UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zwana dalej Umową Powierzenia
zawarta w Gdańsku w dniu r. pomiędzy:
………………………………. z siedzibą w: ………….., adres: ul. ………………, … - … ……………, wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy w , Wydział
……………………………….. pod nr: ………………….., NIP: ………………….., REGON: …………….., o kapitale zakładowym w wysokości : …………………….., wpłaconym w , reprezentowaną przez:
……………………………………
……………………………………
- uprawnionych do reprezentacji na podstawie Informacji odpowiadającej odpisowi aktualnemu z Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, która stanowi Załącznik nr 1 do Umowy,
zwaną dalej Administratorem Danych
a
Polskim Rejestrem Statków Spółka Akcyjna z siedzibą w Gdańsku, xx. Xxx. Xxxxxx Xxxxxxx 000, 00-000 Xxxxxx, wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy Gdańsk-Północ w Gdańsku VII Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr: 0000019880, NIP: 5840304472, REGON: 000144992, o kapitale zakładowym w wysokości 8.000.000,00 zł, wpłaconym w całości, reprezentowaną przez:
Xxxxxxxx Xxxxxxxxxxx – Prezesa Zarządu Xxxxxxxx Xxxxxxxxxxxx – Członka Zarządu
- uprawnionych do reprezentacji na podstawie Informacji odpowiadającej odpisowi aktualnemu z Rejestru Przedsiębiorców Krajowego Rejestru Sądowego,
zwana dalej Podmiotem Przetwarzającym
zwanymi w dalszej części łącznie Stronami, a osobno Stroną
Zważywszy, że:
1. Podmiot Przetwarzający będzie wykonywał umowę na rzecz Administratora Danych;
2. Podmiot Przetwarzający w ramach wykonywania umowy będzie miał dostęp do danych osobowych Administratora Danych,
Strony niniejszym postanawiają zawrzeć umowę powierzenia przetwarzania danych osobowych o następującej treści:
§ 1
Definicje
Następujące definicje oraz zasady interpretacji mają zastosowanie do niniejszej Umowy Powierzenia:
1) Umowa Główna: umowa nr …………………. o ………………………, zawarta w dniu
……………………. r. pomiędzy Polskim Rejestrem Statków S.A. z siedzibą w Gdańsku, a ;
2) Umowa Powierzenia – niniejsza umowa powierzenia przetwarzania danych osobowych;
3) Naruszenie bezpieczeństwa danych osobowych: naruszenie bezpieczeństwa skutkujące przypadkowym lub bezprawnym zniszczeniem, utratą, zmianą, nieuprawnionym ujawnieniem lub dostępem do udostępnionych danych osobowych;
4) Regulacje dot. Ochrony Danych: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane dalej RODO, oraz ustawa o ochronie danych, zwana dalej Ustawą, a także wszelkie przepisy i regulacje w przedmiocie przetwarzania danych osobowych oraz prywatności. Odniesienia do ustawodawstwa obejmują również jakiekolwiek jego późniejsze zmiany.
§ 2
Przedmiot Umowy Powierzenia
1. W trybie art. art. 28 ust. 3 RODO, Administrator Danych powierza Podmiotowi Przetwarzającemu do przetwarzania dane osobowe wskazane w ust. 2 i 3 poniżej, a Podmiot Przetwarzający zobowiązuje się do ich przetwarzania na zasadach i w celu określonym w niniejszej Umowie Powierzenia.
2. Podmiot Przetwarzający zobowiązuje się do przetwarzania danych osobowych następujących kategorii osób, których dane dotyczą:
1) Pracowników Administratora Danych;
2) Współpracowników Administratora Danych, w tym współpracowników zatrudnionych za podstawie umów cywilnoprawnych.
3. Zakres powierzonych Podmiotowi Przetwarzającemu do przetwarzania danych osobowych obejmuje dane podmiotów wyszczególnionych w ust. 2 powyżej (skreślić dane nie mające zastosowania), tj.:
1) imię i nazwisko,
2) wykształcenie i doświadczenie zawodowe;
3) nazwa i siedziba pracodawcy;
4) komórka organizacyjna/stanowisko;
5) e-mail i numer telefonu służbowego;
6) dane wrażliwe; *
7) ……………………..
§ 3
Zasady przetwarzania danych osobowych
1. Podmiot Przetwarzający potwierdza, iż będzie przetwarzał dane osobowe, zgodnie niniejszą Umową Powierzenia oraz, że nie będzie przetwarzał danych osobowych w żadnym innym celu bez uzyskania pisemnej zgody Administratora Danych.
