UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH
UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH
- zwana dalej UMOWĄ o PPDO -
zawarta pomiędzy Stronami:
(i) KANCELARIĄ DORADZTWA PODATKOWEGO INTERCONSILIUM SP. Z O.O., xx. Xxxxxxxxx 00, 00-000 Xxxxxxx, wpisaną do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy Szczecin Centrum w Szczecinie XIII Wydział Gospodarczy KRS pod numerem 0000568334, NIP: 8513185925, reprezentowaną przez pana prof. xx xxx. Xxxxxxxxx Xxxxxxxx,
zwaną dalej: PRZETWARZAJĄCYM
a
(ii) ZLECENIODAWCĄ
zwanym dalej: ADMINISTRATOREM.
PREAMBUŁA
1. ADMINISTRATOR zawarł z PRZETWARZAJĄCYM umowę
- współpracy w zakresie naliczania wynagrodzeń pracowników oddelegowanych, i/lub
– o prowadzeniu ewidencji podatkowej ryczałtu ewidencjonowanego i/lub
- o usługowe prowadzenie podatkowej księgi przychodów i rozchodów,
i/lub
- o usługi doradztwa podatkowego
zwanej każdorazowo dalej Umową główną
lub
udzielił PRZETWARZAJĄCEMU zlecenia wykonania usługi jednorazowej
zwanego dalej Zleceniem jednorazowym.
W związku z wykonaniem Umowy głównej/Zlecenia jednorazowego ADMINISTRATOR powierzył PRZETWARZAJĄCEMU przetwarzanie Danych Osobowych w zakresie określonym Umową główną/Zleceniem jednorazowym.
2. Celem niniejszej UMOWY o PPDO jest ustalenie warunków, na jakich PRZETWARZAJĄCY
wykonuje operacje przetwarzania Danych Osobowych w imieniu ADMINISTRATORA.
3. Strony zawierając UMOWĘ o PPDO dążą do takiego uregulowania zasad przetwarzania Danych Osobowych, aby odpowiadały one w pełni postanowieniom Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1).
4. Mając powyższe na uwadze Strony ustaliły poniższą treść zawartej między nimi UMOWY o PPDO.
§ 1 PRZEDMIOT UMOWY O PPDO I OŚWIADCZENIA STRON
1.1. Umowa określa zasady oraz podstawy powierzenia PRZETWARZAJĄCEMU przetwarzania Danych Osobowych w związku z Umową główną/Zleceniem jednorazowym, w celu wykonania obowiązków, o których mowa w art. 28 RODO, w związku z zawarciem Umowy głównej/Zlecenia jednorazowego.
1.2. Na warunkach określonych niniejszą Umową o PPDO oraz Umową główną/Zleceniem jednorazowym ADMINISTRATOR powierza PRZETWARZAJĄCEMU przetwarzanie Danych Osobowych w imieniu ADMINISTRATORA; PRZETWARZAJĄCY zobowiązuje się do przetwarzania powierzonych mu Danych Osobowych zgodnie z prawem i postanowieniami niniejszej UMOWY o PPDO.
1.3. ADMINISTRATOR oświadcza, że jest administratorem Danych Osobowych powierzanych PRZETWARZAJĄCEMU.
1.4. PRZETWARZAJĄCY oświadcza, że dysponuje środkami, doświadczeniem, wiedzą i wykwalifikowanym personelem, co umożliwia mu prawidłowe wykonanie niniejszych postanowień dotyczących powierzenia, w tym zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, spełniających wymogi RODO.
1.5. PRZETWARZAJĄCY oświadcza, że jest podmiotem przetwarzającym w rozumieniu art. 4 pkt 8 RODO w ramach Umowy głównej/Zlecenia jednorazowego, co oznacza, że PRZETWARZAJĄCY przetwarza Xxxx Xxxxxxx w imieniu ADMINISTRATORA oraz wyłącznie na udokumentowane polecenie ADMINISTRATORA, chyba że, taki obowiązek nakłada na PRZETWARZAJĄCEGO prawo unijne lub prawo państwa członkowskiego, któremu podlega PRZETWARZAJĄCY, tj. prawo polskie.
