Umowa powierzenia przetwarzania danych osobowych z dnia 25.05.2018 r.

Umowa powierzenia przetwarzania danych osobowych z dnia 25.05.2018 r.

Umowa zawierana jest pomiędzy Sunrise System sp. z o.o. sp. k., z siedzibą w Poznaniu, adres: Xxxx Xxxxxxx 0, 00-000 Xxxxxx, wpisaną do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy Poznań – Nowe Miasto i Wilda w Poznaniu, VIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr KRS 0000489705, reprezentowaną przez Komplementariusza, spółkę Sunrise System sp. z o.o. nr KRS 0000474969, (dalej: Przetwarzający) a Usługobiorcą (dalej: Administrator Danych Osobowych) zgodnie z art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) i określa warunki, na jakich Przetwarzający jest uprawniony do Przetwarzania danych osobowych w zakresie niezbędnym do realizacji Usługi, na udokumentowane polecenie Administratora Danych Osobowych. Administrator Danych Osobowych akceptując Regulamin świadczenia usługi Contact LEADer drogą elektroniczną, co jest równoznaczne z zawarciem umowy na świadczenie Usługi, zawiera z Przetwarzającym niniejszą umowę powierzenia przetwarzania danych osobowych, która stanowi jego integralną część.

§1. Definicje

1. Administrator Danych Osobowych – Usługobiorca,

2. Przetwarzający – Usługodawca,

3. Przetwarzanie danych osobowych – jakiekolwiek operacje wykonywane przez Przetwarzającego na powierzonych danych osobowych niezbędne w celu realizacji Usługi, w tym x.xx. ich zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,

4. RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),

5. Rozporządzenie MSWiA - rozporządzenie Ministerstwa Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzanych danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024),

6. Umowa – niniejsza umowa,

7. Usługa – usługa Contact LEADer świadczona przez Przetwarzającego na rzecz Administratora Danych Osobowych zgodnie z Regulaminem świadczenia usługi Contact LEADer drogą elektroniczną,

8. Ustawa – ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych z późn. zm.,

9. EOG - Europejski Obszar Gospodarczy zdefiniowany w Porozumieniu o Europejskim Obszarze Gospodarczym (Dz. U. UE L z. dnia 3 stycznia 1994r. z późn. zm.),

10. Przekazywanie danych osobowych do Państwa Trzeciego - przetwarzanie przez Przetwarzającego danych osobowych poza EOG za pośrednictwem Innego Podmiotu Przetwarzającego,

11. Inny Podmiot Przetwarzający - oznacza podmiot, z którego usług korzysta Przetwarzający przy wykonywaniu praw i obowiązków określonych w Umowie, w zakresie niezbędnym do realizacji Usługi, który będzie miał dostęp do danych osobowych,

12. Zbiór danych – posiadający strukturę zestaw danych osobowych wskazany w §2 ust.2.

§2. Zakres i cel powierzenia przetwarzania danych

1. Administrator Danych Osobowych, działając na podstawie art. 28 ust. 3 RODO i art. 31 ust. 1 Ustawy, powierza Przetwarzającemu Przetwarzanie danych osobowych zawartych w Zbiorze danych na obszarze EOG, w zakresie koniecznym do prawidłowego wykonania Usługi na rzecz Administratora Danych Osobowych, a Przetwarzający powierzenie przetwarzania danych osobowych przyjmuje na udokumentowane polecenie Administratora Danych Osobowych, na warunkach określonych w Umowie.

2. Zbiór danych – zakres powierzenia danych osobowych:

1. Kategorie osób, których dane dotyczą:

a. Internauci korzystający z widgetu Contact Leader

b. Użytkownicy (Administratora Danych Osobowych) zarządzający Usługą Contact LEADer i/lub wydelegowani do kontaktu z Internautami

2. Rodzaje danych osobowych:

a. Numer telefonu Internauty/Użytkownika

b. Adres IP Internauty/Użytkownika

c. Imię, nazwisko, adres e-mail i opcjonalnie zdjęcie Użytkownika

d. dane osobowe przekazywane w trakcie rozmów telefonicznych zarejestrowane na materialnych nośnikach danych Administratora, jeżeli są przechowywane przez Przetwarzającego w systemach zintegrowanych z Usługą.

3. Obszar, na którym przetwarzane będą dane osobowe: Europejski Obszar Gospodarczy.

3. Administrator Danych Osobowych, działając na podstawie art. 28 ust. 2 RODO wyraża ogólną zgodę na korzystanie przez Przetwarzającego z usług Innych Podmiotów Przetwarzających przy Przetwarzaniu danych osobowych, w tym na Przekazywanie danych osobowych do Państwa Trzeciego na warunkach wskazanych w §3.

4. Celem powierzenia Przetwarzania danych osobowych przez Przetwarzającego jest realizacja Usługi.

§3. Podpowierzenie

1. Przetwarzający może powierzyć konkretne operacje przetwarzania Zbioru danych („podpowierzenie”) w drodze umowy podpowierzenia Innym Podmiotom Przetwarzającym, zgodnie z którą Inny Podmiot Przetwarzający będzie zobowiązany do spełnienia obowiązków wskazanych w niniejszej Umowie, z uwzględnieniem przedmiotu i zakresu konkretnego podpowierzenia, w szczególności w zakresie stosowania środków technicznych i organizacyjnych, które będą odpowiednie do rodzaju podpowierzonego Zbioru danych oraz ryzyka naruszenia praw osób, których dane osobowe dotyczą.

2. Administrator Danych Osobowych ma prawo wyrażenia sprzeciwu wobec powierzenia Przetwarzania danych osobowych przez Przetwarzającego Innemu Podmiotowi Przetwarzającemu, w terminie 7 dni od daty powiadomienia Administratora Danych Osobowych przez Przetwarzającego o planowanym podpowierzeniu. Sprzeciw powinien zostać złożony w formie pisemnej i zostanie przesłany na adres e-mail wskazany w §9 ust 4b.

§4. Oświadczenia Administratora

1. Administrator Danych Osobowych oświadcza, iż jest Administratorem danych zawartych w Zbiorze danych i powierzonych Przetwarzającemu, a także jest uprawniony do ich przetwarzania w zakresie w jakim powierzył je Przetwarzającemu.

2. Administrator Danych Osobowych oświadcza, iż prowadzi rejestr czynności przetwarzania.

3. Administrator Danych Osobowych oświadcza, że powierza Przetwarzającemu dane osobowe zawarte w Zbiorze danych zgodnie z obowiązującymi przepisami prawa.

4. Administrator Danych Osobowych oświadcza, że będzie tworzył kopie zapasowe Zbioru danych powierzonych Przetwarzającemu.

§5. Oświadczenia Przetwarzającego

1. Przetwarzający oświadcza, że będzie przetwarzał powierzone dane osobowe zawarte w Zbiorze danych przy wykorzystaniu systemów informatycznych w okresie trwania Usługi.

2. Przetwarzający oświadcza, że będzie wykorzystywał dane osobowe wyłącznie w celu i zakresie określonym w Umowie.

§6. Zabezpieczenie przetwarzanych danych osobowych

1. Przetwarzający zobowiązuje się podjąć środki zabezpieczające przetwarzanie danych osobowych w zakresie określonym w Ustawie, w szczególności w art. 36-39 oraz wymagane na podstawie art. 32 RODO, a w szczególności zobowiązuje się do:

a. zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, zmianami, uszkodzeniem lub zniszczeniem,

b. dopuszczenia do przetwarzania powierzonych danych osobowych wyłącznie osób posiadających wydane przez niego upoważnienie,

c. zapewnienia kontroli nad prawidłowością przetwarzania powierzonych danych osobowych,

d. prowadzenia ewidencji osób upoważnionych do przetwarzania powierzonych danych osobowych, dochowania szczególnej staranności, aby osoby upoważnione do przetwarzania tych danych zachowały je w tajemnicy, również po zakończeniu realizacji Umowy, między innymi poprzez poinformowanie ich o prawnych konsekwencjach naruszenia poufności danych oraz odebranie oświadczeń o obowiązku zachowania w tajemnicy tych danych,

e. prowadzenia dokumentacji opisującej sposób przetwarzania powierzonych danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzania tych danych, w tym w szczególności Politykę Bezpieczeństwa Danych Osobowych oraz Instrukcję Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych,

2. Przetwarzający zobowiązuje się zastosować zalecenia dotyczące poprawy jakości zabezpieczenia danych osobowych oraz sposobu ich przetwarzania, sformułowane w wyniku kontroli przeprowadzonej przez Administratora Danych Osobowych.

3. Przetwarzający zobowiązuje się do zapewnienia aby urządzenia i systemy informatyczne, służące do przetwarzania powierzonych danych osobowych, były zgodne z wymogami Rozporządzenia MSWiA.

4. W przypadku stwierdzenia naruszenia ochrony danych osobowych Przetwarzający podejmuje niezwłocznie wszystkie niezbędne środki techniczne i organizacyjne w celu zaradzenia naruszeniu ochrony danych osobowych i zminimalizowania jego ewentualnych negatywnych konsekwencji.

5. Przetwarzający zobowiązuje się do zgłaszania Administratorowi Danych Osobowych zaistnienia zdarzenia istotnie zagrażającego naruszeniu albo skutkującego naruszeniem ochrony danych osobowych bez zbędnej zwłoki na adres e-mail wskazany w §9 ust. 4a, nie później niż w terminie 48 godzin po stwierdzeniu zdarzenia.

6. Przetwarzający zobowiązuje się do poinformowania Administratora Danych Osobowych o fakcie przeprowadzenia czynności kontrolnych przez Urząd Ochrony Danych Osobowych dotyczących Zbioru danych, nie później niż w terminie 48 godzin od zakończenia przeprowadzenia czynności, na adres e-mail wskazany w §9 ust. 4a.

