Contract
GRUPA AZOTY POLYOLEFINS S.A. oraz [NAZWA PODMIOTU PRZETWARZAJĄCEGO] |
POROZUMIENIE W SPRAWIE PRZETWARZANIA DANYCH OSOBOWYCH
Niniejsze porozumienie z dnia [•], zostało zawarte dnia [•] roku w [•] pomiędzy:
(1) Grupa Azoty Polyolefins S.A. z siedzibą w Policach przy xx. Xxxxxxxxxx 0, 00-000 Xxxxxx, wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Przedsiębiorców prowadzonego przez Sąd Rejonowy Szczecin-Centrum w Szczecinie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS 0000577195, XXX 0000000000, REGON 362562393, o kapitale zakładowym w wysokości 467 339 000,00 złotych, opłaconym w całości, reprezentowaną przez:
…………………………………………………
………………………………………………..
(2) [NAZWA PODMIOTU PRZETWARZAJĄCEGO], z siedzibą w [•], adres: [•], wpisaną do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla [•], [•] Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS [•], posiadającą numer NIP: [•] oraz REGON [•], o kapitale zakładowym w wysokości [•] [w całości wpłaconym]
/
prowadzącym działalność gospodarczą pod firmą [•], pod adresem [•], posiadającym numer NIP [•] , reprezentowaną przez
………………………………………..
………………………………………..
(dalej łącznie zwanymi „Stronami”).
Zważywszy, że:
(A) W dniu [data] roku Strony zawarły umowę nr ….., zgodnie z którą [NAZWA PODMIOTU PRZETWARZAJĄCEGO] (dalej zwany „Przetwarzającym”) świadczy na rzecz GA Polyolefins (dalej zwanej „Administratorem”) usługi Certyfikacji Zintegrowanego Systemu Zarządzania w oparciu o wymagania normy PN-EN ISO 14001:2015-09, PN-ISO 45001:2018-06 (dalej zwaną „Umową”),
(B) W ramach Umowy Administrator powierzył Przetwarzającemu do przetwarzania dane osobowe w celach związanych z wykonaniem Umowy,
(C) Od dnia 25 maja 2018 r. stosowane jest Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej zwane
„RODO”),
(D) W związku z powyższym, Xxxxxx postanowiły zawrzeć niniejsze porozumienie w celu realizacji obowiązków wynikających z RODO.
Strony niniejszym postanawiają, co następuje:
§ 1
1. Administrator powierza Przetwarzającemu przetwarzanie danych osobowych
następujących kategorii osób fizycznych: pracowników GA Polyolefins (dalej zwanych
„Podmiotami danych”), kontrahentów Administratora w celach związanych z wykonaniem Umowy, przez cały okres jej trwania. Powierzenie przetwarzania dotyczy następujących rodzajów danych osobowych: imię, nazwisko, stanowisko, numer telefonu, adres e-mail.
2. Przetwarzanie danych osobowych przez Przetwarzającego odbywa się przez sporządzanie dokumentacji, raportów, korespondencji mailowej, archiwizowanie dokumentów u Przetwarzającego.
§ 2
1. Przetwarzający powinien stosować się do udokumentowanych instrukcji Administratora dotyczących przetwarzania danych osobowych. Z zastrzeżeniem ust. 2 poniżej, instrukcje te mogą być wydane drogą pisemną na adres korespondencyjny lub mailową na adres poczty elektronicznej Przetwarzającego wskazane w § 16.
2. W uzasadnionych sytuacjach instrukcje mogą być wydane ustnie lub drogą telefoniczną.
3. Przetwarzający jest zobowiązany informować Administratora w sposób określony w ust. 1 oraz 2 powyżej, jeżeli zdaniem Przetwarzającego wydane mu polecenie stanowi naruszenie przepisów RODO lub innych właściwych przepisów dotyczących ochrony danych osobowych.
§ 3
Przetwarzający zobowiązuje się, iż osoby upoważnione do przetwarzania danych osobowych będą posiadały imienne upoważnienia do przetwarzania danych osobowych w określonym zakresie oraz będą zobowiązane do zachowania w tajemnicy wszelkich informacji uzyskanych w związku z przetwarzaniem danych osobowych.
§ 4
1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, Przetwarzający wdroży odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
2. Szczegółowy wykaz wdrożonych środków organizacyjnych i technicznych na moment zawarcia niniejszego Porozumienia określa Załącznik nr 1 do Porozumienia.
3. Przetwarzający zobowiązany jest do dokonywania - przynajmniej raz do roku – przeglądu stosowanych środków wraz z oceną ich skuteczności.
