Umowa powierzenia danych osobowych Zawarcie umowy powierzenia


Umowa powierzenia danych osobowych

§1

Zawarcie umowy powierzenia

Poprzez złożenie i przyjęcie Zlecenia przewozu Strony zawierają na czas odpowiadający okresowi jego realizacji umowę powierzenia danych osobowych na warunkach określonych poniżej.





§2

Definicje

Ilekroć w niniejszej umowie powierzenia przetwarzania danych osobowych mowa o:

    1. Schenker” – rozumie się przez to Schenker sp. z o.o. z siedzibą w Warszawie przy ul. Żwirki i Xxxxxx 00, 00-000 Xxxxxxxx, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000040104, NIP: 000-00-00-000, REGON: 010500539, kapitał zakładowy: 186 294 430 PLN,

    2. Przewoźniku” – rozumie się przez to przedsiębiorcę świadczącego na zlecenie SCHENKER Usługi Przewozu.

    3. administratorze danych” – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych,

    4. danych osobowych” – rozumie się przez to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”),

    5. przetwarzaniu danych” – rozumie się przez to operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie,

    6. systemie informatycznym” – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,

    7. Umowie” – rozumie się przez to niniejszą umowę powierzenia przetwarzania danych osobowych,

    8. Ogólnym rozporządzeniu o ochronie danych” – rozumie się przez to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

§4

Przedmiot Umowy

  1. Przedmiotem Umowy jest wzajemne przekazanie w powierzenie przetwarzania danych osobowych przez Xxxxxx, w związku ze współpracą Stron w zakresie świadczenia usług przewozu, realizowanych na podstawie zlecenia przewozu na warunkach w nich określonych złożonego na przez Schenker i przyjętego przez Przewoźnika.

  2. Każda ze stron oświadcza, że jest odrębnym administratorem danych, o których mowa w §3 ust. 1 i 2 Umowy.

  3. Strony przekazują w powierzenie, na podstawie art. 28 Ogólnego rozporządzenia o ochronie danych, przetwarzanie danych osobowych i zobowiązują się wzajemnie do ich przetwarzania zgodnego z prawem i Umową.

  4. Strony będą przetwarzać dane osobowe wyłącznie w zakresie i celu przewidzianym w Umowie.

§3

Powierzenie przetwarzania danych osobowych

    1. Przewoźnik powierza Schenker przetwarzanie danych osobowych kierowców.

    2. Schenker powierza Przewoźnikowi przetwarzanie danych osobowych swoich klientów.

    3. Schenker podpowierza Przewoźnikowi przetwarzanie danych osobowych powierzonych przez swoich klientów.

    4. Zakres powierzonych do przetwarzania danych osobowych, wskazanych w ust. 1 niniejszego paragrafu, obejmuje dane takie jak: imię, nazwisko, XXXXX, telefon kontaktowy, numer dokumentu (prawo jazdy, dowód osobisty lub paszport).

    5. Zakres powierzonych do przetwarzania danych osobowych, wskazanych w ust. 2 niniejszego paragrafu, obejmuje dane takie jak: imię, nazwisko, adres miejsca nadania lub odbioru przesyłki, adres siedziby, PESEL, NIP, nr telefonu kontaktowego, adres e-mail.

    6. Rodzaj powierzonych danych nie obejmuje tzw. szczególnych kategorii danych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa w rozumieniu przepisów Ogólnego rozporządzenia o przetwarzaniu danych osobowych.

    7. Celem powierzenia przetwarzania danych osobowych jest wykonanie zawartej pomiędzy Stronami Umowy o współpracy.

    8. Schenker w trakcie realizacji usług posługuje się podwykonawcami, w szczególności dostawcami usług przewozowych, w tym celu powierza Przewoźnikowi dane osobowe klientów oraz podpowierza dane powierzone przez klientów.

    9. Przewoźnik, za pośrednictwem swoich kierowców, świadczy na rzecz Schenker usługi przewozowe, w tym celu powierza w przetwarzanie dane kierowców

    10. Schenker w zakresie realizacji celu określonego w ust. 7 powyżej, jest uprawniony do wykonywania wszelkich operacji na danych niezbędnych do realizacji Umowy o współpracę, takich jak w szczególności: zbieranie, utrwalanie, organizowanie, przechowywanie, przeglądanie, ujawnianie poprzez przesłanie, usuwanie, niszczenie.

    11. Przewoźnik jest uprawniony do wykonywania następujących operacji na powierzonych danych: zbieranie, przechowywanie, organizowanie, utrwalanie, usuwanie, niszczenie.

    12. Przetwarzanie danych odbywać się będzie w formie papierowej lub przy wykorzystaniu systemów informatycznych.



§5

Obowiązki Procesora

  1. Strony będą przetwarzać powierzone im dane osobowe na warunkach i zgodnie z treścią obowiązujących w tym zakresie przepisów prawa. W szczególności przetwarzanie powierzonych danych odbywało się będzie z poszanowaniem przepisów Ogólnego rozporządzenia o ochronie danych osobowych (RODO) oraz wydanych krajowych przepisów z zakresu ochrony danych osobowych.

