UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w [●] dnia [●] pomiędzy:
(1) [w przypadku spółki prawa handlowego]
[●] z siedzibą w [●], ul. [●], kod pocztowy [●], wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla [●] w [●], [●] Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS: [●], NIP: [●], REGON: [●], kapitał zakładowy w wysokości [●] złotych, opłacony w całości / do kwoty [●] złotych („Administrator”), reprezentowaną przez:
1) [imię i nazwisko] – [xxxxxxx];
2) [imię i nazwisko] – [xxxxxxx]
[w przypadku osoby fizycznej]
[●] zamieszkałym/ą w [●], ul. [●], kod pocztowy [●], prowadzącym/ą działalność gospodarczą pod firmą: [●] wpisaną do Centralnej Ewidencji i Informacji o Działalności Gospodarczej, adres głównego miejsca wykonywania działalności [●], ul. [●], kod pocztowy [●], posiadającym/ą numer NIP: [●], REGON: [●], PESEL: [●] („Administrator”)
oraz
Pergamin spółka z ograniczoną odpowiedzialnością z siedzibą we Wrocławiu, adres: xx. Xxxxxxxxxx 00x (00-000), ujawnioną w rejestrze przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy dla Wrocławia Fabrycznej we Wrocławiu, VI Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS 0000705701, XXX 0000000000, kapitał zakładowy: 25.150 PLN, („Procesor”), reprezentowaną łącznie przez dwóch z trzech Członków Zarządu:
1) Xxxxxx Xxxxxxxx – Prezesa Zarządu;
2) Xxxxxx Xxxxxxx – Członka Zarządu;
3) Xxxxxxxxx Xxxxxxxxxxxxxx – Członka Zarządu.
Administrator i Procesor są zwani dalej łącznie „Stronami”, a każdy z nich z osobna „Stroną”.
1. DEFINICJE
Pojęcia pisane w Umowie wielką literą będą miały następujące znaczenie:
1.1. Dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą), powierzone do przetwarzania na podstawie Umowy, których zakres został wskazany w Załączniku A do Umowy.
1.2. Dni Robocze – dni od poniedziałku do piątku, z wyłączeniem dni ustawowo wolnych od pracy w Polsce.
1.3. Osoba, której dane dotyczą lub Podmiot danych – osoba, której dotyczą dane osobowe będące przedmiotem Umowy.
1.4. RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
1.5. Umowa – niniejsza umowa powierzenia przetwarzania danych.
1.6. Regulamin - Regulamin świadczenia usługi dostępu do Aplikacji Pergamin, dostępny pod adresem link.
2. Przedmiot umowy
2.1. Na podstawie Umowy Administrator powierza Procesorowi przetwarzanie Danych osobowych w zakresie wskazanym w Załączniku A.
2.2. Powierzenie Danych osobowych Procesorowi następuje w celu świadczenia usługi dostępu do Aplikacji Pergamin.
2.3. Zmiana zakresu powierzenia przetwarzania nie wymaga aneksu, a jedynie zgody obu Stron wyrażonej w formie pisemnej lub elektronicznej (w tym e-mailowej) przez osoby uprawnione do składania oświadczeń w imieniu Xxxxx. Zmiana zakresu powierzenia w sposób określony w zdaniu poprzedzającym nie może prowadzić do rozszerzenia obowiązków lub ograniczenia uprawnień Procesora, wynikających z Regulaminu, w tym w zakresie należnego wynagrodzenia.
2.4. Procesor może przetwarzać powierzone mu dane osobowe wyłącznie w zakresie i celu określonym w Umowie oraz w celu i zakresie niezbędnym do świadczenia usług określonych w Regulaminie. Przetwarzanie Danych osobowych przez Procesora odbywa się wyłącznie w czasie obowiązywania Umowy.
3. Oświadczenia i obowiązki Procesora
3.1. Procesor niniejszym oświadcza, że posiada zasoby infrastrukturalne, doświadczenie, wiedzę oraz wykwalifikowany personel w zakresie umożliwiającym należyte wykonanie Umowy, w zgodzie z obowiązującymi przepisami prawa. W szczególności Procesor oświadcza, że znane mu są zasady przetwarzania i zabezpieczenia Danych osobowych wynikające z RODO.
