roboczych od powzięcia wiadomości, poinformowania Administratora danych o postępowaniu administracyjnym lub sądowym, dotyczącym przetwarzania przez Przetwarzającego Danych osobowych, o decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania Danych osobowych, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania przez Przetwarzającego Danych osobowych, w szczególności prowadzonych przez kontrolerów upoważnionych Prezesa Urzędu Danych Osobowych.
11. Powierzający jest uprawniony do żądania od Przetwarzającego informacji na temat przetwarzania Danych osobowych w zakresie zgodności z prawem przetwarzania oraz sposobu przechowywania Danych osobowych. Przetwarzający udzieli odpowiedzi na zapytanie Powierzającego w terminie 7 Dni roboczych od dnia otrzymania zapytania, w formie e-mailowej lub pisemnej.
12. Przetwarzający niezwłocznie, jednakże nie później niż w terminie 7 Dni Xxxxxxxxx, informuje Powierzającego o tym, iż osoba, której dane dotyczą, skierowała do Przetwarzającego korespondencję zawierająca żądanie w zakresie wykonywania praw osób, których dane dotyczą, określonych w rozdziale III Rozporządzenia, jak również udostępnia treść tej korespondencji. Powierzający może poinformować osobę, której dane dotyczą, że jej zapytanie zostało przekazane do Powierzającego, który udzieli odpowiedzi na przesłane żądanie. Przetwarzający nie udziela samodzielnie informacji w związku z żądaniem, o którym mowa w niniejszym ustępie, chyba że Powierzający postanowi inaczej.
13. Przetwarzający zobowiązany jest prowadzić rejestr kategorii czynności przetwarzania danych osobowych dokonywanych w imieniu Administratora Danych, zgodnie z art. 30 ust. 2-5
Rozporządzenia, jak również udostępniać rejestr na żądanie Administratora Danych, w uzgodnionym przez Strony terminie.
14. Strony zgodnie ustalają, że Dane osobowe będą przetwarzane przez Przetwarzającego na terenie Unii Europejskiej lub Europejskiego Obszaru Gospodarczego. Przetwarzanie Danych osobowych przez Przetwarzającego w państwach trzecich może odbywać się jedynie na zasadach określonych w §5 ust. 2.
§5. Przekazanie Danych Osobowych podmiotom trzecim
1. Administrator danych niniejszym wyraża zgodę na Podpowierzenie przetwarzania Danych osobowych przez Przetwarzającego podmiotom trzecim, pod warunkiem zapewnienia przez podmioty trzecie adekwatnego stopnia bezpieczeństwa Danych osobowych oraz ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych. Podmiot trzeci, któremu Podpowierzono Dane osobowe wypełnia te same obowiązki ochrony danych, jakie zostały w niniejszej umowie nałożone na Przetwarzającego.
2. Przekazanie powierzonych Danych osobowych do państwa trzeciego może nastąpić jedynie na pisemne polecenie lub za pisemną zgodą Administratora danych, chyba, że obowiązek taki nakłada na Przetwarzającego powszechnie obowiązujące prawo Unii lub prawo krajowe. W takim przypadku przed rozpoczęciem przetwarzania Przetwarzający poinformuje Administratora danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
3. Administrator danych wyraża zgodę na Podpowierzenie przetwarzania Danych osobowych podmiotom (w tym podmiotom mającym siedzibę w państwach trzecich) wskazanym w załączniku numer 2 do niniejszej umowy.
4. Przetwarzający informuje Powierzającego o wszelkich zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających drogą pisemną lub e-mailową. Powierzający w ciągu 7 dni od dnia otrzymania zawiadomienia o zmianie, o którym mowa w zdaniu poprzednim, może wyrazić swój sprzeciw wobec takiej zmiany, w którym wyjaśni podstawy do nieudzielenia akceptacji nowemu podmiotowi. W przypadku zgłoszenia sprzeciwu, Przetwarzający zaniecha powierzenia przetwarzania Danych osobowych temu podmiotowi.
§6. Prawo kontroli
1. Powierzający ma prawo kontroli, czy środki zastosowane przez Przetwarzającego przy przetwarzaniu i zabezpieczeniu Danych osobowych spełniają postanowienia niniejszej umowy.
2. Powierzający realizować będzie prawo kontroli w godzinach pracy Przetwarzającego i z minimum 14 dniowym, pisemnym lub e-mailowym uprzedzeniem.
3. Przetwarzający zobowiązuje się do niezwłocznego usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora danych, jednak nie krótszym niż 21 dni.
4. Przetwarzający zobowiązuje się udostępnić Powierzającemu wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia.
5. Przetwarzający zamieści w umowach z podmiotami, z którymi zawrze umowę Podpowierzenia Danych osobowych, postanowienie o możliwości skorzystania przez Administratora danych (bezpośrednio lub poprzez Przetwarzającego) w stosunku do takich podmiotów z prawa kontroli na zasadach określonych w niniejszym paragrafie.
