Umowa powierzenia przetwarzania danych osobowych
Umowa powierzenia przetwarzania danych osobowych
zawarta pomiędzy:
Vindicat Spółka z ograniczoną odpowiedzialnością z siedzibą w (00-844) Warszawie, ul. Xxxxxxxxxx 00, wpisaną do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr 0000516043, NIP: 5272717387, REGON: 147338618, reprezentowaną przez Xxxxxxxx Xxxxx – Prezes Zarządu, zwany dalej Przetwarzającym, a:
Użytkownikiem zwanym dalej Administratorem,
łącznie zwanymi Stronami, z których każda może być oddzielnie zwana Stroną, zawarta została umowa o następującej treści:
§ 1
Powierzenie przetwarzania danych osobowych
1. Administrator powierza Przetwarzającemu na podstawie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwanego dalej RODO) przetwarzanie danych osobowych w celu realizacji usług świadczonych Administratorowi przez Przetwarzającego poprzez dostęp do platformy informatycznej o nazwie Vindicat / VCAT.
2. Administrator, który przetwarza dane osobowe jako podmiot działający w imieniu wierzyciela, tj. nie działa jako administrator w rozumieniu art. 4 pkt. 7 RODO, oświadcza, że uzyskał od właściwego administratora zgodę na powierzenie przetwarzania danych.
3. Rodzaj danych osobowych, kategorie osób, których dane osobowe podlegają przetwarzaniu, miejsce przetwarzania określa załącznik nr 1.
§ 2
Cel przetwarzania powierzonych danych osobowych
1. Przetwarzający będzie przetwarzał (w tym kopiował i archiwizował) dane osobowe powierzone mu na podstawie niniejszej Umowy wyłączenie na udokumentowane polecenie Administratora, chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega Przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Przetwarzający poinformuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny. Udokumentowane polecenie Administratora stanowi, w szczególności, zawarcie niniejszej Umowy.
2. Przetwarzający będzie przetwarzał (w tym kopiował i archiwizował) powierzone mu dane osobowe wyłącznie w celu realizacji usług świadczonych Administratorowi przez Przetwarzającego.
§ 3
Obowiązki Przetwarzającego
1. Przetwarzający zobowiązuje się, przy przetwarzaniu danych osobowych powierzonych mu na mocy niniejszej Umowy, do ich zabezpieczenia poprzez podjęcie środków technicznych i organizacyjnych uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania danych osobowych zgodnie z art. 32 RODO.
2. Przetwarzający dopuści do przetwarzania danych osobowych jedynie osoby działające z jego upoważnienia oraz którym dostęp do danych osobowych jest niezbędny do świadczenia Administratorowi usług.
3. Przetwarzający zaznajomi osoby upoważnione do przetwarzania danych osobowych z przepisami dotyczącymi ochrony danych osobowych i odpowiedzialnością za ochronę tych danych.
4. Przetwarzający zapewni, aby osoby działające z jego upoważnienia i mając dostęp do danych osobowych zobowiązały się do zachowania tajemnicy lub podlegały ustawowemu obowiązkowi zachowania tajemnicy.
5. Biorąc po uwagę charakter przetwarzania, Przetwarzający w miarę możliwości pomaga Administratorowi wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.
6. Przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32-36 RODO.
7. Na żądanie Administratora Przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.
8. Przetwarzający niezwłocznie informuje Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie przepisów RODO lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.
§ 4
Kontrole przetwarzania
1. Administrator uprawiony jest do przeprowadzania kontroli przetwarzania danych osobowych.
2. Administrator przyjmuje do wiadomości, że Przetwarzający korzysta z usług centrów danych o których mowa w załączniku nr 1 i nie ma dostępu do pomieszczeń w których utrzymywane są serwery.
3. Administrator ponosi wszelkie koszty przeprowadzenia kontroli, w tym udokumentowane koszty Przetwarzającego. Administrator zobowiązany jest zawiadomić Przetwarzającego o zamiarze przeprowadzenia kontroli co najmniej 7 dni roboczych przed planowaną datą rozpoczęcia kontroli, wskazując dokładny zakres, termin oraz osoby upoważnione. Zawiadomienie należy wysłać na adres e-mail xxxxx@xxxxxxxx.xx Jeżeli przeprowadzenie kontroli nie będzie możliwe we wskazanym terminie, Strony wspólnie ustalą pasujący im termin.
4. Kontrola przetwarzania zostanie zakończona podpisaniem przez obie strony protokołu. Protokół będzie zawierał wnioski z kontroli oraz uzgodniony przez obie Strony zakres ewentualnych zmian w zakresie przetwarzania danych osobowych przez Przetwarzającego.
§ 5
Dalsze podmioty przetwarzające.
1. Administrator wyraża zgodę na korzystanie przez Przetwarzającego z usług innych podmiotów przetwarzających w celu prawidłowego świadczenia usług, w szczególności wskazanych w załączniku nr 2.
2. Przetwarzający poinformuje Administratora o zamiarze dodania lub zmiany podmiotu przetwarzającego dając Administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian. Zawiadomienie zostanie wysłane na adres e-mail podany jako kontaktowy w panelu klienta Przetwarzającego.
3. Sprzeciw powinien być wyrażony w ciągu 7 dni od daty poinformowania Administratora o zamierzonych zmianach.
4. Przetwarzający ma korzystać jedynie z takich podmiotów, które oferują wystarczającą gwarancję wdrożenia właściwych środków technicznych i organizacyjnych.
5. Przetwarzający zobowiązany jest zawrzeć z dalszym przetwarzającym umowę powierzenia przetwarzania danych osobowych, zgodnie z którą dalszy podmiot będzie zobowiązany do spełnienia tych samych zobowiązań co Przetwarzający.
§ 6
Obowiązki Administratora
1. Administrator zobowiązany jest do podania aktualnych danych kontaktowych w panelu klienta Przetwarzającego i aktualizacji tych danych.
2. Administrator zobowiązany jest do informowania Przetwarzającego o wszelkich zmianach mających wpływ na realizację Umowy.
§ 7
Czas obowiązywania Umowy
1. Niniejsza Xxxxx zostaje zawarta na czas świadczenia Administratorowi przez Przetwarzającego usług.
2. Niniejsza Umowa wygasa z chwilą wygaśnięcia umowy o świadczenie usług, zawartej pomiędzy Administratorem a Przetwarzającym.
3. Zmiana warunków umowy o świadczenie usług związanych z umową o świadczenie usług w ramach platformy Vindicat / VCAT, nie wpływa na postanowienia niniejszej Umowy.
§ 8
Zakończenie przetwarzania danych osobowych
1. Administrator zobowiązuje się do trwałego usunięcia z dniem rozwiązania Umowy danych osobowych swoich dłużników, umieszczonych w systemie informatycznym Przetwarzającego w części zarządzanej przez Administratora.
2. Przetwarzający zobowiązuje się do trwałego usunięcia powierzonych mu danych osobowych z systemu informatycznego Przetwarzającego w części zarządzanej przez Przetwarzającego w terminie do 15 dni od dnia usunięcia danych osobowych przez Administratora.
§ 9
Odpowiedzialność
1. Przetwarzający ponosi odpowiedzialności za szkody spowodowane przetwarzaniem naruszającym postanowienia niniejszej Umowy wyłącznie, gdy nie dopełnił obowiązków, które Umowa lub RODO nakłada bezpośrednio na podmioty przetwarzające.
2. Przetwarzający nie ponosi odpowiedzialności wynikającej z p. 1 jeżeli udowodni, że w żaden sposób nie ponosi winy za zdarzeni e, które doprowadziło do powstania szkody.
3. Przetwarzający nie ponosi odpowiedzialności za odpowiednie zabezpieczenie zbioru w systemie informatycznym Administratora oraz w systemie informatycznym Przetwarzającego w części zarządzanej przez Administratora.
4. Przetwarzający nie ponosi odpowiedzialności za szkody powstałe w wyniku podania nieprawdziwych lub nieaktualnych danych kontaktowych Administratora w panelu klienta Przetwarzającego.
§ 10
Przepisy końcowe
1. W sprawach nieuregulowanych pomiędzy Stronami mają zastosowanie odpowiednie przepisy prawa polskiego.
2. Strony zobowiązują się dołożyć wszelkich starań przy rozwiązywaniu wszelkich sporów mogących wystąpić w przyszłości w związku z wykonaniem Umowy, w drodze obustronnych uzgodnień i porozumień. W przypadku, gdy powstałego sporu nie da się rozstrzygnąć w sposób określony powyżej, spór będzie rozstrzygany przez Sąd właściwy dla siedziby pozwanego.
3. Jeżeli jakiekolwiek postanowienia Umowy okażą się nieważne nie uchybia to mocy pozostałym, a Strony będą dążyć do zastąpienia nieważnego postanowienia ważnym zapisem odzwierciedlającym pierwotną wolę Stron.
............................................
Administrator
............................................
Przetwarzający
ZAŁĄCZNIK NR 1
Zakres powierzenia danych osobowych
1. Charakter oraz cele przetwarzania: wykonanie umowy z użytkownikiem serwisu Xxxxxxxx.xx
2. Kategorie osób, których dane dotyczą: Dłużnicy użytkowników serwisu Xxxxxxxx.xx
3. Rodzaj danych osobowych: adres email, NIP, dane z CEIDG (w przypadku przedsiębiorców), dane teleadresowe, PESEL (w przypadku osób fizycznych, niebędących przedsiębiorcami), osoby kontaktowe wskazane przez Dłużników i ich dane teleadresowe, informacja o długu (w tym źródło oraz wysokość długu)
4. Obszar, na którym będą przetwarzane dane osobowe: Unia Europejska
ZAŁĄCZNIK NR 2
Lista dalszych podmiotów przetwarzających
1. SERWERSMS POLSKA SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ, KRS:0000665372, NIP: 5482680621
2. OVH SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ, KRS 0000220286, NIP: 8992520556
3. DOTPAY SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ, KRS 0000700791, NIP: 6342661860
4. FIBERPAY SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ, KRS: 0000647662, NIP: 7010634566