3.2. Procesor jest zobowiązany:
3.2.1.przetwarzać Dane osobowe zgodnie z RODO, polskimi przepisami przyjętymi w celu umożliwienia stosowania RODO, innymi obowiązującymi przepisami prawa oraz Umową;
3.2.2.przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek taki nakłada na niego obowiązujące prawo krajowe lub unijne. W sytuacji, gdy obowiązek przetwarzania Danych osobowych przez Procesora wynika z przepisów prawa, informuje on Administratora drogą elektroniczną – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny; za udokumentowane polecenie Administratora uważa się w szczególności Regulamin;
3.2.3.przetwarzać Dane osobowe wyłącznie w miejscu ustalonym w Regulaminie oraz na urządzeniach zarządzanych przez Procesora i jego personel lub Administratora, z zachowaniem zasad bezpieczeństwa i ochrony danych osobowych wymaganych przez obowiązujące przepisy prawa;
3.2.4.udzielać dostępu do Danych osobowych wyłącznie osobom, które ze względu na zakres wykonywanych zadań otrzymały od Procesora upoważnienie do ich przetwarzania, oraz wyłącznie w celu wykonywania obowiązków wynikających z Umowy, jak również podjąć działania mające na celu zapewnienie, by każda osoba fizyczna działająca z upoważnienia Procesora, która ma dostęp do Danych osobowych, przetwarzała je wyłącznie na polecenie Administratora, chyba że przetwarzanie jest wymagane przez właściwe przepisy krajowe lub unijne;
3.2.5.zapewnić, aby osoby upoważnione do przetwarzania Danych osobowych zobowiązały się do zachowania tajemnicy, chyba że osoby te podlegają ustawowemu obowiązkowi zachowania tajemnicy;
3.2.6.wdrożyć, zgodnie z rozdziałem 4 Umowy, odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane osobowe będą przetwarzane na podstawie Umowy;
3.2.7.wspierać Administratora (poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO;
3.2.8.pomagać Administratorowi wywiązać się z obowiązków określonych w RODO (w tym w szczególności w art. 32–36 RODO);
3.2.9.prowadzić w formie pisemnej (w tym elektronicznej) rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora;
3.2.10. udostępniać Administratorowi na jego uzasadnione żądanie wszelkie informacje niezbędne do wykazania spełnienia przez Administratora obowiązków wynikających z właściwych przepisów prawa, w szczególności z RODO, w tym przekazywać informacje o stosowanych zabezpieczeniach, zidentyfikowanych zagrożeniach i incydentach w obszarze ochrony danych osobowych;
3.2.11. umożliwić Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów na zasadach określonych w rozdziale 7 Umowy;
3.2.12. niezwłocznie informować Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów krajowych albo unijnych o ochronie danych;
3.2.13. bez zbędnej zwłoki informować (o ile nie doprowadzi to do naruszenia przepisów obowiązującego prawa) Administratora o postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Procesora danych osobowych powierzonych mu przez Administratora, o skierowanej do Procesora decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych osobowych powierzonych Procesorowi do przetwarzania;
3.2.14. przechowywać Dane osobowe tylko tak długo, jak to określił Administrator; w granicach określonych w załączniku A do Umowy, Procesor będzie przetwarzać Dane osobowe we własnym imieniu, w celu ustalenia, dochodzenia roszczeń lub obrony przed roszczeniami mogącymi powstać w związku z wykonaniem Umowy lub świadczeniem usługi dostępu do Aplikacji Pergamin;
3.2.15. bez zbędnej zwłoki aktualizować, poprawiać, zmieniać, anonimizować, ograniczać przetwarzanie lub usuwać wskazane Dane osobowe zgodnie z wytycznymi Administratora.
3.3. Postanowienia zawarte w pkt 3.2 nie rozszerzają zakresu obowiązków Procesora w odniesieniu do świadczenia usług zgodnie z Regulaminem.