§ 2 SŁOWNIK POJĘĆ
2.1. Ilekroć w niniejszej UMOWIE o PPDO zostaną wykorzystane następujące definicje i
zwroty, należy nadać im następujące znaczenie:
(i) RODO – oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1);
(ii) Strony – oznaczają łącznie ADMINISTRATORA i PRZETWARZAJĄCEGO. Odwołanie do Strony w liczbie pojedynczej oznacza którąkolwiek ze Stron;
(iii) UMOWA o PPDO – oznacza niniejszą Umowę ze wszystkimi załącznikami;
(iv) Dane Osobowe – oznaczają Dane Osobowe w rozumieniu art. 4 pkt 1 RODO;
(v) Przetwarzanie – oznacza przetwarzanie Danych Osobowych w rozumieniu art. 4 pkt 2 RODO;
(vi) Dane Zwykłe – oznaczają Dane Osobowe inne niż Dane Wrażliwe;
(vii) Dane Wrażliwe – oznaczają Dane Osobowe, o których mowa w art. 9 ust. 1 RODO;
(viii) Podprzetwarzający – oznacza podwykonawcę lub kontrahenta PRZETWARZAJĄCEGO, na rzecz którego PRZETWARZAJĄCY podpowierza przetwarzanie Danych Osobowych ADMINISTRATORA objęte niniejszą UMOWĄ o PPDO.
§ 3 PRZETWARZANIE DANYCH OSOBOWYCH
3.1. PRZETWARZAJĄCY może przetwarzać Dane Osobowe wyłącznie w zakresie i w celu przewidzianym w § 1 niniejszej UMOWY o PPDO.
3.2. Z zastrzeżeniem § 3.3 Przetwarzanie Danych Osobowych będzie wykonywane w okresie obowiązywania Umowy Głównej/Zlecenia jednorazowego.
3.3. PRZETWARZAJĄCY pozostaje uprawniony do Przetwarzania Danych Osobowych również po zakończeniu okresu obowiązywania Umowy Głównej i/lub zakończenia wykonywania Zlecenia jednorazowego, wyłącznie w zakresie, w którym Przetwarzanie jest niezbędne dla realizacji interesów prawnych ADMINISTRATORA i/lub PRZETWARZAJĄCEGO jak również w sytuacjach niezbędnych dla wywiązania się przez ADMINISTRATORA lub PRZETWARZAJĄCEGO z nałożonych na nich obowiązków na mocy prawa podatkowego lub prawa ubezpieczeń społecznych.
3.4. PRZETWARZAJĄCY zobowiązuje się do przetwarzania Danych Osobowych w sposób stały, odpowiadający roli PRZETWARZAJĄCEGO jako podmiotu świadczącego dla ADMINISTRATORA wymienione w Preambule usługi. PRZETWARZAJĄCY zobowiązuje się w szczególności do wykonywania operacji w zakresie Przetwarzania Danych Osobowych, o których mowa w Załączniku nr 1 do UMOWY o PPDO.
3.5. Dane osobowe będą przetwarzane w formie elektronicznej w systemach informatycznych oraz w formie papierowej.
3.6. Celem przetwarzania jest umożliwienie PRZETWARZAJĄCEMU wywiązania się z prawnych obowiązków wynikających z Umowy głównej/Zlecenia jednorazowego.
3.7. PRZETWARZAJĄCY pozostaje uprawniony do przetwarzania zarówno Danych Zwykłych jak i Danych Wrażliwych. Przetwarzanie będzie obejmowało rodzaje Danych Osobowych, o których mowa w Załączniku nr 2 do UMOWY o PPDO.
3.8. ADMINISTRATOR powierzy PRZETWARZAJĄCEMU Przetwarzanie Danych Osobowych
kategorii osób, o których mowa w Załączniku nr 3 do UMOWY o PPDO.
3.9. Odbiorcami powierzonych Danych Osobowych będą odbiorcy wskazani w Załączniku
nr 4 do UMOWY o PPDO.