  2. W związku z powierzeniem przetwarzania danych osobowych Strony zobowiązują się do:

    1. przetwarzania danych osobowych wyłącznie na podstawie Umowy lub innego udokumentowanego polecenia Strony będącej administratorem danych osobowych, za jakie uważa się polecenie przekazane drogą pisemną lub elektroniczną,

    2. zapewnienia by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,

    3. podjęcia wszelkich środków gwarantujących bezpieczeństwo powierzonych do przetwarzania danych osobowych, w tym x.xx. do wdrożenia, przy uwzględnieniu stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, odpowiednich środków technicznych i organizacyjnych, w celu zapewnienia stopnia bezpieczeństwa odpowiadającemu temu ryzyku, w tym między innymi w stosownym przypadku:

      1. pseudonimizacji i szyfrowania danych osobowych,

      2. zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,

      3. zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,

      4. regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

    4. przestrzegania określonych w §6 Umowy warunków podpowierzenia przetwarzania danych osobowych innemu podmiotowi,

    5. aktywnej współpracy ze Stroną będącą administratorem danych osobowych przez cały okres trwania powierzenia przetwarzania danych osobowych, która w szczególności polega na tym, iż Strony biorąc pod uwagę charakter przetwarzania, poprzez odpowiednie środki techniczne i organizacyjne, w miarę możliwości będą pomagały Stronie będącej administratorem danych osobowych wywiązywać się z obowiązków względem osób, których dane dotyczą oraz, uwzględniając charakter przetwarzania oraz dostępne mu informacje, będą pomagały Stronie będącej administratorem danych osobowych wywiązywać się z obowiązków w zakresie zagwarantowania bezpieczeństwa danych osobowych.

  3. Strona zobowiązuje się niezwłocznie zawiadomić drugą Stronę, będącą administratorem danych osobowych, o:

    1. każdym prawnie umocowanym żądaniu udostępnienia danych osobowych właściwemu organowi państwa, chyba, że zakaz zawiadomienia Strony, będącej administratorem danych osobowych, wynika z przepisów prawa, a w szczególności przepisów postępowania karnego, gdy zakaz ma na celu zapewnienie poufności wszczętego dochodzenia,

    2. każdym nieupoważnionym dostępie do danych osobowych,

    3. każdym żądaniu otrzymanym bezpośrednio od osoby, której dane przetwarza, w zakresie przetwarzania dotyczącej jej danych osobowych, powstrzymując się jednocześnie od odpowiedzi na żądanie, chyba, że zostanie do tego upoważniony przez Xxxxxx, będącą administratorem danych osobowych.

  4. Przewoźnik zobowiązuje się do przetwarzania danych osobowych otrzymanych od Schenker wyłącznie na terenie krajów Europejskiego Obszaru Gospodarczego, w których obowiązują regulacje RODO.

  5. Strony, na każdy pisemny wniosek drugiej Strony, będącej administratorem danych osobowych, zobowiązane są do udzielenia kompleksowej, pisemnej odpowiedzi, na skierowane przez Stronę, będącą administratorem danych osobowych pytania dotyczące kwestii związanych z przetwarzaniem powierzonych danych osobowych.

  6. Odpowiedzi, o której mowa w ust. 5 powyżej, Strony udzielą niezwłocznie, nie później niż w terminie 7 dni roboczych od dnia otrzymania wniosku Strony, będącej administratorem danych osobowych.

  7. W przypadku wystąpienia incydentu zagrażającego bezpieczeństwu powierzonych do przetwarzania danych osobowych, tj. w szczególności wystąpienia lub podejrzenia wystąpienia któregokolwiek z: kradzieży, nieuprawnionego dostępu lub wykorzystania, ujawnienia, utraty, uszkodzenia lub zniszczenia powierzonych danych osobowych lub jakiegokolwiek innego niewłaściwego lub bezprawnego przetwarzania powierzonych danych osobowych, Strona jest zobowiązana:

    1. niezwłocznie po powzięciu wiadomości o incydencie, jednak w każdym przypadku nie później niż w ciągu czterdziestu ośmiu (48) godzin od powzięcia takiej wiadomości, przekazać Xxxxxxx będącej administratorem danych osobowych powiadomienie o takim incydencie oraz zapewnić pomoc i przekazać dalsze informacje, które mogą być zasadnie wymagane przez Stronę będącą administratorem danych osobowych w związku z tym incydentem,

    2. niezwłocznie po powzięciu wiadomości o incydencie podjąć wszelkie zasadne starania w celu przeprowadzenia dochodzenia w sprawie incydentu jak również usunięcia przyczyn oraz jego skutków, z zastrzeżeniem, że Strona dołoży takich starań wyłącznie na polecenie drugiej Strony, będącej administratorem danych osobowych, wydane po powiadomieniu Strony będącej administratorem danych osobowych o incydencie, oraz

    3. wyłącznie, jeżeli zostanie to uprzednio zaakceptowane na piśmie przez Stronę będącą administratorem danych osobowych, powiadomić o incydencie osoby, na które incydent miał wpływ.