4. Środki organizacyjne i techniczne
4.1. Procesor wdraża i stosuje adekwatne środki techniczne i organizacyjne w celu zapewnienia stopnia bezpieczeństwa odpowiedniego do ryzyka naruszenia praw lub wolności osób fizycznych, których Dane osobowe są przetwarzane na podstawie Umowy.
4.2. Oceniając, czy stopień bezpieczeństwa, o którym mowa w pkt. 4.1, jest odpowiedni, Procesor jest zobowiązany uwzględnić ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
4.3. Procesor powinien również wdrożyć – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – odpowiednie środki techniczne i organizacyjne, zaprojektowane w celu skutecznej realizacji zasad ochrony danych określonych w RODO oraz w celu ochrony praw osób, których dane dotyczą (zasada ochrony danych osobowych w fazie projektowania, określona w art. 25 ust. 1 RODO), a także odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te Dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania określonego w Załączniku A (zasada domyślnej ochrony danych określona w art. 25 ust. 2 RODO).
4.4. Wdrażając środki organizacyjne i techniczne, o których mowa powyżej, Procesor:
4.4.1. przestrzega wytycznych instrukcji Administratora w zakresie sposobu zabezpieczenia procesów przetwarzania Danych osobowych zgodnie z przepisami obowiązującego prawa;
4.4.2. uwzględnia stan wiedzy technicznej oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, których Dane osobowe będzie przetwarzał na podstawie Umowy.
4.5. W przypadku stwierdzenia, że stosowane środki mogą być nieadekwatne do rozpoznanych zagrożeń, Procesor informuje o tym Administratora i w porozumieniu z Administratorem dostosowuje odpowiednio zabezpieczenia przetwarzania Danych osobowych, po uzgodnieniu przez Strony zakresu, sposobu i terminu takich działań oraz podziału związanych z nimi kosztów.
4.6. W przypadku stwierdzenia przez Administratora konieczności zastosowania dodatkowych środków zabezpieczających Strony uzgodnią zakres, sposób i termin ich wdrożenia oraz podział kosztów wdrożenia.
5. Podpowierzenie
5.1. Administrator wyraża zgodę na dalsze powierzenie przez Procesora przetwarzania Danych osobowych innym podmiotom przetwarzającym wskazanym w Załączniku B do Umowy w zakresie oraz celu zgodnym z Umową. Procesor jest zobowiązany do informowania o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia dalszych podmiotów przetwarzających. Administrator może sprzeciwić się dalszemu powierzeniu przez Procesora danych osobowych w terminie 7 Dni Roboczych od otrzymania informacji, o której mowa w zdaniu poprzedzającym. W przypadku wyrażenia sprzeciwu przez Administratora Procesor nie jest uprawniony do zawarcia umowy z dalszym podmiotem przetwarzającym, którego dotyczy sprzeciw. W takim wypadku, bez uszczerbku dla pkt 10.4, Procesor nie będzie ponosić odpowiedzialności za brak możliwości wykonywania Umowy, jeżeli do jej wykonania niezbędne okazało się korzystanie z dalszego podmiotu przetwarzającego, którego dotyczy sprzeciw.
5.2. Procesor zapewnia, że będzie korzystał wyłącznie z usług takich dalszych podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO oraz innych przepisów obowiązującego prawa z zakresu ochrony danych osobowych, a także chroniło prawa osób, których dane dotyczą.
5.3. Procesor zobowiązany jest zapewnić, że każda osoba przetwarzająca Dane osobowe na jego rzecz przetwarza je wyłącznie na polecenie Administratora.
6. Transfer danych osobowych
6.1. Procesor jest uprawniony do przekazywania Danych Osobowych do państwa trzeciego poza Europejskim Obszarem Gospodarczym, bez uprzedniej, wyraźnej zgody Administratora, jeżeli podmiotem otrzymującym te dane jest jeden lub kilka podmiotów wskazanych w Załączniku B do Umowy. Procesor może dokonać transferu danych do państwa trzeciego na podstawie:
6.1.1.umowy o treści tożsamej z Decyzją Komisji z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na mocy Rozporządzenia Parlamentu Europejskiego i Rady 2016/679 (notyfikowana jako dokument nr C/2021/3972, zawartej z dalszym podmiotem przetwarzającym, otrzymującym dane od Procesora działającego w imieniu Administratora.
