UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
(„Umowa”)
Zawarta 25 maja 2018 roku pomiędzy:
ATOMSTORE SP. Z O.O. z siedzibą w Krakowie, ul. Xxxxxxx Xxxxxxxx 00/0, 00 - 000 Xxxxxx, NIP: 9452225009, wpisaną do Rejestru Przedsiębiorców prowadzonego przez Sąd Rejonowy dla Krakowa Śródmieścia, XI Krajowego Rejestru Sądowego, pod numerem KRS: 0000766242, o kapitale zakładowym 24 000 zł.
zwaną dalej Podmiotem przetwarzającym
a
Użytkownikiem
zwanym dalej ADO,
łącznie zwani Stronami
§ 1 Definicje
1. Dane – dane osobowe powierzone Podmiotowi przetwarzającemu do przetwarzania przez ADO w związku z Umową główną.
2. Kolejny przetwarzający – kolejny podmiot przetwarzający z usług, którego korzysta Podmiot przetwarzający w związku z realizacją Umowy głównej.
3. Regulamin – „Regulamin usługi AtomStore” w ramach, której Podmiot Przetwarzający udostępnia Użytkownikowi oprogramowanie komputerowe AtomStore do prowadzenia sklepu internetowego.
4. RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (
„RODO”).
5. Umowa główna – umowa zawierana w oparciu o Regulamin, Umowa świadczenia usługi AtomStore lub inna umowa będąca w związku z usługą, o której mowa w Regulaminie (zwłaszcza o świadczenie innych usług świadczonych przez Podmiot przetwarzający) w zależności od tego co ma zastosowanie.
6. Użytkownik – Użytkownik w rozumieniu Regulaminu.
§ 2 Postanowienia wstępne
1. W związku z zawarciem przez Strony Umowy głównej Strony zawierają niniejszą umowę powierzenia przetwarzania danych osobowych na podstawie, której ADO przekazuje Podmiotowi przetwarzającemu do przetwarzania Dane.
2. Ado powierza do przetwarzania Dane w stosunku, do których pełni rolę administratora danych osobowych, a Podmiot przetwarzający zobowiązuje się do ich przetwarzania w granicach określonych Umową oraz powszechnie obowiązującymi przepisami prawa.
3. Przetwarzanie Danych przez Podmiot przetwarzający odbywa się na polecenie ADO co oznacza, że każde przetwarzanie Danych odbywa się wyłącznie na udokumentowane polecenia ADO, w szczególności zawarte w Umowie Głównej, a także wyrażone przez zamówienie kolejnych usług.
4. Dane przetwarzane są celu realizacji Umowy Głównej i w zakresie niezbędnym do jej prawidłowego wykonania.
5. Niniejsza umowa zastępuje wszelkie wcześniejsze umowy, ustalenia i porozumienia w tym zakresie.
§ 3 Oświadczenia i zapewnienia Stron
1. ADO oświadcza i zapewnia, że:
a. jest administratorem danych osobowych – w stosunku do Danych - w rozumieniu RODO.
b. posiada podstawy prawne przetwarzania Danych, a powierzenie Podmiotowi przetwarzającemu Danych do przetwarzania nie naruszy praw i wolności podmiotów tych danych, a także przepisów prawa (w szczególności RODO);
c. Dane udostępniane będą Podmiotowi przetwarzającemu wyłącznie w celu realizacji Umowy Głównej;
d. Poinformuje Podmiot przetwarzający o wszelkich działaniach właściwych organów administracji publicznej, związanych z przetwarzaniem Danych przez ADO.
