Contract
Załącznik nr 1 do Regulaminu Internetowego Systemu Zamówień „Strefa Partnera” Umowa powierzenia przetwarzania danych osobowych
Zawarta pomiędzy Partnerem tj. Administratorem Danych Osobowych, a Podmiotem Przetwarzającym – Usługodawcą tj. Xxxx sp. z o.o., zwanymi również łącznie „Stronami”
Stanowi integralną część Regulaminu i określa zasady przetwarzania przez Usługodawcę na zlecenie Partnera danych osobowych Klientów i Pracowników Partnera za pośrednictwem Systemów Usługodawcy,
o następującej treści:
§ 1 Opis Przetwarzania
1. Na warunkach określonych niniejszą Umową oraz Umową Podstawową Administrator powierza Przetwarzającemu przetwarzanie dalej opisanych danych osobowych. Powierzenie danych osobowych następuje na podstawie art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako: ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1) – dalej RODO.
2. Przetwarzanie będzie wykonywane w okresie obowiązywania współpracy pomiędzy Usługodawcą a Partnerem.
3. Charakter i cel przetwarzania wynikają z Regulaminu Internetowego Systemu Zamówień „Strefa Partnera” w szczególności:
a) celem przetwarzania jest przetwarzanie danych osobowych pracowników i klientów Partnera, które Partner wprowadza do systemu Usługodawcy, stanowiącego narzędzie służące do zamawiania produktów detalicznych w Gros Sp. z o.o. przez Partnera dla jego klientów.
4. Przetwarzanie obejmować będzie następujące rodzaje danych osobowych: dane zwykłe (imię i nazwisko, adres e-mail, numer telefonu).
5. Przetwarzanie danych będzie dotyczyć następujących kategorii osób: klienci i pracownicy Partnera.
§ 2 Podpowierzenie
1. Administrator dopuszcza możliwość podpowierzenia przetwarzania powierzonych danych osobowych podwykonawcom Przetwarzającego (dalej jako: Podprzetwarający).
2. Podpowierzenie przetwarzania będzie mieć za podstawę umowę, na podstawie której Podprzetwarzający zobowiąże się do wykonywania tych samych obowiązków, które na mocy niniejszej Umowy nałożone są na Przetwarzającego a w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych. Umowa będzie zawarta w tej same formie co niniejsza Umowa Powierzenia.
3. Administratorowi będą przysługiwały uprawnienia wynikające z umowy podpowierzenia bezpośrednio wobec Podprzetwarzającego. W przypadku wypowiedzenia lub rozwiązania umowy podpowierzenia, Przetwarzający poinformuje o tym fakcie Administratora w terminie 2 dni od wypowiedzenia lub rozwiązania umowy.
4. Przetwarzający nie może przekazywać powierzonych mu do przetwarzania danych osobowych do podmiotów znajdujących się w państwach spoza Europejskiego Obszaru Gospodarczego.
5. Przetwarzający oświadcza, że jeśli Podprzetwarzający nie wywiąże się ze swoich obowiązków ochrony danych osobowych, pełna odpowiedzialność wobec Administratora spoczywa na Przetwarzającym.
§ 3 Obowiązki Przetwarzającego
Przetwarzający ma następujące obowiązki:
1. Przetwarzający przetwarza dane wyłącznie zgodnie z udokumentowanymi poleceniami lub instrukcjami Administratora. W celu wyeliminowania jakichkolwiek wątpliwości Strony uznają niniejszą Umowę za polecenie przetwarzania danych.
2. Przetwarzający oświadcza, że nie przekazuje Danych do państwa trzeciego lub organizacji międzynarodowej (czyli poza Europejski Obszar Gospodarczy („EOG”)). Przetwarzający oświadcza również, że nie korzysta z podwykonawców, którzy przekazują dane poza EOG.
3. Przetwarzający upoważnia swoich pracowników (bez względu na rodzaj zatrudnienia) do przetwarzania danych osobowych powierzonych.