6.1.2.decyzji Komisji Europejskiej o adekwatności poziomu ochrony danych osobowych obowiązującego w państwie trzecim w stosunku do tego, który obowiązuje w Unii Europejskiej.
6.2. W przypadku dalszych podmiotów przetwarzających, które Procesor chciałby zaangażować do przetwarzania Danych Osobowych, nieuwzględnionych w Załączniku B do Umowy, Procesor musi uzyskać uprzednią, wyraźną zgodę Administratora na ich
zaangażowanie. Procesor poinformuje Administratora o zamiarze przekazania Danych osobowych do innego dalszego podmiotu przetwarzającego niż wskazany w Załączniku B do Umowy. Administrator może sprzeciwić się dalszemu powierzeniu przez Procesora danych osobowych w terminie 7 Dni Roboczych od otrzymania informacji, o której mowa w zdaniu poprzedzającym, pod rygorem uznania, że brak sprzeciwu Administratora oznacza zgodę na przekazanie Danych osobowych do dalszego podmiotu przetwarzającego poza Europejski Obszar Gospodarczy.
7. Audyt
7.1. Administrator jest upoważniony do przeprowadzenia audytu zgodności przetwarzania przez Procesora Danych osobowych z Umową oraz obowiązującymi przepisami prawa.
7.2. Administrator zawiadomi Procesora o zamiarze przeprowadzenia audytu co najmniej 14 Dni Roboczych przed planowaną datą jego przeprowadzenia. Jeżeli w ocenie Procesora audyt nie może zostać przeprowadzony we wskazanym terminie, Procesor powinien niezwłocznie poinformować o tym fakcie Administratora. W takim przypadku Strony wspólnie ustalą późniejszy termin audytu.
7.3. Audyty mogą być wykonywane przez Administratora (osoby przez niego wyznaczone) w miejscu przetwarzania danych osobowych objętych powierzeniem w Dni Robocze w godzinach od 8.00 do 17.00.
7.4. Administrator zobowiązany jest zapewnić, by osoby wykonujące czynności w ramach audytu zostały zobowiązane do zachowania w poufności wszelkich informacji, które uzyskają w związku z wykonywaniem audytu, a stanowiących tajemnicę przedsiębiorstwa Procesora. Administrator zobowiązany jest zapewnić, że osoby wykonujące czynności w ramach audytu nie są zatrudnione, nie są wspólnikami, akcjonariuszami lub członkami organów podmiotów wykonujących działalność konkurencyjną w stosunku do działalności gospodarczej prowadzonej przez Procesora.
7.5. Procesor w zakresie niezbędnym do przeprowadzenia audytu będzie współpracować z Administratorem i upoważnionymi przez niego audytorami, w szczególności zapewniać im dostęp do pomieszczeń i dokumentów obejmujących Dane osobowe oraz informacje o sposobie przetwarzania danych osobowych, infrastruktury teleinformatycznej oraz systemów IT, a także do osób mających wiedzę na temat procesów przetwarzania danych osobowych realizowanych przez Procesora, z zastrzeżeniem konieczności zapewnienia ciągłości działań związanych z bieżącą działalnością gospodarczą Procesora.
7.6. Po przeprowadzonym audycie przedstawiciel Administratora sporządza protokół pokontrolny, który podpisują przedstawiciele obu Stron. Procesor zobowiązuje się w rozsądnym czasie, w terminie uzgodnionym z Administratorem, dostosować do zaleceń pokontrolnych zawartych w protokole, mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania danych osobowych. W przypadku, gdy wdrożenie tych zaleceń będzie wiązać się z dodatkowymi kosztami, Strony wspólnie ustalą sposób ich ponoszenia przez Xxxxxx.
