UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (POLSKA)

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (POLSKA)

Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych ("Umowa Powierzenia") jest uzupełnieniem Ogólnych Warunków Świadczenia Usług pomiędzy Iron Mountain a Klientem.

Jeżeli jakiekolwiek postanowienia zawarte w Umowie Powierzenia okażą się sprzeczne z postanowieniami zawartymi w Umowie, wówczas postanowienia wskazane w niniejszej Umowie Powierzenia będą uważane za wiążące. O ile nie zostało to wyraźnie zdefiniowane w niniejszym dokumencie, wszystkie terminy pisane wielką literą mają takie samo znaczenie, jakie zostało im nadane w Umowie.

Uzgadnia się następujące zmiany i/lub uzupełnienia do Umowy:

KONTEKST ORAZ CEL

(A) Umowa Powierzenia określa zasady i warunki przetwarzania Danych Osobowych powierzonych na mocy Umowy Serwisowej („Umowa Serwisowa”), na mocy której Klient zleca Iron Mountain jako Procesorowi świadczenie Usług (w rozumieniu Umowy Serwisowej).

(B) Przez „Regulacje Ochrony Danych” należy rozumieć Rozporządzenie w sprawie ochrony danych osobowych UE (2016/679/WE) łącznie z lokalnymi przepisami wykonawczymi, instrukcjami i wiążącymi nakazami wydanymi przez organy ochrony danych („GDPR”).

UZGADNIA SIĘ, co następuje:

1. DEFINICJE Wszelkie terminy niezdefiniowane w niniejszej Umowie Powierzenia otrzymują znaczenie nadane w Rozporządzeniu o Ochronie Danych Osobowych.

"Umowa" oznacza umowę(y) pomiędzy stronami i/lub jej podmiotami powiązanymi, na mocy której Przetwarzający świadczy usługi na rzecz Klienta.

"Dane Osobowe" oznaczają wyłącznie Dane Osobowe, które są przedmiotem Usług w ramach Umowy. "Organ Nadzorczy" oznacza lokalny organ ochrony danych lub inny organ regulacyjny/nadzorczy.

2. PRAWA I OSOBIĄZKI KLIENTA Klient zobowiązuje się: (i) Przetwarzać Dane Osobowe zgodnie z Rozporządzeniem o Ochronie Danych Osobowych; (ii) być uprawnionym do wydawania Przetwarzającemu udokumentowanych instrukcji dotyczących Przetwarzania Danych Osobowych (w tym także w imieniu podmiotu trzeciego będącego Administratorem Danych Osobowych), takie instrukcje będą wiążące dla Przetwarzającego, chyba że wykonanie instrukcji wymaga świadczenia usług na podstawie Umowy, a Klient nie zaakceptował wynikających stąd opłat, lub wykonanie instrukcji Klienta byłoby sprzeczne z niniejszą Umową Powierzenia; (iii) uregulować wszelkie opłaty i/lub należności wyszczególnione w Umowie Serwisowej za Usługi świadczone przez Procesora w wyniku spełnienia wymogów niniejszej Umowy Powierzenia, o ile koszty te nie zostały określone jako leżące po stronie Procesora ponoszone w ramach świadczonych Usług.

3. PRAWA I OBOWIĄZKI Procesora

3.1 Procesor nie jest uprawniony wykorzystywać Danych Osobowych do celów innych niż określone w Umowie Serwisowej i Umowie Powierzenia.