§ 4 ZASADY POWIERZENIA PRZETWARZANIA
4.1. PRZETWARZAJĄCY zobowiązuje się do podjęcia środków zabezpieczających Dane Osobowe zgodnie z wymogami art. 32 RODO, w szczególności, ale nie wyłącznie:
(i) uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, PRZETWARZAJĄCY zobowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych Danych Osobowych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. PRZETWARZAJĄCY powinien odpowiednio udokumentować zastosowanie tych środków;
(ii) PRZETWARZAJĄCY zobowiązany jest współpracować z ADMINISTRATOREM przy wykonywaniu przez ADMINISTRATORA obowiązków z obszaru ochrony Danych Osobowych, o których mowa w art. 32−36 RODO;
(iii) PRZETWARZAJĄCY zobowiązuje się umożliwiać ADMINISTRATOROWI na każde jego żądanie dokonania przeglądu stosowanych środków technicznych i organizacyjnych jak również dokumentacji dotyczącej tych środków, aby przetwarzanie toczyło się zgodnie z prawem, a także uaktualniać te środki w porozumieniu z ADMINISTRATOREM;
(iv) zapewnić, by każda osoba fizyczna działająca z upoważnienia PRZETWARZAJĄCEGO, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie ADMINISTRATORA w celach i zakresie przewidzianym w Umowie Głównej/Zleceniu jednorazowym oraz UMOWIE o PPDO.
4.2. Niezależnie od postanowień § 4.1 PRZETWARZAJĄCY zobowiązuje się do zapewnienia, aby osoby mające dostęp do Przetwarzania Danych Osobowych zachowały je oraz sposoby ich zabezpieczeń w tajemnicy
zarówno:
(i) w trakcie obowiązywania Umowy Głównej jak i po jej rozwiązaniu, wygaśnięciu lub ustaniu,
jak również:
(ii) podczas wykonywania Zlecenia jednorazowego jak i po jego wykonaniu.
Na tej samej podstawie PRZETWARZAJĄCY zobowiązuje się do zapewnienia, aby osoby mające dostęp do Przetwarzania Danych Osobowych zachowały je oraz sposoby ich zabezpieczeń w tajemnicy również po ustaniu zatrudnienia u PRZETWARZAJĄCEGO. W tym celu PRZETWARZAJĄCY dopuści do przetwarzania danych tylko te osoby, które podpisały zobowiązanie do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia. Osoby upoważnione są ponadto zobowiązane do zachowania tajemnicy w zakresie, w jakim powierzone dane osobowe są chronione tajemnicą doradcy podatkowego.
4.3. PRZETWARZAJĄCY zobowiązuje się ograniczyć dostęp do Danych Osobowych wyłącznie do osób, dla których dostęp do Danych Osobowych jest niezbędny dla realizacji Umowy głównej/Zlecenia jednorazowego.
4.4. PRZETWARZAJĄCY zobowiązany jest do niezwłocznego poinformowania ADMINISTRATORA o wszelkich wątpliwościach co do zgodności z prawem wydanych przez ADMINISTRATORA poleceń lub instrukcji, w szczególności, gdy w ocenie PRZETWARZAJĄCEGO wydane przez ADMINISTRATORA polecenie lub instrukcja stanowią naruszenie postanowień RODO lub innych przepisów Unii Europejskiej lub bezwzględnie obowiązujących przepisów prawa polskiego.
4.5. ADMINISTRATOR zobowiązany jest współdziałać z PRZETWARZAJĄCYM w wykonaniu postanowień UMOWY o PPDO, udzielać PRZETWARZAJĄCEMU wyjaśnień w razie wątpliwości co do legalności poleceń ADMINISTRATORA, jak również wywiązywać się terminowo ze swoich szczegółowych obowiązków.
§ 5 INNE OBOWIĄZKI PRZETWARZAJĄCEGO
5.1. PRZETWARZAJĄCY zobowiązuje się pomagać ADMINISTRATOROWI w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO. PRZETWARZAJĄCY zobowiązuje się również do:
(i) przekazania ADMINISTRATOROWI informacji dotyczących naruszenia ochrony Danych Osobowych w ciągu dwudziestu czterech (24) godzin od wykrycia zdarzenia stanowiącego naruszenie ochrony danych osobowych;
(ii) przygotowania w ciągu dwudziestu czterech (24) godzin od wykrycia zdarzenia stanowiącego naruszenie ochrony Danych Osobowych informacji wymaganych w zgłoszeniu naruszenia ochrony danych do organu nadzorczego, o których mowa w art. 33 ust. 2 RODO;
(iii) prowadzenia rejestru naruszeń ochrony Danych Osobowych.
