UMOWA
UMOWA
POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Niniejsza umowa powierzenia przetwarzania danych osobowych (zwana dalej: „Umową Powierzenia Przetwarzania”) została zawarta dnia …………….. r. w pomiędzy:
1. ……………………………………..., z siedzibą w …………………….., działającą pod adresem:
…………………., wpisaną do rejestru przedsiębiorców pod numerem KRS: , o numerze NIP:
………………….., reprezentowaną przez…………………………………….. (zwaną dalej:
„Administratorem”) Klient nr:................
a
1. Elektroniczne Systemy Sprzedaży Sp. z o. o., z siedzibą we Wrocławiu, działającą pod adresem: xx. Xxxxxxxxxx 000/0, 00-000 Xxxxxxx, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS: 0000028562 , o numerze NIP: 000-00-00-000 , reprezentowaną przez Xxxxxxx Xxxxxxxxxxxx- prezesa zarządu (zwaną dalej: „Podmiotem Przetwarzającym”)
zwanymi dalej pojedynczo „Stroną”, łącznie zaś „Stronami”.
Strony zawarły w dniu ……….......... r. aneks na Vacations CMS/ aneks na Vacations IBE (zwaną dalej: „ Umową”), wykonanie której wymaga dostępu Podmiotu Przetwarzającego do Danych Osobowych i ich Przetwarzania. Umowa Powierzenia Przetwarzania określa obowiązki Stron w zakresie Przetwarzania Danych Osobowych.
Na potrzeby Umowy Powierzenia Przetwarzania pojęcia:
§1
Definicje
a. Dane Osobowe – oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, o celach i sposobie wykorzystania których decyduje Administrator;
b. Kraje EOG – oznaczają państwa członkowskie Unii Europejskiej, Zjednoczone Królestwo Wielkiej Brytanii i Irlandii Północnej i inne kraje będące sygnatariuszami porozumienia o Europejskim Obszarze Gospodarczym oraz Szwajcarię;
c. Osoba, której dane dotyczą – ma znaczenie nadane przepisami RODO;
d. Organizacja międzynarodowa – ma znaczenie nadane przepisami RODO;
e. Przetwarzanie - ma znaczenie nadane przepisami RODO;
f. Przepisy Ochrony Danych Osobowych – oznaczają przepisy prawa powszechnie obowiązującego w Polsce dotyczącego ochrony Danych Osobowych, w tym przepisy RODO, jak również wszelkie inne przepisy prawa dotyczące ochrony danych, bezpieczeństwa danych i prywatności, mające zastosowanie do Administratora lub Podmiotu Przetwarzającego w związku z postanowieniami Umowy;
g. RODO – oznacza rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
h. Standardowe Klauzule Umowne – standardowe klauzule umowne dotyczące przekazywania danych osobowych przez Administratora podmiotom przetwarzającym dane mającym siedzibę w krajach innych niż Kraje EOG w brzmieniu określonym w załączniku do decyzji Komisji 2010/87/UE z dnia 5 lutego 2010
r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady.
§2
Przedmiot Umowy Powierzenia Przetwarzania i cel Przetwarzania
h.1. Administrator jest administratorem Danych Osobowych, a Podmiot Przetwarzający podmiotem przetwarzającym w rozumieniu RODO.
h.2. Administrator oświadcza, że Dane Osobowe powierzane Podmiotowi Przetwarzającemu są przez niego Przetwarzane zgodnie z prawem.
h.3. Podmiot Przetwarzający będzie Przetwarzał Dane Osobowe wyłącznie w imieniu Administratora i zgodnie z postanowieniami Umowy Powierzenia Przetwarzania, w tym Załącznikiem do Umowy Powierzenia Przetwarzania, oraz zgodnie z Przepisami Ochrony Danych Osobowych, w celu i na czas niezbędny do wykonania Umowy.
§3
Polecenia Przetwarzania
Podmiot Przetwarzający Przetwarza Dane Osobowe wyłącznie na udokumentowane polecenie Administratora. Podmiot Przetwarzający prowadzić będzie rejestr poleceń Administratora.
Podmiot Przetwarzający niezwłocznie poinformuje Administratora, jeżeli jego zdaniem wydane przez Administratora polecenie stanowi naruszenie Przepisów Ochrony Danych Osobowych, w szczególności RODO, przedstawiając jednocześnie szczegółowe uzasadnienie takiej oceny.
§4
Personel Podmiotu Przetwarzającego
1. Podmiot Przetwarzający dopuści do Przetwarzania Danych Osobowych jedynie odpowiednio upoważnione osoby.
2. Podmiot Przetwarzający zapewni zachowanie poufności Danych Osobowych, w tym zapewni zachowanie tajemnicy przez wszystkie osoby, które upoważni do Przetwarzania Danych Osobowych.
3. Podmiot Przetwarzający dopuści do Przetwarzania Danych Osobowych jedynie osoby, które odbyły odpowiednie szkolenia dające gwarancję znajomości Przepisów Ochrony Danych Osobowych, w tym obowiązków w zakresie Danych Osobowych, do Przetwarzania których zostały dopuszczone.
§5
Środki techniczne i organizacyjne
1. Podmiot Przetwarzający wdroży odpowiednie środki techniczne i organizacyjne, aby zapewnić bezpieczeństwo powierzonych Danych Osobowych, uwzględniając zakres zastosowania i sposoby ochrony, o których mowa w art. 32 RODO.
2. Podmiot Przetwarzający w szczególności zabezpiecza Dane Osobowe przed ich udostępnieniem osobom nieupoważnionym, zabraniem, utratą, uszkodzeniem lub zniszczeniem. Systemy i procedury używane przez Podmiot Przetwarzający zapewniają możliwość odtworzenia i udostępnienia Administratorowi listy wszystkich działań podjętych przez Podmiot Przetwarzający w związku z Danymi Osobowymi oraz ich Przetwarzaniem.
3. Podmiot Przetwarzający zapewni, aby powierzone do Przetwarzania Dane Osobowe nie były używane, zmieniane, przesyłane, udostępniane, kopiowane lub Przetwarzane w żaden inny sposób niż w celu wykonania zobowiązań wynikających z Umowy lub Umowy Powierzenia Przetwarzania.
4. Podmiot Przetwarzający będzie prowadzić dokumentację wdrożonych środków technicznych i organizacyjnych, o których mowa w postanowieniu §5 ust. 1 Umowy Powierzenia Przetwarzania i niezwłocznie przedstawi tę dokumentację Administratorowi na jego żądanie.
§6
Kontrole
1. Administratorowi przysługuje prawo kontroli czy Podmiot Przetwarzający zabezpiecza i Przetwarza Dane Osobowe z wykorzystaniem środków organizacyjnych i technicznych, które zapewniają zgodność Przetwarzania Danych Osobowych z Umową Powierzenia Przetwarzania i Przepisami Ochrony Danych Osobowych, w szczególności RODO. Zakresem kontroli Administratora mogą zostać objęte w szczególności systemy i procedury wdrożone przez Podmiot Przetwarzający.
2. Kontrole przeprowadzane przez Administratora mogą odbywać się nie częściej niż raz na sześć miesięcy. Kontrole może przeprowadzić Administrator lub upoważniony przez niego audytor.
3. W każdym przypadku kontroli Administrator powiadamia Podmiot Przetwarzający o zamiarze przeprowadzania kontroli z wyprzedzeniem, nie krótszym niż 3 dni robocze. Podmiot Przetwarzający zobowiązany jest umożliwić przeprowadzenie kontroli, w szczególności poprzez udostępnienie właściwej dokumentacji i pomieszczeń w zakresie niezbędnym oraz udzielić wszelkich niezbędnych informacji dotyczących realizacji postanowień Umowy Powierzenia Przetwarzania, z zastrzeżeniem obowiązków Podmiotu Przetwarzającego wynikających z przepisów prawa lub zawartych przez niego umów oraz tajemnicy przedsiębiorstwa Podmiotu Przetwarzającego.
4. Administrator realizować będzie prawo kontroli w godzinach pracy Podmiotu Przetwarzającego, w sposób nieutrudniający pracy Podmiotu Przetwarzającego.
5. Podmiot Przetwarzający usunie wszelkie stwierdzone przez Administratora uchybienia w terminie ustalonym z Administratorem.
6. Podmiot Przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w przepisach art. 28 RODO.
7. Podmiot Przetwarzający będzie współpracować, w tym odpowiadać wyczerpująco i niezwłocznie na zapytania organu nadzorczego w zakresie w jakim pytania skierowane do Administratora mogą dotyczyć Danych Osobowych powierzonych Podmiotowi Przetwarzającemu przez Administratora.
§7
Incydenty
1. Podmiot Przetwarzający niezwłocznie informuje Administratora o przypadkach naruszenia ochrony Danych Osobowych, nie później niż w ciągu 24 godzin od stwierdzenia zaistnienia takiego naruszenia lub podejrzenia takiego naruszenia.
2. Podmiot Przetwarzający pomaga Administratorowi w wywiązywaniu się z obowiązku zgłoszenia naruszenia organowi nadzorczemu i zawiadomienia Osoby, której dane dotyczą o naruszeniu, w szczególności poprzez przedstawienie Administratorowi szczegółowych informacji dotyczących naruszenia lub podejrzenia naruszenia oraz ścisłą współpracę z Administratorem.
3. Podmiot Przetwarzający nie będzie przekazywał jakimkolwiek podmiotom, z wyłączeniem Administratora, informacji dotyczących naruszenia lub podejrzenia naruszania, bez uprzedniej pisemnej zgody Administratora i po ustaleniu treści takiej informacji z Administratorem.
§8
Prawa Osób, których dane dotyczą
1. Podmiot Przetwarzający w miarę możliwości pomaga Administratorowi
2. wywiązywać się z obowiązku odpowiadania na żądania Xxxxx, której dane dotyczą, w zakresie wykonywania jej praw określonych w przepisach Rozdziału III RODO oraz z wszelkich innych obowiązków Administratora określonych w RODO.
3. W razie otrzymania żądania od jakiejkolwiek Osoby, której dane dotyczą, a której Dane Osobowe Przetwarza na podstawie Umowy Powierzenia Przetwarzania, Podmiot Przetwarzający niezwłocznie przekaże takie żądanie Administratorowi.
4. Podmiot Przetwarzający nie będzie przekazywał jakiejkolwiek Xxxxxx, której dane dotyczą, a której Dane Osobowe Przetwarza na podstawie Umowy Powierzenia Przetwarzania, jakichkolwiek informacji, bez uprzedniej pisemnej zgody Administratora i po ustaleniu treści takiej informacji z Administratorem.
§9
Ocena skutków dla ochrony danych
W przypadku gdy Administrator będzie zobowiązany do przeprowadzenia oceny skutków planowanych operacji przetwarzania dla ochrony Danych Osobowych, zgodnie z przepisami art. 35 RODO, Podmiot Przetwarzający udzieli Administratorowi wszelkiej pomocy, aby Administrator mógł wywiązać się z takiego obowiązku.
§10
Podpowierzenie Przetwarzania Danych Osobowych
Podmiot Przetwarzający nie będzie korzystał z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej zgody Administratora wyrażonej w formie pisemnej, w tym w formie elektronicznej, przy czym Przetwarzanie Danych Osobowych musi pozostawać w granicach, celu i zakresie przetwarzania danych określonych w Umowie Powierzenia Przetwarzania.
§11
Przekazywanie Danych Osobowych poza Kraje EOG
1. Dane Osobowe będą Przetwarzane wyłącznie w Krajach EOG.
2. Przekazywanie Danych Osobowych poza Kraje EOG jest dopuszczalne wyłącznie za uprzednią zgodą Administratora wyrażoną na piśmie, w tym w formie elektronicznej.
3. W przypadku wyrażenia zgody przez Administratora na przekazywanie Danych Osobowych poza Kraje EOG lub do Organizacji międzynarodowej, przekazanie odbywać się będzie na podstawach wymienionych w Rozdziale V RODO, a w szczególności:
a. na podstawie Standardowych Klauzul Umownych, przy czym na żądanie Administratora, Standardowe Klauzule Umowne zostaną zastąpione i Strony zawrą nowe standardowe klauzule ochrony danych przyjęte zgodnie z przepisami art. 46 ust. 2 lit. c) lub d) RODO. W razie rozbieżności pomiędzy Standardowymi Klauzulami Umownymi a Umową Powierzenia Przetwarzania, przeważać będą postanowienia Standardowych Klauzul Umownych;
b. w przypadku przekazywania Danych Osobowych do kraju, wobec którego Komisja Europejska wydała decyzję stwierdzającą, że dany kraj zapewnia odpowiedni stopień ochrony, na podstawie przepisu art. 25 ust. 6 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych albo przepisu art. 45 ust. 3 RODO, nie będą zawierane Standardowe Klauzule Umowne, a Przetwarzanie Danych Osobowych odbywać się będzie na podstawie Umowy Powierzenia Danych. W razie uchylenia lub zawieszenia przez Komisję Europejską swojej decyzji, ze skutkiem natychmiastowym obowiązują postanowienia ust. 3 lit. a) powyżej.
§12
Wejście w życie i rozwiązanie Umowy Powierzenia Przetwarzania
1. Umowa Powierzenia Przetwarzania wchodzi w życie w dniu 25 maja 2018 r.
2. Umowa Powierzenia Przetwarzania ulega rozwiązaniu w dacie rozwiązania Umowy, bez konieczności składania przez którąkolwiek ze Stron jakiegokolwiek oświadczenia. Jednak Podmiot Przetwarzający pozostaje zobowiązanym z postanowień Umowy Powierzenia Przetwarzania tak długo jak długo Przetwarza Dane Osobowe w imieniu Administratora.
§13
Usunięcie lub zwrot Danych Osobowych
1. Po ustaniu obowiązywania Umowy Powierzenia Przetwarzania Podmiot Przetwarzający, w zależności od wyboru Administratora, nieodwracalnie usunie Xxxx Xxxxxxx lub zwróci Dane Osobowe Administratorowi w wybranym przez Podmiot przetwarzający Formacie oraz usunie wszelkie ich istniejące kopie, chyba, że powszechnie obowiązujące przepisy prawa nakazują przechowywanie Danych Osobowych.
2. Przez usunięcie Danych Osobowych rozumieć należy fizyczne zniszczenie nośników Danych Osobowych, a w przypadku Danych Osobowych przechowywanych w systemach komputerowych (informatycznych) – usunięcie Danych Osobowych lub taką ich modyfikację, która w sposób nieodwracalny uniemożliwi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
3. W okresie od dnia ustania obowiązywania Umowy Powierzenia Przetwarzania do dnia usunięcia Danych Osobowych lub ich zwrotu Administratorowi, Podmiot Przetwarzający jest uprawniony jedynie do przechowywania Danych Osobowych.
4. Usunięcie Danych Osobowych, o którym mowa w powyższych postanowieniach §13 Umowy Powierzenia Przetwarzania, zostanie potwierdzone pisemnym oświadczeniem Podmiotu Przetwarzającego, przekazanym Administratorowi niezwłocznie po usunięciu Danych Osobowych.
§14
Doręczenia pomiędzy Stronami
Doręczenia związane z wykonywaniem Umowy Powierzenia Przetwarzania będą uważane będą za właściwie dokonane w przypadku doręczenia na następujące adresy Strony (odpowiednio):
a. dla
Administratora: adres:
………………….. email:
………………….. do rąk:
…………………..
a.a. dla Podmiotu Przetwarzającego: adres: Xxxxxxxxxx 000/0, 00-000 Xxxxxxx email: xxxx@x-xxxxxxx.xxx
do rąk: Xxxxxx Xxxxxxxxx
§15
Postanowienia końcowe
1. Podmiot Przetwarzający jest zobowiązany do niezwłocznego informowania Administratora o wszelkich działaniach sprawdzających i środkach przedsięwziętych przez właściwe władze w stosunku do Danych Osobowych powierzonych do Przetwarzania.
2. Podmiot Przetwarzający jest zobowiązany niezwłocznie poinformować Administratora o wszelkich przypadkach, gdy Podmiot Przetwarzający nie może wypełnić lub przewiduje, że nie będzie mógł wypełnić zobowiązań wynikających z Umowy Powierzenia Przetwarzania.
3. Za wyjątkiem szkód powstałych z winy umyślnej Podmiotu Przetwarzającego, odpowiedzialność z tytułu niewykonania lub nienależytego wykonania Umowy Powierzenia Przetwarzania ograniczona jest do kwoty stanowiącej równowartość miesiąca wynagrodzenia Podmiotu Przetwarzającego z tytułu świadczonych na rzecz Administratora usług na podstawie Umowy i dotyczyć ma miesiąca w którym zdarzenie miało miejsce.
4. Stronom nie przysługuje wynagrodzenie za wykonanie jakichkolwiek zobowiązań na podstawie Umowy Powierzenia Przetwarzania odrębne od wynagrodzenia przewidzianego w postanowieniach Umowy.
5. Umowa Powierzenia Przetwarzania stanowi całość porozumienia pomiędzy Administratorem a Podmiotem Przetwarzającym w zakresie Przetwarzania Danych Osobowych w celu wykonania Umowy Powierzenia Przetwarzania oraz zastępuje wszelkie poprzednie umowy pomiędzy Stronami w tym zakresie. W przypadku rozbieżności pomiędzy postanowieniami Umowy Powierzenia Przetwarzania a jakiejkolwiek innej umowy pomiędzy Stronami rozstrzygające znaczenie mają postanowienia Umowy Powierzenia Przetwarzania, z zastrzeżeniem odmiennych postanowień Umowy Powierzenia Przetwarzania.
6. W przypadku nieważności, niezgodności z prawem lub niewykonalności jakiegokolwiek postanowienia Umowy Powierzenia Przetwarzania w jakimkolwiek zakresie, nie wpłynie to na ważność, zgodność z prawem oraz wykonalność pozostałych postanowień Umowy Powierzenia Przetwarzania w żaden sposób ani nie ograniczy ich mocy, zaś jeżeli postanowienie, o którym mowa, będzie częściowo ważne po wykreśleniu części zapisu, postanowienie takie będzie obowiązywać po dokonaniu wykreśleń koniecznych do zachowania jego ważności i skuteczności.
7. Jeżeli jakiekolwiek postanowienie Umowy Powierzenia Przetwarzania stanie się niezgodne z prawem, nieważne lub niewykonalne w jakiejkolwiek jurysdykcji, nie wpłynie to na oraz nie ograniczy:
a. zgodności z prawem, ważności lub wykonalności w tej jurysdykcji jakichkolwiek innych postanowień Umowy Powierzenia Przetwarzania; oraz
b. zgodności z prawem, ważności lub wykonalności w jakiejkolwiek innej jurysdykcji danego postanowienia lub jakichkolwiek innych postanowień Umowy Powierzenia Przetwarzania.
8. Zmiany i uzupełnienia Umowy Powierzenia Przetwarzania wymagają formy pisemnej i podpisu obu Stron, pod rygorem nieważności.
9. Umowa Powierzenia Przetwarzania podlega prawu polskiemu i zgodnie z nim będzie interpretowana. W sprawach nieuregulowanych Umową obowiązują odpowiednie Przepisy Ochrony Danych Osobowych.
10. Wszelkie spory wynikające z Umowy Powierzenia Przetwarzania lub z nią związane będą rozstrzygane przez sąd właściwy dla siedziby Podmiotu Przetwarzającego.
11. Umowa Powierzenia Przetwarzania została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym egzemplarzu dla każdej ze Stron.
Za podmiot przetwarzający
….....................................................
[imię i nazwisko osoby reprezentującej]
Za Administratora
…....................................................
[imię i nazwisko osoby reprezentującej]
ZAŁĄCZNIK
DO UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
( wypełnia Administrator )
Niniejszy Załącznik zawiera szczegółowe informacje dotyczące Przetwarzania Danych Osobowych:
1. Czynności Przetwarzania
Przekazane Dane Osobowe będą podlegały następującym czynnościom Przetwarzania: dokonanie rezerwacji, potwierdzanie rezerwacji, potwierdzanie opcji, kasowanie opcji
kasowanie rezerwacji , export rezerwacji do systemu crm , pokazanie listy rezerwacji w systemie rezerwacyjnym Merlinx, wydrukowanie, potwierdzenie rezerwacji rezerwacji , wysłanie maila z potwierdzeniem rezerwacji .
2. Osoby, których dane dotyczą
pasażerowie-Klienci biura podróży
3 . Kategorie Danych Osobowych
Pasażer | ● Płeć ● Nazwisko / Imię ● Telefon ● Data urodzenia / Wiek ● Adres zamieszkania pasażera/Klienta ● Numer paszportu / Dowód osobisty |
Płatnik za rezerwacje | ● 1.Płeć ● 2.Nazwisko / Imię ● Telefon ● Data urodzenia / Wiek ● Adres zamieszkania płatnika |
3. Szczególne kategorie Danych Osobowych oraz Dane Osobowe dotyczące wyroków skazujących i naruszeń prawa
nie dotyczy
4. Przekazywanie Danych Osobowych poza Kraje EOG
nie dotyczy
5. Podwykonawcy
nie dotyczy
6. Środki techniczne i organizacyjne ochrony danych
● Wszystkie formularze rezerwacyjne są chronione przez HTTPS i posiadają certyfikat wysokiej klasy,
● Bazy danych są zabezpieczone i zaszyfrowane.
● Łącza do Touroperatorów są zabezpieczone dwoma typami zabezpieczeń HTTPS / VPN
● zalogowanie się do systemu rezerwacyjnego MERLINX możliwe jest po wpisaniu loginu i hasła, które spełnia wszystkie wymogi mocnego ohasłowania .
● Regularnie skanowane są serwery i komputery programami antywirusowymi.