UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (POLSKA)
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (POLSKA)
(A) Niniejsza umowa powierzenia danych osobowych (zwana dalej „Umowa Powierzenia”) ustanawia zasady i warunki przetwarzania Danych Osobowych powierzonych na mocy Umowy Serwisowej („Umowa Serwisowa”) zawartej pomiędzy Iron Mountain oraz klientem („Klient”), na mocy której Klient zleca świadczenie Usług przez Iron Mountain. Niniejsza Umowa stanowi integralną część Umowy Serwisowej i stanowi jej załącznik.
(B) Iron Mountain działa jako procesor lub subprocesor danych, natomiast Klient działa jako administrator danych lub odpowiednio jako procesor danych, które to role są dodatkowo określone w stosownych przepisach prawa („Regulacje Ochrony Danych”). Przez Regulacje Ochrony Danych w niniejszej Umowie Powierzenia należy rozumieć powszechnie obowiązujące przepisy prawa, w tym Rozporządzenie w sprawie ochrony danych osobowych UE 2016/679/WE (dalej również jako „GDPR”), a także instrukcje i zarządzenia organów administracji publicznej uprawnionych w zakresie danych osobowych. „Organ Nadzorczy” traktowany jest jako lokalny organ ochrony danych.
1. CEL PRZETWARZANIA DANYCH OSOBOWYCH
Celem przetwarzania danych osobowych przez Iron Mountain jest wykonywanie Usług w związku z Umową Serwisową. Rodzaje i kategorie danych przetwarzanych w ramach Umowy Powierzenia jak również dane kontaktowe do inspektora ochrony danych osobowych po stronie Iron Mountain zostały określone w Załączniku nr 1.
2. PRAWA I OBOWIĄZKI KLIENTA
Klient zobowiązuje się:
(i) przetwarzać dane osobowe w zgodzie z Regulacjami Ochrony Danych;
(ii) być uprawnionym do przekazywania pisemnych instrukcji Iron Mountain w zakresie przetwarzania danych osobowych. Instrukcje te będą wiążące dla Iron Mountain pod warunkiem, że ilekroć wykonanie instrukcji wymaga świadczenia usług w ramach Umowy Serwisowej lub będzie generować dodatkowe koszty po stronie Iron Mountain, Klient będzie zobowiązany pokryć ww. koszty. Iron Mountain nie będzie zobowiązany przestrzegać instrukcji Klienta, które są sprzeczne z postanowieniami Umowy Powierzenia;
(iii) przez cały czas zachować kontrolę i nadzór nad przetwarzanymi danymi osobowymi. Ilekroć jakikolwiek podmiot, którego dane dotyczą zażąda informacji o przetwarzaniu danych osobowych, zażąda korekty lub będzie kwestionować zgodność z prawem procesu przetwarzania danych bądź w inny sposób będzie oczekiwał zaprzestania przetwarzania danych osobowych, wówczas Klient niezwłocznie poinstruuje Iron Mountain w tym zakresie; oraz
(iv) informować Iron Mountain o kategoriach danych osobowych przekazanych do procesowania na mocy niniejszej umowy oraz o osobach, których dane dotyczą. Iron Mountain podkreśla, że co do zasady świadczy Usługi na fizycznych dokumentach/nośnikach (Artykuły, Foldery, Pudła, Nośniki, Pojemniki na Nośniki), nie zaś na bezpośredniej zawartości tych dokumentów/nośników. Z uwagi na powyższe, Klient jest odpowiedzialny za poinformowanie Iron Mountain na piśmie ilekroć przedmiot lub zakres danych ulegnie zmianie wobec treści wskazanej w Załączniku nr 1.