5.2. PRZETWARZAJĄCY zobowiązuje się ponadto pomagać ADMINISTRATOROWI poprzez odpowiednie środki techniczne i organizacyjne w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w Rozdziale III RODO. W szczególności PRZETWARZAJĄCY zobowiązuje się:
(i) w razie zgłoszenia przez osobę, której dane dotyczą, żądania prawa dostępu, o którym mowa w art. 15 RODO – do przygotowania dla ADMINISTRATORA raportu umożliwiającego przedstawienie osobie, której dane dotyczą, informacji, o których mowa w art. 15 ust. 1 RODO;
(ii) w razie zgłoszenia przez osobę, której dane dotyczą, prawa do sprostowania danych, o którym mowa w art. 16 RODO – do odnotowania żądania osoby, której dane dotyczą poprzez aktualizację danych,
(iii) w razie zgłoszenia przez osobę, której dane dotyczą, prawa do bycia zapomnianym, o którym mowa w art. 17 RODO – do przekazania tego żądania ADMINISTRATOROWI,
(iv) w razie zgłoszenia przez osobę, której dane dotyczą, prawa do ograniczenia przetwarzania, o którym mowa w art. 18 RODO – do przekazania tego żądania ADMINISTRATOROWI,
(v) w razie zgłoszenia przez osobę, której dane dotyczą, prawa do sprzeciwu, o którym mowa w art. 21 RODO – do przekazania tej informacji ADMINISTRATOROWI.
5.3. ADMINISTRATOR zobowiązuje się w imieniu PRZETWARZAJĄCEGO przekazać osobom, o których mowa w § 3.8., informacje o przetwarzaniu przez PRZETWARZAJĄCEGO Danych Osobowych zgodnie z wymogami art. 14 RODO. ADMINISTRATOR zobowiązuje się ponadto odebrać od tych osób potwierdzenie zapoznania się z przekazaną im ww. informacją, przechowywać je i udostępniać na każde żądanie PRZETWARZAJĄCEGO.
5.4. PRZETWARZAJĄCY zobowiązuje się współpracować z organem nadzorczym w zakresie wykonywanych przez niego w ramach niniejszej UMOWY o PPDO czynności. PRZETWARZAJĄCY zobowiązuje się stosować do ewentualnych wskazówek lub zaleceń, wydanych przez organ nadzoru lub unijny organ doradczy zajmujący się ochroną danych osobowych, dotyczących przetwarzania danych osobowych, w szczególności w zakresie stosowania RODO.
5.5. PRZETWARZAJĄCY zobowiązuje się udostępnić ADMINISTRATOROWI wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO; ponadto zobowiązuje się on umożliwić ADMINISTRATOROWI lub audytorowi upoważnionemu przez ADMINISTRATORA przeprowadzanie audytów w zakresie ochrony danych osobowych.
5.6. PRZETWARZAJĄCY nie jest uprawniony do przekazania Danych Osobowych do państwa trzeciego lub organizacji międzynarodowej poza Europejski Obszar Gospodarczy. PRZETWARZAJĄCY oświadcza również, że nie korzysta z podwykonawców, którzy przekazują Dane Osobowe poza Europejski Obszar Gospodarczy.
5.7. Jeżeli w toku realizacji Umowy o PPDO PRZETWARZAJĄCY poweźmie zamiar lub będzie mieć obowiązek przekazania Danych Osobowych poza Europejski Obszar Gospodarczy, PRZETWARZAJĄCY zobowiązany jest poinformować o tym ADMINISTRATORA w celu umożliwienia ADMINISTRATOROWI podjęcia decyzji i działań niezbędnych do zapewnienia zgodności przetwarzania danych z prawem lub zakończenia ich powierzenia Przetwarzania.