4. Jeżeli Przetwarzający będzie zamierzał wdrożyć środki, które mogą potencjalnie obniżyć poziom bezpieczeństwa danych osobowych, zobowiązany jest powiadomić o tym Administratora przynajmniej na dwa (2) tygodnie przed wdrożeniem takich środków drogą pisemną na adres korespondencyjny lub mailową na adres poczty elektronicznej Administratora wskazane w § 16.
§ 5
Przetwarzający w czasie trwania Umowy, uwzględniając charakter przetwarzania oraz dostępne mu informacje, będzie pomagał Administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO. W szczególności, Przetwarzający zobowiązany jest do:
a) zgłaszania Administratorowi każdego przypadku naruszenia bezpieczeństwa prowadzącego do niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez Przetwarzającego („Naruszenie”) w ciągu 24 godzin od stwierdzenia takiego Naruszenia drogą pisemną na adres korespondencyjny lub mailową na adres poczty elektronicznej Administratora wskazane w § 16. Zgłoszenie powinno uwzględniać wszystkie informacje, o których mowa w art. 33 ust. 3 RODO. Jeżeli – i w zakresie, w jakim informacji nie da się udzielić w tym samym czasie, Przetwarzający może ich udzielać sukcesywnie bez zbędnej zwłoki;
b) przekazywania Administratorowi wszelkich informacji niezbędnych do wywiązania się z obowiązku zawiadamiania Podmiotów danych o Naruszeniu;
c) udzielania wsparcia Administratorowi przy przeprowadzaniu oceny skutków dla ochrony danych, w tym poprzez udzielanie odpowiednich informacji o zastosowanych środkach ochrony danych; oraz
d) udzielania wsparcia Administratorowi przy konsultacjach z organem nadzorczym, poprzez przedstawianie Administratorowi informacji, o których mowa w art. 36 ust. 3 RODO.
§ 6
Przetwarzający w czasie trwania Umowy, biorąc pod uwagę charakter przetwarzania, będzie w miarę możliwości pomagał Administratorowi, poprzez zastosowanie odpowiednich środków technicznych i organizacyjnych, wywiązać się z obowiązku odpowiadania na żądania Podmiotów danych, w zakresie wykonywania ich praw określonych w rozdziale III RODO, w tym prawa dostępu do danych. W szczególności, Przetwarzający jest zobowiązany do niezwłocznego udzielania Administratorowi informacji niezbędnych do udzielenia odpowiedzi Podmiotom danych.
§ 7
1. Przetwarzający zobowiązany jest informować Administratora o:
a) zapytaniach, wnioskach lub żądaniach pochodzących od Podmiotów danych oraz innych osób fizycznych, krajowych lub unijnych organów administracji publicznej, w tym odpowiednich organów nadzoru oraz od sądów; a także o
b) wszelkich kontrolach lub inspekcjach ze strony takich organów
związanych z powierzeniem przetwarzania danych osobowych na podstawie
niniejszego Porozumienia.
2. Informacja, o której mowa w ustępie poprzedzającym, powinna zostać udzielona niezwłocznie w taki sposób, aby umożliwić Administratorowi wywiązanie się z obowiązków ciążących na nim jako na administratorze danych, lecz nie później niż w
ciągu 24 godzin od doręczenia Przetwarzającemu zapytania, wniosku lub żądania lub rozpoczęcia kontroli lub inspekcji.
§ 8
1. Dalsze powierzenie przez Przetwarzającego przetwarzania danych osobowych podmiotom trzecim (podpowierzenie) wymaga uprzedniego powiadomienia Administratora w formie pisemnej na adres korespondencyjny lub drogą mailową na adres poczty elektronicznej Administratora, wskazane w § 16.
2. Powiadomienie powinno zostać wysłane najpóźniej na dwa (2) miesiące przed planowanym zaangażowaniem podmiotu trzeciego jako innego podmiotu przetwarzającego dane osobowe. Administrator ma prawo wyrazić sprzeciw wobec korzystania z takiego podmiotu przez Przetwarzającego. Sprzeciw powinien zostać wyrażony najpóźniej na miesiąc przed planowanym zaangażowaniem podmiotu trzeciego jako innego podmiotu przetwarzającego dane osobowe.
3. W przypadku naruszenia przez Przetwarzającego postanowień ust. 1 lub 2 powyżej lub wyrażenia przez Administratora sprzeciwu wobec zaangażowania podmiotu trzeciego jako innego przetwarzającego, należy uznać, iż Administrator nie wyraził zgody na korzystanie z usług takiego podmiotu, o której mowa w art. 28 ust. 2 RODO.
