UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w Wałbrzychu, dnia 2018 r., pomiędzy:
Wałbrzyską Specjalną Strefą Ekonomiczną „INVEST-PARK” sp. z o.o. z siedzibą w Wałbrzychu, 00-000 Xxxxxxxxx, xx. Xxxxxxxxxx 00, wpisaną przez Sąd Rejonowy dla Wrocławia Fabrycznej, IX Wydział Gospodarczy Krajowego Rejestru Sądowego do rejestru przedsiębiorców pod numerem KRS 0000059084 (NIP 000-00-00-000, REGON 890572595) posiadającą kapitał zakładowy
w wysokości 407.390.000 PLN, zwaną dalej Administratorem, którą reprezentują:
Xxxxxx Xxxxxx – Prezes Zarządu,
Xxxxxx Xxxxxxx – Wiceprezes Zarządu,
a
zwanym dalej Przetwarzającym, reprezentowanym/ą przez:
………………………. – ………………………. a każdy z osobna Stroną.
§ 1
Przedmiot umowy
1. Przedmiotem umowy jest uregulowanie zasad powierzenia przez Administratora Przetwarzającemu, przetwarzania danych osobowych, których dysponentem jest lub będzie Administrator („Dane”), zgodnie z postanowieniami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej „Rozporządzeniem”.
2. Strony oświadczają, że zawarcie niniejszej umowy, zwanej dalej „Umową powierzenia”, następuje w wyniku i w ścisłym związku z zawartą przez Strony dnia
............................... r. umową o świadczenie przez Przetwarzającego na rzecz Administratora usług informatycznych w postaci zarządzania, administracji, monitorowania, rozwoju i usuwania awarii infrastruktury sieciowej i serwerowej Administratora (zwanej dalej „Umową o usługi”). Wykonanie Umowy o usługi
nierozerwalnie wiąże się z przekazywaniem Danych przez Administratora oraz z przetwarzaniem Danych przez Przetwarzającego w imieniu Administratora.
3. W ramach Umowy o usługi oraz Umowy powierzenia lub przy okazji ich wykonywania Przetwarzający będzie dokonywał operacji lub uzyska dostęp do zbiorów Danych zlokalizowanych w systemie informatycznym Administratora, których wykaz (według stanu na dzień zawarcia Umowy powierzenia) stanowi Załącznik nr 1 do Umowy powierzenia. W przypadku wystąpienia zmian w zakresie zbiorów Danych poddanych przetwarzaniu, Administrator przekaże Przetwarzającemu aktualny wykaz w terminie 3 dni roboczych od dnia zaistnienia zmiany, poprzez wiadomość e-mail przesłaną osobie wyznaczonej do kontaktu.
4. Administrator oświadcza, że Dane przechowywane są w postaci elektronicznej w systemie informatycznym Administratora, na stacjach roboczych, urządzeniach przenośnych i na serwerach, zaś w postaci materialnej w biurach Administratora.
5. Przetwarzający oświadcza, że będzie dokonywał przetwarzania Danych w następujących lokalizacjach: ................................................... oraz poprzez następujące kanały dostępu: ............................................... Zmiana lokalizacji lub kanałów dostępu wymaga uzgodnienia przez przedstawicieli Stron wskazanych w § 8 w drodze wiadomości e-mail.
6. Administrator oświadcza, że Umowa o usługi została zawarta między innymi w celu zapewnienia bezpieczeństwa Danych, monitorowania ich bezpieczeństwa i ciągłego podnoszenia jakości zabezpieczeń, zaś Przetwarzający oświadcza, że zna ten cel i dołoży wszelkich starań, zgodnie z postanowieniami Umowy o usługi i Umowy powierzenia, aby wspomóc Administratora w osiągnięciu tego celu.
7. Przetwarzający oświadcza, że zapewnia odpowiednią wiedzę i doświadczenie, w tym wykwalifikowany personel, a także wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby dokonywane przez niego przetwarzanie spełniało wymagania Rozporządzenia i chroniło prawa osób, których dane dotyczą.
§ 2
Zasady powierzenia Danych
1. Strony oświadczają, że Umowa o usługi oraz Umowa powierzenia stanowią udokumentowane polecenie przetwarzania Danych, w celu i zakresie wynikającym z Umowy o usługi.
2. Przetwarzający zobowiązany jest do podjęcia adekwatnych organizacyjnych i technicznych środków ochrony Danych, zgodnie z zasadami wynikającymi z art. 32 Rozporządzenia. W szczególności Przetwarzający zobowiązany jest zapewnić ochronę Danych na poziomie odpowiadającym profesjonalnemu charakterowi świadczonych usług objętych Umową o usługi oraz na poziomie nie niższym niż wytyczne Administratora, stanowiące Załącznik nr 2 do Umowy powierzenia.
3. Administrator jest uprawniony do zmiany wytycznych, przy czym zmiana powinna być
poprzedzona konsultacjami z Przetwarzającym i zakomunikowana Przetwarzającemu z
odpowiednim wyprzedzeniem w drodze wiadomości e-mail przesłanej na adres przedstawiciela Przetwarzającego wskazanego w § 8.
4. Przetwarzający może przetwarzać Dane wyłącznie w zakresie i celu określonym w Umowie o usługi oraz Umowie powierzenia, a także wyłącznie w okresie obowiązywania Umowy powierzenia, z zastrzeżeniem postanowień § 6.
5. Przetwarzający jest zobowiązany:
1) umożliwić dostęp do Danych oraz możliwość dokonywania na nich jakichkolwiek operacji jedynie osobom upoważnionym przez Przetwarzającego zgodnie z art. 29 Rozporządzenia;
2) zapewnić, aby liczba osób wskazanych w punkcie 1 była adekwatna do realnych potrzeb, zgodnie z zasadą minimalizacji;
3) zapewnić, aby osoby wskazane w punkcie 1 były zobowiązane do zachowania Danych w ścisłej tajemnicy, na podstawie stosownych umów lub przepisów prawa bezwzględnie obowiązujących;
4) na każde żądanie Administratora, złożone w dowolnej formie, przedłożyć niezwłocznie, nie później jednak niż w ciągu 48 godzin, a w przypadku naruszenia Danych skutkującego koniecznością złożenia zawiadomienia, o którym mowa w art. 33 Rozporządzenia, nie później niż w ciągu 24 godzin, wykaz osób, o których mowa w punkcie 1 powyżej, który powinien zawierać w szczególności: imię i nazwisko osoby, podstawę prawną dokonywania czynności na Danych (umowa o pracę, zlecenie itp.), informację o udzieleniu polecenia, o którym mowa w punkcie 1 powyżej i jego zakresie;
5) przetwarzać Dane jedynie w lokalizacjach lub za pośrednictwem kanałów wskazanych w § 1 ust. 5 lub ustalonych na jego podstawie;
6) terminowo i rzetelnie współdziałać z Administratorem w zakresie odpowiadania na żądania osób, których Dane dotyczą oraz zapewnienia realizacji ich praw;
7) na bieżąco oceniać stopień bezpieczeństwa Danych oraz ryzyko ich naruszenia i stosownie do wyników oceny wdrażać odpowiednie środki ochrony oraz informować Administratora o konieczności wdrożenia przez niego dodatkowych środków ochrony,
8) bez uszczerbku dla szczególnych postanowień Umowy powierzenia, niezwłocznie, jednak nie później niż w ciągu 3 dni roboczych od otrzymania żądania, udostępnić Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków wynikających z Rozporządzenia;
9) niezwłocznie zgłosić Administratorowi sprzeciw, jeżeli w ocenie Przetwarzającego zlecone mu przez Administratora czynności mogą stwarzać zagrożenie dla Danych bądź w przypadku, gdy Administrator nie podejmuje działań, które w ocenie Przetwarzającego są niezbędne dla prawidłowej ochrony Danych; sprzeciw powinien zawierać uzasadnienie prawne i faktyczne;
10) niezwłocznie, nie później jednak niż w ciągu 3 dni roboczych od powzięcia wiadomości przez Przetwarzającego, informować Administratora o toczących się wobec Przetwarzającego postępowaniach (w tym złożonych skargach), kontrolach lub inspekcjach dotyczących ochrony danych osobowych, choćby nie dotyczyły one bezpośrednio przetwarzania Danych na rzecz Administratora,
11) prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora, spełniający wymagania określone w art. 30 Rozporządzenia – o ile jest wymagany Rozporządzeniem;
12) niezwłocznie, nie później jednak niż w ciągu 24 godzin od wykrycia albo od chwili, w której przy zachowaniu należytej staranności wykrycie było możliwe, poinformować Administratora o zaistniałych incydentach zagrażających Danym, podjąć niezbędne działania zaradcze i ograniczające skutki naruszenia, a także przygotować i przedstawić Administratorowi wszelkie informacje niezbędne do dopełnienia przez Administratora obowiązków związanych z incydentem, w szczególności wymaganego zgłoszenia incydentu;
13) wspólnie z Administratorem współpracować z organem nadzorczym w ramach wykonywania przez niego swoich zadań;
14) wykonywać wszelkie inne czynności oraz przestrzegać innych standardów, jeżeli jest to konieczne dla zapewnienia zgodności przetwarzania Danych z Rozporządzeniem lub innymi aktami prawnymi, a także niezwłocznie informować Administratora o zauważonych zagrożeniach lub nieprawidłowościach, w tym żądać od Administratora podjęcia niezbędnych działań.
6. Administrator zobowiązany jest współpracować z Przetwarzającym w celu umożliwienia realizacji obowiązków Przetwarzającego, w szczególności na bieżąco informować Przetwarzającego o zdarzeniach mogących mieć wpływ na realizację obowiązków Przetwarzającego.
§ 3
Dalsze powierzenie przetwarzania
1. Przetwarzający może powierzyć przetwarzanie Danych innym podmiotom przetwarzającym, zwanym „Dalszymi przetwarzającymi”, jedynie po uzyskaniu uprzedniej zgody Administratora, wyrażonej na piśmie pod rygorem nieważności i jedynie w przypadku, gdy zapewni co najmniej taki sam poziom ochrony Danych, jaki wynika z Umowy powierzenia oraz zagwarantuje spełnienie przez Dalszego przetwarzającego wszystkich obowiązków, które Umowa powierzenia nakłada na Przetwarzającego.
2. Wniosek Przetwarzającego o wyrażenie zgody na dalsze powierzenie przetwarzania powinien w szczególności zawierać:
1) szczegółowe dane identyfikacyjne Dalszego przetwarzającego;
2) zakres Danych, które Przetwarzający ma zamiar przekazać Dalszemu przetwarzającemu;
3) kategorie czynności przetwarzania, których będzie dokonywał Dalszy przetwarzający;
4) określenie miejsca, w którym Dalszy przetwarzający będzie przechowywał Dane lub określenie kanałów dostępu Dalszego przetwarzającego do Danych przechowywanych przez Przetwarzającego lub Administratora;
5) pisemne zapewnienie Przetwarzającego, że Dalszy przetwarzający spełnia wszystkie wymogi i standardy przewidziane Rozporządzeniem i Umową powierzenia, oraz że na Dalszego przetwarzającego zostaną nałożone takie same obowiązki, jakie na Przetwarzającego nakłada Umowa powierzenia.
3. Niezależnie od udzielonej zgody, Administrator może w każdej chwili wyrazić sprzeciw wobec dalszego powierzenia przetwarzania, w szczególności gdy jest to niezbędna w celu zapewnienia prawidłowej ochrony Danych. W takim przypadku Przetwarzający zobowiązany jest niezwłocznie podjąć działania mające na celu zapewnienie prawidłowej ochrony Danych.
4. Przetwarzający zobowiązany jest zapewnić Administratorowi możliwość bezpośredniej realizacji wszelkich jego uprawnień, wynikających z przepisów prawa lub Umowy powierzenia, wobec Dalszego przetwarzającego, w tym prawa do prowadzenia audytu na zasadach określonych w § 5.
5. Przetwarzający ponosi pełną i nieograniczoną odpowiedzialność względem Administratora za działania i zaniechania Dalszego przetwarzającego, jak za działania i zaniechania własne.
6. Postanowienia niniejszego paragrafu nie mogą być rozumiane jako modyfikacja postanowień Umowy o usługi dotyczących podwykonawstwa.
§ 4
Przekazanie Danych do państwa trzeciego lub organizacji międzynarodowej
1. Strony postanawiają, że Dane nie będą bez wyraźnej zgody Administratora, udzielonej na piśmie pod rygorem nieważności, przekazywane do państwa trzeciego lub organizacji międzynarodowej w rozumieniu Rozporządzenia.
2. W przypadku, gdy z inicjatywy lub w interesie Przetwarzającego i za zgodą Administratora, Dane mają być przekazywane do państwa trzeciego lub organizacji międzynarodowej, Przetwarzający zobowiązany jest zapewnić we własnym zakresie zgodność takiego przekazania z Rozporządzeniem, w tym uzyskać niezbędne zgody, jeżeli są one konieczne.
3. W przypadku, gdy przekazanie Danych do państwa trzeciego lub organizacji międzynarodowej następuje z inicjatywy lub w interesie Administratora, obowiązki wskazane w ust. 2 obciążają Administratora.
4. W przypadku przekazania Danych do państwa trzeciego lub organizacji międzynarodowej przez Przetwarzającego w wykonaniu obowiązku wynikającego z prawa Unii lub prawa państwa członkowskiego, któremu podlega Przetwarzający,
Przetwarzający zobowiązany jest poinformować o tym obowiązku Administratora, o ile co innego nie wynika z właściwych przepisów prawa.
§ 5
Audyt
1. Administrator jest w każdym momencie upoważniony do przeprowadzenia audytu zgodności przetwarzania Danych przez Przetwarzającego z Umową powierzenia oraz obowiązującymi przepisami prawa, w szczególności Administrator może przeprowadzić weryfikację zgodności i adekwatności środków technicznych i organizacyjnych zabezpieczających przetwarzanie Danych wdrożonych przez Przetwarzającego.
2. Administrator poinformuje Przetwarzającego co najmniej na trzy dni robocze przed planowaną datą audytu o zamiarze jego przeprowadzenia, chyba że z uwagi na wysokie ryzyko zagrożenia praw i wolności osób, których Dane dotyczą, audyt powinien być przeprowadzony niezwłocznie. Powiadomienie nastąpi za pośrednictwem wiadomości e-mail przekazanej na adres osoby wskazanej w § 8. Jeżeli w ocenie Przetwarzającego audyt nie może zostać przeprowadzony we wskazanym terminie, Przetwarzający powinien poinformować o tym fakcie Administratora drogą elektroniczną (wiadomość e-mail na adres wskazany w § 8), przedstawiając uzasadnienie dla takiej oceny. W takim przypadku Strony wspólnie ustalą późniejszy termin audytu.
3. Drobne czynności kontrolne, nie ingerujące w system informatyczny Przetwarzającego, nie wymagające dostępu do jego dokumentacji, nie zakłócające pracy Przetwarzającego i nie wymagające jego współdziałania, mogą być prowadzone bez powiadomienia wskazanego w ust. 2, a nawet bez wiedzy Przetwarzającego.
4. Przetwarzający ma obowiązek współpracować z Administratorem i upoważnionymi przez niego audytorami, w szczególności zapewniać im dostęp do pomieszczeń i dokumentów obejmujących Dane oraz informacji o sposobie przetwarzania Danych, infrastruktury teleinformatycznej oraz systemów IT, a także do osób mających wiedzę na temat procesów przetwarzania Danych realizowanych przez Przetwarzającego. Administrator będzie prowadzić audyt z poszanowaniem tajemnic przedsiębiorstwa Przetwarzającego.
5. Po przeprowadzonym audycie przedstawiciel Administratora sporządza protokół, który podpisują przedstawiciele obu Stron. Przetwarzający zobowiązany jest, w rozsądnym czasie, w terminie uzgodnionym z Administratorem, wdrożyć zalecenia pokontrolne, mające na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania Danych.
6. Koszty związane z przeprowadzeniem audytu ponosi każda ze Stron we własnym zakresie. W szczególności Przetwarzający nie może kierować wobec Administratora jakichkolwiek roszczeń z tytułu przeprowadzonego audytu.
§ 6
Okres obowiązywania Umowy powierzenia
1. Umowa powierzenia obowiązuje przez okres obowiązywania Umowy o usługi, z zastrzeżeniem postanowień ust. 3 i 5 oraz postanowień § 7 ust. 5.
2. Po ustaniu Umowy powierzenia Przetwarzający zobowiązany jest – w uzgodnieniu z Administratorem – usunąć albo zwrócić wszystkie powierzone Xxxx, a także usunąć wszelkie ich kopie.
3. Jeżeli Przetwarzający nie może wykonać zobowiązania wynikającego z ust. 2 wskutek obowiązku dalszego przechowywania Danych nałożonego prawem Unii albo prawem państwa członkowskiego, Przetwarzający zobowiązany jest powiadomić o tym fakcie Administratora na piśmie, ze wskazanie okresu, przez który zobligowany jest przechowywać Dane, ograniczyć ilość przechowywanych Danych do niezbędnego minimum, stosować do ochrony tych Danych wszelkie obowiązki przewidziane prawem lub Umową powierzenia. Po upływie okresu przechowywania Danych postanowienia ust. 2 stosuje się odpowiednio.
4. Usunięcie Danych albo ich zwrot Administratorowi zostanie przez Strony potwierdzony
protokołem.
5. Niezależnie od postanowień ust. 1, wszelkie postanowienia Umowy powierzenia wiążą Przetwarzającego do czasu sporządzenia protokołu, o którym stanowi ust. 4.
§ 7
Odpowiedzialność
1. Bez uszczerbku dla zasad odpowiedzialności Przetwarzającego wynikających z Rozporządzenia oraz innych właściwych przepisów, Przetwarzający odpowiada za szkody, jakie powstaną u Administratora, osób, których Dane dotyczą lub innych osób trzecich w wyniku niezgodnego z Umową powierzenia lub przepisami prawa przetwarzania przez Przetwarzającego Danych, a w szczególności w związku z udostępnianiem Danych osobom nieupoważnionym.
2. Odpowiedzialność Przetwarzającego wobec Administratora oparta jest na zasadach
ogólnych, z zastrzeżeniem postanowień ust. 3 i 4.
3. Przetwarzający zapłaci Administratorowi karę umowną w wysokości:
1) 500 zł – za każdy stwierdzony przypadek naruszenia obowiązków określonych w: § 2 ust. 5 punktach 1, 3, 5, 10, 11 i 13 oraz każdy przypadek nieuprawnionego utrudniania audytu;
2) 500 zł – za każde rozpoczęte 24 godziny opóźnienia w realizacji obowiązków wynikających z § 2 ust. 5 punkty 4, 8 i 12;
3) 10.000 zł – za każdy stwierdzony przypadek: dalszego powierzenia Danych bez uzyskania zgody, o której stanowi § 3 ust. 1, dalszego powierzenia Danych z naruszeniem obowiązku utrzymania co najmniej takiego samego poziomu ochrony Danych, naruszenia obowiązku określonego w § 4 ust. 1 oraz w § 6 ust. 2.
4. W zakresie, w jakim kara umowna nie pokryje doznanej przez Administratora szkody,
Administrator uprawniony jest do dochodzenia odszkodowania uzupełniającego.
5. Rażące lub powtarzające się naruszenie obowiązków Przetwarzającego wynikających z Umowy powierzenia będzie równoznaczne z rażącym lub powtarzającym się naruszeniem obowiązków Wykonawcy wynikających z Umowy o usługę i uprawnia Administratora do skorzystania z uprawnienia przewidzianego w § 5 ust. 3 Umowy o usługę.
6. Rażące lub powtarzające się naruszenie obowiązków Administratora wynikających z Umowy powierzenia będzie równoznaczne z rażącym lub powtarzającym się naruszeniem obowiązków Zamawiającego wynikających z Umowy o usługę i uprawnia Przetwarzającego do skorzystania z uprawnienia przewidzianego w § 5 ust. 4 Umowy o usługę.
§ 8
Osoby wyznaczone do kontaktu
1. Osobami wyznaczonymi do kontaktu ze strony Administratora są:
...................................................., e-mail: ..................................., tel. .....................
...................................................., e-mail: ..................................., tel. .....................
2. Osobą wyznaczoną do kontaktu ze strony Przetwarzającego jest:
...................................................., e-mail: ..................................., tel. .....................
3. Zmiana którejkolwiek z osób wymienionych w ust. 1 i 2 nie wymaga zawierania aneksu do Umowy powierzenia. W takim przypadku Strona zmieniająca powiadomi drugą Stronę poprzez wiadomość e-mail przesłaną na adres osoby wyznaczonej do kontaktu.
§ 9
Postanowienia różne i końcowe
1. W przypadku, gdyby jakiekolwiek postanowienie Umowy powierzenia okazało się nieważne, wolą Stron jest utrzymanie w mocy umowy w pozostałej części. W takim przypadku Xxxxxx niezwłocznie podejmą negocjacje mające na celu zastąpienie postanowień nieważnych nowymi, ważnymi postanowieniami, realizującymi istotę i cel zawarcia Umowy powierzenia.
2. Zmiana, uzupełnienie lub rozwiązanie Umowy powierzenia wymagają zachowania formy pisemnej pod rygorem nieważności.
3. W przypadku sporów, Strony podejmą próbę ich rozwiązania w drodze polubownej, a w razie bezskuteczności takiego postepowania, właściwym do rozstrzygnięcia będzie sąd miejscowo właściwy dla Administratora.
4. W sprawach nieuregulowanych Umową powierzenia znajdują zastosowanie
postanowienia Rozporządzenia oraz innych właściwych przepisów.
5. Umowę powierzenia sporządzono w trzech jednobrzmiących egzemplarzach, dwóch dla Administratora i jednym dla Przetwarzającego.
ADMINISTRATOR: PRZETWARZAJĄCY:
Załączniki:
• nr 1 – wykaz przekazanych zbiorów Danych,
• nr 2 – wytyczne Administratora co do zabezpieczenia Danych