4. Przetwarzający uzyskuje od osób, które zostały upoważnione do przetwarzania danych osobowych w wykonaniu Umowy, udokumentowane zobowiązania do zachowania tajemnicy, ewentualnie upewnia się, że te osoby podlegają ustawowemu obowiązkowi zachowania tajemnicy.
5. Przetwarzający zapewnia ochronę danych i podejmuje środki ochrony danych, o których mowa w art. 32 RODO.
6. Przetwarzający współpracuje z Administratorem przy wykonywaniu przez Administratora obowiązków z obszaru ochrony danych osobowych, o których mowa w art. 32−36 RODO.
7. Jeżeli Przetwarzający poweźmie wątpliwości
co do zgodności z prawem wydanych przez Administratora poleceń lub instrukcji, Przetwarzający natychmiast informuje Administratora o stwierdzonej wątpliwości (w sposób udokumentowany
i z uzasadnieniem).
8. Planując dokonanie zmian w sposobie przetwarzania danych, Przetwarzający ma obowiązek
zastosować się do wymogu projektowania prywatności, o którym mowa w art. 25 ust. 1 RODO.
9. Przetwarzający zobowiązuje się do ograniczenia dostępu
do danych osobowych wyłącznie do osób, których dostęp do danych jest potrzebny dla realizacji Umowy i posiadających odpowiednie upoważnienie.
10. Przetwarzający zobowiązuje się do prowadzenia dokumentacji opisującej sposób przetwarzania danych, w tym rejestru kategorii czynności przetwarzania danych osobowych (wymóg art. 30 RODO, o ile ma zastosowanie). Przetwarzający udostępniania na żądanie Administratora prowadzony rejestr kategorii czynności przetwarzania danych przetwarzającego, z wyłączeniem informacji stanowiących tajemnicę handlową innych klientów Przetwarzającego.
§ 4 Obowiązki Administratora
Administrator zobowiązuje się współdziałać z Przetwarzającym w wykonaniu Umowy, udzielać Przetwarzającemu wyjaśnień w razie wątpliwości co do legalności poleceń Administratora.
§ 5 Bezpieczeństwo danych
1. Przetwarzający oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, o których mowa w RODO.
2. W razie konieczności Strony będą współdziałały przy wprowadzaniu środków organizacyjnych i technicznych wpływających na proces ochrony danych osobowych.
3. Przetwarzający zobowiązuje się do zachowania w poufności danych osobowych jak również innych informacji, w których posiadanie wszedł w związku z wykonywaniem przedmiotu Umowy.
§ 6 Powiadomienie o Naruszeniach Danych Osobowych
1. Przetwarzający zobowiązuje się powiadomić Administratora danych o każdym podejrzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki i nie później niż w 48 godzin od pierwszego zgłoszenia lub wykrycia naruszenia.
2. Przetwarzający umożliwia Administratorowi uczestnictwo w czynnościach wyjaśniających i informuje Administratora o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia.
§ 7 Nadzór
1. Administrator ma prawo kontrolować sposób przetwarzania powierzonych danych osobowych po uprzednim poinformowaniu Przetwarzającego o planowanej kontroli, z wyprzedzeniem co najmniej 7 dni roboczych. Administrator lub wyznaczone przez niego osoby są uprawnione do (a) wstępu do pomieszczeń, w których przetwarzane są dane osobowe oraz (b) wglądu do dokumentacji związanej z przetwarzaniem danych osobowych. Administrator uprawniony jest do żądania od Przetwarzającego udzielania informacji dotyczących przebiegu przetwarzania danych osobowych, oraz udostępnienia rejestru kategorii czynności przetwarzania. Kontrola może być prowadzona nie dłużej niż 1 dzień roboczy. Po zakończeniu kontroli spisuje się protokół.
2. Przetwarzający o ile zajdzie taka potrzeba, ma obowiązek współpracować z urzędem ochrony danych osobowych w zakresie wykonywanych przez niego zadań.
§ 8 Oświadczenia Stron
1. Administrator oświadcza, że jest Administratorem danych oraz,
że jest uprawniony do ich przetwarzania w zakresie, w jakim powierzył je Przetwarzającemu.
