Umowa powierzenia przetwarzania danych osobowych
Umowa powierzenia przetwarzania danych osobowych
zawarta w Krakowie pomiędzy:
Powierzającym – przedsiębiorcą, który zawarł umowę na mocy której korzysta z serwisu lub usług związanych z wdrożeniem serwisu o nazwie handlowej xSale
a
FUTURITI sp. z o.o. z siedzibą w Krakowie (dawniej Xxxxxxxxxx Xxxxxxx Alpol), adres: xx. Xxxxxxxxxxx 00, 00-000 Xxxxxx, akta rejestrowe w Sądzie Rejonowym dla Krakowa – Śródmieścia w Krakowie Wydział XI Gospodarczy Krajowego Rejestru Sądowego, kapitał zakładowy, 100.000 zł, KRS: 0000710151, NIP: 6762542702
reprezentowaną przez Xxxxxxxxx Xxxxxxxx – Prezesa Zarządu
w dalszej części niniejszej umowy zwanym „Przetwarzający” albo „Futuriti”
§ 1
1. Powierzający i Przetwarzający oświadczają, że zawarli umowę serwisu/wdrożenia której przedmiotem jest świadczenie przez FUTURITI usług informatycznych oraz udzielenie licencji na oprogramowanie FUTURITI to jest: program o nazwie handlowej xSale lub/i świadczenie usług w ramach umowy gwarancyjną dotyczących programu xSale. Opisane w zdaniu poprzednim umowa lub umowy wiążące Strony zwane są dalej „Umową Główną”.
2. Do wykonania Umowy Głównej konieczne może być przetwarzanie danych osobowych.
3. Niniejsza – akcesoryjna względem Umowy Głównej – umowa powierzenia przetwarzania danych osobowych reguluje wzajemny stosunek Stron i obowiązku w zakresie przetwarzania danych osobowych wynikających z zawartej Umowy Głównej.
4. Rozwiązanie Umowy Głównej powoduje rozwiązanie niniejszej Umowy.
5. Niniejsza Umowa stanowi wzorzec umowny opublikowany w postaci elektronicznej. Postanowienia Umowy są wiążące dla Stron, chyba że Powierzający w terminie 7 dni od dnia uzyskania dostępu do treści Umowy sprzeciwi się jej stosowaniu.
6. Powierzający zobowiązany jest zapisać treść niniejszej Umowy w stanie takim jak została udostępniona we własnych zasobach informatycznych.
§ 2
1. Przetwarzanie danych osobowych z tytułu Umowy Głównej odbywać się będzie w zgodzie i w oparciu o:
a. Ustawę o ochronie danych osobowych (Dz. U. 2016 r. poz. 922) zwanej dalej
„UODO”, wraz z aktami wykonawczymi, szczególnie: rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r.w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych (Dz.U. nr 100, poz. 1024) – zwanym dalej „RUODO”
b. Rozporządzenie Parlamentu Europejskiego Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) zwanego dalej „RODO“.
2. Administratorem danych osobowych, których przetwarzanie wynika z Umowy Głównej jest Powierzający.
3. Powierzający oświadcza, iż spełnił warunki legalności przetwarzania danych osobowych zgodnie z przepisami RUODO oraz RODO a także pozostałymi normami obowiązującego prawa.
4. Podmiotem przetwarzającym, któremu Powierzający powierza przetwarzanie danych osobowych jest FUTURITI.
5. FUTURITI w celu należytej ochrony danych osobowych wyznaczył Inspektora Ochrony Danych, z którym można się kontaktować pod adresem e-mail: xxxx@xxxxxxxx.xx
§ 4
1. Cel i zakres powierzenia przetwarzania danych osobowych wynika bezpośrednio i ogranicza się wyłącznie do zdań wynikających z zawartej Umowy Głównej, a mianowicie:
a) cele:
1) wdrożenie i konfiguracja oprogramowania, którego dotyczy Umowa Główna
2) realizacji usług serwisu/gwarancji na oprogramowanie, zgodnie z Umową Główną
b) zakres stanowią dane kontrahentów Powierzającego a to: imiona, nazwiska, adresy, numery telefonów, nr NIP, nr REGON, adresy e-mail oraz inne dane nie wyłączone z zakresu przetwarzania zgodnie z niniejszą Umową.
2. Na powyższych danych będą wykonywane następujące operacje: przechowywanie, transfer, utrwalanie, a także czynności polegające na tworzeniu kopii bezpieczeństwa oraz czynności związane z odtworzeniem danych z kopii bezpieczeństwa.
3. Przetwarzający zobligowany jest do:
a. zapewnienia bezpiecznego (kryptograficznie zabezpieczonego) transferu danych w procesie świadczonej usługi
b. wdrożenia mechanizmów uwierzytelniania oraz nadzoru działań w systemie przez odnotowywanie zdarzeń na przetwarzanych danych (logowanie działań),
c. zapewnienia w działaniach serwisowych (w tym wymiana uszkodzonych zasobów dyskowych), by dostęp do zasobów był ograniczony do osób upoważnionych
d. zachowania przetwarzanych danych w poufności.