§ 6 PODPOWIERZENIE DANYCH
6.1. Z zastrzeżeniem § 6.2 niżej ADMINISTRATOR dopuszcza możliwość podpowierzenia danych przez PRZETWARZAJĄCEGO na rzecz podwykonawców PRZETWARZAJĄCEGO. PRZETWARZAJĄCY pozostaje uprawniony do podpowierzenia Danych Osobowych na podstawie pisemnej umowy podpowierzenia, pod warunkiem:
(i) uzyskania uprzedniej zgody ADMINISTRATORA;
lub
(ii) braku sprzeciwu ADMINISTRATORA w sytuacji, o której mowa w § 6.4 niżej.
6.2. PRZETWARZAJĄCY nie ma prawa przekazać Podprzetwarzającemu całości
wykonania UMOWY o PPDO.
6.3. Niezależnie od postanowień § 6.1 wyżej ADMINISTRATOR wyraża zgodę na podpowierzenie przez PRZETWARZAJĄCEGO Danych Osobowych na rzecz podmiotów wskazanych w Załączniku nr 5 do UMOWY o PPDO.
6.4. PRZETWARZAJĄCY zobowiązany jest poinformować ADMINISTRATORA o wszelkich zamierzonych zmianach dotyczących podpowierzenia Danych Osobowych na rzecz Podprzetwarzających innych niż wskazani w Załączniku nr 5 do UMOWY o PPDO, jak również dotyczących zastąpienia dotychczasowych Podprzetwarzających innym podmiotem - w celu umożliwienia ADMINISTRATOROWI wyrażenia sprzeciwu. ADMINISTRATOR może z uzasadnionych przyczyn zgłosić udokumentowany sprzeciw względem powierzenia Danych Osobowych konkretnemu Podprzetwarzającemu, w terminie trzech (3) dni od dnia otrzymania powyższej informacji. W razie zgłoszenia sprzeciwu przez ADMINISTRATORA PRZETWARZAJĄCY nie ma prawa powierzyć Danych Osobowych Podprzetwarzającemu objętemu sprzeciwem, a jeżeli sprzeciw dotyczy aktualnego Podprzetwarzającego, musi niezwłocznie zakończyć podpowierzenie temu Podprzetwarzającemu. Wątpliwości co do zasadności sprzeciwu i ewentualnych negatywnych konsekwencji PRZETWARZAJĄCY zgłosi ADMINISTRATOROWI w czasie umożliwiającym zapewnienie ciągłości Przetwarzania. W przypadku niewyrażenia sprzeciwu przez ADMINISTRATORA w terminie, o którym mowa w zdaniu pierwszym domniemywa się, że ADMINISTRATOR wyraził zgodę na podpowierzenie Danych Osobowych wskazanemu Podprzetwarzającemu.
6.5. Dokonując podpowierzenia PRZETWARZAJĄCY ma obowiązek zobowiązać Podprzetwarzającego w najszerszym możliwym zakresie – uwzględniając uwarunkowania prawne oraz charakter, zakres i naturę podpowierzenia - do realizacji wszystkich obowiązków PRZETWARZAJĄCEGO wynikających z UMOWY o PPDO. W szczególności PRZETWARZAJĄCY zobowiązuje się zapewnić, aby Podprzetwarzający stosowali co najmniej równorzędny poziom ochrony Danych Osobowych objętych UMOWĄ o PPDO co PRZETWARZAJĄCY.
6.6. W przypadku wypowiedzenia lub rozwiązania umowy podpowierzenia PRZETWARZAJĄCY zobowiązuje się poinformować o tym fakcie ADMINISTRATORA w terminie siedmiu (7) dni od dnia wypowiedzenia lub rozwiązania umowy podpowierzenia.
§ 7 KONTROLA PRZETWARZANIA. AUDYT
7.1. Z uwzględnieniem § 5.5. ADMINISTRATOR uprawniony jest do kontroli sposobu przetwarzania powierzonych PRZETWARZAJĄCEMU Danych Osobowych.
7.2. ADMINISTRATOR zobowiązuje się poinformować PRZETWARZAJĄCEGO o planowanym audycie co najmniej na siedem (7) dni przed rozpoczęciem audytu.