§7. Czas obowiązywania Umowy
1. Niniejsza umowa została zawarta na czas obowiązywania Umowy głównej.
2. Administrator danych może wypowiedzieć niniejszą umowę ze skutkiem natychmiastowym, gdy Przetwarzający:
a) nie zapewnił Administratorowi danych możliwości przeprowadzenia kontroli, o której mowa w § 6 ust. 1;
b) pomimo zobowiązania Przetwarzającego do usunięcia uchybień stwierdzonych podczas kontroli, o którym mowa w § 6 ust. 3, Przetwarzający nie usunie ich w wyznaczonym terminie;
c) przetwarza dane osobowe w sposób rażąco niezgodny z Rozporządzeniem, pomimo uprzedniego wezwania Przetwarzającego do usunięcia naruszeń i wyznaczenia mu w tym celu odpowiedniego terminu;
d) przetwarza dane osobowe w sposób rażąco niezgodny z umową, pomimo uprzedniego wezwania Przetwarzającego do usunięcia naruszeń i wyznaczenia mu w tym celu odpowiedniego terminu.
§8. Zasady zachowania poufności
1. Przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i Danych osobowych otrzymanych od Powierzającego („Dane poufne”).
2. Przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy Danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez zgody Powierzającego i w innym celu niż wykonanie niniejszej umowy oraz Umowy głównej.
3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych w tym w szczególności Danych osobowych, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.
§9. Odpowiedzialność
1. Każda ze Stron odpowiada za szkody wyrządzone drugiej Stronie oraz osobom trzecim w związku z wykonywaniem niniejszej umowy, zgodnie z przepisami prawa obowiązującymi na terenie Rzeczypospolitej Polskiej.
2. Przetwarzający ponosi odpowiedzialność za działania swoich pracowników i innych osób, przy pomocy których przetwarza Dane osobowe, jak za własne działanie i zaniechanie.
3. Strona odpowiada za szkody spowodowane przetwarzaniem Danych osobowych w sposób naruszający przepisy Rozporządzenia, inne powszechnie obowiązujące przepisy lub postanowienia niniejszej umowy, jeśli nie dopełniła obowiązków nałożonych na nią przez przepisy Rozporządzenia, inne powszechnie obowiązujące przepisy lub postanowienia niniejszej umowy. Przetwarzający odpowiada za szkody spowodowane przetwarzaniem Danych osobowych również gdy działał poza zgodnymi z prawem i uzasadnionymi instrukcjami Powierzającego lub wbrew tym instrukcjom, chyba że Przetwarzający wykaże, że nie ponosi winy za powstałe naruszenie.
4. Strony mają obowiązek współdziałać w zakresie ustalenia przyczyn szkody wyrządzonej osobie, której dane dotyczą, jak również Przetwarzający zapewni poprzez zawarcie stosownego zapisu w umowie Podpowierzenia, że obowiązek ten będzie wypełniać dalszy podmiot przetwarzający.
§10. Postanowienia końcowe
1. Niniejsza umowa wchodzi w życie z dniem jej zawarcia.
2. W sprawach nieuregulowanych niniejszą umową zastosowanie znajdują przepisy prawa obowiązującego na terenie Rzeczypospolitej Polskiej.
3. Wszelkie zmiany niniejszej umowy wymagają formy pisemnej pod rygorem nieważności.
4. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
Powierzający Przetwarzający
Zgłoszenie naruszenia ochrony danych osobowych nr | |
Data zgłoszenia: | |
Data Naruszenia | |
Czas trwania Naruszenia | |
Miejsce zaistnienia Naruszenia | |
Data stwierdzenia Naruszenia | |
Miejsce stwierdzenia Naruszenia | |
Kategorie osób, których dane dotyczą i których dotyczy Naruszenie | |
Przybliżona liczba osób, których dane dotyczą i których dotyczy Naruszenie | |
Kategorie danych osobowych, których dotyczy Naruszenie | |
Przybliżona liczba wpisów danych osobowych, których dotyczy Naruszenie | |
Charakter Danych osobowych, których dotyczy Naruszenie | |
Zakres Danych osobowych, których dotyczy Naruszenie | |
Osoby, których dane dotyczą i których dotyczy Naruszenie | |
System informatyczny, w którym nastąpiło Naruszenie (jeśli dotyczy) | |
Imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innej osoby, od której można uzyskać więcej informacji na temat Naruszenia | |
Opis możliwych konsekwencji Naruszenia, w tym konsekwencji dla osób, których dane dotyczą i których dotyczy Naruszenie | |
Opis środków zastosowanych lub proponowanych przez Podmiot przetwarzający w celu zaradzenia Naruszeniu, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków |
Xxxx Xxxxxx – Prezes Zarządu Załącznik nr 1 – wzór zgłoszenia Naruszenia ochrony danych osobowych
Przewidywany czas niezbędny do usunięcia konsekwencji Naruszenia Inne istotne informacje dotyczące Naruszenia | |
Inne istotne informacje dotyczące Naruszenia |
Załącznik nr 2 - Lista podmiotów, którym Przetwarzający Podpowierza przetwarzanie Danych osobowych
Lp. | Nazwa podmiotu | Siedziba i adres podmiotu |
1. | ||
2. | ||
3. | ||
4. | ||
5. | ||
6. |