UMOWA PRZETWARZANIA DANYCH OSOBOWYCH
Nr licencji...........................
UMOWA PRZETWARZANIA DANYCH OSOBOWYCH
wykonywanie usług serwisowych na danych Klienta
4. Przetwarzający gwarantuje, że podmioty wskazane w ust. 1 zapewniają poziom
W dniu r. umowę zawierają
…………………………………………………………………………………………………………………………..
z siedzibą w …………………….., przy ul.
……………………………………………………………………………………., zwane dalej Administratorem danych. Administratora danych reprezentuje:
………………………………………………………..…………………. – dyrektor oraz
VULCAN spółka z ograniczoną odpowiedzialnością, z siedzibą we Wrocławiu przy ulicy Xxxxxxxxxx 0, 00-000 Xxxxxxx, zarejestrowana w Krajowym Rejestrze Sądowym w Sądzie Rejonowym dla Wrocławia – Fabrycznej, pod numerem KRS 0000153176, posiadająca kapitał zakładowy 2.700.000 zł, NIP 000-000-00-00. Spółkę reprezentuje:
• Xxxxxxxx Xxxxxxxxx – Inspektor Ochrony Danych, na podstawie
pełnomocnictwa z dn. 03.04.2018 r lub
• Xxxx Xxxxxxxxx – Dyrektor Pionu Obsługi Klienta, na podstawie pełnomocnictwa z dn. 21.02.2019 r. lub
• Xxxxxxxx Xxxxxxxxxxxxx – Kierownik Działu Obsługi Handlowej, na podstawie pełnomocnictwa z dn. 21.06.2022 r. zwaną dalej Przetwarzającym.
§1 (Kontekst zawieranej umowy)
1. Celem zawarcia niniejszej umowy jest uregulowanie wzajemnych zobowiązań stron w związku z przetwarzaniem danych osobowych w ramach realizacji Umowy odrębnej oraz zadośćuczynienie wymogom prawnym, w szczególności Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE, L 119 z 4.05.2016), zwanego dalej RODO.
2. Niniejsza umowa zawierana jest w związku z obowiązującymi pomiędzy Stronami umowami licencyjnymi, obejmującymi prawo do używania desktopowego oprogramowania komputerowego linii Optivum, zwanymi dalej Umową odrębną.
§2 (Cel przetwarzania)
1. Przetwarzanie danych w ramach realizacji niniejszej umowy ma charakter sporadyczny i jest inicjowane poprzez zgłoszenie serwisowe przekazane przez Administratora danych Przetwarzającemu.
2. Przetwarzanie jest wykonywane w formie elektronicznej z wykorzystaniem narzędzi informatycznych, w tym w szczególności systemów informatycznych, o których mowa w §1 i jest związane z realizacją przez Przetwarzającego usług serwisowych lub wdrożeniowych w związku z realizacją Umowy odrębnej.
3. Przetwarzanie o charakterze opisanym w ust. 1 obejmuje wykonywanie na danych takich czynności jak odczytywanie, zapisywanie, przechowywanie, przesyłanie, sporządzanie kopii serwisowych, modyfikacja, łączenie i
dopasowywanie danych.
4. Przetwarzanie przez Przetwarzającego danych osobowych objętych niniejszą umową w celach innych niż wynikające z Umowy odrębnej lub niniejszej umowy jest niedozwolone.
§3 (Rodzaj danych, kategorie osób)
Dane przetwarzane w ramach niniejszej umowy obejmuje dane zgromadzone w bazach danych programów wskazanych w §1, wobec których zostało przekazane zgłoszenie serwisowe, o którym mowa w §2 ust. 1.
§4 (Przetwarzanie danych)
1. Administrator danych wyraża zgodę na korzystanie przez Przetwarzającego z usług
firm
a. 3S Data Center SA, xx. Xxxxxxxxxxx 00, 00-000 Xxxxxxxx zakresie dostarczenia i utrzymania infrastruktury serwerowej, na której funkcjonują systemy wskazane w §2.
b. W przypadku gdy działania serwisowe dotyczą oprogramowania bibliotecznego MOL Optivum / MOL NET+, firmy MOL Sp. z o.o. xx. Xxxxxx 00/00, 00-000 Xxxxxx.
