Umowa powierzenia przetwarzania danych osobowych

Załącznik nr 1 do Regulaminu

Umowa powierzenia przetwarzania danych osobowych

(„Umowa”)

zawarta przez i pomiędzy:

TWÓJPSYCHOLOG sp. z o.o. z siedzibą w Gdańsku, przy xx. Xxxxxxxxxxx 00 xxx. 0, 00-000 Xxxxxx, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy Gdańsk-Północ w Gdańsku, VII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000905171, o numerze identyfikacji podatkowej (NIP): 5842803417, REGON: 388505328, o kapitale zakładowym 19.900,00 zł opłaconym w całości – Usługodawcą Serwisu xxxxx://xxxxxxxxxxxxx.xx,

zwaną dalej „Administratorem”; a

Profesjonalistą w rozumieniu §1 ust. 1 lit. (f) Regulaminu, zwanym dalej: „Przetwarzającym”,

zwanymi dalej łącznie: „Stronami” a indywidualnie „Stroną”.

ZWAŻYWSZY, ŻE:

(A) Strony zawarły Umowę, o której mowa w §1 ust. 3 lit. (p) Regulaminu (dalej: „Umowa Podstawowa”), w wykonaniu której Administrator powierza Przetwarzającemu dane osobowe na zasadach opisanych w Umowie;

(B) Od dnia 25 maja 2018 roku Strony zobowiązane są do stosowania przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

(C) Strony, zawierając Umowę, dążą do takiego uregulowania zasad przetwarzania Danych Osobowych, aby odpowiadały one w pełni przepisom RODO oraz innym przepisom prawa powszechnie obowiązującego.

(D) Celem Umowy jest ustalenie warunków, na jakich Przetwarzający wykonuje operacje przetwarzania danych osobowych w imieniu Administratora.

STRONY POSTANAWIAJĄ CO NASTĘPUJE:

1. Definicje

1.1. „Dane Osobowe” oznaczają dane osobowe w rozumieniu RODO, w tym Xxxx

Wrażliwe.

1.2. „Dane Wrażliwe” oznacza szczególne kategorie danych osobowych wymienione

w art. 9 ust. 1 RODO.

1.3. „Dzień Roboczy” oznacza dowolny dzień, z wyjątkiem sobót, niedziel lub innych

dni, które są dniami częściowo lub całkowicie wolnymi od pracy w Polsce w rozumieniu ustawy z dnia 18 stycznia 1951 r. o dniach wolnych od pracy (tj. Dz. U. z 2015 r., poz. 90).

1.4. „Dalszy Podmiot Przetwarzający”

oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który Przetwarza Dane Osobowe w imieniu Przetwarzającego.

1.5. „Przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych

osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczenie, usuwanie lub niszczenie oraz inne formy przetwarzania w rozumieniu RODO.

2. Oświadczenia Stron

2.1. Administrator oświadcza, iż jest uprawniony do przetwarzania Danych Osobowych w zakresie, w jakim powierza je Przetwarzającemu.

2.2. Przetwarzający oświadcza, iż posiada wiedzę fachową, wiarygodność, zasoby infrastrukturalne oraz niezbędne, wymagane w art. 28 ust. 1 RODO, środki techniczne i organizacyjne, mające na celu zapewnienie zgodności przetwarzania Danych Osobowych z przepisami RODO oraz stosuje środki bezpieczeństwa spełniające wymogi RODO pozwalające na należyte wykonanie niniejszej Umowy.

2.3. Przetwarzający oświadcza, że znane mu są zasady przetwarzania i zabezpieczenia Danych Osobowych wynikające z RODO oraz innych przepisów prawa powszechnie obowiązującego.

2.4. Każda Strona oświadcza, że została prawidłowo ustanowiona i istnieje zgodnie z obowiązującymi przepisami prawa i posiada wszelkie wymagane uprawnienia prawne i korporacyjne oraz prawo do zawarcia Umowy i wykonywania swoich zobowiązań z niej wynikających, a niniejsza Umowa stanowi ważne i wiążące zobowiązanie podlegające wykonaniu przez Xxxxxx.

3. Przedmiot Umowy

3.1. Administrator powierza Przetwarzającemu, w trybie art. 28 RODO, Dane Osobowe określone w pkt. 5 Umowy do przetwarzania, na zasadach i w celu określonym w niniejszej Umowie w celu wykonania Umowy Podstawowej.

3.2. Przetwarzający zobowiązuje się przetwarzać powierzone mu Dane Osobowe zgodnie z niniejszą Umową, Umową Podstawową, przepisami RODO oraz innymi przepisami prawa powszechnie obowiązującego.