3. PRAWA I OBOWIĄZKI IRON MOUNTAIN
3.1. Iron Mountain powinno:
(i) nie wykorzystywać danych osobowych do celów innych niż określone w Umowie Serwisowej i Umowie Powierzenia;
(ii) przetwarzać dane osobowe zgodnie z Regulacjami Ochrony Danych;
(iii) przetwarzać dane osobowe jedynie zgodnie z pisemnymi instrukcjami Klienta (uwzględniając Ustęp 2 (ii)). Iron Mountain jest zobowiązane natychmiast poinformować Klienta, jeśli jego zdaniem, instrukcja Klienta narusza Regulacje Ochrony Danych. Niemniej jednak Iron Mountain podkreśla, że co do zasady przetwarza jedynie dokumenty/Nośniki Klienta, więc w większości przypadków nie jest w stanie ocenić, czy instrukcje Klienta są zgodne z prawem;
(iv) wspierać Klienta w odpowiedziach do podmiotów, których dane dotyczą;
(v) dostarczyć Klientowi wszelkich informacji niezbędnych do wykazania zgodności z obowiązkami Iron Mountain określonymi w niniejszej umowie oraz Regulacjach Ochrony Danych;
(vi) umożliwić kontrolę w ramach audytów i inspekcji, prowadzonych przez Xxxxxxx, zgodnie z postanowieniami § 7 niniejszej Umowy Powierzenia
(vii) przetwarzać dane osobowe jedynie przez okres obowiązywania Umowy Powierzenia;
(viii) upewnić się, że pracownicy/ podwykonawcy upoważnieni do przetwarzania danych osobowych zobowiązali się do zachowania poufności lub są objęci odpowiednimi, ustawowymi obowiązkami w zakresie zachowania poufności.
3.2. Umowa Powierzenia nie ogranicza prawa Iron Mountain do przetwarzania danych osobowych zgodnie z wymogami prawa, regulacjami oraz zarządzeniami uprawnionego sądu lub Organów Nadzoru. Jeżeli Organ Nadzoru lub uprawniony sąd złoży stosowny wniosek, Iron Mountain bez zbędnej zwłoki poinformuje Klienta o wpłynięciu ww. wniosku przed rozpoczęciem procesowania danych osobowych, o ile nie pozostaje to w sprzeczności do treści wniosku.
Ochrona danych osobowych
3.3 Iron Mountain powinno odpowiednio udokumentować i wdrożyć środki techniczne i organizacyjne niezbędne w celu zapewnienia poufności, integralności oraz dostępności Danych Osobowych, jak również w celu ochrony Danych Osobowych przed nieupoważnionym i bezprawnym przetwarzaniem. Wykazów środków zabezpieczeń stosowanych przez Iron Mountain został dołączony jako Załącznik nr 2 do niniejszej Umowy Powierzenia.
3.4 Iron Mountain będzie okresowo testować, oceniać oraz dostosowywać skuteczność swych środków technicznych oraz organizacyjnych.
Informacje o naruszeniach w zakresie przetwarzania danych osobowych
3.5 W przypadku “Naruszeń Przetwarzania Danych”, tj. naruszeń bezpieczeństwa prowadzących do przypadkowego lub bezprawnego zniszczenia, utraty, zmiany, nieupoważnionego dostępu do danych osobowych, Iron Mountain powinien bezzwłocznie poinformować Klienta gdy istnieje uzasadnione przekonanie, że doszło do Naruszenia Przetwarzania Danych Osobowych poprzez wysłanie wiadomości e-mail.
3.6 Informacja o Naruszeniu Przetwarzania Danych Osobowych powinna zawierać co najmniej (w zakresie, w jakim Iron Mountain ma dostęp do takich informacji): opis rodzaju Naruszenia Przetwarzania Danych Osobowych w tym, kategorie oraz szacunkową ilość osób, których dane dotyczą oraz kategorie i szacunkową ilość danych jednostkowych, krótki opis prawdopodobnych konsekwencji Naruszenia Przetwarzania Danych, opis środków zastosowanych w celu zidentyfikowania Naruszenia i zniwelowania potencjalnych skutków.
3.7 Jeżeli nie jest możliwe dostarczenie wszystkich powyższych informacji w tym samym czasie, informacje mogą być dostarczone stopniowo, niezwłocznie po ich pozyskaniu. W przypadku gdy kluczowe informacje wymienione powyżej nie mogą być dostarczone przez Iron Mountain, Iron Mountain powinno o tym poinformować Klienta.
3.8 Iron Mountain powinien dokumentować wszelkie Naruszenia Przetwarzania Danych i udostępnić te zapisy dla Klienta na jego żądanie.