6. Przetwarzanie danych osobowych przez FUTURITI będzie odbywać się wyłącznie na udokumentowane polecenie Administratora.
7. Za udokumentowane polecenie uznaje się zadania zlecone do wykonywania Przetwarzającemu Umową Główną.
8. Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienia od FUTURITI oraz przeszkolone z zakresu przepisów dotyczących ochrony danych osobowych.
9. Powierzający upoważnia FUTURITI do wyznaczania osób uprawnionych do przetwarzania danych osobowych w zakresie koniecznym do wypełnienia zobowiązania z tytułu realizowania zapisów niniejszej umowy.
10. Przetwarzający oświadcza, że każda osoba (np. pracownik etatowy, osoba świadcząca czynności na podstawie umów cywilnoprawnych, inne osoby pracujące na rzecz Przetwarzającego), która zostanie upoważniona do przetwarzania danych osobowych będących przedmiotem Umowy Głównej, zostanie zobowiązana do zachowania tych danych w tajemnicy przed udostępnieniem jej wyżej wymienionych danych. Tajemnica ta obejmuje również wszelkie informacje dotyczące sposobów zabezpieczenia powierzonych do przetwarzania danych osobowych.
11. Z zakresu przetwarzanych danych wyłączone są dane uważane za szczególne kategorie danych osobowych zgodnie z art. 9 (dane dotyczące przekonań, wyznania, orientacji seksualnej, przynależności do organizacji politycznych itp.) oraz art. 10 RODO (dane dotyczące skazania za przestępstwo lub związane ze stwierdzeniem innych naruszeń prawa).
§ 5
1. Przetwarzający, realizując zadania wynikające z Umowy Głównej:
a. zastosuje środki zabezpieczenia określone w obowiązującym prawie, w szczególności poprzez zastosowanie odpowiednich do zindentyfikowanego ryzyka zabezpieczeń oraz o ile to możliwe i racjonalnie uzasadnione pseudonimizację danych
b. udzieli pomocy Przekazującemu w zakresie niezbędnym do realizacji obowiązków Przekazującego
c. bezzwłocznie zgłosi Przekazującemu naruszenie danych osobowych, którego będzie uczestnikiem,
d. po zakończeniu przetwarzania danych osobowych niezwłocznie zwróci powierzone mu dane lub dokona ich zniszczenia – adekwatnie do przekazanej w sposób jednoznaczny woli Przekazującego,
e. udostępni Przekazującemu wszelkie informacje niezbędne do wykazania spełniania obowiązków spoczywających na podmiocie przetwarzającym oraz umożliwi Przekazującemu lub audytorowi upoważnionemu przez Zlecającego przeprowadzanie audytów, w tym inspekcji, współpracując przy działaniach sprawdzających i naprawczych.
f. zastosuje się do uzasadnionych zaleceń pokontrolnych przekazanych przez Przekazującego, przy czym w przypadku gdy zastosowanie zaleceń wymagać będzie dodatkowych nakładów po stronie Przetwarzającego, Strony podejmą negocjacje celem ustalenia zasad ponoszenia kosztów związanych z zastosowaniem zaleceń; w przypadku braku osiągnięcia porozumienia w ciągu 30 dni od dnia zgłoszenia zaleceń, Stronom będzie przysługiwać prawo rozwiązania zarówno niniejszej umowy powierzenia, jak i Umowy Głównej ze skutkiem natychmiastowym,
g. w terminie nie późniejszym niż 25 maja 2018 r. rozpocznie prowadzenie rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora zgodnie z wymaganiami art. 30 ust. 2 RODO
h. dostarczy {a} wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych oraz {b} opis struktury zbiorów danych wskazujący zawartość poszczególnych informacyjnych i powiązaniami między nimi dla systemu(-ów) informatycznego(-ych) dostarczonych/obsługiwanych przez Przetwarzającego wraz z przepływami danych w systemie.
2. Przetwarzający zobowiązany jest do współpracy z organem nadzorczym w zakresie przetwarzania danych osobowych powierzonych na podstawie niniejszej Umowy.
§ 6
1. Powierzający wyraża ogólną zgodę by Przetwarzający korzystał z usług innego podmiotu przetwarzającego, przy czym:
a. Przetwarzający zobowiązany jest poinformować pisemnie Przekazującego o wszelkich zamierzonych działaniach dotyczących dodania, zmianach lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec tych działań; brak sprzeciwu wyrażonego w ciągu 14 dni roboczych od daty potwierdzonej wysyłki zawiadomienia uznaje się jako akceptację Przekazującego działań Przetwarzającego
b. Przetwarzający odpowiada za działania dalszego podmiotu przetwarzającego jak za własne.
2. Przetwarzający nie jest uprawniony do przekazywania danych osobowych do państwa nie będącego członkiem Unii Europejskiej albo takiej organizacji międzynarodowej, chyba że podstawą takiego przekazania są normy prawa Unii Europejskiej lub prawo polskie albo inne prawa państwa należącego do Unii Europejskiej, w którym Powierzający ma siedzibę.
