Umowa powierzenia przetwarzania danych osobowych
Umowa powierzenia przetwarzania danych osobowych
(Umowa) zawarta w Lublinie, przez następujące Strony:
Asseco Business Solutions SA, 00-000 Xxxxxx, xx. Xxxxxxx Xxxxxxxxxx 0X, XXX 00000, NIP 5222612717, o kapi- tale zakładowym 167.090.965 zł opłaconym w całości, adres do korespondencji: ul. Xxxxx Xxxxxxxxxxx 00, 00– 000 Xxxxxxxx, zwaną dalej Zleceniobiorcą, w imieniu której działa Xxxxxx Xxxxxxxx – Pełnomocnik,
oraz Zleceniodawcą, przy czym:
• oznaczenie Zleceniodawcy oraz wskazanie osoby reprezentującej Zleceniodawcę,
• datę zawarcia Umowy,
• adres Zleceniodawcy
– przyjmuje się zgodnie z dokumentem elektronicznym, tj. formularzem zawarcia Umowy.
Mając na uwadze, że:
• Strony (w tym ich poprzednicy prawni) zawarły umowę lub umowy, których przedmiotem objęto wdrożenie programów komputerowych oraz świadczenie usług ich utrzymania dla programów, do których autorskie prawa majątkowe przysługują Zleceniobiorcy, a także usług pomocy technicznej, zwane dalej Umowami głównymi,
• w toku usług świadczonych przez Zleceniobiorcę w ra- mach Umów głównych dochodzi lub może dochodzić do przetwarzania danych osobowych w imieniu Zlece- niodawcy,
Xxxxxx postanowiły zawrzeć umowę o następującej treści:
1. Definicje
1.1 RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w spra- wie ochrony osób fizycznych w związku z przetwarza- niem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych);
1.2 Usługi – oznaczają usługi, będące przedmiotem Umowy głównej;
1.3 Dzień Roboczy – każdy dzień od poniedziałku do piątku z wyłączeniem dni ustawowo wolnych od pracy.
Wszelkie określenia, znajdujące się w Umowie, a jednobrz- miące z pojęciami, zdefiniowanymi w RODO, mają znacze- nie tożsame z tymi pojęciami, z tym że przez podmiot da- nych należy rozumieć osobę, której dane dotyczą.
2. Przedmiot umowy – polecenie przetwarzania, charak- ter i cel przetwarzania
2.1 .W związku z wykonywaniem Umów Głównych przez Zleceniobiorcę, Zleceniodawca – jako administrator danych osobowych lub podmiot przetwarzający dane osobowe, o ile występuje w tym charakterze – powie- rza Zleceniobiorcy – podmiotowi przetwarzającemu – przetwarzanie danych osobowych, określonych w Za- łączniku 1 rozdział 1, a Zleceniobiorca przyjmuje dane osobowe i zobowiązuje się do ich przetwarzania – w imieniu Zleceniodawcy lub na jego zlecenie – na warunkach opisanych w Umowie.
2.2 Zleceniodawca oświadcza, że spełnił wszelkie warunki legalności przetwarzania danych osobowych. Zlece- niodawca zapewnia, że posiadane przez niego i prze- kazywane Zleceniobiorcy do przetwarzania dane oso- bowe zostały zgromadzone i udostępnione Zlecenio- biorcy zgodnie z obowiązującymi przepisami prawa.
2.3 Zleceniobiorca uprawniony jest do przetwarzania po- wierzonych mu danych osobowych wyłącznie w celu wykonania zobowiązań wynikających z każdej Umowy głównej odpowiednio do niej, w związku z którą do- chodzi do przetwarzania danych osobowych. Zlece- niobiorca zapewnia o działaniu w zgodzie z RODO oraz innymi powszechnie obowiązującymi przepisami prawa oraz w zakresie niezbędnym do realizacji Umów głównych, tj. w szczególności w celach wska- zanych w Załączniku 1 rozdział 2.
2.4 Zleceniobiorca powołał inspektora ochrony danych osobowych, którego dane kontaktowe podane są na stronie internetowej Zleceniobiorcy, wskazanej w punkcie 5.4.
2.5 Zleceniobiorca może przetwarzać dane osobowe wy- łącznie na terenie Europejskiego Obszaru Gospodar- czego, tj. każdego z krajów – członków Unii Europej- skiej, oraz Islandii, Norwegii i Liechtensteinu. Zlecenio- biorca nie ma prawa do przekazywania danych oso- bowych do innych państw.
2.6 Przetwarzanie danych osobowych przez Zlecenio- biorcę odbywa się odpłatnie – w ramach wynagrodze- nia określonego w danej Umowie głównej, w związku z którą dochodzi do przetwarzania danych osobo- wych, z zastrzeżeniem postanowień Umowy.
3. Przedmiot przetwarzania
3.1 Zleceniobiorca jest uprawniony do wykonywania na po- wierzonych mu do przetwarzania danych osobowych wszelkich zautomatyzowanych lub niezautomatyzo- wanych operacji przetwarzania uzasadnionych i nie- zbędnych dla realizacji usług będących przedmiotem danej Umowy głównej, w związku z którą dochodzi do przetwarzania, w szczególności ich przechowywania, przesyłania przez publiczną sieć łączności interneto- wej, modyfikowania i udostępniania.