3.9 Iron Mountain podejmie odpowiednie kroki w celu ochrony Danych Osobowych po uzyskania informacji o Naruszeniu Przetwarzania Danych dbając o minimalizowanie skutków naruszenia wobec osób, których dane dotyczą. Iron Mountain będzie współpracował z Klientem w celu zniwelowania skutków Naruszenia Przetwarzania Danych.
4. ZWROT LUB BRAKOWANIE DANYCH OSOBOWYCH
4.1. W razie rozwiązania Umowy Powierzenia, w oparciu o instrukcje Klienta i za odpowiednim wynagrodzeniem uiszczanym przez Klienta zgodnie z Umową Serwisową, Iron Mountain powinno albo usunąć/ zniszczyć albo zwrócić Klientowi lub osobie trzeciej przez niego wyznaczonej na piśmie wszystkie dane osobowe. Jeśli Klient nie dostarczy instrukcji dotyczących usunięcia/zniszczenia lub zwrotu danych osobowych w ciągu 15 (piętnastu) dni od rozwiązania/wygaśnięcia Umowy Serwisowej, Iron Mountain prześle Klientowi pisemne zawiadomienie wzywające do dostarczenia w ciągu 15 (piętnastu) dni ww. szczegółowych instrukcji. Jeśli Klient nie dostarczy pisemnych instrukcji w tym terminie lub też nie uiści stosownych opłat, wówczas Klient niniejszym upoważnia Iron Mountain do dalszego przetwarzania/usuwania/ niszczenia lub zwrotu wszystkich danych osobowych nawet po rozwiązaniu Umowy Serwisowej.
4.2 Iron Mountain nie narusza swoich obowiązków w odniesieniu do danych osobowych zgromadzonych na taśmach zapasowych, o ile takie taśmy zapasowe zostaną nadpisane (w tym dane osobowe usunięte) w normalnym toku działalności.
4.3 Na żądanie Klienta, Iron Mountain potwierdza Klientowi, że takie usunięcie/zniszczenie lub zwrot miało miejsce.
5. TRANSFER DANYCH OSOBOWYCH
5.1 Iron Mountain może przechowywać fizyczne dobra Klienta (w tym Artykuły/Pudła/Nośniki/Pojemniki na Nośniki) na terenie Europejskiego Obszaru Gospodarczego (EOG). W przypadku świadczenia Usług RM oraz Usług Skanowania, obrazy Artykułów jak również protokoły zawartości dotyczące wykazu składowanych dóbr mogą być przetwarzane w systemach teleinformatycznych/na serwerach zlokalizowanych poza obszarem EOG w krajach, których wykaz znajduje się w Załączniku nr 3. Wskazane prawo do ww. transferu będzie następowało w oparciu o zasady określone w Standardowych Klauzulach Umownych Komisji Europejskiej UE albo podobnych formalnych mechanizmach. Klient niniejszym upoważnia Iron Mountain do zawarcia w imieniu Klienta Klauzul Umownych Komisji Europejskiej UE.
5.2 Na potrzeby przetwarzania danych osobowych innych niż określonych w ust. 5.1, Iron Mountain poinformuje Klienta z wyprzedzeniem o wszelkich transferach poza EOG. Jeżeli Klient nie zgłosi zastrzeżeń na piśmie w terminie 15 dni począwszy od poinformowania o transferze przez Iron Mountain, Iron Mountain może rozpocząć taki transfer, z zastrzeżeniem zastosowania odpowiednich wymogów (Modelowe Klauzule Umowne Komisji Europejskiej). Jeżeli Klient zgłosi sprzeciw we wskazanym terminie, Iron Mountain podejmie uzasadnione działania w celu zmiany sposobu świadczenia Usług lub zarekomenduje zmianę uzasadnioną warunkami handlowymi w zakresie korzystania z Usług przez Klienta, tak aby uniknąć przekazywania danych osobowych. Jeśli Iron Mountain nie może wprowadzić takiej zmiany w rozsądnym terminie, który nie może przekroczyć sześćdziesięciu (60) dni, Klient może rozwiązać Umowę za dodatkowym 60-dniowym okresem liczonym od informacji Iron Mountain, ale wyłącznie w odniesieniu do tych Usług, których Iron Mountain nie może dostarczyć bez transferu danych osobowych. Jeśli Klient nie prześle takiego oświadczenia do Iron Mountain we wskazanym wyżej terminie, będzie to traktowane jako upoważnienie do przekazywania danych osobowych poza EOG
6. PODWYKONAWCY
6.1 Klient upoważnia Iron Mountain do angażowania innych podmiotów przetwarzających dane w procesie przetwarzania danych osobowych, w tym (a) podmioty powiązane z Iron Mountain lub jednostki macierzyste Iron Mountain (łącznie „Podprocesorzy”) oraz (b) Podprocesorów podmiotów trzecich, w tym Podprocesorów zaangażowanych przez podmioty powiązane lub jednostki macierzyste Procesora wskazane w Załączniku nr 3. Klient przyjmuje do wiadomości, że Podprocesorzy Iron Mountain oraz podmioty wskazane w punkcie (b) powyżej będą mieć zastosowanie jedynie w przypadku Usług RM oraz Skanowania (w związku z punktem 5.1. powyżej).