3.2 .2 Procesor zobowiązuje się: (i) przetwarzać Xxxx Xxxxxxx zgodnie z obowiązującymi standardami branżowymi w zakresie zarządzania informacjami oraz zgodnie z obowiązującymi przepisami prawa i regulacjami; (ii) przetwarzać Dane Osobowe wyłącznie zgodnie z udokumentowanymi instrukcjami Klienta i niezwłocznie poinformować Klienta, jeżeli zdaniem Procesora instrukcja Klienta narusza Rozporządzenie o Ochronie Danych Osobowych lub inne przepisy Unii Europejskiej lub państw członkowskich dotyczące ochrony danych; (iii) zapewnić, że osoby upoważnione do Przetwarzania Danych Osobowych zobowiązały się do zachowania poufności lub są objęte odpowiednim ustawowym obowiązkiem zachowania poufności; (iv) w zakresie, w jakim jest to wykonalne i z zastrzeżeniem wszelkich opłat mających zastosowanie w Umowie, pomagać Klientowi w reagowaniu na prawa osób, których dane dotyczą, lub uprawnienia wykonywane przez Organy Nadzorcze; (v) przekazywać Klientowi wszelkie informacje niezbędne do wykazania zgodności z obowiązkami Procesora określonymi w niniejszej Umowie Powierzenia oraz w Rozporządzeniu o Ochronie Danych Osobowych; (vi) umożliwiać i uczestniczyć w audytach, w tym inspekcjach, przeprowadzanych przez Klienta, jak określono w punkcie 5 poniżej; (vi) udzielić Klientowi rozsądnej pomocy w zakresie oceny skutków ochrony danych oraz uprzednich konsultacji z Organem Nadzorczym, w każdym przypadku, gdy jest to wymagane na mocy Rozporządzenia o Ochronie Danych, i wyłącznie w odniesieniu do Przetwarzania Danych Osobowych przez Procesora w imieniu Xxxxxxx oraz z uwzględnieniem charakteru Przetwarzania i informacji dostępnych Procesorowi.

3.3 Niniejsza Umowa Powierzenia nie ogranicza Procesora w ujawnianiu Danych Osobowych zgodnie z wymogami prawa, regulacjami oraz zarządzeniami uprawnionego sądu lub Organów Nadzoru.

3.4 Jeżeli Organ Nadzoru lub właściwy sąd wystąpi z żądaniem dotyczącym Danych Osobowych, Procesor bez zbędnej zwłoki poinformuje Klienta o takim żądaniu przed udzieleniem odpowiedzi lub podjęciem innych działań dotyczących Danych Osobowych. Jeżeli Organ Nadzoru lub uprawniony sąd złoży stosowny wniosek, Procesor bez zbędnej zwłoki poinformuje

Klienta o wpłynięciu ww. wniosku przed rozpoczęciem procesowania Danych Osobowych, o ile nie pozostaje to w sprzeczności do treści wniosku.

Bezpieczeństwo Danych

3.5 Uwzględniając stan wiedzy technicznej, koszty wdrożenia oraz charakter, zakres, kontekst i cele Przetwarzania, Procesor wdroży środki techniczne i organizacyjne w celu zapewnienia poufności, integralności i dostępności Danych Osobowych oraz ochrony Danych Osobowych przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem, uszkodzeniem, zmianą lub ujawnieniem. Środki techniczne i organizacyjne stosowane przez Procesora zostały wyszczególnione w procedurach dotyczących zapewniania bezpieczeństwa, które mogą być udostępniony Klientowi na jego żądanie.

Powiadomienie o Naruszeniu Danych Osobowych

3.6 W przypadku "Naruszenia Danych Osobowych”, Procesor niezwłocznie powiadomi Klienta, gdy tylko uzyska uzasadnione podejrzenie Naruszenia Danych Osobowych.

3.7 Procesor podejmie uzasadnione kroki w celu ochrony Danych Osobowych po uzyskaniu informacji o Naruszeniu Danych Osobowych. Po powiadomieniu Klienta zgodnie z wymogami Rozporządzenia o Ochronie Danych Osobowych, Przetwarzający podejmie odpowiednie środki w celu zabezpieczenia Danych Osobowych i ograniczenia wszelkich możliwych, szkodliwych skutków dla Podmiotów Danych. Przetwarzający będzie współpracował z Klientem, z wszelkimi stronami trzecimi wskazanymi przez Xxxxxxx oraz z wszelkimi organami nadzorczymi w celu odpowiedniego zarządzenia sytuacją Naruszenia Danych Osobowych.

ZWROT LUB NISZCZENIE DANYCH OSOBOWYCH

3.8 Wszelkie Xxxx Xxxxxxx zawarte w dokumentach przechowywanych przez Procesora w imieniu Klienta zostaną zwrócone Klientowi zgodnie z uzgodnionym planem wyjścia i z zastrzeżeniem uzgodnionych kosztów wyjścia określonych w Umowie. We wszystkich innych przypadkach Procesory zwróci Dane Osobowe Klientowi lub osobie trzeciej wskazanej przez Klienta i/lub zniszczy Xxxx Xxxxxxx zgodnie z instrukcjami Klienta. Jeżeli Klient nie wyda żadnych instrukcji dotyczących usunięcia/zniszczenia lub zwrotu Danych Osobowych po rozwiązaniu/wygaśnięciu Umowy, Klient niniejszym upoważnia Procesora do dalszego przetwarzania Danych Osobowych nawet po rozwiązaniu Umowy do czasu dostarczenia instrukcji przez Klienta.

3.9. Niezależnie od postanowień punktu 3.8, Procesor nie narusza swoich zobowiązań w zakresie usuwania Danych Osobowych przechowywanych na taśmach zapasowych, o ile taśmy te są nadpisywane (a tym samym Xxxx Xxxxxxx usuwane) w normalnym toku działalności.

4. PODPROCESORZY (Podwykonawcy) i PRZEKAZYWANIE DANYCH

4.1 Klient przyjmuje do wiadomości i upoważnia Procesora do zaangażowania osób trzecich i podmioty powiązane ("Podprocesorzy") do Przetwarzania Danych Osobowych, które są wymienione i dostępne pod niniejszym adresem internetowym (web address). Jeżeli Podprocesor przetwarza Dane Osobowe poza Europejskim Obszarem Gospodarczym, a kraj ten nie zapewnia odpowiedniego poziomu ochrony Danych Osobowych, wówczas zostaną wdrożone odpowiednie mechanizmy bezpieczeństwa przez Procesora (takie jak Standardowe Klauzule Umowne Komisji Europejskiej lub podobne zatwierdzone mechanizmy), które legalizują transfer danych. Dokumentacja dotycząca mechanizmu przekazywania danych zostanie dostarczona Klientowi na jego żądanie. Takie przekazanie danych uważa się za zatwierdzone przez Xxxxxxx.

4.2 W przypadku konieczności uzupełnienia lub zastąpienia listy Podprocesorów, Procesor zobowiązany jest z wyprzedzeniem poinformować Klienta o planowanych zmianach drogą mailową. Aby otrzymywać takie powiadomienia e-mail, Klient powinien zapisać się do listy mailingowej i zarządzać istniejącą subskrypcją za pośrednictwem strony internetowej (web page). Jeżeli Klient nie zapisze się na tę usługę, Procesor nie ponosi odpowiedzialności za brak powiadomienia o Podprocesorach. Jeśli Klient nie subskrybuje usługi, nie otrzyma zawiadomienia o wyznaczeniu nowego Podprocesora, zaś wszystkie zmiany na liście Podwykonawców dokonane w ww. sposób będą uważane za zatwierdzone przez Xxxxxxx. Jeśli Klient dokona subskrypcji, wyznaczenie jakiegokolwiek nowego Podpowierzającego uznaje się za autoryzowane przez Xxxxxxx, chyba że Klient w ciągu 15 dni od powiadomienia przez Procesora wniesie na piśmie sprzeciw z powołaniem się na uzasadnione przyczyny związane z ochroną danych.

4.3 Procesor (i) narzuca swoim Podprocesorom warunki umowne, które są nie mniej wymagające niż warunki określone w niniejszej Umowie Powierzenia, (ii) regularnie monitoruje działania swoich Podprocesorów.

5. AUDYTY

Klient ma prawo do przeprowadzania audytów i inspekcji obiektów Procesora i jego Podprocesorów zgodnie z Umową. Co do zasady, Klientowi przysługuje jeden audyt w okresie dwunastu (12) miesięcy obowiązywania Umowy, z wyjątkiem sytuacji, w których doszło do Naruszenia Danych Osobowych.

6. ODPOWIEDZIALNOŚĆ

6.1 W przypadku jakiegokolwiek Naruszenia Danych Osobowych, które wynika bezpośrednio z niezgodnego z prawem, nieuprawnionego lub nienależytego Przetwarzania Danych Osobowych przez Procesora, Procesor zgadza się zwrócić, w zakresie wymaganym przez prawo, na żądanie Klienta wszelkie bezpośrednie, weryfikowalne, niezbędne i prawidłowo poniesione przez Klienta koszty obsługi osób trzecich dotyczące: (a) przygotowania i wysłania zawiadomień do osób, do których przekazanie zawiadomienia jest wymagane przez prawo; oraz (b) świadczenia usług monitoringu kredytowego dla takich osób zgodnie z wymogami prawa przez okres nie przekraczający dwunastu (12) miesięcy pod warunkiem, że Klient przekaże Procesorowi z odpowiednim wyprzedzeniem pisemne zawiadomienie o roszczeniach osób trzecich.

6.2 Każda strona ("Strona Zwalniająca z Odpowiedzialności") zgadza się zabezpieczyć drugą stronę ("Strona Zwolniona z Odpowiedzialności") przed wszelkimi roszczeniami ze strony Podmiotów Danych w zakresie, w jakim roszczenie wynika bezpośrednio z działania lub zaniechania Strony Zwalniającej z Odpowiedzialności w związku z naruszeniem GDPR. Strona Zwalniająca z Odpowiedzialności nie ponosi odpowiedzialności za roszczenia wynikającą z (i) naruszenia GDPR przez Stronę Zwolnioną z Odpowiedzialności lub (ii) roszczeń, których można było uniknąć w inny sposób lub ograniczyć ich skalę dzięki uzasadnionym z handlowego punktu widzenia wysiłkom Strony Zwolnionej z Odpowiedzialności. Strona Zwalniana z Odpowiedzialności zapewni Stronie Zwalniającej z Odpowiedzialności możliwość przystąpienia do postępowania i należytą ochronę interesów. W przypadku skorzystania przez Stronę Zwalniającą z wskazanych mechanizmów ochrony, wówczas (i) Strona Zwalniająca nie będzie rozstrzygać żadnych roszczeń wymagających przyznania się do winy przez Stronę Zwalnianą bez jej uprzedniej pisemnej zgody, (ii) Strona Zwalniana będzie miała prawo do udziału na własny koszt w postępowaniu oraz

(iii) Strona Zwalniana będzie współpracować ze Stroną Zwalniającą w zakresie, w jakim będzie to zasadne dla należytego zabezpieczenia jej interesów. Wyłącznym obowiązkiem Strony Zwalniającej z Odpowiedzialności jest zapłata kwoty określonej wyrokiem lub ugodą kończącą ww. postępowanie.

6.3 Jeśli jedna strona uiściła pełne odszkodowanie za szkodę poniesioną przez Podmiot Danych w wyniku naruszenia GDPR, strona ta będzie uprawniona do żądania zwrotu od drugiej strony zaangażowanej w ten proces przetwarzania części odszkodowania w zakresie, w jakim ta strona ponosi odpowiedzialność za szkodę zgodnie z postanowieniami art. 82(5) GDPR.

6.4 Z zastrzeżeniem Sekcji 6.1, 6.2 i 6.3, zgodnie z którymi odpowiedzialność każdej ze stron jest nieograniczona, w żadnym wypadku odpowiedzialność Procesora nie przekroczy w odniesieniu do Naruszeń Danych Osobowych limitów odpowiedzialności określonych w Umowie. Przetwarzający nie będzie zobowiązany do zwrotu Klientowi kosztów powiadomienia o Naruszeniu Danych Osobowych w odniesieniu do incydentów dotyczących Danych Osobowych, których zaszyfrowanie jest wymagane na mocy prawa, przepisów lub obowiązujących standardów branżowych.

6.3 Żadna ze stron nie będzie odpowiedzialna wobec drugiej strony za jakiekolwiek grzywny nałożone przez Organ Xxxxxxxxx na drugą stronę.

7. ZAWIADOMIENIA

Wszelkie zawiadomienia dotyczące sporów, roszczeń lub rozbieżności wynikających z lub odnoszących się do niniejszej Umowy Powierzenia lub dotyczące jej naruszenia, rozwiązania lub ważności będą uważane za skuteczne, ilekroć zostaną dokonane zgodnie z Umową.

8. OKRES OBOWIĄZYWANIA I WYPOWIEDZENIE

Niniejsza Umowa Powierzenia staje się skuteczna, gdy jest należycie podpisana przez obie Strony i pozostaje w mocy do czasu, gdy jakiekolwiek Dane Osobowe przestaną być przetwarzane przez Xxxxxxxxx zgodnie z punktem 3.8 i 3.9.

9. WCZEŚNIEJSZE UMOWY

Niniejsza Umowa Powierzenia zastępuje wszelkie wcześniejsze umowy dotyczące przetwarzania danych lub klauzule dotyczące ochrony danych lub prywatności obowiązujące Strony.

10. PRAWO WŁAŚCIWE I ROZSTRZYGANIE SPORÓW

Niniejsza Umowa Powierzenia oraz wszelkie spory, roszczenia lub rozbieżności wynikające z niniejszej umowy lub z nią związane, jak również kwestie związane z jej naruszeniem, rozwiązaniem lub ważnością, podlegają prawu właściwemu dla Umowy bez względu na zasady i przepisy kolizyjne.

Załącznik nr 1

Kategorie przetwarzań, Dane Osobowe oraz podmioty danych osobowych

Czynności przetwarzania danych są określone w Umowie jako Usługi. Kategorie przetwarzań:

☒ główne dane osobowe (nazwisko, adres, tytuł, stopień naukowy, data urodzenia);

☒ dane kontaktowe (numer telefonu, numer telefonu komórkowego, adres e-mail, numer faksu, dane adresowe);

☒ główne dane umowne;

☒ historia klienta;

☒ dane dotyczące dostępu do systemu / użytkowania / autoryzacji;

☒ dane osobowe związane z informacjami finansowymi i/lub stosunkiem pracy;

☒ danych osobowych ujawniających pochodzenie rasowe lub etniczne;

☒ danych osobowych ujawniających poglądy polityczne;

☒ dane osobowe ujawniające przekonania religijne lub filozoficzne;

☒ dane osobowe ujawniające przynależność do związków zawodowych;

☒ dane genetyczne lub biometryczne;

☒ dane dotyczące zdrowia;

☒ dane dotyczące życia seksualnego lub orientacji seksualnej osoby fizycznej; oraz

☒ dane osobowe dotyczące karalności.

Grupy Podmiotów Danych, których Dane Osobowe są przetwarzane na mocy Umowy Powierzenia oraz Umowy:

☒ byli i obecni pracownicy;

☒ byli i obecni wykonawcy lub konsultanci;

☒ wykonawcy lub konsultanci zatrudnieni przez agencję oraz zewnętrzni oddelegowani pracownicy;

☒ kandydaci do pracy;

☒ studenci i wolontariusze;

☒ osoby zidentyfikowane przez pracowników lub emerytów jako beneficjenci, małżonek, partner domowy/cywilny, osoby pozostające na utrzymaniu i kontakty w nagłych wypadkach;

☒ emeryci;

☒ byli i obecni dyrektorzy i urzędnicy;

☒ akcjonariusze;

☒ posiadacze obligacji;

☒ posiadacze kont;

☒ użytkownicy końcowi / konsumenci (dorośli, dzieci);

☒ pacjenci (dorośli, dzieci);

☒ przechodnie (kamery CCTV);

☒ użytkownicy strony internetowej.

Klient nie będzie przekazywał do Iron Mountain danych osobowych poza kategorią/zakresem wskazanym powyżej. O wszelkich nowych zakresach danych lub nowych kategoriach danych Klient ma obowiązek informować Iron Mountain na piśmie.

Dane do Inspektora Ochrony Danych Osobowych Iron Mountain: Xxxxxx.xxxxxxx@xxxxxxxxxxxx.xxx

Iron Mountain Europe

Xxxxxxx xxxx 00, 0xx xxxxx 0000 Xxxxxxxxx

Xxxxx