2. W przypadku, gdy Przetwarzający uzna, że w celu prawidłowej realizacji niniejszej umowy potrzebuje korzystać w zakresie dostarczenia i utrzymania infrastruktury serwerowej z usług innego podmiotu niż te wymienione w ust. 1, wówczas
informuje Administratora danych o nazwie i adresie nowego podmiotu.
3. Strony ustalają, że jeżeli Administrator danych w ciągu 14 (czternastu) dni od otrzymania informacji, o której mowa w ust. 2 nie zgłosi pisemnego sprzeciwu
oznacza to zgodę Administratora danych na korzystanie przez Przetwarzającego przy realizacji niniejszej umowy z usług tego podmiotu.
bezpieczeństwa danych, w tym spełniają wymogi prawne, odpowiadające
wszystkim postanowieniom niniejszej umowy. Ponadto Przetwarzający oświadcza, że w przypadku zmian, realizowanych w trybie ust. 2 i 3 również będzie korzystał z usług wyłącznie takich podmiotów.
5. Korzystanie przez Przetwarzającego przy realizacji niniejszej umowy z usług innych podmiotów jest możliwe wyłącznie po uprzednim uzyskaniu zgody Administratora danych, zgodnie z RODO.
6. Za wszystkie działania lub zaniechania podmiotów, z których usług przy realizacji niniejszej umowy korzysta Przetwarzający ponosi on odpowiedzialność wobec Administratora danych jak za własne działania lub zaniechania.
7. Przetwarzający oświadcza, iż w ramach realizacji niniejszej umowy dane osobowe będą przetwarzane wyłącznie na terytorium Rzeczpospolitej Polskiej.
§5 (Zobowiązania Przetwarzającego)
1. Przetwarzający zobowiązuje się do zachowania tajemnicy treści danych osobowych przetwarzanych na podstawie niniejszej umowy, w tym w szczególności, że nie będzie on tych danych przekazywał ani ujawniał osobom nieuprawnionym oraz nie będzie wykorzystywał ich w celach innych niż wynikające z niniejszej umowy.
2. Przetwarzający zobowiązuje się do dopuszczenia do przetwarzania danych osobowych w ramach realizacji niniejszej umowy wyłącznie osoby, które zostały upoważnione do przetwarzania danych osobowych oraz zobowiązały się do zachowania tajemnicy.
3. Przetwarzający jest zobowiązany podjąć środki wymagane na mocy art. 32 RODO. Na żądanie Administratora danych Przetwarzający przedstawi, z zastrzeżeniem §6, informacje, dokumenty lub wyjaśnienia potwierdzające podjęcie środków, o których mowa w zdaniu pierwszym.
4. Przetwarzający – w zakresie, w jakim jest to związane z realizacją niniejszej umowy i w miarę posiadanych możliwości – zobowiązuje się pomagać Administratorowi danych w wywiązaniu się przez niego z realizacji obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania praw tej osoby określonych w rozdziale III RODO.
5. Przetwarzający – w zakresie, w jakim jest to związane z realizacją niniejszej umowy oraz w zakresie dostępnych mu informacji – zobowiązuje się pomagać Administratorowi danych w wywiązaniu się przez niego z obowiązków określonych w art. 32-36 RODO.
6. Przetwarzający zobowiązuje się przekazywać Administratorowi danych z własnej inicjatywy wszelkie informacje, które uzna za istotne z punktu widzenia przetwarzania danych w ramach realizacji niniejszej umowy lub ważne dla wypełniania przez Administratora danych jego obowiązków wynikających z przepisów prawa.
7. Przetwarzający zobowiązuje się przekazywać Administratorowi danych na jego żądanie wszelkie informacje, o które ten będzie wnioskował – o ile Przetwarzający będzie je posiadał – w zakresie przetwarzania danych osobowych w ramach realizacji niniejszej umowy, z zastrzeżeniem §6.