7.3. Audyt przeprowadzany jest przez upoważnionego pracownika ADMINISTRATORA lub audytora upoważnionego przez ADMINISTRATORA. Z zastrzeżeniem § 7.4 niżej. upoważniony pracownik ADMINISTRATORA lub audytor ma prawo do:
(i) wstępu do pomieszczeń, w których przetwarzane są Dane Osobowe;
(ii) wglądu do dokumentów i informacji mających bezpośredni związek z
powierzeniem Przetwarzania Danych Osobowych objętych UMOWĄ o PPDO,
(iii) przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do Przetwarzania powierzonych Danych Osobowych,
(iv) uzyskania pisemnych lub ustnych wyjaśnień w zakresie niezbędnym do
ustalenia stanu faktycznego.
7.4. Realizacja przez ADMINISTRATORA uprawnień w zakresie audytu nie może
prowadzić do naruszenia tajemnicy zawodowej PRZETWARZAJĄCEGO.
7.5. Po zakończeniu audytu pracownik upoważniony do audytu przez ADMINISTRATORA lub upoważniony audytor przedstawia PRZETWARZAJĄCEMU wyniki audytu. PRZETWARZAJĄCY pozostaje uprawniony do zgłoszenia ADMINISTRATOROWI zastrzeżeń do wyników audytu w terminie siedmiu (7) dni od dnia otrzymania wyników audytu.
7.6. W przypadku negatywnych wyników audytu, ADMINISTRATOR i PRZETWARZAJĄCY zobowiązują się do podjęcia wspólnych działań w dobrej wierze celem usunięcia nieprawidłowości i zapewnienia prawidłowości dalszego Przetwarzania Danych Osobowych przez PRZETWARZAJĄCEGO.
§ 8 ODPOWIEDZIALNOŚĆ
8.1. PRZETWARZAJĄCY odpowiada względem ADMINISTRATORA za szkody spowodowane swoim działaniem w związku z niedopełnieniem obowiązków, które RODO nakłada bezpośrednio na PRZETWARZAJĄCEGO lub gdy działał poza zgodnymi z prawem instrukcjami ADMINISTRATORA lub wbrew tym instrukcjom. PRZETWARZAJĄCY odpowiada za szkody spowodowane zastosowaniem lub niezastosowaniem właściwych środków bezpieczeństwa.
8.2. Jeżeli Podprzetwarzający nie wywiąże się ze spoczywających na Podprzetwarzającym obowiązków ochrony danych, odpowiedzialność wobec ADMINISTRATORA za wypełnienie obowiązków przez Podprzetwarzającego spoczywa na PRZETWARZAJĄCYM.
§ 9 OKRES OBOWIĄZYWANIA UMOWY. ZAKOŃCZENIE PRZETWARZANIA.
9.1. UMOWA o PPDO została zawarta na czas obowiązywania Umowy Głównej lub wykonywania Zlecenia jednorazowego.
9.2. W przypadku rozwiązania Umowy Głównej lub wypowiedzenia Umowy Głównej/Zlecenia jednorazowego przez Stronę, UMOWĘ o PPDO uznaje się automatycznie za rozwiązaną lub wypowiedzianą.
9.3. Strony zgodnie uznają i akceptują, że powierzenie PRZETWARZAJĄCEMU Przetwarzania Danych Osobowych objętych UMOWĄ o PPDO jest wprawdzie dobrowolne, ale niezbędne do prawidłowego wykonania przez PRZETWARZAJĄCEGO Umowy Głównej/Zlecenia jednorazowego. W okresie obowiązywania Umowy Głównej lub wykonywania Zlecenia jednorazowego Strony zgodnie wyłączają możliwość rozwiązania lub wypowiedzenia UMOWY o PPDO bez jednoczesnego rozwiązania lub wypowiedzenia Umowy Głównej/Zlecenia jednorazowego.
9.4. PRZETWARZAJĄCY zobowiązuje się po zakończeniu świadczenia usług związanych z Umową Główną/Zleceniem jednorazowym, zależnie od decyzji ADMINISTRATORA do usunięcia lub zwrócenia ADMINISTRATOROWI wszelkich Danych Osobowych oraz do usunięcia wszelkich ich istniejących kopii, chyba że, prawo unijne lub prawo polskie, względnie prawo innego państwa członkowskiego nakazują przechowywanie danych osobowych lub do wypełnienia obowiązków, o których w § 3.3 UMOWY o PPDO. Z chwilą rozwiązania UMOWY o PPDO PRZETWARZAJĄCY nie ma prawa do dalszego Przetwarzania powierzonych Danych Osobowych i jest zobowiązany do:
(i) usunięcia Danych;
(ii) usunięcia wszelkich ich istniejących kopii lub zwrotu Danych, chyba że, ADMINISTRATOR postanowi inaczej lub prawo unijne lub prawo polskie, względnie prawo innego państwa członkowskiego, nakazują dalej przechowywanie Danych.