7. Przetwarzający i Administrator Danych Osobowych zobowiązani są niezwłocznie powiadamiać drugą stronę o wszelkich skargach, pismach, kontrolach organu nadzoru, postępowaniach administracyjnych i sądowych pozostających w związku z powierzonymi danymi osobowymi na adresy e-mail wskazane w §9 oraz współdziałać w tym zakresie.

8. Przetwarzający biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga Administratorowi Danych Osobowych poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.

9. Przetwarzający uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Administratorowi Danych Osobowych wywiązać się z obowiązków określonych w art. 32–36 RODO.

§7. Obowiązki i prawa Administratora

1. Administrator Danych Osobowych zobowiązany jest wdrażać odpowiednie środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, w zakresie określonym w Ustawie, w szczególności w art. 36-39 oraz wymagane na podstawie art. 32 RODO.

2. Przetwarzający zobowiązuje się do udostępnienia Administratorowi Danych Osobowych informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO przeprowadzenia z wyłączeniem udzielenia dostępu do informacji zawierających tajemnicę przedsiębiorstwa, w szczególności umożliwi Administratorowi Danych Osobowych lub audytorowi upoważnionemu przez Administratora Danych Osobowych przeprowadzanie audytów, w tym inspekcji po uprzednim zawiadomieniu, zawierającemu informację o terminie jego przeprowadzenia.

3. Audytorem upoważnionym przez Administratora Danych Osobowych będzie osoba wskazana przez Administratora Danych Osobowych, która zostanie następnie zaakceptowana przez Przetwarzającego. Audytorem nie może być osoba, która prowadzi albo prowadziła działalność konkurencyjną w stosunku do Przetwarzającego oraz podmiotów Grupy Kapitałowej Xxxxx Media Group.

4. Jeżeli przeprowadzenie audytu nie będzie możliwe w terminie wskazanym przez Administratora Danych Osobowych, o którym mowa w ust. 2 niniejszego paragrafu, z uwagi na liczbę audytów zgłoszonych przez innych klientów, Przetwarzający poinformuje Administratora Danych Osobowych o pierwszym możliwym terminie przeprowadzenia audytu. Informacja zostanie przekazana na adres e-mail Administratora Danych Osobowych wskazany w §9 ust. 4a.

5. Audyt zostanie zakończony podpisaniem przez obie Strony protokołu. Protokół będzie zawierał wnioski oraz uzgodniony przez obie Strony zakres ewentualnych zmian w zakresie Przetwarzania danych osobowych przez Przetwarzającego.

6. Administrator Danych Osobowych we własnym zakresie ponosi wszelkie koszty przeprowadzenia audytu.

§8. Czas trwania i wypowiedzenie Umowy

1. Umowa zostaje zawarta na czas określony od dnia zawarcia niniejszej Umowy do zakończenia współpracy stron w zakresie realizacji Usługi (rozumianej jako usunięcie konta w ramach świadczenia Usługi na życzenie Administratora lub po określonym w Regulaminie świadczenia usługi Contact LEADer drogą elektroniczną czasie nieaktywności na koncie).

2. Po zakończeniu świadczenia Usługi zależnie od decyzji Administratora Danych Osobowych w terminie 14 dni od dnia zakończenia świadczenia Usługi, Przetwarzający usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.

§9. Przepisy końcowe

1. Niniejsza umowa wchodzi w życie z dniem jej zawarcia.

2. W przypadku sporu sądem właściwym miejscowo będzie sąd w Poznaniu.

3. Wszelkie zmiany w treści Umowy wymagają formy pisemnej w postaci aneksu do Umowy pod rygorem nieważności.

4. Strony ustalają, że podczas realizacji Umowy będą ze sobą współpracować informując się wzajemnie o wszystkich okolicznościach mających lub mogących mieć wpływ na wykonanie Umowy.

a. Osobą kontaktową ze strony Administratora jest Użytkownik.

b. Osobą kontaktową ze strony Przetwarzającego jest Xxxxxxxxxx Xxxxxxxxx, tel. 00 000 00 00, email: xxx@xxxxxxxxxxxxx.xx

5. Strony przyjmują, że w przypadku uchylenia w całości albo części Ustawy lub Rozporządzenia MSWiA, Strony nie będą zobowiązane do spełnienia wymogów tam wskazanych, a wszelkie odniesienia do Ustawy lub Rozporządzenia MSWiA wskazane w niniejszej Umowie, będą w miarę możliwości traktowane jako odniesienia do odpowiednich przepisów RODO.

6. Nieskuteczność, nieważność lub niemożliwość wykonania poszczególnych postanowień niniejszej Umowy nie narusza skuteczności pozostałych postanowień. Strony zobowiązują się do zastąpienia nieskutecznego, nieważnego lub niewykonalnego postanowienia skutecznym i wykonalnym postanowieniem możliwie jak najbardziej zbliżonym do pierwotnie zakładanego celu.