6.2 W razie jakichkolwiek zmian w Załączniku nr 3, Iron Mountain zobowiązany jest poinformować Klienta o planowanych zmianach wskazując dane identyfikacyjne, kraj pochodzenia oraz zakres usług powierzanych nowemu podprocesorowi. O ile Klient nie wyrazi sprzeciwu na piśmie w ciągu 15 (piętnastu) dni od otrzymania informacji o wykorzystaniu przez Iron Mountain nowego Podprocesora, Iron Mountain może wdrożyć Podprocesora w wykonanie wskazanych czynności przetwarzania danych. Jeśli Klient zgłosi sprzeciw w przewidzianym terminie, Iron Mountain dołoży odpowiednich starań, aby zmienić Usługi w celu uniknięcia przetwarzania danych osobowych przez nowego Podprocesora, wobec którego zgłoszono sprzeciw. Jeśli Iron Mountain nie jest w stanie wprowadzić takich zmian w rozsądnym terminie, który nie może przekroczyć sześćdziesięciu (60) dni, Klient w ciągu kolejnych sześćdziesięciu (60) dni od powiadomienia Iron Mountain może, z zastrzeżeniem uiszczenia wszelkich uzgodnionych opłat związanych z rozwiązaniem Umowy Serwisowej, wypowiedzieć Umowę Serwisową, ale wyłącznie w odniesieniu do tych Usług, które nie mogą być świadczone przez Iron Mountain bez zaangażowania Podprocesora, wobec którego zgłoszono sprzeciw. Jeśli Xxxxxx nie wyśle takiego wypowiedzenia w określonym wyżej terminie, należy to uznać za zgodę na proponowane podpowierzenie przetwarzania.
6.3 Iron Mountain jest zobowiązany do regularnego monitorowania wykonywania zadań przez swoich podwykonawców oraz pozostaje odpowiedzialny za prace wykonane przez podwykonawców tak jak za działania/ zaniechania Iron Mountain. Iron Mountain nakłada na swych podwykonawców co najmniej takie same zobowiązania w zakresie przetwarzania danych osobowych jak wskazane w niniejszej umowie.
7. AUDYT
Iron Mountain udostępni Klientowi wszelkie informacje niezbędne do wykazania zgodności przetwarzania z obowiązkami określonymi w niniejszej Umowie Powierzenia oraz umożliwi i współpracuje z Klientem w trakcie audytów organizowanych przez Klienta lub upoważnionego przedstawiciela Klienta. Prawo do audytu nie daje Klientowi prawa dostępu do jakichkolwiek danych innych Klientów lub środków bezpieczeństwa i systemów Iron Mountain. Iron Mountain współpracuje z Klientem w ocenie skutków przetwarzania danych osobowych i uprzednich konsultacjach z Organem Nadzoru, w każdym przypadku, gdy wymagają tego przepisy Regulacji Ochrony Danych.
8. OKRES OBOWIĄZYWANIA I ZAŁĄCZNIKI
Niniejsza Umowa Powierzenia staje się skuteczna, gdy jest należycie podpisana przez obie Strony i pozostaje w mocy do momentu, gdy jakiekolwiek dane osobowe Klienta przestaną być przetwarzane przez Iron Mountain. Załączniki stanowią integralną część Umowy Powierzenia.