3.2 Na powierzonych danych osobowych Zleceniobiorca będzie dokonywał czynności przetwarzania określo- nych w Załączniku 1 rozdział 3.
3.3 Dane osobowe przechowywane są w infrastrukturze Zleceniobiorcy (w tym na serwerach Zleceniobiorcy zlokalizowanych w lokalach Zleceniobiorcy) oraz na urządzeniach przenośnych, na których zainstalowana jest aplikacja Mobile Touch – w części Mobile Client.
3.4 W przypadku, gdy czynności przetwarzania danych osobowych w ramach danej Umowy głównej, wyko- nywane będą przez osoby zatrudnione przez Zlece- niobiorcę w infrastrukturze kontrolowanej przez Zle- ceniodawcę – w tym dokonywane zdalnie lub w od- niesieniu do programów innych, niż wymienione w Umowie – za zapewnienie ochrony tych danych zgodnie z przepisami RODO odpowiada Zlecenio- dawca.
4. Dalsze powierzenie przetwarzania danych
4.1 Zleceniobiorca jest uprawniony do korzystania z usług innego podmiotu przetwarzającego w trakcie realiza- cji przetwarzania danych osobowych na podstawie Umowy, pod warunkiem poinformowania Zlecenio- dawcy o każdym planowanym dalszym powierzeniu przetwarzania danych osobowych oraz o wszelkich zamierzonych zmianach dotyczących dodania lub za- stąpienia dotychczasowego podmiotu przetwarzają- cego przez innego usługodawcę lub o rezygnacji z usług innego podmiotu przetwarzającego, oraz z zastrzeżeniem postanowienia punktu 4.2; informa- cja powyższa przekazywana będzie za pośrednictwem poczty elektronicznej Zleceniodawcy na adres wska- zany w punkcie 9.1. Zleceniobiorca zobowiązany jest do spełnienia w takim przypadku warunków dalszego powierzenia przetwarzania danych osobowych, o któ- rych mowa w ust. 2 i ust. 4 art. 28 RODO.
4.3 Zleceniodawca, w każdym przypadku w jakim wy- stępuje on w charakterze podmiotu przetwarza- jącego dane osobowe na zlecenie administra- tora (lub innego podmiotu przetwarzającego), przekaże Zleceniobiorcy informacje o admini- stratorze oraz będzie je na bieżąco aktualizował w miarę ewentualnych zmian. Informacje takie, oraz każdą ich aktualizację, Zleceniodawca prze- śle każdorazowo na adres, o którym mowa w punkcie 2.4, w formacie arkusza Excel, zawie- rającego w poszczególnych wierszach dane
o każdym administratorze, podzielone na trzy kolumny jak niżej:
• nazwa, dane kontaktowe,
• inspektor ochrony danych osobowych,
• NIP administratora.
Przyjmuje się w przypadku aktualizacji, że prze- słana informacja będzie w całości zastępowała informację bezpośrednio ją poprzedzającą.
5. Oświadczenia Zleceniobiorcy w związku z przetwarza- niem danych osobowych, obowiązki Zleceniobiorcy
5.1 Zleceniobiorca zapewnia, że – zgodnie z wymaganiami RODO – dane osobowe Zleceniodawcy będą prze- twarzane za pomocą odpowiednich środków tech- nicznych i organizacyjnych w sposób zapewniający odpowiednią ich ochronę, w tym ochronę przed nie- dozwolonym lub niezgodnym z prawem przetwarza- niem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.
5.2 Zleceniobiorca przetwarza dane osobowe wyłącznie na podstawie Umowy oraz na udokumentowane polece- nie Zleceniodawcy.
5.3 Zleceniobiorca:
5.3.1 dopuści do przetwarzania danych osobowych jedy- nie osoby działające z jego upoważnienia oraz których dostęp do danych osobowych jest niezbędny do wy- konania usług określonych w danej Umowie głównej,
w związku z którą dochodzi do przetwarzania danych osobowych,
5.3.2 zapewni, że osoby mające dostęp do danych oso- bowych, zobowiązane będą do zachowania tajemnicy w zakresie przetwarzania danych osobowych,
5.3.3 zaznajomi osoby upoważnione do przetwarzania danych osobowych z przepisami dotyczącymi ochrony danych osobowych i odpowiedzialnością za ochronę tych danych przed niepowołanym dostępem, nieuzasadnioną modyfikacją, zniszczeniem, nielegal- nym ujawnieniem lub zebraniem.
5.4 Uwzględniając stan wiedzy technicznej, koszt wdroże- nia systemu informatycznego oraz charakter, zakres, kontekst i cele przetwarzania danych osobowych oraz ryzyko naruszenia praw podmiotów danych, Zlecenio- biorca wdrożył odpowiednie środki techniczne i orga- nizacyjne, aby przetwarzanym danym osobowym za- pewnić stopień bezpieczeństwa odpowiadający – z uwzględnieniem prawdopodobieństwa wystąpienia i wagi zagrożenia – ryzyku naruszenia praw lub wol- ności podmiotów danych w wyniku wykonywania ni- niejszej mowy. Opis tych środków zawiera polityka ochrony danych osobowych Zleceniobiorcy, dostępna pod adresem xxxxxxxx.xx/XXXX.
5.5 Ponadto, Zleceniobiorca – uwzględniając charakter wy- konywanych czynności przetwarzania danych osobo- wych oraz dostępne Stronom informacje, dotyczące danych osobowych powierzonych Zleceniobiorcy do przetwarzania na podstawie danej Umowy głównej, w związku z którą dochodzi do przetwarzania danych osobowych:
5.5.1 w miarę możliwości pomaga Zleceniodawcy wy- wiązać się z obowiązku odpowiadania na żądania podmiotów danych w zakresie wykonywania jego praw określonych w Rozdziale III RODO;
5.5.2 udziela Zleceniodawcy pomocy w wywiązaniu się z obowiązków wymienionych w art. 32‒36 RODO;
5.5.3 na żądanie Zleceniodawcy przekaże Zlecenio- dawcy wszelkie znajdujące się w dyspozycji Zlece- niobiorcy informacje w zakresie niezbędnym do wykazania spełnienia obowiązków określonych w art. 28 RODO. Zleceniodawca nie ma prawa do żądania informacji poza zakresem, odpowiednim do stopnia bezpieczeństwa, o jakim mowa w punkcie 5.4;
Powyższe obowiązki pomocy będą wykonywane przez Zleceniobiorcę – w ramach wynagrodzenia określonego w danej Umowie głównej – w sytuacji gdy
Zleceniodawca nie ma możliwości wykonania danej czynności samodzielnie, tj. we własnym zakresie lub przy współdziałaniu ze strony osób trzecich innych niż Zleceniobiorca, oraz wyłącznie w zakresie obiektywnie niezbędnym dla umożliwienia Zleceniodawcy wywią- zania się przez niego z obowiązków wynikających z przepisów prawa. W innych przypadkach wyżej wy- mienione obowiązki pomocy wykonywane będą przez Zleceniobiorcę w sposób i na warunkach odrębnie uzgodnionych przez Strony.
5.6 W przypadku stwierdzenia naruszenia ochrony danych osobowych powierzonych Zleceniobiorcy do przetwa- rzania – w tym uzyskania przypadkowego lub nieupo- ważnionego dostępu do nich, ich nieautoryzowanej zmiany, utraty, uszkodzenia lub zniszczenia – Zlece- niobiorca, zgodnie z przyjętą przez niego procedurą, poinformuje o tym Zleceniodawcę niezwłocznie, nie później niż w terminie 36 godzin od stwierdzenia na- ruszenia. Powiadomienie to nastąpi przez przesłanie wiadomości za pośrednictwem poczty elektronicznej na adres Zleceniodawcy wskazany w punkcie 9.1.
5.7 W przypadku rozwiązania danej Umowy głównej, w związku z którą następuje przetwarzanie danych osobowych, Zleceniobiorca zobowiązany jest zaprze- stać przetwarzania danych osobowych przetwarza- nych w ramach danej Umowy głównej i usunąć je lub dokonać ich anonimizacji w taki sposób, aby nie było możliwe ponowne ich odtworzenie. Zleceniobiorca jest obowiązany wykonać obowiązek, o którym mowa w zdaniu poprzednim, niezwłocznie, w terminie od- rębnie uzgodnionym przez Strony, nie krótszym jed- nak 30 dni od rozwiązania danej Umowy głównej, chyba że przepisy prawa nakazują Zleceniobiorcy dal- sze przechowywanie danych osobowych. W takim przypadku za przetwarzanie wyżej wymienionych da- nych po rozwiązaniu danej Umowy głównej Zlecenio- biorca odpowiada jak administrator.
5.8 Zleceniobiorca zobowiązuje się powiadamiać Zlecenio- dawcę niezwłocznie, nie później niż w ciągu 3 Dni Ro- boczych od wystąpienia zdarzenia, o:
5.8.1 wszelkich żądaniach ujawnienia powierzonych przez Zleceniodawcę danych osobowych, zgłasza- nych przez organy władzy publicznej, przed ich ujaw- nieniem, chyba że jest to z innych względów zabro- nione;
5.8.2 wszczęciu kontroli przez organ nadzorczy w związku z powierzeniem przez Zleceniodawcę Zle- ceniobiorcy przetwarzania danych osobowych, a także o wszelkich ostatecznych decyzjach lub posta- nowieniach administracyjnych wydanych wobec Zle- ceniobiorcy w związku z powyższym;
5.8.3 wszczętych lub toczących się postępowaniach ad- ministracyjnych, sądowych lub przygotowawczych związanych z powierzeniem przez Zleceniodawcę Zleceniobiorcy przetwarzania danych osobowych,
a także o wszelkich ostatecznych decyzjach, postano- wieniach lub prawomocnych orzeczeniach wydanych wobec Zleceniobiorcy w związku z powyższym.
5.9 Zleceniobiorca niezwłocznie poinformuje Zlecenio- dawcę, jeżeli – jego zdaniem – wydane mu przez Zle- ceniodawcę polecenie stanowi naruszenie RODO lub innych przepisów prawa w zakresie ochrony danych osobowych.
6. Prawa i obowiązki Zleceniodawcy
6.1.1 obowiązek przeprowadzenia kontroli został nało- żony przez organ nadzorczy,
6.1.2 przeprowadzenie kontroli jest konieczne dla wyja-
śnienia naruszenia ochrony danych osobowych,
6.1.3 w celu zebrania informacji niezbędnych do wykaza- nia spełnienia przez Zleceniodawcę obowiązków wy- nikających z Umowy oraz obowiązujących przepisów prawa, dotyczących ochrony przetwarzania danych osobowych, jednakże nie częściej niż w przypadku jednej kontroli w roku kalendarzowym.
6.2 W przypadkach innych niż wymienione w punkcie 6.1, Zleceniodawca jest uprawniony w każdym czasie do dokonania kontroli działań Zleceniobiorcy w zakresie zgodności przetwarzania danych osobowych z Umową oraz obowiązującymi przepisami prawa – pod warunkiem uprzedniego uzgodnienia przez obie Strony warunków przeprowadzenia kontroli, z uwzględnieniem nakładu czasu i działań po stronie Zleceniobiorcy, związanych z udziałem w kontroli.
6.3 W każdym przypadku kontrola może być prowadzona przez Zleceniodawcę wyłącznie w zakresie, w jakim dane osobowe są przetwarzane przez Zleceniodawcę w wykonaniu Umowy głównej, bez uszczerbku dla ta- jemnicy przedsiębiorstwa Zleceniobiorcy oraz infor- macji poufnych należących do osób trzecich.
6.4 Zleceniodawca jest zobowiązany zawiadomić Zlecenio- biorcę o zamiarze przeprowadzania kontroli z odpo- wiednim wyprzedzeniem, tj. na co najmniej 7 Dni ro- boczych przed planowaną datą rozpoczęcia kontroli, wskazując dokładny zakres, termin oraz osoby upo- ważnione przez Zleceniodawcę do przeprowadzenia kontroli. Jeżeli przeprowadzenie kontroli przetwarza- nia nie będzie możliwe w terminie wskazanym przez Zleceniodawcę w zawiadomieniu, o którym mowa w zdaniu poprzednim – z uzasadnionych przyczyn, w szczególności z uwagi na liczbę kontroli zgłoszo- nych przez innych klientów Zleceniobiorcy – Zlecenio-
biorca poinformuje Zleceniodawcę o pierwszym moż- liwym terminie przeprowadzenia kontroli; informacja taka zostanie przekazana za pośrednictwem poczty elektronicznej na adres wskazany w punkcie 9.1.
6.5 Kontrola przetwarzania wymagająca dostępu do po- mieszczeń Zleceniobiorcy lub systemów informatycz- nych nie może trwać łącznie dłużej niż 3 Dni Robocze. Czynności kontrolne mogą być wykonywane w Dni Robocze w godzinach od 8:00 do 16:00.
6.6 Zleceniobiorca zobowiązany jest umożliwić przeprowa- dzenie kontroli, a w szczególności udostępnić doku- mentację, pomieszczenia i infrastrukturę techniczną w zakresie niezbędnym do przeprowadzenia takiej kon- troli. Ponadto Zleceniobiorca jest obowiązany udzielić Zleceniodawcy niezbędnych informacji, dotyczących wykonywania Umowy.
6.7 Zleceniodawca dostarczy Zleceniobiorcy raport z prze- prowadzonej kontroli, podpisany przez obie Strony. Raport zawierał będzie wnioski z kontroli oraz – jeśli okaże się to konieczne – uzgodniony przez Strony za- kres i warunki ewentualnych zmian w zakresie prze- twarzania danych osobowych przez Zleceniobiorcę.
6.8 Z zastrzeżeniem postanowienia punktu 6.1, wszelkie koszty kontroli, prowadzonych przez Zleceniodawcę lub przez osoby trzecie działające w imieniu i na rzecz Zleceniodawcy, pokrywa Zleceniodawca.
7. Odpowiedzialność odszkodowawcza
7.1 Zleceniobiorca odpowiada za szkody, jakie powstaną u Zleceniodawcy lub osób trzecich w wyniku niezgod- nego z Umową przetwarzania przez Zleceniobiorcę danych osobowych – z zastrzeżeniem postanowień punktów 7.2–7.2
7.2 Zleceniobiorca ponosi odpowiedzialność jedynie za poniesione przez Zleceniodawcę rzeczywiste straty (damnum emergens) wynikłe z niewykonania lub nie- należytego wykonywania Umowy, będące następ- stwem okoliczności, za które Zleceniobiorca ponosi odpowiedzialność – przy czym całkowita odpowie- dzialność Zleceniobiorcy z wszelkich tytułów wynika- jących z Umowy w całym okresie jej obowiązywania nie może przekroczyć kwoty stanowiącej 50% łącznej wartości netto przychodów Zleceniobiorcy ze wszyst- kich Umów głównych, w związku z którymi dochodzi do przetwarzania danych osobowych, osiągniętych przez Zleceniobiorcę w ostatnim roku kalendarzowym poprzedzającym zawarcie Umowy, a jeśli taki okres świadczenia nie został jeszcze osiągnięty, to do łącz- nej wartości netto przychodów Zleceniobiorcy ze wszystkich Umów głównych, w związku z którymi do- chodzi do przetwarzania danych osobowych, ustalo- nej według stanu z dnia zawarcia tych umów za okres jednego roku kalendarzowego. Zleceniobiorca nie ponosi odpowiedzialności za jakiekolwiek korzyści, ja- kie Zleceniodawca mógłby osiągnąć gdyby mu szkody nie wyrządzono. Wszelka dalej idąca odpowiedzial- ność Zleceniobiorcy za szkody, jakie może ponieść
Zleceniodawca w związku z niewykonaniem lub nie- należytym wykonywaniem Umowy, jest wyłączona.
7.3 Ograniczenia odpowiedzialności przewidziane w punk- cie 7.2 nie dotyczą:
• odpowiedzialności wobec osób, których dane do- tyczą;
• szkód, jakie Zleceniobiorca wyrządził z winy umyślnej.
7.4 W przypadku gdy Zleceniodawca poniósł szkodę na skutek niezgodnego z Umową przetwarzania danych osobowych przez Zleceniobiorcę, Zleceniobiorca zwolni Zleceniodawcę z odpowiedzialności w tym za- kresie oraz pokryje ewentualne szkody wynikające z wyżej wymienionych naruszeń, w szczególności przez zapłatę kar lub odszkodowań, itp., zgodnie z zasadami określonymi w punktach 7.5–7.6.
7.5.1 Zleceniodawca zobowiązany będzie niezwłocznie – jednakże nie później niż w terminie 3 Dni Roboczych od dnia powzięcia wiedzy w tym przedmiocie – zawia- domić o tym Zleceniobiorcę na piśmie i wezwać go do udziału w wyjaśnianiu sprawy;
7.5.2 Zleceniobiorca będzie brał czynny udział w wyja- śnianiu sprawy w celu naprawienia powstałej szkody (o ile będzie to możliwe) lub też polubownego zała- twienia sprawy w drodze konsultacji i negocjacji; w tym celu Zleceniobiorca w szczególności będzie udzielał osobie trzeciej wyjaśnień (ustnych lub pisem- nych), proponował środki zaradcze, uczestniczył w spotkaniach z osobą trzecią;
7.5.4 w przypadku, gdy Xxxxxx z osobą trzecią nie dojdą do porozumienia co do okoliczności wskazanych w punkcie 7.5.3, a osoba trzecia dochodzić będzie od Zleceniodawcy swoich roszczeń na drodze sądowej – Zleceniodawca zobowiązany będzie niezwłocznie – jednakże nie później niż w terminie 14 dni od dnia po- wzięcia wiedzy w tym przedmiocie – zawiadomić
o tym Zleceniobiorcę na piśmie i wezwać go do udziału w procesie;
7.5.5 w wypadku, o którym mowa w punkcie 7.5.4 Zlece-
niobiorca wstąpi do procesu jako interwenient
uboczny po stronie pozwanej bądź w miejsce strony pozwanej (o ile będzie to możliwe), udzieli wszelkiej pomocy w celu obrony przed roszczeniem osoby trzeciej, w szczególności przez dostarczanie informacji i dokumentów, w których jest posiadaniu, potrzebnych do podjęcia obrony, a także – w przypadku zasądze- nia roszczenia osoby trzeciej prawomocnym orzecze- niem kończącym postępowanie w sprawie lub ustale- nia w ugodzie sądowej, że Zleceniodawca ponosi od- powiedzialność wobec osoby trzeciej z tytułu narusze- nia jej praw, w związku z przetwarzaniem jej danych przez Zleceniobiorcę – Zleceniobiorca zwolni Zlece- niodawcę z obowiązku naprawienia szkody lub obo- wiązku innego świadczenia na rzecz osoby trzeciej (zgodnie z art. 392 k.c.) określonego w wyżej wymie- nionej ugodzie lub prawomocnym orzeczeniu koń- czącym postępowanie w sprawie (w zakresie, w jakim został nałożony na Zleceniodawcę w tej ugodzie lub orzeczeniu) – chyba że odpowiedzialność Zlecenio- dawcy związana z naruszeniem praw osoby trzeciej, określona w ugodzie lub prawomocnym orzeczeniu kończącym postępowanie w sprawie, będzie wynikała z przyczyn, za które odpowiedzialności nie ponosi Zleceniobiorca.
7.6.1 Zleceniodawca zobowiązany będzie niezwłocznie – jednakże nie później niż w terminie 3 Dni Roboczych od dnia powzięcia wiedzy w tym przedmiocie – zawia- domić o tym Zleceniobiorcę na piśmie i wezwać go do udziału w wyjaśnianiu sprawy;
7.6.2 Zleceniobiorca będzie brał czynny udział w wyja- śnianiu sprawy w celu zminimalizowania sankcji, które może zastosować organ nadzorczy; w tym celu Zlece- niobiorca w szczególności będzie udzielał organowi wyjaśnień (ustnych lub pisemnych), proponował środki zaradcze, uczestniczył w spotkaniach z organem nad- zorczym;
7.6.3 Zleceniodawca umożliwi Zleceniobiorcy czynny udział w wyjaśnianiu sprawy, x.xx. przez informowanie go na bieżąco o wszelkich podejmowanych przez sie- bie czynnościach, w tym treści wystosowywanych pism, udzielanych wyjaśnień, itp.;
7.6.4 Strony mają obowiązek współpracować w przy- padku jakichkolwiek postępowań administracyjnych, jak i sądowych, w tym prowadzonych przez organ nadzorczy, prowadzonych w związku z przetwarza- niem danych osobowych powierzonych Zlecenio- biorcy w ramach Umowy.
7.7 W przypadku wydania ostatecznej decyzji administra- cyjnej lub prawomocnego wyroku sądu, odnoszących się do przedmiotu Umowy, Strony wspólnie uzgodnią
zmianę sposobu wykonywania zobowiązań wynikają- cych z Umowy, umożliwiającą realizację wyżej wymie- nionej decyzji lub wyroku.
8. Czas trwania przetwarzania
8.1 Przetwarzanie odbywa się w sposób ciągły przez cały okres obowiązywania danej Umowy głównej począw- szy od dnia jej zawarcia.
8.2 Usługodawca może przetwarzać dane osobowe wy- łącznie przez okres obowiązywania danej Umowy głównej, w związku z którą dochodzi do przetwarza- nia danych osobowych – chyba że Strony uzgodnią inny termin przetwarzania danych osobowych w dro- dze odrębnego porozumienia.
8.3 Rozwiązanie lub wygaśnięcie Umowy głównej skutkuje równoczesnym rozwiązaniem Umowy w takim zakre- sie, w jakim dotyczy ona danych przetwarzanych w związku z daną Umową główną.
9. Komunikacja
• dla Zleceniodawcy: zgodnie z dokumentem elektro- nicznym zawarcia Umowy,
• dla Zleceniobiorcy: adres wymieniony na stronie in- ternetowej Zleceniobiorcy, wskazanej w punkcie 5.4.
9.2 Każda ze Stron może dokonać zmiany adresu kontak-
towego. Zmiana taka nie stanowi zmiany Umowy i jest
skuteczna z chwilą otrzymania odpowiedniego oświadczenia przez drugą Stronę.
10. Postanowienia końcowe
10.1 W przypadku gdy Strony zawarły uprzednio jakąkol- wiek umowę dotyczącą powierzenia przetwarzania danych osobowych w celu wykonania danej Umowy głównej, w związku z którą dochodzi do przetwarza- nia danych osobowych przez Zleceniobiorcę, umowa taka przestaje w całości obowiązywać z chwilą wejścia w życie Umowy. Tym samym Umowa zastępuje w ca- łości wszelkie uprzednio zawarte przez Strony umowy bądź klauzule dotyczące powierzenia przetwarzania danych osobowych zawarte w Umowach głównych, w związku z którymi dochodzi do przetwarzania danych osobowych przez Zleceniobiorcę.
10.2 Załączniki powołane w Umowie stanowią jej integralną część.
10.3 Wszelkie zmiany lub uzupełnienia w Umowie wyma- gają zachowania formy, w jakiej Umowa została za- warta, pod rygorem nieważności.
10.4 Ewentualne spory wynikłe na tle obowiązywania Umowy strony będą rozwiązywać polubownie na dro- dze konsultacji i negocjacji. W przypadku niepowo- dzenia konsultacji i negocjacji, o których mowa w zda- niu poprzednim, spory będą rozstrzygane przez sąd powszechny właściwy dla siedziby Zleceniobiorcy.
10.5 Umowa została sporządzona w formie dokumentowej za pośrednictwem środków komunikacji elektronicz- nej.
Załącznik 1 — Opis przetwarzania
1. Dane osobowe podlegające przetwarzaniu
1.1 Przetwarzaniu podlegają dane w postaci elektronicznej, zorganizowane w struktury baz danych, zarządzanych przez Zleceniobiorcę.
1.2 Przetwarzaniu podlegają dane o niżej wymienionych parametrach, w zależności od programu, z użyciem których realizowany jest dostęp do danych, jak następuje:
Kategorie podmiotów danych | Kategorie danych |
Mobile Touch/EBI Mobile/EBIK Mobile Vanselling/EBI Driver | |
osoby fizyczne • użytkownicy programu i inne osoby za-trudnione przez Zlecenio- dawcę, lub inny podmiot uprawniony do korzystania z programu, w tym sublicencjobiorcę • pracownicy sklepów lub dystrybutorów wskazani do kontaktów | imię i nazwisko oraz: adres: geograficzny, poczty elektronicznej, numer te- lefonu |
osoby fizyczne (w tym wspólnicy spółek osobowych) – przedsiębiorcy: • dystrybutorzy – kontrahenci Zleceniodawcy, • sklepy – klienci Zleceniodawcy lub klienci dystrybutorów | imię i nazwisko oraz: nazwa prowadzonej działalności gospodarczej (firma), adres: geograficzny, poczty elektronicznej, numer telefonu, NIP dane transakcyjne zawarte w bazie danych systemu in- formatycznego Zleceniodawcy |
Connector Enterprise/EBI Connector Enterprise | |
osoby fizyczne: • użytkownicy programu i jego operatorzy zatrud- nieni przez Zleceniodawcę, kontrahenta Zlecenio- dawcy (tj. dystrybutora) lub inny podmiot upraw- niony do korzystania z programu | imię i nazwisko oraz: adres: geograficzny, poczty elektronicznej, numer telefonu |
osoby fizyczne (w tym wspólnicy spółek osobowych) – przedsiębiorcy: • dystrybutorzy – kontrahenci Zleceniodawcy, • sklepy – klienci Zleceniodawcy lub klienci dystrybu- torów | imię i nazwisko oraz: nazwa prowadzonej działalności gospodarczej (firma), adres: geo- graficzny, poczty elektronicznej, numer telefonu, NIP dane transakcyjne zawarte w bazie danych systemu informatycznego Zleceniodawcy |
Connector abStore B2B/abStore Enterprise B2B/ platforma abStore , WAPRO B2B, WAPRO B2C | |
osoby fizyczne: • użytkownicy programu i jego operatorzy zatrud- nieni przez Zleceniodawcę, kontrahenta Zlecenio- dawcy (tj. dystrybutora) lub inny podmiot upraw- niony do korzystania z programu | imię i nazwisko oraz: adres: geograficzny, poczty elektronicznej, numer telefonu |
osoby fizyczne (w tym wspólnicy spółek osobowych) – przedsiębiorcy: • dystrybutorzy – kontrahenci Zleceniodawcy, • sklepy – klienci Zleceniodawcy lub klienci dystrybu- torów • przedsiębiorcy – klienci Zleceniodawcy (biura ra- chunkowego) | imię i nazwisko oraz: nazwa prowadzonej działalności gospodarczej (firma), adres: geo- graficzny, poczty elektronicznej, numer telefonu, NIP |
Xpertis ERP, Merit ERP, Retilia by Asseco, Asseco Softlab HR, Asseco Safo HR, KOMA HR, Asseco Softlab ERP, Asseco SAFO ERP, Wapro ERP, Wapro online, Xxxxx Xxxxxxxxxx online, QlikView, QlikSense, oraz usług outsourcingu płacowego oraz w przypadku konserwacji infrastruktury technicznej Zleceniodawcy, umożliwiającej dostęp do danych osobowych | |
Operatorzy programu | imię i nazwisko, firma, adres poczty elektronicznej, telefon |
Dłużnicy – osoby fizyczne | PESEL, NIP, imię i nazwisko, adres geograficzny i poczty elektronicznej, telefon, dane transakcyjne zawarte w bazie danych systemu informa- tycznego Zleceniodawcy |
Podwykonawcy zależni | PESEL, NIP, imię i nazwisko, adres geograficzny i poczty elektronicznej, telefon, dane transakcyjne zawarte w bazie danych systemu informa- tycznego Zleceniodawcy |
Pracownicy | imię i nazwisko, adres poczty elektronicznej, telefon, dane dotyczące zatrudnienia |
Członkowie rodzin pracowników | imię i nazwisko, data urodzenia, adres geograficzny i poczty elektro- nicznej, PESEL, stopień niepełnosprawności |
Kandydaci do pracy | imię i nazwisko, data urodzenia, adres geograficzny i poczty elektro- nicznej, telefon |
Spadkobiercy pracowników – osoby fizyczne | PESEL, imię i nazwisko, adres geograficzny i poczty elektronicznej |
Xpertis ERP, Merit ERP, Retilia by Asseco, Asseco Softlab HR, Asseco Safo HR, KOMA HR, Asseco Softlab ERP, Asseco SAFO ERP, Wapro ERP, Wapro online, Biuro Rachunkowe online, QlikView, QlikSense, Lotus Notes Linfo, Xpertis CRM Express, oraz usług outsourcingu płacowego oraz w przypadku konserwacji infrastruktury technicznej Zleceniodawcy, umożliwiającej dostęp do danych osobowych | |
Osoby do kontaktów po stronie kontrahentów | imię i nazwisko, firma, adres geograficzny i poczty elektronicznej, tele- fon |
Przedsiębiorcy – osoby fizyczne | PESEL, NIP, imię i nazwisko, adres geograficzny i poczty elektronicznej, telefon, dane transakcyjne zawarte w bazie danych systemu informa- tycznego Zleceniodawcy |
Business Link | |
Nabywcy i zbywcy uwidocznieni na fakturze – osoby fizyczne | NIP, imię i nazwisko, firma, adres geograficzny i poczty elektronicznej, telefon |
Outsourcing wykonywania obowiązku informacyjnego | |
przedsiębiorcy (w tym wspólnicy spó- łek osobowych) dokonujący sprzedaży detalicznej x.xx. produktów Xxxxxxxx- xxxxx | imię i nazwisko ,firma, NIP, XXXXX, adres geograficzny |
RODO Utility Online | |
Operatorzy programu | imię i nazwisko, firma |
Osoby (podmioty danych), o których informacje zgromadził Klient | PESEL, NIP, imię i nazwisko, firma, data urodzenia, adres: geograficzny, poczty elektro- nicznej, numer telefonu, informacje, jakich Klient udziela podmiotowi danych w odpowie- dzi na jego żądanie w wykonaniu przepisów art. 15–20 RODO |
2. Cele wykonania zobowiązań wynikających z danej Umowy głównej, w związku z którą dochodzi do przetwarzania danych osobo-
wych
2.1 wdrożenie dla Zleceniodawcy programu: Mobile Touch, Connector Enterprise, w tym uruchomienie programu na danych rzeczywi-
stych,
2.2 świadczenie usług serwisowych, utrzymania, nadzoru autorskiego dla wdrożonego programu: Mobile Touch, Connector Enterprise, w tym udostępnianie Zleceniodawcy funkcji programu zainstalowanego w infrastrukturze Zleceniobiorcy oraz świadczenie usług, mających na celu opiekę serwisową nad wdrożonym programem, określonych w danej Umowie głównej, w związku z którą do- chodzi do przetwarzania danych osobowych (outsourcing),
2.3 świadczenie usług serwisowych, utrzymania, nadzoru autorskiego dla wdrożonego programu: Asseco Softlab HR, Asseco Safo HR,
KOMA HR, Asseco Softlab ERP, Asseco SAFO ERP,
2.4 świadczenie usług pomocy technicznej dla programu Wapro ERP, w tym udostępniania Zleceniodawcy funkcji programu zainstalo-
wanego w infrastrukturze Zleceniobiorcy (outsourcing),
2.5 świadczenie usług utrzymania programów (opieki serwisowej) i pomocy technicznej nad wdrożonym programem dla programu: Xpertis ERP, Merit ERP, Retilia, Asseco Softlab HR, Asseco Safo HR, KOMA HR, Asseco Softlab ERP, Asseco SAFO ERP, Wapro ERP, Wapro online, Wapro B2C/B2B, Xpertis CRM Express, Qlik View, Qlik Sense, Biuro Rachunkowe online, w tym udostępnianie Zle- ceniodawcy funkcji programu zainstalowanego w infrastrukturze Zleceniobiorcy (hosting/outsourcing),
2.6 przeprowadzanie konserwacji infrastruktury technicznej Zleceniodawcy,
2.7 świadczenie usług outsourcingu płacowego w przypadku umowy obsługi kadrowo-płacowej przedsiębiorstwa Zleceniodawcy,
2.8 świadczenie usług outsourcingu wykonywania obowiązku informacyjnego Zleceniodawcy wobec podmiotów danych.
3. Czynności przetwarzania, dokonywane przez Zleceniobiorcę w zależności od programu, z użyciem którego dochodzi do przetwa-
rzania
konserwacja infrastruktury technicznej kontrahenta, umożliwiającej dostęp do danych osobowych | uzyskanie dostępu do systemu plików Zleceniodawcy, w których mogą być przechowywane dane osobowe |
Mobile Touch | utrwalanie, przechowywanie (w tym archiwizowanie) danych osobowych w bazach danych na serwerach Zleceniobiorcy, zdalne udostępnianie danych Zleceniodawcy poprzez odbieranie i wysyłanie komunikatów, zawierających dane osobowe, przez sieć internet, między zasobami obsługiwanymi przez program a punktem dostępu, wskazanym przez Zleceniodawcę w danej Umowie głównej |
Xpertis ERP, Merit ERP, Retilia, Asseco Softlab HR, Asseco Safo HR, KOMA HR, Asseco Softlab ERP, Asseco SAFO ERP, Wapro ERP, Wapro online, Biuro Rachunkowe online, Lotus Notes Linfo, Xpertis CRM Express, Qlik View, Qlik Sense, Business Link, RODO Utility Online | przeglądanie, utrwalanie i przechowywanie danych osobowych na serwerach Zleceniobiorcy, modyfikowanie, zdalne udostępnianie danych Klienta poprzez odbieranie i wysyłanie komunikatów, zawierających dane osobowe, przez sieć internet |
Connector Enterprise | utrwalanie, organizowanie, porządkowanie, dopasowywanie lub łączenie, przechowywanie (w tym archiwizowanie) danych osobowych w bazach danych na serwerach Zleceniobiorcy, zdalne udostępnianie danych Zleceniodawcy i jego kontrahentom (dystrybutorom) poprzez odbieranie i wysyłanie komunikatów, zawierających dane osobowe, przez sieć internet, między zasobami Zleceniodawcy i jego kontrahentów (dystrybutorów) obsługiwanymi przez program a punktami dostępu, wskazanymi przez Zleceniodawcę w danej Umowie głównej |
Connector abStore B2B, WAPRO B2B, WAPRO B2C | utrwalanie, organizowanie, porządkowanie, przechowywanie (w tym archiwizowanie) danych osobowych w bazach danych na serwerach Zleceniobiorcy, zdalne udostępnianie danych Zleceniodawcy i jego klientom, z wykorzystaniem komunikatów, zawierających dane osobowe przesyłanych przez sieć internet, między zasobami Zleceniodawcy i jego klientów obsługiwanymi przez program a punktami dostępu, wskazanymi przez Zleceniodawcę w danej Umowie głównej |
Outsourcing wykonywania obowiązku informacyjnego | pobieranie, przeglądanie, przechowywanie, modyfikowanie i aktualizowanie na podstawie powszechnie dostępnych źródeł (tj. CEiDG i GUS REGON), ujawnianie przez udostępnianie podmiotom trzecim, będącym podwykonawcami Zleceniobiorcy w zakresie przedmiotowej usługi |