Załącznik Regulaminu

Załącznik Regulaminu

Umowa powierzenia przetwarzania danych osobowych

wchodzi w życie z dniem 11.05.2023r

zawierana pomiędzy:

XXXX.XXX, zwaną dalej Procesorem, a

Klientem,

zwanym dalej Administratorem Danych Osobowych lub ADO.

§ 1 Definicje

1. Użytkownik - użytkownik w znaczeniu nadanym temu pojęciu w Umowie bazowej.

2. Dane - dane osobowe powierzone Procesorowi do przetwarzania przez ADO w związku z Umową bazową.

3. Kolejny przetwarzający - kolejny podmiot przetwarzający, z usług którego korzysta Procesor w związku z realizacją Umowy bazowej.

4. RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO").

§ 2 Cel i zakres umowy

1. W związku z zawarciem przez Strony Umowy bazowej, Strony zawierają Umowę powierzenia przetwarzania Danych.

2. W oparciu o Umowę przetwarzane będą Dane:

○ osób poszukujących pracy,

○ osób zatrudnionych,

○ podopiecznych,

○ klientów,

○ kontrahentów XXX,

○ jak również inne dane nieosobowe wprowadzone lub wytworzone przez ADO w usłudze.

3. Zakres Danych powierzonych przez ADO Procesorowi do przetwarzania obejmuje: nazwiska i imiona, imiona rodziców, data urodzenia, miejsce urodzenia, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, numer dokumentu tożsamości, miejsce pracy, zawód, wykształcenie, numer telefonu, e-mail, przebyte kursy/uprawnienia, waga, wiek, wzrost, data urodzenia, członkowie rodziny/stan rodzinny, osoby bliskie, stan zdrowia, wynagrodzenie, płeć, zdjęcie, nr konta, nałogi.

4. ADO powierza do przetwarzania Dane, w stosunku do których pełni rolę administratora danych osobowych w rozumieniu RODO, a Procesor zobowiązuje się do ich przetwarzania w granicach określonych Umową oraz powszechnie obowiązującymi przepisami prawa.

5. Dane przetwarzane są w celu realizacji Umowy bazowej i w zakresie niezbędnym do jej prawidłowego wykonania.

6. Dane udostępniane będą Procesorowi wyłącznie w celu realizacji Umowy bazowej.

7. Przetwarzanie Danych odbywać się będzie w okresie obowiązywania Umowy bazowej.

§ 3 Obowiązki i oświadczenia ADO

1. XXX oświadcza i zapewnia, że posiada podstawy prawne przetwarzania Danych, a powierzenie Procesorowi Danych do przetwarzania nie naruszy praw i wolności podmiotów tych danych, a także przepisów prawa (w szczególności RODO).

2. ADO poinformuje Procesora o wszelkich działaniach właściwych organów administracji publicznej, związanych z przetwarzaniem Danych przez ADO.

§ 4 Obowiązki i oświadczenia Procesora

1. Procesor oświadcza, że posiada stosowne polityki ochrony danych osobowych w zakresie dotyczącym powierzenia mu danych przez ADO.

2. Procesor poinformuje ADO o wszelkich działaniach właściwych organów administracji publicznej, związanych z przetwarzaniem Danych przez ADO a skierowanych do Procesora.

3. Dostęp do Danych będą miały wyłącznie osoby upoważnione przez Procesora do przetwarzania danych, zobowiązane do prawidłowej ochrony tych Danych - zgodnie z politykami ochrony danych Procesora oraz przepisami RODO, a także zobowiązane do zachowania Danych w tajemnicy lub podlegające prawnemu obowiązkowi dochowania takiej tajemnicy.

4. Procesor podejmuje wszelkie środki wymagane przez właściwe przepisy prawa, zwłaszcza przez art. 32 RODO, zgodnie z którym Procesor wdraża odpowiednie środki techniczne oraz organizacyjne uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

§ 5 Wsparcie i audyty

1. Uwzględniając charakter przetwarzania Procesor zapewni wsparcie ADO („Wsparcie"). W ramach Wsparcia Procesor w miarę możliwości pomoże ADO, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osób, których Dane dotyczą, w zakresie wykonywania ich praw, określonych w rozdziale III RODO - jeśli w danym przypadku ciążą one na ADO, a także pomoże ADO wywiązać się z ciążących na ADO obowiązków określonych w art. 32 - 36 RODO - z uwzględnieniem dostępnych mu informacji.

2. Procesor zobowiązany jest do udostępnienia ADO wszelkich informacji niezbędnych do wykazania obowiązków określonych w art. 28 RODO oraz umożliwienia ADO lub upoważnionemu przez ADO audytorowi przeprowadzenia audytów, w tym inspekcji („Audyt") i przyczynienia się do nich.

3. W przypadku, gdy wydane przez ADO polecenia w związku z poprzednim ustępem, w ocenie Procesora stanowią naruszenie przepisów RODO lub innych przepisów prawa Unii lub prawa polskiego - Procesor niezwłocznie poinformuje o tym ADO.

4. Procesor może odmówić przekazania ADO informacji objętych tajemnicą prawnie chronioną, w tym tajemnicą przedsiębiorstwa Procesora lub podmiotów trzecich, a także informacji

stanowiących dane osobowe nie będące Danymi, jeśli informacje te mogą zostać zastąpione innymi informacjami (w tym oświadczeniami Procesora), zaś w przypadku gdy nie będzie to możliwe - informacje te zostaną udostępnione ADO (lub wyznaczonym przez niego osobom) wyłącznie w siedzibie Procesora, po uprzednim zawarciu przez ADO i wszystkie osoby działające na rzecz ADO, przedstawionej przez Procesora umowy zobowiązującej do należytej ochrony tych informacji.

5. Przeprowadzenie Audytu jest możliwe po uprzednim pisemnym poinformowaniu Procesora przez ADO o zamiarze jego przeprowadzenia z co najmniej trzydziestodniowym wyprzedzeniem, wraz ze wskazaniem listy osób zaangażowanych w przeprowadzenie Audytu po stronie ADO. Zawiadomienie powinno ponadto określać czas trwania Audytu oraz jego zakres.

6. W przypadku gdy Audyt nie jest bezpośrednio związany z działaniami uprawnionych organów administracji publicznej kierowanymi wobec ADO w związku z przetwarzaniem danych bądź stwierdzonym i udokumentowanym naruszeniem przetwarzania Danych przez Procesora - łączny czas trwania prowadzonych przez ADO Audytów nie może przekroczyć trzech dni w roku kalendarzowym.

7. Audyt może być przeprowadzony wyłącznie po uprzednim zawarciu przez ADO i wszystkie osoby działające na rzecz ADO, przedstawionej przez Procesora umowy zobowiązującej do należytej ochrony wszelkich informacji uzyskanych w związku z Audytem.

8. Audyt przeprowadzany będzie w godzinach pracy Procesora i nie może w żaden sposób zakłócać ani negatywnie wpływać na bieżącą działalność Procesora.

9. Audyty przeprowadzane są na koszt ADO. Koszty sprawowania Wsparcia oraz nadzoru nad Procesorem przez ADO obciążają wyłącznie ADO. Za koszty wsparcia bądź nadzoru uznaje się w szczególności koszty ponoszone przez Procesora w związku z dokonywaniem kontroli, audytów, czy przygotowania dokumentów, udzielenia informacji lub pomocy ADO. W przypadku gdy koszty, o których mowa w niniejszym ustępie zostały poniesione przez Procesora - ADO niezwłocznie zwróci je Procesorowi. Stawka godzinowa za obsługę Audytu przez Procesora wynosi 200 zł netto za rozpoczętą godzinę pracy każdej zaangażowanej osoby po stronie Procesora.

10. Procesor współpracuje z organami właściwymi do spraw ochrony danych osobowych, w zakresie wykonywanych przez nie zadań.

11. Jeśli z przepisów prawa lub niniejszej Umowy nie wynika inny termin - wykonywanie czynności przez Procesora w związku z Umową, w tym udzielanie wszelkich informacji, będzie następować niezwłocznie, nie później niż w terminie 30 dni od otrzymania stosownego żądania.

12. Postanowienia niniejszego paragrafu w stosunku do działań ADO względem Kolejnych przetwarzających, o których mowa w § 6, stosuje się odpowiednio.

§ 6 Kolejny przetwarzający

1. Procesor może korzystać z usług Kolejnego przetwarzającego tylko za uprzednią szczegółową zgodą lub ogólną pisemną zgodą ADO.

2. Procesor nałoży na każdego Kolejnego przetwarzającego, w szczególności za pośrednictwem umowy, te same obowiązki ochrony Danych jak wynikające z Umowy, w szczególności obowiązek wdrożenia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO.

3. W przypadku niewywiązania się przez Kolejnego przetwarzającego z ciążących na nim obowiązków w stosunku do Danych, pełna odpowiedzialność wobec ADO za spełnienie obowiązków przez Kolejnego przetwarzającego spoczywa na Procesorze.

4. ADO wyraża zgodę na korzystanie przez Procesora z Kolejnych przetwarzających wskazanych w Załączniku nr 1 do niniejszej Umowy. Zmiana załącznika nie stanowi zmiany

Umowy i postanowienia ust. 3-4 niniejszego paragrafu stosuje się do niej odpowiednio, jednak Procesor zobowiązany jest poinformować ADO z wyprzedzeniem minimum 30 dni przed powierzeniem danych o zamiarze zmiany załącznika nr 1 "Lista Kolejnych przetwarzających". Lista powinna zawierać wyjaśnienie, dlaczego, w jakim zakresie i w jakim celu będą przetwarzane dane przez kolejnego przetwarzającego. Dopuszcza się wyjątki od zachowania terminu 30 dni, w przypadku gdy zmiana Listy przetwarzających jest związana z koniecznością pilnego przeniesienia danych do innego dostawcy infrastruktury serwerowej.

5. Powierzenie przetwarzania Danych Kolejnym przetwarzającym niewskazanym w Załączniku nr 1 wymaga uprzedniego zgłoszenia tego faktu ADO - w celu umożliwienia mu sprzeciwu. Sprzeciw może zostać dokonany nie później niż na siedem dni przed powierzeniem Danych Kolejnemu przetwarzającemu. Zgłoszenie zamiaru powierzenia przez Procesora może zostać dokonane w szczególności w formie elektronicznej.

6. W przypadku braku sprzeciwu przyjmuje się, że XXX wyraził zgodę na korzystanie z Kolejnego przetwarzającego.

7. W przypadku zgłoszenia sprzeciwu przez ADO, Procesor nie może powierzyć danych Kolejnemu przetwarzającemu, którego sprzeciw dotyczy w czasie obowiązywania Umowy bazowej. Procesor będzie uprawniony do rozwiązania w takim przypadku Umowy bazowej, ze skutkiem natychmiastowym, a ADO nie będzie przysługiwać z tego tytułu jakiekolwiek odszkodowanie.

§ 7 Zakończenie usług

1. Umowa ulega rozwiązaniu z chwilą rozwiązania Umowy bazowej.

2. Procesor, po zakończeniu świadczenia usług związanych z przetwarzaniem Danych na rzecz ADO, w szczególności w przypadku rozwiązania niniejszej Umowy lub Umowy bazowej, w zależności od decyzji ADO:

a. xxxxx Xxxx;

b. zwraca ADO wszelkie Dane przez udostępnienie ich ADO do pobrania oraz usuwa wszelkie ich istniejące kopie - w terminie 30 dni od zakończenia świadczenia usług związanych z przetwarzaniem Danych na rzecz ADO, - chyba że prawo Unii Europejskiej lub polskie przepisy prawa powszechnie obowiązującego nakazują przechowywanie danych osobowych.

3. W przypadku wypowiedzenia Umowy bazowej, ADO powinien przekazać Procesorowi decyzję, o której mowa w poprzednim ustępie, nie później niż w ostatnim dniu obowiązywania Umowy. W przypadku braku przekazania takiej decyzji w tym terminie - przyjmuje się, że ADO nakazał Xxxxxxxxxxx usunięcie Xxxxxx i wszelkie związane z tym konsekwencje obciążają wyłącznie ADO.

§ 8 Postanowienia Końcowe

1. Niniejsza Umowa zastępuje wszelkie wcześniejsze umowy, ustalenia i porozumienia w tym zakresie.

2. W sprawach nieuregulowanych, w tym w zakresie zmiany Umowy, zastosowania mają postanowienia Umowy bazowej.

3. W razie sprzeczności postanowień niniejszej Umowy z Umową bazową - pierwszeństwo mają postanowienia niniejszej Umowy.

4. Integralną część niniejszej Umowy stanowi:

a. Załącznik nr 1 do Umowy powierzenia - Lista Kolejnych przetwarzających.

Umowa została zawarta w formie elektronicznej. Nie wymaga podpisów stron.

Załącznik nr 1 do Umowy powierzenia - Lista Kolejnych przetwarzających

ADO wyraża zgodę na powierzenie Danych przez Procesora następującym Kolejnym przetwarzającym:

Lp.	Nazwa	Siedziba	NIP
1	Hetzner Online GmbH	Niemcy	DE812871812
2	STRATO AG	Niemcy	DE211045709

oraz podwykonawcom Procesora, będącym osobami fizycznymi, świadczącymi osobiście na rzecz Procesora usługi, w szczególności świadczącymi usługi w oparciu o umowę zlecenie, umowę o dzieło lub inną umowę cywilnoprawną.