2. Przetwarzający oświadcza, że przetwarza powierzone dane jedynie w celu opisanym Umową.
§ 9 Odpowiedzialność
1. Przetwarzający odpowiada za szkody spowodowane swoim działaniem w związku z
niedopełnieniem obowiązków, które RODO nakłada bezpośrednio na Przetwarzającego do wysokości szkody rzeczywistej poniesionej przez Administratora, o ile takie ograniczenie nie znajduje przeszkód prawnych.
2. W przypadku naruszenia adekwatnych przepisów RODO lub przepisów porządku krajowego, albo postanowień Umowy z przyczyn leżących po stronie Administratora, w następstwie czego
Przetwarzający zostanie zobowiązany do zapłaty jakichkolwiek należności lub odszkodowania, Administrator zobowiązuje się pokryć Przetwarzającemu poniesione z tego tytułu wszelkie koszty
§ 10 Okres Obowiązywania Umowy i możliwości jej rozwiązania
1. Umowa została zawarta na czas obowiązywania okresu współpracy Administratora i Przetwarzającego.
2. Przetwarzający może przetwarzać dane osobowe wyłącznie przez (i) okres obowiązywania Umowy o świadczenie usług oraz przez (ii) okres od rozwiązania lub wygaśnięcia Umowy o
świadczenie Usług do czasu usunięcia danych osobowych zgodnie z postanowieniami Umowy Powierzenia, chyba że Administrator i Przetwarzający ustalą inny termin przetwarzania danych osobowych w drodze odrębnego porozumienia.
3. Administrator i Przetwarzający mogą rozwiązać Umowę ze skutkiem natychmiastowym, gdy jedna ze Stron:
a) wykorzystała dane osobowe w sposób niezgodny z przepisami RODO lub przepisami porządku krajowego, albo postanowieniami Umowy
b) niewłaściwie przetwarza dane osobowe, pomimo xxxxxxxxxxx xxxxxxxx do zmiany sposobu ich przetwarzania,
c) nie ma zdolności do dalszego wykonywania Umowy.
§ 11 Usunięcie Danych Osobowych
1. Przetwarzający usunie dane osobowe z wszelkich nośników danych, w tym z wszelkich istniejących kopii lub dokona ich anonimizacji, nie później niż w terminie 30 dni od dnia zakończenia współpracy Stron, chyba że Strony ustalą inny termin usunięcia lub anonimizacji danych osobowych w drodze odrębnego porozumienia. Wyżej wymienione postanowienie nie wpływa na konieczność przetwarzania powierzonych danych osobowych w związku z roszczeniami gwarancyjnymi, jak również w okresach wynikających z przepisów prawa rachunkowego i podatkowego.
2. Na żądanie Administratora Przetwarzający przekaże protokół usunięcia lub anonimizacji danych osobowych.
3. Przetwarzający zapewni, że wszystkie dalsze Podmioty Przetwarzające usuną lub zanonimizują dane osobowe na zasadach określonych w niniejszym paragrafie.
§ 12 Postanowienia Końcowe
1. Pierwszeństwo. W razie sprzeczności pomiędzy postanowieniami niniejszej Umowy a Regulaminem, pierwszeństwo mają postanowienia Umowy. Oznacza to także, że zagadnienia dotyczące przetwarzania danych osobowych pomiędzy Administratorem, a Przetwarzającym należy regulować poprzez zmiany niniejszej Umowy.
2. Pozaprocesowe rozwiązanie sporu: W razie sporu wynikającego z Umowy Strony będą dążyły do jego pozaprocesowego rozwiązania.
3. Właściwość Sądu: Sądem właściwym, dla rozstrzygania sporów pomiędzy Stronami wynikających z Umowy, będzie sąd właściwy dla Przetwarzającego.
4. Właściwość prawa. Umowa podlega przepisom RODO oraz przepisom krajowego porządku prawnego. W razie zmiany stanu prawnego regulującego przedmiot i zakres Umowy, postanowienia Umowy mogą ulec zmianie.