2. Podmiot przetwarzający oświadcza i zapewnia, że:
a. Dane przetwarzane będą przez niego zgodnie z niniejszą Umową i przepisami prawa, zwłaszcza RODO;
b. Przetwarzanie Danych dokonywane będzie wyłącznie w celu prawidłowego wykonania Umowy Głównej;
c. Posiada stosowne polityki ochrony danych osobowych w zakresie dotyczącym powierzenia mu danych przez ADO;
d. Dostęp do Danych będą miały wyłącznie osoby upoważnione przez niego do przetwarzania danych, zobowiązane do prawidłowej ochrony tych danych – zgodnie z politykami ochrony danych Podmiotu przetwarzającego oraz przepisami RODO, a także zobowiązane do zachowania Danych w tajemnicy lub podlegające prawnemu obowiązkowi dochowania takiej tajemnicy;
e. Podejmuje wszelkie środki wymagane przez właściwe przepisy prawa, zwłaszcza przez art. 32 RODO, zgodnie z którym Przetwarzający wdraża odpowiednie środki techniczne oraz organizacyjne uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
§ 4 Realizacja Umowy
1. W oparciu o niniejszą Umowę przetwarzane mogą być:
a. Dane zwykłe;
b. Szczególne kategorie danych osobowych, tj. dane wymienione w art. 9 RODO – jeśli wynika to z charakteru sklepu prowadzonego przez ADO;
c. Dane dzieci, tj. dane osób, które nie uzyskały pełnoletności będących użytkownikami sklepu internetowego ADO poniżej 18 roku życia;
2. W oparciu o niniejszą Umowę przetwarzane będą Dane następujących kategorii osób:
a. Klienci i użytkownicy sklepu internetowego ADO prowadzonego na platformie ATOMSTORE;
b. Pracownicy i współpracownicy, w tym kontrahenci, ADO – o ile jest to niezbędne dla wykonania Umowy Głównej.
3. Dane mogą być przetwarzane przez Podmiot przetwarzający w szczególności za pomocą następujących modułów sprzętu i oprogramowania:
a. System FreeBSD/Linux
b. Oprogramowanie sklepu internetowego AtomStore
c. Baza danych MySQL
d. Kopie zapasowe
4. Przetwarzanie Danych odbywać się będzie w okresie obowiązywania Umowy Głównej.
5. Podmiot przetwarzający wdroży wszelkie środki wymagane przez przepisy prawa, w szczególności – z uwzględnieniem dokonanej przez Podmiot przetwarzający oceny ryzyka przetwarzania Danych – odpowiednie środki techniczne i organizacyjne, zapewniające właściwy i dostosowany do ryzyka naruszenia praw i wolności podmiotów Danych poziom bezpieczeństwa Danych.
6. Podmiot przetwarzający – wdrażając mechanizmy, o których mowa w ust. 1 - zobowiązany jest uwzględnić stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania Danych.
§ 5 Współpraca Stron
1. Uwzględniając charakter przetwarzania Podmiot przetwarzający zapewni wsparcie ADO („Wsparcie”), tj.:
a. W miarę możliwości pomoże ADO, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osób, których Dane dotyczą, w zakresie wykonywania ich praw, określonych w rozdziale III RODO - jeśli w danym przypadku ciążą one na ADO;
b. Pomoże ADO wywiązać się z ciążących na ADO obowiązków określonych w art. 32 – 36 RODO – z uwzględnieniem dostępnych mu informacji.
2. Podmiot przetwarzający zobowiązany jest do udostępnienia ADO wszelkich informacji niezbędnych do wykazania obowiązków określonych w art. 28 RODO oraz umożliwienia ADO lub upoważnionemu przez ADO audytorowi przeprowadzenia audytów, w tym inspekcji („Audyt”) i przyczynienia się do nich.
3. W przypadku gdy wydane przez ADO polecenia w ocenie Podmiotu przetwarzającego stanowią naruszenie przepisów RODO lub innych przepisów prawa Unii lub prawa polskiego – Podmiot przetwarzający niezwłocznie poinformuje o tym ADO.
4. Podmiot przetwarzający może odmówić przekazania ADO informacji objętych tajemnicą prawnie chronioną, w tym tajemnicą przedsiębiorstwa Podmiotu przetwarzającego lub podmiotów trzecich, a także informacji stanowiących dane osobowe nie będące Danymi, jeśli informacje te mogą zostać zastąpione innymi informacjami (w tym oświadczeniami Podmiotu przetwarzającego), zaś w przypadku gdy nie będzie to możliwe – informacje te zostaną udostępnione ADO (lub wyznaczonym przez niego osobom) wyłącznie w siedzibie Podmiotu przetwarzającego, po uprzednim zawarciu przez ADO i wszystkie osoby działające na rzecz ADO, przedstawionej przez Podmiot przetwarzający umowy zobowiązującej do należytej ochrony tych informacji.
5. Przeprowadzenie Audytu jest możliwe po uprzednim pisemnym poinformowaniu Podmiotu przetwarzającego przez ADO o zamiarze jego przeprowadzenia z co najmniej trzydziestodniowym wyprzedzeniem, wraz ze wskazaniem listy osób zaangażowanych w przeprowadzenie Audytu po stronie ADO. Zawiadomienie powinno ponadto określać czas trwania Audytu oraz jego zakres.
6. W przypadku gdy Audyt nie jest bezpośrednio związany z działaniami uprawnionych organów administracji publicznej kierowanymi wobec ADO w związku z przetwarzaniem danych bądź stwierdzonym i udokumentowanym naruszeniem przetwarzania Danych przez Podmiot przetwarzający – łączny czas trwania prowadzonych przez ADO Audytów nie może przekroczyć trzech dni w roku kalendarzowym.
7. Audyt może być przeprowadzony wyłącznie po uprzednim zawarciu przez ADO i wszystkie osoby działające na rzecz ADO, przedstawionej przez Podmiot przetwarzający umowy zobowiązującej do należytej ochrony wszelkich informacji uzyskanych w związku z Audytem.
8. Audyt przeprowadzany jest w godzinach pracy Podmiotu przetwarzającego i nie może w żaden sposób zakłócać ani negatywnie wpływać na bieżącą działalność Podmiot przetwarzającego.
9. Audyty przeprowadzane są na koszt ADO. Koszty sprawowania Wsparcia oraz nadzoru nad Podmiotem przetwarzającym przez ADO obciążają wyłącznie ADO. Za koszty wsparcia bądź nadzoru uznaje się w szczególności koszty ponoszone przez Podmiot przetwarzający w związku z dokonywaniem kontroli, audytów, czy przygotowania dokumentów, udzielenia
informacji lub pomocy ADO. W przypadku gdy koszty, o których mowa w niniejszym ustępie zostały poniesione przez Podmiot przetwarzający – ADO niezwłocznie zwróci je Podmiotowi przetwarzającemu. Stawka godzinowa za obsługę Audytu przez jedną osobę ze strony Podmiotu przetwarzającego odpowiada stawce godzinowej za Indywidualne wsparcie konsultanta określonej w Cenniku usług ATOMSTORE.
10. Podmiot przetwarzający współpracuje z organami właściwymi do spraw ochrony danych osobowych, w zakresie wykonywanych przez nie zadań.
11. Jeśli z przepisów prawa lub niniejszej Umowy nie wynika inny termin – wykonywanie czynności przez Podmiot przetwarzający w związku z Umową, w tym udzielanie wszelkich informacji, będzie następować niezwłocznie, nie później niż w terminie 30 dni od otrzymania stosownego żądania.
12. Postanowienia niniejszego paragrafu w stosunku do działań ADO względem Kolejnych przetwarzających, o których mowa w § 6, stosuje się odpowiednio.
13. Podmiot przetwarzający, po zakończeniu świadczenia usług związanych z przetwarzaniem Danych na rzecz ADO, w szczególności w przypadku rozwiązania niniejszej Umowy lub Umowy Głównej, w zależności od decyzji ADO:
a. Xxxxx Xxxx;
b. Zwraca ADO wszelkie Xxxx oraz usuwa wszelkie ich istniejące kopie,
- chyba że prawo Unii Europejskiej lub polskie przepisy prawa powszechnie obowiązującego nakazują przechowywanie danych osobowych.
14. W przypadku wypowiedzenia Umowy Głównej ADO powinien przekazać Podmiot przetwarzającemu decyzję, o której mowa w ust. 13, nie później niż w ostatnim dniu obowiązywania Umowy. W przypadku braku przekazania takiej decyzji w tym terminie – przyjmuje się, że ADO nakazał Xxxxxxxxxx przetwarzającemu usunięcie Xxxxxx (zgodnie z ust. 13 lit. a) i wszelkie związane z tym konsekwencje obciążają wyłącznie ADO
§ 6 Podpowierzenie Danych
1. Podmiot przetwarzający może korzystać z usług Kolejnego przetwarzającego (podpowierzenie) tylko za uprzednią szczegółową zgodą lub ogólną pisemną zgodą ADO.