4. Czas obowiązywania

4.1. Przetwarzający uprawniony jest do przetwarzania powierzonych Danych Osobowych do dnia wygaśnięcia lub rozwiązania, z jakiegokolwiek powodu, niniejszej Umowy lub Umowy Podstawowej.

4.2. Po wygaśnięciu lub rozwiązaniu Umowy Podstawowej, Przetwarzający – zależnie od decyzji Administratora – zwróci Administratorowi zarówno wszelkie Dane Osobowe, jak i istniejące ich kopie.

5. Zakres powierzenia

5.1. Administrator powierza Przetwarzającemu następujące kategorie osób, których Dane Osobowe dotyczą:

(a) Użytkownicy TwójPsycholog, na rzecz których Profesjonalista świadczy Usługi, o których mowa w §1 ust. 3 lit. (r) Regulaminu.

5.2. Zakres powierzonych Danych Osobowych:

(a) Xxxx zwykłe – imię i nazwisko, nr telefonu, adres e-mail;

(b) Dane Wrażliwe – dane dotycząca zdrowia wyłącznie w zakresie informacji o korzystaniu z usług opieki zdrowotnej.

6. Obowiązki Stron

6.1. Dostęp do powierzonych Przetwarzającemu Danych Osobowych mogą mieć jedynie pracownicy lub współpracownicy Przetwarzającego, którzy otrzymali jego upoważnienie do przetwarzania tych danych, poprzedzone złożeniem przez te osoby oświadczenia o zachowaniu tych danych oraz sposobu ich zabezpieczenia w tajemnicy.

6.2. Przetwarzający zobowiązany jest zapewnić bezpieczeństwo przetwarzania powierzonych Danych Osobowych poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych, adekwatnych do rodzaju powierzonych danych oraz ryzyka naruszenia praw osób, których te dane dotyczą,

6.3. Przetwarzający jest zobowiązany współpracować z Administratorem w zakresie udzielania odpowiedzi na żądania osób, których Dane Osobowe dotyczą, opisanych w rozdziale III RODO W tym celu Przetwarzający zobowiązany jest niezwłocznie poinformować Administratora o każdym żądaniu osoby uprawnionej w ramach wykonywania przez tę osobę praw wynikających z RODO oraz udzielania Administratorowi wszelkich niezbędnych informacji w tym zakresie.

6.4. Mając na uwadze charakter przetwarzania powierzonych Danych Osobowych oraz dostępnych Przetwarzającemu informacji, Przetwarzający zobowiązany jest wspierać Administratora w wywiązywaniu się przez Administratora z obowiązków w zakresie bezpieczeństwa danych, zarządzania naruszeniami ochrony Danych Osobowych oraz ich zgłaszania do organu nadzoru oraz osoby, której dane dotyczą,

a także, w razie zaistnienia takiego obowiązku, dokonywania oceny skutków dla ochrony danych oraz prowadzenia konsultacji w tym zakresie z organem nadzoru (art. 32-36 RODO).

6.5. Przetwarzający zobowiązany jest niezwłocznie po stwierdzeniu naruszenia ochrony Danych Osobowych, nie później niż w terminie 24 (słownie: dwudziestu czterech) godzin od stwierdzenia takiego naruszenia, poinformować o tym Administratora. Informacja przekazana Administratorowi powinna zawierać co najmniej:

6.5.1. opis charakteru naruszenia oraz – o ile to możliwe – wskazanie kategorii i przybliżonej liczby osób, których dane zostały naruszone oraz ilości/rodzaju Danych Osobowych, których naruszenie dotyczy;

6.5.2. imię, nazwisko i dane kontaktowe inspektora ochrony danych Przetwarzającego lub innej jednostki/osoby, z którą Administrator może kontaktować się w związku z wystąpieniem naruszenia;

6.5.3. opis możliwych konsekwencji naruszenia;

6.5.4. opis zastosowanych lub proponowanych do zastosowania przez Przetwarzającego środków w celu zaradzenia naruszeniu, w tym minimalizacji jego negatywnych skutków.

6.6. Zgłoszenie, o którym mowa w punkcie 6.5. powyżej, powinno być przesłane w sposób zapewniający bezpieczeństwo przekazywanych informacji, tj. w formie zaszyfrowanej.

7. Prawo kontroli

7.1. Przetwarzający zobowiązany jest udzielać Administratorowi wszelkich informacji niezbędnych dla wykazania przez Administratora wywiązywania się ze wszystkich obowiązków określonych w niniejszej Umowie, Umowie Podstawowej, przepisach RODO i innych przepisach prawa powszechnie obowiązującego.