§6 (Tajemnica przedsiębiorstwa)
Przetwarzający zapewnia Administratorowi danych dostęp do wszystkich informacji dotyczących procesów przetwarzania danych osobowych, prowadzonych w ramach realizacji niniejszej umowy, po stronie Przetwarzającego. Jednakże w przypadku, gdy Administrator danych zwróci się o udzielenie informacji stanowiącej tajemnicę przedsiębiorstwa Przetwarzającego lub będącą informacją o szczególnym znaczeniu dla bezpieczeństwa przetwarzanych danych, której publiczne ujawnienie mogłoby spowodować zagrożenie dla bezpieczeństwa danych (np. szczegóły techniczne zastosowanej konfiguracji systemów lub zabezpieczeń), Przetwarzający udzieli żądanych informacji jedynie po uprzednim podpisaniu z Administratorem danych dodatkowej umowy o zachowaniu poufności oraz – jeżeli będzie to miało w danym przypadku zastosowanie – uzgodnieniu bezpiecznego kanału lub formy udostępnienia tej informacji.
§7 (Współpraca)
1. Administrator danych i Przetwarzający zobowiązują się współpracować ze sobą w
zakresie przetwarzania danych osobowych w ramach realizacji niniejszej umowy.
2. Administrator danych i Przetwarzający zobowiązują się niezwłocznie przekazywać sobie wzajemnie wszystkie informacje, które mogą mieć wpływ na bezpieczeństwo przetwarzania danych w ramach realizacji niniejszej umowy.
3. Przetwarzający jest zobowiązany do informowania Administratora danych o wszelkich czynnościach prowadzonych u niego w kontekście danych osobowych przetwarzanych w ramach realizacji niniejszej umowy przez uprawnione do tego organy państwa (Policję, prokuraturę, PUODO itp.), w tym w szczególności o wnioskach dotyczących udostępnienia danych objętych niniejszą umową, chyba że przekazanie takiej informacji Administratorowi danych stanowiłoby naruszenie przepisów prawa powszechnie obowiązującego.
4. Strony przekazują sobie dane identyfikacyjne i kontaktowe działających u nich Inspektorów Ochrony Danych:
a. IOD dla Administratora danych:
…………………………………………………………………………………..….. (imię i nazwisko)
…………………………………………………………………………………..….. (adres e-mail)
…………………………………………………………………………………..….. (nr telefonu)
b. IOD dla Przetwarzającego: Xxxxxxxx Xxxxxxxxx, e-mail: xxx@xxxxxx.xxx.xx, tel. 00 000 00 00
5. Jeśli na dzień zawarcia niniejszej umowy Administrator danych nie wyznaczył Inspektora ochrony danych, wówczas Administrator danych zobowiązuje się przekazać Przetwarzającemu dane w zakresie wskazanym w ust. 4 lit. a. niezwłocznie po jego wyznaczeniu
§8 (Przekazanie danych)
1. W celu przekazania danych Przetwarzający udostępni Administratorowi danych dedykowane mu miejsce na serwerze Przetwarzającego, w którym Administrator danych umieści dane.
2. Przetwarzający przekaże Administratorowi danych instrukcję umieszczenia danych, o którym mowa w ust. 1
3. Przetwarzający przekaże dane dostępowe (adres serwera, login oraz hasło) umożliwiające dostęp do przestrzeni przeznaczonej na umieszczenie danych Administratora danych następującej osobie:
a. Imię i nazwisko: ……………………………………………………………………..…..
b. Numer telefonu: ………………………………………………………………………….
c. Adres e-mail: ……………………………………………………………………………
4. Administrator danych oświadcza, iż osoba wskazana w ust. 3 jest upoważniona do działania w jego imieniu i na jego rzecz, w związku z realizacją niniejszej umowy.
§9 (Naruszenia)
1. Przetwarzający w przypadku stwierdzenia naruszenia ochrony danych osobowych przetwarzanych w ramach realizacji niniejszej umowy bez zbędnej zwłoki zgłasza ten fakt Administratorowi danych.