2. Strony oświadczają, że dane osobowe przekazane Podmiotowi Przetwarzającemu są adekwatne oraz związane z uzgodnionymi celami wskazanymi w § 4.
3. Podmiot Przetwarzający nie będzie ujawniał oraz przekazywał danych osobowych, przetwarzanych zgodnie z niniejszą Umową Powierzenia, jakiemukolwiek podmiotowi trzeciemu bez pisemnej zgody Administratora Danych.
4. Powyższe postanowienia nie dotyczą danych osobowych, do których ujawnienia Podmiot Przetwarzający będzie zobowiązany na podstawie powszechnie obowiązujących przepisów prawa.
5. Powyższe postanowienia nie dotyczą także przetwarzania danych osobowych, jeżeli Strona przetwarza je w wewnętrznym stosunku organizacyjnym, w związku z wykonaniem Umowy Głównej, a przekazanie danych osobowych następuje bezpośrednio do rąk osób, za pośrednictwem których Strona realizuje Umowę Powierzenia oraz Umowę Główną, a także z którymi Strona współpracuje przy realizacji Umowy Powierzenia oraz Umowy Głównej.
6. Przy przetwarzaniu danych osobowych, Strony zobowiązują się do przestrzegania Regulacji dot. Ochrony Danych. Podmiot Przetwarzający zobowiązuje się podjąć wszelkie środki wymagane na mocy art. 32 RODO, a także udzielać Administratorowi szerokiej pomocy w wywiązywaniu się z obowiązków określonych w art. 32–36 RODO.
7. Podmiot Przetwarzający oświadcza, że dysponuje zasobami, doświadczeniem, wiedzą fachową i wykwalifikowanym personelem, które umożliwiają mu prawidłowe wykonanie Umowy Powierzenia oraz wdrożenie odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi Ustawy oraz RODO.
8. Dane Osobowe, będą traktowane jako informacje chronione/poufne, a osoby działające w imieniu Podmiotu Przetwarzającego zostaną upoważnione do przetwarzania Danych Osobowych i zobowiązane do zachowania Danych Osobowych w tajemnicy.
9. Podmiot Przetwarzający oświadcza, że podjął skuteczne środki techniczne i organizacyjne mające na celu należyte, odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, zabezpieczające dane osobowe przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa oraz uszkodzeniem, zniszczeniem, utratą lub nieuzasadnioną modyfikacją.
§ 4
Cel przetwarzania
1. Strony potwierdzają, iż inicjatywa powierzenia przetwarzania danych osobowych jest niezbędna, aby Podmiot Przetwarzający mógł wykonywać Umowę Główną.
2. Podmiot Przetwarzający potwierdza, że dane osobowe będą przetwarzane wyłącznie zgodnie z wytycznymi Administratora Danych oraz wyłącznie mając na celu wykonywanie Umowy Głównej z zastrzeżeniem § 3 Umowy Powierzenia. Strony nie będą przetwarzać danych osobowych w sposób sprzeczny z celem opisanym w niniejszym paragrafie.
§ 5
Podwykonawstwo w zakresie przetwarzania danych
1. Podmiot Przetwarzający, w celu wykonywania w imieniu Administratora Danych czynności określonych w niniejszej Umowie Powierzenia oraz w Umowie Głównej może korzystać z usług Podwykonawców, z zastrzeżeniem ograniczeń wynikających z niniejszej Umowy Powierzenia, Umowy Głównej i przepisów
obowiązującego prawa. Jednocześnie Administrator Danych wyraża zgodę na korzystanie z innego podmiotu przetwarzającego zgodnie art. 28 ust. 2 RODO.
2. Podmiot Przetwarzający może kontynuować korzystanie z Podwykonawców już zaangażowanych na dzień zawarcia niniejszej Umowy.
3. W odniesieniu do każdego z Podwykonawców, Podmiot Przetwarzający zobowiązany jest przed pierwszym przetworzeniem danych osobowych przez Podwykonawcę (lub zgodnie z ust. 2 – w przypadku zastosowania), przeprowadzić odpowiednie badanie due diligence celem zapewnienia, że Podwykonawca jest w stanie zapewnić przynajmniej taki sam jak Podmiot Przetwarzający poziom ochrony dla danych osobowych wymagany na podstawie postanowień niniejszej Umowy Powierzenia oraz Umowy Głównej.
4. W przypadku, gdy Podwykonawca nie wykona swoich obowiązków dotyczących ochrony danych, Podmiot Przetwarzający ponosić będzie odpowiedzialność wobec Administratora Danych za wykonanie obowiązków przez Podwykonawcę.
§ 6
Kontrola
1. Administrator ma prawo kontroli, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu danych spełniają postanowienia Umowy powierzenia i ogólnego rozporządzenia o ochronie danych.