3. W każdym przypadku przekazania danych do państwa spoza państw należących do Unii Europejskiej FUTURITI zobowiązana jest poinformować o tym fakcie Powierzającego wraz ze wskazaniem podstawy prawnej umożliwiającej przekazanie.
§ 7
1. Przetwarzający dla zapewnienia, iż spełnia wymagania RODO w zakresie gwarancji zabezpieczenia zobowiązany jest:
a. przed rozpoczęciem świadczenia usługi uzyskać akceptację Powierzającego w zakresie spełniania wymagań dotyczących zabezpieczenia przetwarzanych danych w zakresie prawidłowości implementacji tych wymagań w dokumentacji bezpieczeństwa, przy czym, o ile nie zostanie wskazane inaczej Powierzajacy akceptuje środki bezpieczeństwa opisane w niniejszej Umowie,
b. W przypadku przetwarzania powierzonych Umową Główną danych osobowych poza obszarem państw członkowskich Unii Europejskiej, dostarczyć poświadczoną kopię dokumentów, które stanowią przesłankę legalności tego działania (np. dokument zawartych standardowych klauzul umownych z podprocesorem),
c. przynajmniej raz w roku dostarczyć raport z audytu zabezpieczenia środowiska informacyjnego, w którym przetwarzane są powierzone dane osobowe.
2. Przetwarzający na wezwanie Powierzającego zobowiązany jest do przedstawienia listy stosowanych zabezpieczeń
§ 8
1. Wszelkie zawiadomienia, żądania bądź akceptacje składane w ramach Umowy powierzenia będą uważane za dokonane, jeśli zostaną doręczone w formie pisemnej odpowiedzialnemu za realizację niniejszej Umowy przedstawicielowi Strony osobiście bądź na adres poczty elektronicznej osób wskazanych w Umowie Głównej
2. Strony będą niezwłocznie zawiadamiać się na piśmie, w trybie określonym w ust. 1, o zmianie osób odpowiedzialnych za realizację Umowy powierzenia lub osób wyznaczonych do kontaktów w ramach Umowy. Zmiana wyżej wymienionych osób nie stanowi zmiany niniejszej Umowy i nie wymaga jej zmiany.
3. Strony nie mogą, bez uprzedniej, pisemnej (zastrzeżonej pod rygorem nieważności) zgody drugiej Strony, przenieść jakichkolwiek praw i obowiązków wynikające z Umowy powierzenia na osobę trzecią z zastrzeżeniem odmiennych postanowień Umowy powierzenia.
4. Strony zgodnie oświadczają, iż w przypadku sporów powstałych na tle realizacji niniejszej Umowy dążyć będą do polubownego ich rozwiązania. W przypadku, gdy nie dojdzie do rozwiązania sporu w powyższy sposób, właściwym do jego rozstrzygnięcia będzie sąd powszechny właściwy miejscowo dla siedziby Przetwarzającego.
5. W sprawach nieuregulowanych w niniejszej Umowie zastosowanie mają przepisy RODO, Kodeksu cywilnego oraz innych obowiązujących przepisów prawa.
Obowiązek Informacyjny dotyczący danych osobowych, których Administratorem jest Futuriti sp. z o.o.
1. Informujemy, że Administratorem danych osobowych jest FUTURITI sp. z o.o. z siedzibą w Krakowie, xx. Xxxxxxxxxxx 00, 00-000 Xxxxxx.
2. Administrator w celu należytej ochrony danych osobowych wyznaczył Inspektora Ochrony Danych, z którym można się kontaktować pod adresem e-mail: xxxx@xxxxxxxx.xx
3. Administrator przetwarza dane osobowe w celu realizacji umowy. Podstawą prawną przetwarzania danych osobowych jest zawarta umowa i prawnie usprawiedliwiony cel – kontakt w sprawie wykonania umowy. Podanie danych osobowych jest dobrowolne, lecz konieczne w celu zawarcia i wykonania umowy.
4. Dane osobowe przetwarzane będą przez okres trwania umowy, a po jej zakończeniu przez czas wynikający z obowiązujących przepisów prawa lub do czasu przedawnienia roszczeń.
5. Odbiorcami danych osobowych będą podmioty zewnętrzne świadczące usługi związane z bieżącą działalnością Administratora – na mocy stosownych umów powierzenia przetwarzania danych osobowych oraz przy zapewnieniu stosowania przez powołane podmioty adekwatnych środków technicznych i organizacyjnych zapewniających ochronę danych.
6. Osobie, która przekazała dane osobowe przysługuje prawo dostępu do swoich danych oraz ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo wniesienia sprzeciwu wobec przetwarzania danych oraz prawo do przenoszenia danych.
7. W przypadku wątpliwości związanych z przetwarzaniem danych osobowych strona umowy może zwrócić się do Administratora z prośbą o udzielenie informacji. Niezależnie od powyższego, przysługuje prawo wniesienia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych.