Umowa powierzenia przetwarzania danych osobowych
Umowa powierzenia przetwarzania danych osobowych
zawarta w Krakowie, pomiędzy:
Powierzającym – przedsiębiorcą, który zawarł umowę na mocy której korzysta z serwisu lub usług związanych z wdrożeniem serwisu o nazwie handlowej xSale
a
FUTURITI S.A. z siedzibą w Krakowie, adres: xx. Xxxxxxxxxxx 00, 00-000 Xxxxxx, akta rejestrowe w Sądzie Rejonowym dla Krakowa – Śródmieścia w Krakowie Wydział XI Gospodarczy Krajowego Rejestru Sądowego, kapitał zakładowy, 100.000 zł, KRS: 0000938556, NIP: 6762542702
w dalszej części niniejszej umowy zwanym „Przetwarzający” albo „FUTURITI”
§ 1
1. Powierzający i Przetwarzający oświadczają, że zawarli umowę, której przedmiotem jest świadczenie przez FUTURITI usług informatycznych w zakresie udostępnienia przez
FUTURITI przestrzeni na serwerze będącym w posiadaniu Przetwarzającego. Opisane w zdaniu poprzednim umowa lub umowy wiążące Strony zwane są dalej „Umową Główną”.
2. Do wykonania Umowy Głównej konieczne może być przetwarzanie danych osobowych.
3. Niniejsza – akcesoryjna względem Umowy Głównej – umowa powierzenia przetwarzania danych osobowych reguluje wzajemny stosunek Stron i obowiązku w zakresie przetwarzania danych osobowych wynikających z zawartej Umowy Głównej.
4. Rozwiązanie Umowy Głównej powoduje rozwiązanie niniejszej Umowy, jeśli Strony wiąże więcej niż jedna umowa skutek ten powoduje rozwiązanie ostatniej umowy wiążącej Strony.
5. Niniejsza Umowa stanowi wzorzec umowny opublikowany w postaci elektronicznej. Postanowienia Umowy są wiążące dla Stron, chyba że Powierzający w terminie 7 dni od dnia uzyskania dostępu do treści Umowy sprzeciwi się jej stosowaniu.
6. Powierzający zobowiązany jest zapisać treść niniejszej Umowy w stanie takim jak została udostępniona we własnych zasobach informatycznych.
7. FUTURITI w celu należytej ochrony danych osobowych wyznaczył Inspektora Ochrony Danych, z którym można się kontaktować pod adresem e-mail: xxxx@xxxxxxxx.xx
§ 2
1. Przetwarzanie danych osobowych z tytułu Umowy Głównej odbywać się będzie w zgodzie i w oparciu o Rozporządzenie Parlamentu Europejskiego Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) zwanego dalej „RODO“.
2. Administratorem danych osobowych, których przetwarzanie wynika z Umowy Głównej jest Powierzający.
3. Powierzający oświadcza, iż spełnił warunki legalności przetwarzania danych osobowych zgodnie z przepisami RODO a także pozostałymi normami obowiązującego prawa.
4. Podmiotem przetwarzającym, któremu Powierzający powierza przetwarzanie danych osobowych jest FUTURITI.
§ 4
1. Cel i zakres powierzenia przetwarzania danych osobowych wynika bezpośrednio i ogranicza się wyłącznie do zadań wynikających z zawartej Umowy Głównej, a mianowicie:
a) cele:
1) przechowywanie danych;
2) wdrożenie i konfiguracja oprogramowania, którego dotyczy Umowa Główna
b) zakres stanowią dane kontrahentów Powierzającego a to: imiona, nazwiska, adresy, numery telefonów, nr NIP, nr REGON, adresy e-mail oraz inne dane nie wyłączone z zakresu przetwarzania zgodnie z niniejszą Umową.
2. Na powyższych danych będą wykonywane następujące operacje: przechowywanie, transfer, utrwalanie, a także czynności polegające na tworzeniu kopii bezpieczeństwa oraz czynności związane z odtworzeniem danych z kopii bezpieczeństwa.
3. Przetwarzający zobowiązany jest do:
a. zapewnienia bezpiecznego (kryptograficznie zabezpieczonego) transferu danych w procesie świadczonej usługi
b. wdrożenia mechanizmów uwierzytelniania oraz nadzoru działań w systemie przez odnotowywanie zdarzeń na przetwarzanych danych (logowanie działań),
c. zapewnienia w działaniach serwisowych (w tym wymiana uszkodzonych zasobów dyskowych), by dostęp do zasobów był ograniczony do osób upoważnionych
d. zachowania przetwarzanych danych w poufności.
5. Przetwarzanie danych osobowych przez FUTURITI będzie odbywać się wyłącznie na udokumentowane polecenie Administratora.
6. Za udokumentowane polecenie uznaje się zadania zlecone do wykonywania Przetwarzającemu Umową Główną.
7. Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienia od FUTURITI oraz przeszkolone z zakresu przepisów dotyczących ochrony danych osobowych.
8. Powierzający upoważnia FUTURITI do wyznaczania osób uprawnionych do przetwarzania danych osobowych w zakresie koniecznym do wypełnienia zobowiązania z tytułu realizowania zapisów niniejszej umowy.
9. Przetwarzający oświadcza, że każda osoba (np. pracownik etatowy, osoba świadcząca czynności na podstawie umów cywilnoprawnych, inne osoby pracujące na rzecz Przetwarzającego), która zostanie upoważniona do przetwarzania danych osobowych będących przedmiotem Umowy Głównej, zostanie zobowiązana do zachowania tych danych w tajemnicy przed udostępnieniem jej wyżej wymienionych danych. Tajemnica ta obejmuje również wszelkie informacje dotyczące sposobów zabezpieczenia powierzonych do przetwarzania danych osobowych.
10. Z zakresu przetwarzanych danych wyłączone są dane uważane za szczególne kategorie danych osobowych zgodnie z art. 9 (dane dotyczące przekonań, wyznania, orientacji seksualnej, przynależności do organizacji politycznych itp.) oraz art. 10 RODO (dane dotyczące skazania za przestępstwo lub związane ze stwierdzeniem innych naruszeń prawa).
§ 5
1. Przetwarzający, realizując zadnia wynikające z Umowy Głównej:
a. zastosuje środki zabezpieczenia określone w obowiązującym prawie, w szczególności poprzez zastosowanie odpowiednich do zindentyfikowanego ryzyka zabezpieczeń oraz o ile to możliwe i racjonalnie uzasadnione pseudonimizację danych
b. udzieli pomocy Powierzającemu w zakresie niezbędnym do realizacji obowiązków Powierzającego
c. bezzwłocznie zgłosi Powierzającemu naruszenie danych osobowych, którego będzie uczestnikiem,
d. udostępni Powierzającemu wszelkie informacje niezbędne do wykazania spełniania obowiązków spoczywających na podmiocie przetwarzającym oraz umożliwi Powierzającemu lub audytorowi upoważnionemu przez Powierzającego przeprowadzanie audytów, w tym inspekcji, współpracując przy działaniach sprawdzających i naprawczych.
e. zastosuje się do uzasadnionych zaleceń pokontrolnych przekazanych przez Powierzającego, przy czym w przypadku gdy zastosowanie zaleceń wymagać będzie dodatkowych nakładów po stronie Przetwarzającego, Strony podejmą negocjacje celem ustalenia zasad ponoszenia kosztów związanych z zastosowaniem zaleceń; w przypadku braku osiągnięcia porozumienia w ciągu 30 dni od dnia zgłoszenia zaleceń, Stronom będzie przysługiwać prawo rozwiązania zarówno niniejszej umowy powierzenia, jak i Umowy Głównej ze skutkiem natychmiastowym,
f. prowadzi rejestr czynności przetwarzania w formie elektronicznej, rejestr ten jest udostępniany Powierzającemu niezwłocznie na jego pisemne żądanie,
g. dostarczy {a} wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych oraz {b} opis struktury zbiorów danych wskazujący zawartość poszczególnych informacyjnych i powiązaniami między nimi dla systemu(-ów) informatycznego(-ych) dostarczonych/obsługiwanych przez Przetwarzającego wraz z przepływami danych w systemie.
2. FUTURITI po zakończeniu przetwarzania danych osobowych niezwłocznie zwróci powierzone dane lub dokona ich zniszczenia – adekwatnie do przekazanej w sposób jednoznaczny woli Powierzającego. Jeżeli taka wola nie zostanie wskazana w terminie 14 dni od dnia rozwiązania Umowy uznaje się, że zgodnie z wolą Powierzającego FUTURITI upoważnione jest do usunięcia danych. W przypadku żądania zwrotu danych, zwrot następuje na nośniku cyfrowym w stanie w jakim dane się znajdują na dzień rozwiązania Umowy. FUTURITI może żądać poniesienia przez Powierzającego uzasadnionych kosztów zwrotu danych.
3. Przetwarzający zobowiązany jest do współpracy z organem nadzorczym w zakresie przetwarzania danych osobowych powierzonych na podstawie niniejszej Umowy.
§ 6
1. Powierzający wyraża ogólną zgodę by Przetwarzający korzystał z usług innego podmiotu przetwarzającego, przy czym:
a. Przetwarzający zobowiązany jest poinformować pisemnie Powierzającego o wszelkich zamierzonych działaniach dotyczących dodania, zmianach lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec tych działań; brak sprzeciwu wyrażonego w ciągu 14 dni roboczych od daty potwierdzonej wysyłki zawiadomienia uznaje się jako akceptację Powierzającego działań Przetwarzającego
b. Przetwarzający odpowiada za działania dalszego podmiotu przetwarzającego jak za własne.
2. Przetwarzający nie jest uprawniony do przekazywania danych osobowych do państwa nie będącego członkiem Unii Europejskiej albo takiej organizacji międzynarodowej, chyba że podstawą takiego przekazania są normy prawa Unii Europejskiej lub prawo polskie albo inne prawa państwa należącego do Unii Europejskiej, w którym Powierzający ma siedzibę.
3. W każdym przypadku przekazania danych do państwa spoza państw należących do Unii Europejskiej FUTURITI zobowiązana jest poinformować o tym fakcie Powierzającego wraz ze wskazaniem podstawy prawnej umożliwiającej przekazanie.
§ 7
1. Przetwarzający dla zapewnienia, iż spełnia wymagania RODO w zakresie gwarancji zabezpieczenia zobowiązany jest:
a. przed rozpoczęciem świadczenia usługi uzyskać akceptację Powierzającego w zakresie spełniania wymagań dotyczących zabezpieczenia przetwarzanych danych w zakresie prawidłowości implementacji tych wymagań w dokumentacji bezpieczeństwa, przy czym, o ile nie zostanie wskazane inaczej Powierzajacy akceptuje środki bezpieczeństwa opisane w niniejszej Umowie,
b. w przypadku przetwarzania powierzonych Umową Główną danych osobowych poza obszarem państw członkowskich Unii Europejskiej, dostarczyć poświadczoną kopię dokumentów, które stanowią przesłankę legalności tego działania (np. dokument zawartych standardowych klauzul umownych z podprocesorem),
c. stosownie do wdrożonych środków technicznych i organizacyjnych oraz charakteru, zakresu i celu przetwarzania a także ryzyka naruszenia bezpieczeństwa danych osobowych dokonuje przeglądu i uaktualnia wprowadzone zabezpieczenia, w tym środki techniczne i organizacyjne, przegląd może być wykonany również na zlecenie Powierzającego, nie częściej jednak nie raz do roku
2. Przetwarzający na wezwanie Powierzającego zobowiązany jest do przedstawienia listy stosowanych zabezpieczeń
§ 8
1. Wszelkie zawiadomienia, żądania bądź akceptacje składane w ramach Umowy powierzenia będą uważane za dokonane, jeśli zostaną doręczone w formie pisemnej odpowiedzialnemu za realizację niniejszej Umowy przedstawicielowi Strony osobiście bądź na adres poczty elektronicznej osób wskazanych w Umowie Głównej
2. Strony będą niezwłocznie zawiadamiać się na piśmie, w trybie określonym w ust. 1, o zmianie osób odpowiedzialnych za realizację Umowy powierzenia lub osób wyznaczonych do kontaktów w ramach Umowy. Zmiana wyżej wymienionych osób nie stanowi zmiany niniejszej Umowy i nie wymaga jej zmiany.
3. Strony nie mogą, bez uprzedniej, pisemnej (zastrzeżonej pod rygorem nieważności) zgody drugiej Strony, przenieść jakichkolwiek praw i obowiązków wynikające z Umowy powierzenia na osobę trzecią z zastrzeżeniem odmiennych postanowień Umowy powierzenia.
4. Strony zgodnie oświadczają, iż w przypadku sporów powstałych na tle realizacji niniejszej Umowy dążyć będą do polubownego ich rozwiązania. W przypadku, gdy nie dojdzie do rozwiązania sporu w powyższy sposób, właściwym do jego rozstrzygnięcia będzie sąd powszechny właściwy miejscowo dla siedziby Przetwarzającego.
5. W sprawach nieuregulowanych w niniejszej Umowie zastosowanie mają przepisy RODO, Kodeksu cywilnego oraz innych obowiązujących przepisów prawa.
6. Zmiany niniejszej Umowy wchodzą w życie wraz z opublikowaniem nowej wersji w sposób przyjęty dla zawarcia Umowy. Powierzający upoważniony jest do rozwiązania Umowy w terminie 7 dni od dnia uzyskania wiedzy o zmianie Umowy.