9.5. Po rozwiązaniu UMOWY o PPDO, Strony uzgodnią sposób usunięcia Danych Osobowych w terminie trzydziestu (30) dni od rozwiązania UMOWY o PPDO.
9.6. Z zastrzeżeniem § 3.3 UMOWY o PPDO PRZETWARZAJĄCY dokona usunięcia Danych Osobowych oraz ich kopii nie później niż w terminie stu osiemdziesięciu (180) dni od rozwiązania UMOWY o PPDO, chyba że, prawo unijne lub prawo polskie, względnie prawo innego państwa członkowskiego nakazują dalej przechowywanie Danych.
9.7. Po wykonaniu zobowiązania, o którym mowa w § 9.4 wyżej PRZETWARZAJĄCY złoży ADMINISTRATOROWI oświadczenie potwierdzające trwałe usunięcie wszystkich Danych Osobowych oraz ich kopii.
§ 10 KLAUZULA SALWATORYJNA
10.2. W przypadku, gdy jakiekolwiek postanowienie UMOWY o PPDO okaże się lub stanie się nieważne albo niewykonalne, Strony zobowiązane będą do niezwłocznej zmiany
lub uzupełnienia UMOWY o PPDO w sposób oddający możliwie najwierniej zamiar Stron wyrażony w postanowieniu, które uznane zostało za nieważne albo niewykonalne.
§ 11 POSTANOWIENIA KOŃCOWE
11.1. Wszelkie zmiany lub uzupełnienia do UMOWY o PPDO wymagają formy pisemnej pod rygorem nieważności. Dotyczy to również zmiany niniejszego postanowienia.
11.2. W sprawach nieuregulowanych postanowieniami UMOWY o PPDO zastosowanie
znajdują odpowiednio postanowienia RODO oraz obowiązującego prawa polskiego.
11.3. W przypadku jakichkolwiek sprzeczności pomiędzy postanowieniami Umowy o PPDO oraz Umowy Głównej/Zlecenia jednorazowego, pierwszeństwo zastosowania mają postanowienia UMOWY o PPDO.
11.4. Wszelkie wątpliwości dotyczące Przetwarzania Danych Osobowych pomiędzy ADMINISTRATOREM, a PRZETWARZAJĄCYM powinny być rozwiązywane poprzez doprecyzowanie, zmiany lub uzupełnienia UMOWY o PPDO i skutkować faktycznym wykonaniem jej postanowień.
11.5. Do UMOWY o PPDO dołączono następujące Załączniki:
(i) Załącznik nr 1 – Operacje w zakresie przetwarzania danych osobowych;
(ii) Załącznik nr 2 – Zakres przetwarzanych danych osobowych;
(iii) Załącznik nr 3 – Kategorie osób objętych przekazaniem;
(iv) Załącznik nr 4 – Lista odbiorców danych osobowych;
(v) Załącznik nr 5 – Lista zaakceptowanych Podprzetwarzających.
11.6. Umowa wchodzi w życie w momencie zawarcia przez Strony Umowy głównej lub przyjęcia przez PRZETWARZAJĄCEGO udzielonego mu przez ADMINISTRATORA Zlecenia jednorazowego.
ZAŁĄCZNIK NR 1 DO UMOWY O PPDO:
OPERACJE W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH
PRZETWARZAJĄCY pozostaje uprawniony i zobowiązany do wykonywania w szczególności następujących czynności Przetwarzania Danych Osobowych:
(i) zbieranie
(ii) utrwalanie;
(iii) adaptowanie;
(iv) porządkowanie;
(v) przechowywanie;
(vi) wykorzystywanie do celów wynikających z Umowy Głównej/Zlecenia jednorazowego;
(vii) ujawnianie innym podmiotom zgodnie z przepisami prawa, postanowieniami Umowy
Głównej/Zlecenia jednorazowego lub na polecenie ADMINISTRATORA;
(viii) niszczenie;
(ix) usuwanie.
ZAKRES PRZETWARZANYCH DANYCH OSOBOWYCH
W ramach wykonania UMOWY o PPDO PRZETWARZAJĄCY będzie przetwarzał następujące Dane Osobowe:
(i) w odniesieniu do Danych Zwykłych:
(a) imię i nazwisko,
(b) numer ewidencyjny PESEL,
(c) adres zamieszkania, zameldowania, do korespondencji;
(d) adres e-mail,
(e) numery telefonów,
(f) data urodzenia,
(g) NIP,
(h) REGON,
(i) numer wpisu do KRS,
(j) seria i numer dokumentu tożsamości,
(k) imiona rodziców,
(l) numer rachunku bankowego;
(ii) w odniesieniu do Danych Wrażliwych:
(a) dokumentacja medyczna,
(b) informacje dotyczące przynależności do związków lub organizacji zawodowych;
(iii) w odniesieniu do Danych Osobowych niestrukturyzowanych:
(a) kontent o potencjalnej i prawdopodobnej zawartości danych osobowych (wpisy, dokumenty tekstowe oraz elektroniczne, obrazy, nagrania, filmy).
KATEGORIE OSÓB OBJĘTYCH PRZETWARZANIEM
PRZETWARZAJĄCY pozostaje uprawniony do przetwarzania Danych Osobowych następujących
podmiotów:
(i) przedstawiciele i reprezentanci ADMINISTRATORA;
(ii) personel ADMINISTRATORA i podmiotów stowarzyszonych ADMINISTRATORA, w
szczególności: pracownicy zleceniobiorcy, wykonawcy dzieła;
(iii) klienci oraz kontrahenci (odbiorcy i dostawcy) ADMINISTRATORA;
(iv) osoby, z którymi klienci ADMINISTRATORA wchodzą w interakcje społeczne;
(v) odbiorcy korespondencji elektronicznej klientów ADMINISTRATORA.
ZAŁĄCZNIK NR 4 DO UMOWY O PPDO:
KATEGORIE ODBIORCÓW DANYCH OSOBOWYCH
Odbiorcami Danych Osobowych objętych UMOWĄ o PPDO będą:
(i) przedstawiciele i reprezentanci PRZETWARZAJĄCEGO;
(ii) Podprzetwarzający wskazani w Załączniku nr 5 do UMOWY o PPDO;
(iii) personel PRZETWARZAJĄCEGO i podmiotów stowarzyszonych PRZETWARZAJĄ- CEGO, w szczególności: pracownicy zleceniobiorcy, wykonawcy dzieła;
(iv) podmioty świadczące usługi obsługi informatycznej PRZETWARZAJĄCEGO;
(v) podmioty świadczące usługi obsługi prawnej PRZETWARZAJĄCEGO;
(vi) podmioty świadczące usługi hostingowe (w tym w zakresie poczty elektronicznej oraz utrzymania domeny internetowej) na rzecz PRZETWARZAJĄCEGO;
(vii) organy państwowe i samorządowe, jak również Sądy Powszechne i Administracyjne, którym Dane Osobowe ujawniane są w związku z wykonaniem przez PRZETWARZAJĄCEGO Umowy Głównej/Zlecenia jednorazowego;
(viii) osoby reprezentujące podmioty wskazane w pkt. (ii)-0 wyżej, z którymi przedstawiciele i reprezentanci lub personel PRZETWARZAJĄCEGO wchodzą w interakcje społeczne.
ZAŁĄCZNIK NR 5 DO UMOWY O PPDO:
LISTA ZAAKCEPTOWANYCH PODPRZETWARZAJĄCYCH
PRZETWARZAJĄCY pozostaje uprawniony do podpowierzenia Danych Osobowych objętych UMOWĄ o PPDO na rzecz następujących Podprzetwarzających:
Klier & Ott GmbH
Steuerberatungsgesellschaft Rechtsanwaltsgesellschaft Reinxxxxxxxxxxx 00
00000 Xxxxxx Xxxxxx
Xxlefon: 0000 (0)00 00 00 00 0-0
Telefax: 0000 (0)00 00 00 00 0-29