7.2. Administrator jest uprawniony do przeprowadzania audytów zgodności przetwarzania przez Przetwarzającego powierzonych Danych Osobowych z przepisami RODO, innymi przepisami prawa powszechnie obowiązującego, postanowieniami niniejszej Umowy oraz Umowy Podstawowej, polegających w szczególności na żądaniu udzielenia pisemnej informacji lub wyjaśnień oraz przekazania dokumentacji dotyczącej bezpieczeństwa Danych Osobowych u Przetwarzającego.

7.3. Administratorowi przysługuje prawo wydawania Przetwarzającemu rekomendacji co do sposobu przetwarzania powierzonych Danych Osobowych oraz stosowanych przez Przetwarzającego środków technicznych i organizacyjnych zabezpieczających powierzone Dane Osobowe.

7.4. Przetwarzający zobowiązany jest niezwłocznie powiadomić Administratora o wszelkich skargach, pismach, kontrolach organu nadzoru, postępowaniach sądowych i administracyjnych pozostających w związku z powierzonymi Danymi Osobowymi oraz współdziałać z Administratorem w tym zakresie, w szczególności poprzez udostępnianie Administratorowi wszelkiej dokumentacji z tym związanej.

7.5. Przetwarzający zobowiązuje się do niezwłocznego usunięcia wszelkich ewentualnych uchybień stwierdzonych podczas kontroli.

8. Prawo dalszego powierzenia Danych Osobowych

8.1. Przetwarzający uprawniony jest do powierzenia Danych Osobowych Dalszemu Podmiotowi Przetwarzającemu wyłącznie po uzyskaniu uprzedniej zgody Administratora.

8.2. Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej o zamiarze skorzystania z Dalszego Podmiotu Przetwarzającego z wyprzedzeniem wynoszącym co najmniej 14 (słownie: czternaście) dni przed planowanym przekazaniem danych wskazując tożsamość tego podmiotu, zakres danych oraz cel ich dalszego przetwarzania.

8.3. Administrator jest uprawniony do wyrażenia sprzeciwu wobec dalszego powierzenia Danych Osobowych Dalszemu Podmiotowi Przetwarzającemu w terminie 14 (słownie: czternastu) dni od dnia otrzymania informacji od Przetwarzającego.

8.4. W razie braku sprzeciwu, o którym mowa w pkt. 7.3. powyżej, Przetwarzający ponosi odpowiedzialność za działania i zaniechania Dalszego Podmiotu Przetwarzającego jak za działania i zaniechania własne oraz zobowiązany jest do zawarcia stosownej umowy z Dalszym Podmiotem Przetwarzającym w formie pisemnej.

8.5. Na żądanie Administratora Przetwarzający przedstawi dokumentację wskazującą na czynności kontrolne podejmowane wobec Dalszych Podmiotów Przetwarzających.

8.6. Na Przetwarzającym spoczywa pełna odpowiedzialność wobec Administratora za wypełnienie wszelkich obowiązków przez Dalszy Podmiot Przetwarzający, o których mowa w RODO, w tym x.xx. w art. 28 ust. 4 RODO.

9. Odpowiedzialność Przetwarzającego

9.1. Przetwarzający odpowiada za szkody spowodowane swoim działaniem w związku z niedopełnieniem obowiązków, które RODO nakłada bezpośrednio na Przetwarzającego, lub gdy działał poza zgodnymi z prawem polecaniami Administratora lub wbrew tym poleceniom.

9.2. Przetwarzający odpowiada za szkody spowodowane niezastosowaniem właściwych środków bezpieczeństwa.

9.3. Przetwarzający jest zobowiązany, w ramach swojej odpowiedzialności za powierzone mu przetwarzanie Danych Osobowych, do współpracy z Administratorem w razie postępowania przed organem nadzorczym lub sporu sądowego z podmiotem Danych Osobowych.

9.4. W przypadku, gdy Podmiot Podprzetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony Danych Osobowych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków przez Podmiot Podprzetwarzający spoczywa na Przetwarzającym.

10. Postanowienia końcowe

10.1. Wszelkie zmiany Umowy wymagają co najmniej zachowania formy elektronicznej. Zmiana Umowy może nastąpić w formie elektronicznej.

10.2. W sprawach nieuregulowanych Umową mają zastosowanie przepisy RODO, ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych oraz przepisy Kodeksu cywilnego.

10.3. Przetwarzający nie może dokonać przeniesienia ani obciążenia jakichkolwiek jego praw lub obowiązków przewidzianych w Umowie na rzecz jakiejkolwiek osoby trzeciej bez uprzedniej zgody Administratora wyrażonej w formie pisemnej.

10.4. Sądem właściwym dla rozpatrzenia sporów wynikających z Umowy lub z nią związanych będzie sąd powszechny właściwy dla siedziby Administratora.

10.5. Ważność, interpretacja oraz wykonanie Umowy podlegają prawu polskiemu.