§6

Prawo kontroli

  1. W ramach niniejszego paragrafu za administratora uznaje się również Procesora w zakresie w jakim podpowierza dane osobowe.

  2. Strona, będąca administratorem danych osobowych ma prawo do kontroli przetwarzania przez drugą Stronę powierzonych jej danych osobowych z punktu widzenia zgodności tego przetwarzania z przepisami prawa oraz postanowieniami Umowy w postaci audytu realizowanego przez Stronę, będącą administratorem danych osobowych lub audytora upoważnionego przez Stronę, będącą administratorem danych osobowych.

  3. Informacja o terminie i zakresie audytu, o którym mowa w ust. 1 powyżej, będzie przekazana Stronie z co najmniej 24-godzinnym wyprzedzeniem.

  4. Strona umożliwia Stronie, będącej administratorem danych osobowych lub audytorowi upoważnionemu przez Stronę, będącą administratorem danych osobowych, przeprowadzanie audytu, o którym mowa w ust. 1 i przyczynia się do niego. W szczególności, Strona zobowiązana jest udostępnić wgląd do wszystkich materiałów oraz systemów, w których realizowane jest przetwarzanie danych Strony, będącej administratorem danych osobowych oraz umożliwić dostęp do pracowników zaangażowanych w ich przetwarzanie.

  5. Strona, będąca administratorem danych osobowych lub audytor upoważniony przez Stronę, będącą administratorem danych osobowych, przed rozpoczęciem czynności audytowych podpisze zobowiązanie o zachowaniu w poufności wszelkich informacji uzyskanych podczas realizacji audytu, w tym danych osobowych, których administratorem danych jest Strona.

§7

Podpowierzenie

      1. Schenker, ma prawo podpowierzania danych osobowych, o których mowa w §3 ust. 1 Umowy, w zakresie i celu niezbędnym do realizacji celu powierzenia przetwarzania danych osobowych określonego w §3 ust. 7 Umowy (ogólna zgoda Administratora na podpowierzenie przetwarzania danych osobowych).

      2. Przewoźnik ma prawo podpowierzania danych osobowych, o których mowa w §3 ust. 2 Umowy, w zakresie i celu niezbędnym do realizacji celu powierzenia przetwarzania danych osobowych określonego w §3 ust. 7 Umowy wyłącznie po uzyskaniu odrębnej pisemnej zgody Administratora.

      3. Strony są zobowiązane do poinformowania o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym możliwość wyrażenia sprzeciwu wobec takich zmian.

      4. Strony zgodnie postanawiają, że obowiązek, o którym mowa  w §6 ust. 3 będzie realizowany przez poinformowanie o innych podmiotach przetwarzających na zleceniu świadczenia usług przewozowych wystawianym przez Procesora (Schenker).



§8

Usunięcie lub zwrot danych osobowych

        1. Zależnie od decyzji Strony, będącej administratorem danych, w tym zakresie, w terminie do 14 dni roboczych od dnia zakończenia Umowy, Strona jest zobowiązana do usunięcia lub zwrotu wszelkich powierzonych jej danych osobowych oraz usunięcia wszelkich ich istniejących kopii, chyba, że obowiązujące przepisy prawa nakazują przechowywanie tych danych osobowych.

        2. Powierzenie przetwarzania danych osobowych trwa do upływu wyżej wskazanego terminu.

§9

Pozostałe postanowienia

    1. Wszystkie dane osobowe przetwarzane przez jedną ze Stron są własnością tej Strony, która jest administratorem danych osobowych.

    2. Przetwarzanie danych dozwolone jest wyłącznie w celu określonym w §3 ust. 7 Umowy.

    3. Wykorzystanie przez Stronę danych drugiej strony, będącej administratorem danych osobowych, w celach innych niż określone Umową wymaga każdorazowo pisemnej zgody Strony będącej administratorem danych osobowych.

§10

Postanowienia końcowe

  1. W sprawach nieuregulowanych postanowieniami Umowy zastosowanie będą mieć właściwe w tym zakresie przepisy prawa.

  2. Wszelkie zmiany, uzupełnienia lub rozwiązanie Umowy wymagają zachowania formy pisemnej pod rygorem nieważności.

  3. Strony zgodnie oświadczają, iż w przypadku sporów powstałych na tle realizacji Umowy dążyć będą do polubownego ich załatwienia. W przypadku, gdy nie dojdzie do załatwienia sporu w powyższy sposób, właściwym do jego rozstrzygnięcia będzie sąd powszechny właściwy miejscowo według właściwości ogólnej.





7 z 7

Document Metadata

Filed: June 10th, 2019