§ 9
1. Administrator ma prawo do przeprowadzenia kontroli przetwarzania danych osobowych przez Przetwarzającego oraz inne podmioty przetwarzające dane osobowe na zlecenie („Kontrola”).
2. Kontrola może być przeprowadzona przez Administratora bądź upoważniony przez
niego podmiot trzeci.
3. Kontrola może w szczególności dotyczyć sprawdzenia organizacyjnych oraz technicznych środków ochrony danych osobowych wdrożonych przez Przetwarzającego lub inne podmioty przetwarzające dane osobowe, a także sposobów przetwarzania danych oraz ich zgodności z Umową i Porozumieniem.
4. Przetwarzający obowiązany jest:
a) poddać się Kontroli, w tym poprzez umożliwienie Administratorowi lub osobie przez niego wskazanej dostępu do pomieszczeń, w których przetwarzane są dane osobowe;
b) wyznaczyć - po stronie Przetwarzającego - osobę do kontaktu w sprawach
Kontroli;
c) udzielać Administratorowi wszelkich niezbędnych wyjaśnień w trakcie i po zakończeniu Kontroli.
5. Administrator powinien zawiadomić Przetwarzającego lub inne podmioty przetwarzające dane osobowe o zamiarze przeprowadzenia Kontroli, nie później niż na 7 dni przed jej przeprowadzeniem, w formie pisemnej na adres korespondencyjny lub drogą mailową na adres poczty elektronicznej Administratora wskazane w § 16. Obowiązek ten nie dotyczy sytuacji, w których kontrola jest przeprowadzana w związku z przypadkiem Naruszenia.
6. Przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.
§ 10
Przetwarzający zapewni, aby na podmioty, którym Przetwarzający podpowierzył przetwarzanie danych osobowych, zostały nałożone te same obowiązki ochrony danych, jakie niniejsze Porozumienie nakłada na Przetwarzającego. W szczególności, Przetwarzający zapewni, aby każdy podmiot, któremu Przetwarzający podpowierzył przetwarzanie danych osobowych, wdrożył odpowiednie środki techniczne i organizacyjne ochrony danych osobowych oraz poddał się Kontroli.
§ 11
1. W przypadku, gdyby powierzenie przetwarzania danych osobowych w oparciu o niniejsze Porozumienie wymagało przekazania danych do państwa spoza Europejskiego Obszaru Gospodarczego lub organizacji międzynarodowej, w stosunku do których Komisja Europejska nie wydała decyzji stwierdzającej zapewnianie odpowiedniego stopnia ochrony w rozumieniu art. 45 ust. 1 i 2 RODO, Strony przed dokonaniem takiego przekazania zapewnią przyjęcie odpowiednich mechanizmów zabezpieczeń danych osobowych.
2. Mechanizmy zabezpieczeń, o których mowa w ustępie poprzedzającym, mogą mieć w szczególności postać standardowych klauzul umownych przyjętych lub zatwierdzonych przez Komisję Europejską.
§ 12
1. Po zakończeniu świadczenia usług na podstawie Umowy, zależnie od decyzji Administratora, Przetwarzający w ciągu 14 dni usunie lub zwróci Administratorowi wszelkie dane osobowe przetwarzane na zlecenie Administratora oraz usunie wszelkie ich istniejące kopie, chyba że prawo Unii Europejskiej lub prawo polskie będzie nakazywało przechowywanie takich danych osobowych. Powyższe nie dotyczy danych osobowych, które Przetwarzający będzie przetwarzał jako administrator danych osobowych.
2. Przetwarzający sporządzi i przekaże Administratorowi protokół z czynności usunięcia lub zwrotu danych osobowych przetwarzanych na zlecenie Administratora, w którym określi w szczególności:
a) datę (daty) wykonania czynności usunięcia lub zwrotu danych;
b) zakres usuniętych danych;
c) informację, czy Przetwarzający zachował częściowo lub w całości dane osobowe dla innych celów, które realizuje jako administrator tych danych.
§ 13
1. Naruszenie postanowień niniejszego Porozumienia przez Przetwarzającego stanowi podstawę do rozwiązania Umowy przez Administratora bez zachowania okresu wypowiedzenia.
2. Postanowienia ustępu poprzedzającego nie naruszają odpowiednich postanowień Umowy dotyczących możliwości rozwiązania, wypowiedzenia lub odstąpienia od Umowy przez Administratora.
§ 14
1. Przetwarzający zobowiązuje się do prowadzenia rejestru wszystkich kategorii czynności przetwarzania danych osobowych dokonywanych w imieniu Administratora.
2. Rejestr kategorii czynności przetwarzania obejmować powinien co najmniej
informacje wskazane w art. 30 ust. 2 RODO, w tym w szczególności:
a) imię i nazwisko lub nazwę oraz dane kontaktowe Przetwarzającego oraz Administratora, w imieniu którego działa Przetwarzający, a gdy ma to zastosowanie – przedstawiciela Administratora lub Przetwarzającego oraz inspektora ochrony danych;
b) kategorie przetwarzań dokonywanych w imieniu Administratora;
c) gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentację odpowiednich zabezpieczeń;
d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.
3. Przetwarzający prowadzić będzie rejestr, o którym mowa w tym paragrafie, w formie
pisemnej lub elektronicznej.
4. Przetwarzający zobowiązuje się do udostępniania rejestru na żądanie Administratora lub organu nadzorczego, najpóźniej w ciągu 7 dni od otrzymania odpowiedniego żądania od Administratora.
§ 15
Przetwarzający zwalnia Administratora z wszelkiej odpowiedzialności oraz przejmuje wszelkie ryzyka powstałe lub mogące powstać po stronie Administratora w związku z przetwarzaniem danych osobowych przez Przetwarzającego lub podmioty, którym Przetwarzający podpowierzył przetwarzanie danych niezgodnie z postanowieniami niniejszego Porozumienia. Zwolnienie z odpowiedzialności oznacza w szczególności, iż Przetwarzający jest zobowiązany do:
a) zaspokojenia wszelkich roszczeń osób trzecich w stosunku do Administratora, w szczególności roszczeń odszkodowawczych Podmiotów danych, związanych z faktem przetwarzania danych osobowych przez Przetwarzającego lub podmioty, którym Przetwarzający podpowierzył przetwarzanie danych niezgodnie z postanowieniami niniejszego Porozumienia, a jeśli takie roszczenia zostały zaspokojone przez Administratora – do zwrotu Administratorowi równowartości takich roszczeń wraz z odsetkami;
b) pokrycia kosztów kar, grzywien, opłat i innych tego rodzaju świadczeń, do uiszczenia których może być zobowiązany Administrator lub jego pracownicy, względnie osoby z nim współpracujące, nałożonych lub zasądzonych ze względu na okoliczności związane z przetwarzaniem danych osobowych przez Przetwarzającego lub podmioty,
którym Przetwarzający podpowierzył przetwarzanie danych niezgodnie z
postanowieniami niniejszego Porozumienia; oraz
c) pokrycia wszelkich kosztów poniesionych przez Administratora w celu zapobieżenia powstaniu obowiązku zaspokojenia roszczeń, o których mowa w punkcie a) powyżej, oraz świadczeń, o których mowa w punkcie b) powyżej, w tym kosztów obsługi prawnej.
§ 16
Wszelkie ustalenia pomiędzy Stronami dotyczące niniejszego Porozumienia będą
kierowane w poniższy sposób:
a) do Przetwarzającego:
• pisemnie na adres korespondencyjny [adres korespondencyjny
Przetwarzającego] lub
• telefonicznie na numer kontaktowy [numer telefonu Przetwarzającego] lub
• pocztą elektroniczną na adres e-mail [adres e-mail Przetwarzającego].
b) do Administratora:
• pisemnie na adres korespondencyjny Grupa Azoty Polyolefins S.A., xx.
Xxxxxxxx 0, 00-000 Xxxxxx lub
• telefonicznie na numer kontaktowy Xxxxx Xxxxx x00 000000000 lub
• pocztą elektroniczną na adres e-mail Xxxxx.Xxxxx@xxxxxxxxxx.xxx.
§ 17
1. Obowiązki nałożone na Przetwarzającego na podstawie niniejszego Porozumienia Przetwarzający wykonuje bez prawa do dodatkowego wynagrodzenia przekraczającego wynagrodzenie na podstawie Umowy, jeżeli jest ono należne.
2. Porozumienie sporządzono w dwóch egzemplarzach, po jednym dla każdej ze Stron.
3. Porozumienie rozpoczyna obowiązywać w momencie rozpoczęcia obowiązywania
Umowy.
4. Porozumienie ulega rozwiązaniu najpóźniej w momencie zakończenia obowiązywania Umowy. Nie narusza to obowiązków Administratora lub Przetwarzającego, które znajdują zastosowanie także po rozwiązaniu Umowy.
5. Porozumienie zastępuje wszelkie inne wcześniejsze umowy, porozumienia oraz ustalenia pomiędzy Stronami dotyczące ochrony danych osobowych w związku z wykonaniem Umowy.
6. W przypadku rozbieżności lub konfliktów pomiędzy postanowieniami poszczególnych umów, Xxxxxx obowiązuje następująca kolejność pierwszeństwa:
a. standardowe klauzule umowne, o których mowa w § 11, jeśli zostały
zawarte,
b. niniejsze Porozumienie,
c. Umowa.
7. W sprawach nieuregulowanych niniejszym Porozumieniem zastosowanie mają przepisy
Kodeksu cywilnego oraz RODO.
8. Strony zobowiązują się dążyć do rozwiązywania wszelkich sporów wynikających z niniejszego Porozumienia w drodze polubownej. W braku porozumienia wszelkie spory rozstrzygać będzie sąd właściwy dla siedziby Administratora.
9. Wszelkie zmiany i uzupełnienia niniejszego Porozumienia wymagają zachowania formy pisemnej pod rygorem nieważności.
Załącznikiem do niniejszego Porozumienia jest:
Załącznik Nr 1 – Środki organizacyjne i techniczne ochrony danych osobowych.
Podpis osoby upoważnionej do reprezentowania Administratora
Podpis osoby upoważnionej do reprezentowania Przetwarzającego
ZAŁĄCZNIK NR 1
ŚRODKI ORGANIZACYJNE I TECHNICZNE OCHRONY DANYCH OSOBOWYCH
Środki organizacyjne ochrony danych osobowych przyjęte przez Przetwarzającego:
1. Przesyłanie drogą poczty elektronicznej lub przekazywanie na elektronicznym nośniku danych dowolnych fragmentów lub całych dokumentów/plików przetwarzanych w ramach zawartej pomiędzy Stronami Umowy Głównej i Umowy, zawierających Dane Osobowe do osób uczestniczących w ich przetwarzaniu ze strony Powierzającego i Przetwarzającego odbywa się przy zastosowaniu haseł zabezpieczających, zapewniających ochronę przed nieautoryzowanym dostępem do treści i zawartości ww. dokumentów/plików. Strona odbierająca wiadomość e- mail lub elektroniczny nośnik zobowiązana jest do potwierdzenia ich odbioru Xxxxxxx wysyłającej (przekazującej). W przypadku wysyłki wiadomości/przekazania elektronicznego nośnika informacji zawierających Informacje Chronione w formie plików/katalogów (Strony zobowiązują się nie przesyłać Informacji Chronionych w sposób jawnie podany w treści wiadomości e-mail), obligatoryjnie należy ww. pliki/katalogi zabezpieczyć kryptograficznie oprogramowaniem np. WinRAR/ 7-zip z algorytmem szyfrującym. Hasło w postaci co najmniej ośmioznakowego kodu alfanumerycznego (z zastosowaniem co najmniej 3 spośród 4 grup znaków – mała litera, wielka litera, cyfra, znak specjalny), ustalane jest pomiędzy osobami wysyłającymi/przekazującymi i odbierającymi informacje i podawane niezależnym kanałem transmisji informacji (np. telefonicznie lub za pośrednictwem wiadomości sms). Przesyłanie informacji może odbywać się pomiędzy systemami poczty elektronicznej wyłącznie administrowanymi przez Strony Porozumienia bądź administrowanymi przez podmioty zewnętrzne, świadczące usługi w tym zakresie na rzecz Stron, z wyłączeniem ogólnodostępnych portali Internetowych (np. ….@xxxx.xx, ……@xx.xx) oraz serwerów pocztowych stron trzecich.
2. Strony zobowiązują się wdrożyć na własny koszt oraz stosować uzgodnione w ramach Umowy procedury, zabezpieczenia fizyczne, organizacyjne i technologiczne (w tym zabezpieczenia chroniące przed działaniem szkodliwego oprogramowania), zapewniające ochronę tych spośród własnych zasobów teleinformatycznych, które uczestniczą bezpośrednio lub pośrednio w procesie przetwarzania Danych Osobowych udostępnianych wzajemnie przez Strony. Stosowane przez Strony procedury i zabezpieczenia muszą być adekwatne do występujących zagrożeń dla bezpieczeństwa Danych Osobowych, w tym uniemożliwiać dostęp osobom nieuprawnionym do ww. zasobów własnych Stron, a także zapobiegać obniżaniu istniejącego u każdej ze Stron poziomu bezpieczeństwa teleinformatycznego.