7.7. Koszty związane z przeprowadzeniem audytu ponosi każda ze Stron w swoim zakresie; w szczególności Procesor nie jest zobowiązany do zwrotu Administratorowi jakichkolwiek kosztów związanych z wykonanym audytem, niezależnie od jego wyniku.
8. Poufność
8.1. Strony mają obowiązek ochrony informacji poufnych, niezależnie od formy ich przekazania i przetwarzania, rozumianych jako informacje takie jak:
8.1.1.Dane osobowe, w tym szczególne kategorie Danych osobowych (w rozumieniu art. 9 ust. 1 RODO);
8.1.2.informacje stanowiące tajemnicę przedsiębiorstwa (w rozumieniu ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji);
8.1.3.informacje wymagające ochrony ze względu na ich znaczenie dla interesów Stron, w tym wszelkie dane techniczne, finansowe i handlowe, materiały i dokumenty lub inne informacje bez względu na fakt, czy są one utrwalone w formie pisemnej lub w jakikolwiek inny sposób, zapisane w jakiejkolwiek formie i na jakimkolwiek nośniku, dotyczące Strony lub jej klientów, kontrahentów, dostawców, a także informacje dotyczące usług, polityki cenowej, sprzedaży, wynagrodzeń pracowników, które druga Strona otrzymała w okresie obowiązywania Umowy, lub o których dowiedziała się, czy też do których miała dostęp lub będzie w ich posiadaniu, w związku z prowadzonymi rozmowami i negocjacjami, a które nie są powszechnie znane.
8.2. Strony w szczególności zapewniają, że:
8.2.1.wszelkie przekazane, udostępnione lub ujawnione przez drugą Stronę informacje poufne będą chronione i zachowane w tajemnicy, w sposób zgodny z obowiązującymi przepisami prawa oraz postanowieniami Umowy;
8.2.2.uzyskane informacje poufne zostaną użyte i wykorzystane wyłącznie w celu, w jakim zostały przekazane, udostępnione lub ujawnione;
8.2.3.posiadane informacje poufne nie zostaną przekazane lub ujawnione żadnej osobie trzeciej – bezpośrednio ani pośrednio (z zastrzeżeniem wyjątków przewidzianych w Umowie) – bez uprzedniej zgody drugiej Strony, wyrażonej w formie pisemnej;
8.2.4.będą chronić na swój koszt informacje poufne poprzez dołożenie najwyższego poziomu staranności.
8.3. Strony zobowiązują się nie kopiować ani w inny sposób nie powielać dostarczonych przez drugą Stronę informacji poufnych lub ich części, z wyjątkiem przypadków, kiedy jest to konieczne w celu, dla jakiego zostały przekazane, lub w innym celu ściśle związanym z przedmiotem współdziałania Stron. Wszelkie wykonane w takim przypadku kopie lub reprodukcje informacji poufnych, utrwalonych na jakichkolwiek nośnikach informacji, łącznie z nośnikami elektronicznymi, pozostają własnością Strony dostarczającej informacje poufne i zostaną wydane, zniszczone lub skutecznie usunięte z nośników informacji na jej żądanie.
8.4. Informacje poufne mogą zostać przekazane tylko upoważnionym pracownikom Strony, która otrzymała informacje poufne, osobom zatrudnionym przez tę Stronę na podstawie umów cywilnoprawnych, podwykonawcom tej Strony, którzy z uwagi na zakres swych obowiązków bądź zadania im powierzone będą zaangażowani w wykonanie Umowy, i którzy zostaną wcześniej wyraźnie poinformowani o charakterze informacji poufnych oraz o zobowiązaniach do zachowania ich w tajemnicy wynikających z Umowy, jak również
zobowiążą się do przestrzegania zasad ochrony informacji poufnych, w tym procedur bezpieczeństwa wynikających z obowiązujących przepisów prawa. Strony będą zwolnione z obowiązku zachowania w tajemnicy informacji poufnych w przypadku, gdy obowiązek ujawnienia informacji poufnych wynikać będzie z bezwzględnie obowiązujących przepisów prawa, bądź też prawomocnego orzeczenia lub decyzji uprawnionego sądu lub organu. O każdorazowym powzięciu informacji o takim obowiązku Strona jest zobowiązana niezwłocznie powiadomić drugą Stronę. W takim przypadku Strona zobowiązana do ujawnienia informacji poufnych będzie zobowiązana do:
8.4.1.ujawnienia tylko takiej części informacji poufnych, jaka jest wymagana przez prawo;
8.4.2.podjęcia wszelkich możliwych działań w celu zapewnienia, iż ujawnione informacje poufne będą traktowane w sposób poufny i wykorzystywane tylko w zakresie uzasadnionym celem ujawnienia.
8.5. Zobowiązanie do zachowania poufności nie wygasa po zakończeniu Umowy i jest nieograniczone w czasie. W przypadku, gdyby powyższe zastrzeżenie okazało się nieważne lub bezskuteczne, zobowiązanie do zachowania poufności trwa przez okres 10 lat od dnia zakończenia świadczenia usługi dostępu do Aplikacji Pergamin, niezależnie od przyczyny.
8.6. Postanowienia niniejszego rozdziału pozostają bez uszczerbku dla dalej idących postanowień Regulaminu i innych umów zawartych pomiędzy Stronami, w tym w zakresie odpowiedzialności Procesora z tytułu naruszenia obowiązków poufności.
9. Zgłaszanie naruszeń
9.1. Procesor jest zobowiązany do wdrożenia i stosowania procedur służących wykrywaniu naruszeń ochrony Danych osobowych oraz wdrażaniu właściwych środków naprawczych.
9.2. Po stwierdzeniu naruszenia ochrony Danych osobowych Procesor bez zbędnej zwłoki zgłasza je Administratorowi, informując o okolicznościach naruszenia i potencjalnych zagrożeniach dla ochrony Danych osobowych.
9.3. Procesor bez zbędnej zwłoki podejmuje wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków naruszenia.
9.4. Procesor nie jest uprawniony do samodzielnego powiadamiania o naruszeniu:
9.4.1.osób, których dane dotyczą; ani
9.4.2.organu nadzorczego.
10. Czas trwania umowy
10.1. Umowa zostaje zawarta na czas określony i przestaje obowiązywać wraz z zakończeniem korzystania z usługi dostępu do Aplikacji Pergamin, na zasadach określonych w Regulaminie.
10.2. Administrator uprawniony jest do wypowiedzenia Umowy ze skutkiem natychmiastowym w przypadku rażącego lub powtarzającego się naruszenia Umowy przez Procesora, a także w przypadku, gdy:
10.2.1. organ nadzoru nad przestrzeganiem zasad przetwarzania danych osobowych prawomocną decyzją stwierdzi, że Procesor nie przestrzega zasad przetwarzania danych osobowych;
10.2.2. prawomocne orzeczenie sądu powszechnego wykaże, że Procesor nie przestrzega zasad przetwarzania danych osobowych.
pod warunkiem uprzedniego pisemnego wezwania Procesora do zaniechania naruszeń i usunięcia ich skutków, wyznaczenia w tym celu dodatkowego terminu, nie krótszego niż 5 Dni Roboczych, i bezskutecznego upływu tego terminu.
10.3. Wypowiedzenie Umowy stanowi podstawę do zakończenia korzystania z usługi dostępu do Aplikacji Pergamin, na zasadach określonych w Regulaminie.
10.4. Procesor jest uprawniony do wypowiedzenia Umowy z zachowaniem 7-dniowego okresu wypowiedzenia w przypadku wyrażenia przez Administratora sprzeciwu względem dalszego powierzenia przetwarzania danych zgodnie z pkt 5.1, jeżeli sprzeciw uniemożliwia lub znacząco utrudnia wykonanie Umowy lub świadczenie usługi dostępu do Aplikacji Pergamin. Procesor nie ponosi odpowiedzialności za szkody spowodowane wypowiedzeniem Umowy, ani następującym w związku z tym zakończeniem świadczenia usługi dostępu do Aplikacji Pergamin.