2. Podmiot przetwarzający na każdy pisemny wniosek Administrator zobowiązany jest do udzielenia pisemnej informacji dotyczących przetwarzania powierzonych mu danych osobowych w terminie 14 dni od dnia otrzymania takiego wniosku.
3. Administrator ma prawo do faktycznej weryfikacji sposobu przetwarzania danych osobowych wskazanych w
§ 2 Umowy powierzenia, w sposób każdorazowo ustalony przez Strony, po zgłoszeniu zamiaru takiej weryfikacji przez Administratora z wyprzedzeniem minimum 14 dni.
4. Po stwierdzeniu naruszeń niniejszej Umowy powierzenia przez Administratora Podmiot przetwarzający jest zobowiązany do niezwłocznego ich usunięcia, nie później jednak niż w terminie i sposób ustalony pomiędzy Stronami.
§ 7
Prawa podmiotów, których dane dotyczą
1. Na podstawie Regulacji dot. Ochrony Danych, podmioty, których dane dotyczą posiadają uprawnienia w związku z ich danymi osobowymi, tj.:
1) prawo do bycia informowanym;
2) prawo dostępu do danych;
3) prawo do poprawiania danych;
4) prawo do usuwania danych;
5) prawo do ograniczenia przetwarzania danych;
6) prawo do przenoszenia danych;
7) prawo do wniesienia sprzeciwu;
8) prawa związane z zautomatyzowanym procesem decyzyjnym oraz profilowaniem.
2. W celu ułatwienia korzystania z powyższych praw, Podmiot Przetwarzający potwierdza, iż dane osobowe przetwarzane zgodnie z niniejszą Umową Powierzenia będą przechowywane lub nagrywane w sposób powszechnie przyjęty w przedsiębiorstwie Podmiotu Przetwarzającego.
3. Podmiot Przetwarzający zobowiązuje się niezwłocznie powiadomić Administratora Danych, jednak nie później niż w terminie 48 godzin od otrzymania przez Podmiot Przetwarzający wezwania lub zgłoszenia jakiegokolwiek roszczenia od podmiotu zamierzającego skorzystać z któregokolwiek ze swoich uprawnień na podstawie Regulacji dot. Ochrony Danych, w tym praw wskazanych w ust. 1. powyżej. Podmiot Przetwarzający będzie ściśle współpracował i wspierał Administratora Danych w związku ze zgłoszonym roszczeniem lub żądaniem ze strony podmiotu, którego dane dotyczą w zakresie przetwarzania danych osobowych zgodnie z Umową Powierzenia.
4. Podmiot Przetwarzający zobowiązuje się działać wyłącznie na podstawie udokumentowanych wytycznych Administratora Danych w związku z jakimikolwiek podjętymi działaniami mającymi na celu ustosunkowanie się do zgłoszonych roszczeń, a także podejmować działania w związku z żądaniami wystosowanymi przez podmioty na podstawie § 6.
§ 8
Przechowywanie oraz usuwanie danych
1. Podmiot Przetwarzający nie jest uprawniony do przechowywania lub przetwarzania danych osobowych przez okres dłuższy niż potrzebny do uzyskania zamierzonych celów (w szczególności przez okres realizacji Umowy Głównej i okres przedawnienia roszczeń wynikających z realizowanej przez Strony Umowy Głównej, a także okres obowiązku przechowywania dokumentów księgowych, związanych z realizowaną Umową Główną, w szczególności na podstawie przepisów ustawy z dnia 29 września 1994 r. o rachunkowości (Dz.U.2016.1047 t.j. z dnia 19.07.2016 r. z późn. zm.), jeżeli okresy te nie są tożsame) lub przez okres dłuższy niż wskazany przez Administratora Danych. W celu uniknięcia wątpliwości, Administrator Danych zastrzega sobie prawo do określenia terminów, do których upływu Podmiot Przetwarzający może przechowywać dane osobowe przetwarzane zgodnie z Umową, o ile wskazane terminy są co najmniej takie same, jak wynika to z powszechnie obowiązujących przepisów prawa.
2. Zgodnie z wytycznymi Administratora Danych, Podmiot Przetwarzający zobowiązany jest zapewnić, że dane osobowe, przetwarzane zgodnie z Umową, zostaną zwrócone (wraz z nośnikami) do Administratora Danych (jeżeli fizyczne przekazanie danych osobowych miało miejsce) lub zniszczone. Na podstawie niniejszego ustępu, Administrator Danych zastrzega sobie prawo do wydania w każdym czasie zaleceń dla Podmiotu Przetwarzającego w tym zakresie.