***
Załącznik nr 1
Kategorie przetwarzań oraz podmioty danych osobowych
Kategorie przetwarzań:
☒ imię i nazwisko ☒ adres zamieszkania lub pobytu
☒ numer telefonu ☒ adres poczty elektronicznej
☒ narodowość ☒ data i miejsce urodzenia
☒ stan cywilny ☒ numer ewidencyjny PESEL
☒ numer identyfikacji podatkowej NIP ☒ dane dotyczące wynagrodzeń
☒ dane dotyczące nieruchomości i dochodu ☒ dane dotyczące zdolności kredytowej
☒ dane dotyczące zatrudnienia ☒ zdjęcie w dowodzie tożsamości
☒ wykształcenie ☒ nazwa użytkownika, hasło
☒ adres IP ☒ seria i numer dowodu osobistego
Podmioty przetwarzania danych (grupy osób, których dane są przetwarzane na mocy Umowy Powierzenia oraz Umowy Serwisowej:
☒ pracownicy ☒ podywkonawcy
☒ klienci ☒ dostawcy
☒ ubezpieczeni ☒ klienci, osoby kontaktowe
☒ pracownicy ☒ wnioskodawcy
Klient nie będzie przekazywał do Iron Mountain danych osobowych poza kategorią/zakresem wskazanym powyżej. O wszelkich nowych zakresach danych lub nowych kategoriach danych Klient ma obowiązek informować Iron Mountain na piśmie.
Dane do Inspektora Ochrony Danych Osobowych Iron Mountain: Xxxxxx.xxxxxxx@xxxxxxxxxxxx.xxx
Iron Mountain Europe Xxxxxxx xxxx 00, 0xx xxxxx 0000 Xxxxxxxxx
Xxxxx
Załącznik nr 2
Podsumowanie środków ochrony technicznej i organizacyjnej
Iron Mountain to spółka o zasięgu globalnym kładąca nacisk na bezpieczeństwo i higienę pracy. Iron Mountain stosuje co najmniej poniższe, podstawowe środki ochrony technicznej i organizacyjnej (jako podstawę systemów bezpieczeństwa):
Ochrona przeciwpożarowa:
System zraszaczy wyposażony w alarm powiadamiający służby ochrony, monitorowany całodobowo
Zasysający system detekcji dymu VESDA
Kontrola i pomiary rozdzielni elektrycznych i okablowania przeprowadzane co 5 lat
Kwartalne testy przekazywania alarmu pożarowego
Gaśnice na obiektach
Obszary ładowania akumulatorów, odseparowane od materiałów łatwopalnych i wentylowane w celu zminimalizowania gromadzenia się gazu
Odpowiednia konstrukcja budynków (szkielet stalowy lub żelbetowy)
Plan ewakuacji w miejscach powszechnie dostępnych
Program konserwacji systemów przeciwpożarowych Ochrona fizyczna:
Standard automatycznego systemu kontroli dostępu (SKD), dwuczynnikowa kontrola dostępu z zewnątrz – karta identyfikacyjna I indywidualny kod
System sygnalizacji włamania i napadu monitorowany całodobowo przez licencjonowaną agencje ochrony
Monitoring wizyjny CCTV
Detektory ruchu
Program konserwacji systemów SKD, SSWiN i CCTV
Detektory zbicia szyby w oknach na parterze
Detektory otwarcia na drzwiach, bramach, oknach, świetlikach i klapach dymowych, monitorowane całodobowo
Zamki mechaniczne I magnetyczne we wszystkich drzwiach zewnętrznych
Zamki magnetyczne w drzwiach wewnętrznych Standardy ochrony, bezpieczeństwa, higieny i środowiskowe Standardy kontroli obiektów, kwartalne inspekcje w zakresie:
Bezpieczeństwa fizycznego
Bezpieczeństwa pożarowego
BHP
Standardy reagowania awaryjnego:
Ćwiczenia ewakuacyjne i przeciwpożarowe
Edukacja i szkolenie