10.5. W dniu zakończenia obowiązywania Umowy Procesor powinien zgodnie z dyspozycją Administratora zwrócić lub zniszczyć, w sposób odrębnie ustalony z Administratorem, wszelkie Dane osobowe i ich kopie, chyba że właściwe przepisy prawa krajowego lub unijnego nakazują przechowywanie tych danych osobowych.
10.6. W przypadku ograniczenia zakresu powierzenia przetwarzania przez Administratora, w trybie określonym w Umowie, postanowienia o rozwiązaniu Umowy stosuje się odpowiednio do danych, które wskutek ograniczenia zakresu nie mogą już być przetwarzane przez Procesora.
11. Adresy stron i dane osób
11.1.Wszelka komunikacja Stron w sprawach związanych z Umową będzie kierowana na adresy Stron wskazane w Załączniku A.
11.2.Procesora w kontaktach z Administratorem oraz Administratora w kontaktach z Procesorem w zakresie ustaleń Umowy reprezentować będą osoby wskazane w Załączniku A. Zmiana adresów i danych tych osób nie stanowi zmiany Umowy. O każdej zmianie powyższych danych Strony powiadomią się na piśmie, za potwierdzeniem odbioru lub drogą elektroniczną. Osoby wskazane w Załączniku A nie są uprawnione do zmiany Umowy, jej wypowiedzenia lub rozwiązania, chyba że co innego wynika z treści okazanego przez nie pełnomocnictwa.
12. Postanowienia końcowe
12.1. Umowa podlega prawu polskiemu. Umowa została sporządzona w dwóch egzemplarzach, po jednym dla każdej Strony.
12.2. Zmiany Umowy są możliwe wyłącznie w formie pisemnej pod rygorem nieważności, z zastrzeżeniem sytuacji, w których Umowa wprost przewiduje inną formę dokonywania zmian.
12.3. Spory mające związek z Umową rozstrzygać będzie sąd właściwy zgodnie z Regulaminem.
12.4. Załączniki do Umowy stanowią jej integralną część. Lista załączników jest następująca:
12.4.1. Załącznik A – Zakres powierzenia danych osobowych oraz dane kontaktowe Stron;
12.4.2. Załącznik B – Lista dalszych podmiotów przetwarzających;
Załącznik A
Zakres powierzenia danych osobowych oraz dane kontaktowe Stron
1. Charakter oraz cele przetwarzania: przetwarzanie o charakterze ciągłym w celu udostępnienia Aplikacji Pergamin wraz z jej narzędziami do automatyzacji pracy z umowami oraz przechowywania dokumentów Administratora w Aplikacji Pergamin.
2. Kategorie osób, których dane dotyczą: użytkownicy Aplikacji Pergamin, w tym klienci, osoby wskazane przez klientów lub użytkowników w dokumentach tworzonych i przechowywanych w Aplikacji Pergamin,
3. Rodzaj danych osobowych: dane zwykłe (dane kontaktowe, dane identyfikacyjne, dane podane w dokumentacji tworzonej i przechowywanej w Aplikacji Pergamin) oraz dane szczególnej kategorii wskazane przez użytkownika lub klienta (w tym numery PESEL, dane o wysokości wynagrodzenia).
4. Obszar, na którym będą przetwarzane dane osobowe: EOG.
5. Dane kontaktowe stron:
a) Wszelka korespondencja w sprawach związanych z Umową będzie kierowana do Administratora na dane kontaktowe Administratora podane przy rejestracji konta lub dane bezpośrednio wskazane Procesorowi w formie pisemnej lub elektronicznej (w tym e-mailowej) przez Administratora jako dane kontaktowe.
b) Wszelka korespondencja w sprawach związanych z Umową będzie kierowana do Procesora na następujące dane kontaktowe: adres Xxxxx Xxxxxxxxxxxxx 00, 00-000 Xxxxxxxx; e-mail xxxx@xxxxxx.xx.
Procesora w kontaktach z Administratorem w zakresie ustaleń Umowy reprezentować będą następujące osoby: Koordynator ds. Ochrony Danych Ososbowych; e-mail xxxx@xxxxxx.xx.