3. Po zniszczeniu danych osobowych zgodnie z ust. 2, Podmiot Przetwarzający zobowiązany jest na żądanie Administratora Danych powiadomić Administratora Danych, że dane osobowe zostały usunięte.
§ 9
Naruszenie bezpieczeństwa danych osobowych oraz Procedury raportowania
1. Podmiot Przetwarzający jest bezwzględnie zobowiązany do niezwłocznego poinformowania Administratora Danych o jakimkolwiek podejrzeniu naruszenia lub stwierdzonym naruszeniu bezpieczeństwa danych osobowych, jednak nie później niż w terminie 24 godzin od momentu uzyskania informacji o wystąpieniu naruszenia lub podejrzeniu jego wystąpienia.
2. W sytuacji wystąpienia naruszenia bezpieczeństwa danych osobowych, wymaga się, aby Podmiot Przetwarzający przedstawił Administratorowi Danych następujące informacje:
1) data i godzina zaobserwowania zdarzenia po raz pierwszy;
2) opis zdarzenia;
3) miejsce wystąpienia zdarzenia;
4) liczba zdarzeń (jeżeli zdarzenie miało miejsce wielokrotnie);
5) akcje podjęte do momentu zgłoszenia (co zostało zrobione, komu przekazano informacje i jakie).
3. Informacje, o których mowa w ust. 2 powinny zostać przesłane na adres e-mail Administratora Danych:
………..w terminie określonym w ust. 1.
§ 10
Rozwiązanie Umowy Powierzenia
Rozwiązanie Umowy Głównej skutkuje rozwiązaniem niniejszej Umowy Powierzenia.
§ 11
Postanowienia końcowe
1. W sytuacji powstania sporu lub roszczenia ze strony podmiotu, którego dane dotyczą lub Organu Ochrony Danych w przedmiocie przetwarzania danych osobowych skierowanego wobec jednej lub obu Stron, w związku z wykonywaniem niniejszej Umowy Powierzenia, Strony zobowiązują się informować wzajemnie o wszelkich takich sporach lub roszczeniach oraz będą współpracować w celu ich ugodowego zakończenia w odpowiednim czasie.
2. Jeżeli którekolwiek postanowienie niniejszej Umowy Powierzenia lub jego część jest lub stanie się nieważne, niezgodne z prawem lub niewykonalne, winno ono zostać zmodyfikowane w najmniejszym możliwym zakresie w celu przywrócenia jego ważności, zgodności z prawem i wykonalności. Jeżeli taka modyfikacja nie jest możliwa, odpowiednie postanowienie lub jego część winno zostać uznane za usunięte. Wszelkie modyfikacje lub usunięcia postanowień lub ich części zgodnie z niniejszym ustępem nie wypłyną na ważność i wykonalność pozostałych postanowień niniejszej Umowy.
3. W przypadku, gdy mające zastosowanie Regulacje dot. Ochrony Danych oraz regulacje do nich uzupełniające ulegną zmianie, powodując, iż niniejsza Umowa przestanie być adekwatna w stosunku do celu, dla którego została zawarta, Strony zastrzegają sobie prawo do zmiany Umowy Powierzenia. W takiej sytuacji, Strony drogą pisemnego aneksu pod rygorem nieważności, podpisanego przez obie Strony, zmienią postanowienia niniejszej Umowy Powierzenia w takim zakresie, aby cel niniejszej Umowy Powierzenia odpowiadał zmianom Regulacji dot. Ochrony Danych. Brak porozumienia Stron w tym zakresie może stanowić podstawę do rozwiązania niniejszej Umowy Powierzenia za porozumieniem Stron.
4. Niniejsza Umowa, a także wszelkie spory lub roszczenia (w tym spory oraz roszczenia pozaumowne) wynikające z lub pozostające w związku z przedmiotem niniejszej Umowy Powierzenia, podlegają prawu polskiemu oraz RODO.
5. Wszelkie spory powstałe w związku z niniejszą Umową będzie rozstrzygał wyłącznie Sąd właściwy dla siedziby Podmiotu Przetwarzającego.
6. Wszelkie zmiany niniejszej Umowy powinny być dokonane w formie pisemnej pod rygorem nieważności.
7. W zakresie nieuregulowanym niniejszą Umową Przetwarzania zastosowanie znajdą odpowiednie przepisy ustawy z dnia 23 kwietnia 1964 r. Kodeks Cywilny (Dz.U.2017.459 t.j. z dnia 02.03.2017 r. z późn. zm.).
8. Umowa została sporządzona w 2 (dwóch) egzemplarzach, po jednym dla każdej ze Stron.