Plany i testy ciągłości działania
Standardy reakcji na incydenty: raportowanie zdarzeń w globalnym systemie zarządzania incydentami, obejmującym:
Zgłaszanie
Dochodzenie
Działania korygujące
Przegląd
Zamknięcie
Standardy prowadzenia pojazdów, zasady postępowania w ruchu drogowym, program szkoleniowy dla wszystkich kurierów:
Kontrola przestrzegania przepisów drogowych
Codzienne inspekcje pojazdów
Kontrola w czasie jazdy poprzez śledzenie GPS (jazda ekonomiczna)
Flota pojazdów elektrycznych i hybrydowych Standardy nadzoru wózków transportowych
Codzienna inspekcja
Kontrola uprawnień
Pozostałe standardy ochrony, bezpieczeństwa, higieny i środowiskowe
Standardy obsługi urządzeń
Standardy prowadzenia prac na wysokości
Program pierwszej pomocy przedmedycznej
Standardy osobistych środków ochrony
Standardy prowadzenia pracy ręcznej i zapewnienia ergonomii stanowisk pracy
Załącznik nr 3 Lista podwykonawców
globalny podwykonawca | zakres współpracy | kraj pochodzenia | zastosowane zabezpieczenia |
HCL Technologies Limited/ HCL America Incorporated Technology Hub, SEZ, Xxxx Xx. 0X, Xxxxxx 000, Xxxxx – 201304, India 000 Xxxxxxx Xxx, Xxxxxxxxx, Xxxxxxxxxx 00000, XXX | wsparcie IT | Indie/USA | Modelowe Klauzule Umowne |
Iron Mountain Information Management LLC / Iron Mountain Incorporated / Iron Mountain Intellectual Property Management, Inc. Xxx Xxxxxxx Xxxxxx, Xxxxxx, XX 00000, XXX | wsparcie IT/operacyjne | USA | Modelowe Klauzule Umowne |
Iron Mountain Services Private Limited Xxxxx 00, Xxxxx X, XXX-0, Xxxxxxx Xxxxx Xxxxxxxxxx Xxxxxx (XXXX) | wsparcie IT | Indie | Modelowe Klauzule Umowne |
Lokalny podwykonawca:
nazwa podmiotu | adres | zakres współpracy (cel powierzenia przetwarzania danych osobowych) | kraj pochodzenia |
Pożary24 Sp. z o.o. | xx. Xxxxxxxx 0 00-000 Xxxxxx | likwidacja szkód na dokumentach w celu zapewnienia ciągłości działania | Polska |
SAWO Recykling Sp.j. | xx. X Xxxxxx 00 00-000 Xxxxxx | realizacja usługi niszczenia w celu zapewnienia ciągłości działania | Polska |
XXXXXX Xxxxxxxx i Wspólnicy Sp.J. | xx. Xxxxxxxxxxxxxx 00, 00-000 Xxxxxxxx | usługi transportowe w celu zapewnienia ciągłości działania | Polska |
Yusen Logistics (Polska) Sp. z o.o. | Xxxxxxxxxxx 00x, 00-000 Xxxxxxxx | usługi transportowe w celu zapewnienia ciągłości działania | Polska |
RB Trans Service BIS Sp. z o.o. Spółka Komandytowa | xx. Xxxxxxxxxx 00/0, 00-000 Xxxxxxxx | usługi transportowe w celu zapewnienia ciągłości działania | Polska |
Euro DTM Sp z o.o. | ul. Pomorska 17; 00-000 Xxxxxxxx | usługi transportowe w celu zapewnienia ciągłości działania | Polska |
LENTON TRANSPORT XXXXXX XXXXXX | xx. Xxxxxxxxxx 0X/0 00-000 Xxxxxx | usługi transportowe w celu zapewnienia ciągłości działania | Polska |
ZPCHILO Sp z o.o. | Aleje Jerozolimskie 125/127 m110; 00-000 Xxxxxxxx | usługi transportowe w celu zapewnienia ciągłości działania | Polska |
X.X.X.X. XXXXXX TEAM Xxxxxx Xxxxxx | ul. Opolska 12, 05- 270 Marki | usługi transportowe w celu zapewnienia ciągłości działania | Polska |