2. ADO wyraża zgodę na korzystanie przez Podmiot przetwarzający z Kolejnych przetwarzających wskazanych w Załączniku nr 1 do niniejszej Umowy. Zmiana załącznika nie stanowi zmiany Umowy i postanowienia ust. 3-4 niniejszego paragrafu stosuje się do niej odpowiednio.
3. Powierzenie przetwarzania Danych Kolejnym przetwarzającym niewskazanym w Załączniku nr 1 wymaga uprzedniego zgłoszenia tego faktu ADO – w celu umożliwienia mu sprzeciwu, dokonanego nie później niż na siedem dni przed rozpoczęciem podpowierzenia. Zgłoszenie może zostać dokonane w szczególności w formie elektronicznej.
4. W przypadku braku sprzeciwu ADO przyjmuje się, że wyraził on zgodę na korzystanie z Kolejnego przetwarzającego. W przypadku zgłoszenia sprzeciwu Podmiot przetwarzający nie może powierzyć danych Kolejnemu przetwarzającemu, którego sprzeciw dotyczy – jednocześnie Podmiot przetwarzający będzie uprawniony do rozwiązania w takim przypadku Umowy Głównej, ze skutkiem natychmiastowym, a ADO nie będzie przysługiwać z tego tytułu jakiekolwiek odszkodowanie.
5. Podmiot przetwarzający nałoży na każdego Kolejnego przetwarzającego, w szczególności za pośrednictwem umowy, te same obowiązki ochrony Danych jak wynikające z Umowy, w szczególności obowiązek wdrożenia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO.
6. W przypadku niewywiązania się przez Kolejnego przetwarzającego z ciążących na nim obowiązków w stosunku do Danych pełna odpowiedzialność wobec ADO za spełnienie obowiązków przez Kolejnego przetwarzającego spoczywa na Podmiocie przetwarzającym.
§ 7 Postanowienia Końcowe
1. Umowa ulega rozwiązaniu z chwilą rozwiązania Umowy Głównej.
2. W sprawach nieuregulowanych, w tym w zakresie zmiany Umowy, zastosowania mają postanowienia Umowy Głównej.
3. W razie sprzeczności postanowień niniejszej Umowy z Umową Główną – pierwszeństwo mają postanowienia niniejszej Umowy.
Załącznik nr 1
Lista Kolejnych przetwarzających
ADO wyraża zgodę na podpowierzenie Danych następującym Kolejnym przetwarzającym:
a) IQ PL Sp. z o.o., ul. Geodetów 16, 80-298 Gdańsk, NIP: 000-00-00-000,
b) xxxx.xx S.A., ul. Xxxxxxx 0, 00-000 Xxxxxxxx, NIP: 000-00-00-000
c) OVH Sp. z o.o., ul. Xxxxxxx 0 lok. 1, 54-402 Wrocław, NIP: 8992520556
d) Futuriti sp. z o. o., ul. Xxxxxxxxxxx 00, 00-000 Xxxxxx, NIP: 6762542702,
e) Vercom S.A., ul. Xxxxxxxxx Xxxxxxxxxx 00, 00-000 Xxxxxx, NIP: 7811765125,
f) NetArch sp. z o.o., ul. Xxxxxxx Xxxxxxxx 00/0, 00-000 Xxxxxx, NIP: 9452089138,
g) Podwykonawcy Podmiotu przetwarzającego, będący osobami fizycznymi, świadczący osobiście na rzecz Podmiotu przetwarzającego usługi, w szczególności świadczący usługi w oparciu o umowę zlecenie, umowę o dzieło lub inną umowę cywilnoprawną zapewniający wsparcie techniczne;
h) Członkowie organów Podmiotu przetwarzającego, a także jego prokurenci lub pełnomocnicy;