2. Przetwarzający przekazuje zgłoszenie, o którym mowa w ust. 1 nie później niż 24 (dwadzieścia cztery) godziny od momentu stwierdzenia naruszenia. Zgłoszenie, o którym mowa jest przekazywane za pośrednictwem poczty elektronicznej na adres kontaktowy Administratora danych, wskazany w §8 ust. 3 lit. c.
3. Dodatkowo poza przekazaniem informacji o fakcie stwierdzenia naruszenia ochrony danych osobowych, w przekazanej za pośrednictwem poczty elektronicznej wiadomości, o której mowa w ust. 2 Przetwarzający przekazuje informacje dotyczące stwierdzonego naruszenia, obejmujące:
a. charakter naruszenia, w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
b. wskazanie możliwych konsekwencji naruszenia;
c. opis zastosowanych środków, jakie Przetwarzający zastosował w celu zaradzenia naruszeniu bądź zminimalizowania jego ewentualnych negatywnych skutków oraz ewentualne sugestie dla Administratora danych do zastosowania dalszych środków.
4. Jeżeli w momencie przekazywania informacji, o której mowa w ust. 3 Przetwarzający nie posiada wszystkich informacji, zobowiązuje się on uzupełniać je niezwłocznie po tym, jak będzie w stanie ich udzielić.
5. Naruszenia, o których mowa w niniejszym paragrafie rozumiane są zgodnie z definicją tego pojęcia zawartą w art. 4 pkt 12 RODO.
§10 (Kontrola)
1. Administrator danych jest uprawniony do kontrolowania procesu przetwarzania danych objętych niniejszą
umową przez Przetwarzającego przez cały okres obowiązywania niniejszej umowy i na zasadach w niej określonych.
2. Podstawową formą kontroli zgodności prowadzonego przez Przetwarzającego przetwarzania danych z niniejszą umową oraz przepisami prawa jest niezwłoczne udzielanie przez Przetwarzającego na każde żądanie Administratora danych wszelkich informacji dotyczących przetwarzania danych po stronie Przetwarzającego, w tym wyjaśnień w zakresie sposobu realizacji przez niego poszczególnych wymogów prawnych.
3. Administrator danych ma także prawo prowadzić kontrolę bezpośrednio u Przetwarzającego (w jego siedzibie) podczas organizowanych przez Przetwarzającego dni otwartych lub w innych terminach uzgodnionych w sposób i na zasadach określony w ust. 5.
4. Przetwarzający organizuje co najmniej 1 raz w ciągu roku kalendarzowego, począwszy od roku 2019, w swojej siedzibie dni otwarte, podczas których umożliwia swoim Klientom bezpośrednie zapoznanie się z modelem pracy, dokumentacją i stosowanymi zabezpieczeniami. Przetwarzający organizuje dni otwarte, o których mowa w zdaniu poprzednim na następujących zasadach:
a. umieszcza na stronie internetowej dostępnej pod adresem xxxxxx.xxx.xx/xxxxxxxxxx-xxx informację o terminach organizowanych dni otwartych, z co najmniej 30-dniowym wyprzedzeniem;
b. dni otwarte organizowane są w robocze dni tygodnia;
c. w dniu otwartym każdorazowo może brać udział jedna osoba upoważniona
przez danego Administratora danych;
d. w dniu otwartym mogą brać udział wyłącznie osoby, które zgłosiły chęć udziału na co najmniej 7 dni przed terminem dnia otwartego. Zgłoszenia dokonuje się w sposób opisany na stronie internetowej wskazanej w lit. a;
e. w przypadku, gdy liczba zainteresowanych wzięciem udziału w danym terminie dnia otwartego przekracza możliwości organizacyjne Przetwarzającego, Przetwarzający wskazuje dodatkowy termin dnia otwartego w danym roku kalendarzowym, aby zapewnić możliwość realizacji kontroli w tym trybie każdemu zainteresowanemu Klientowi, którego dane przetwarza. Przetwarzający zapewnia możliwość udziału w danym terminie dnia otwartego według kolejności zgłoszeń;
f. Przetwarzający nie pokrywa żadnych kosztów dojazdu, ewentualnego noclegu i wyżywienia oraz zastępstwa osób biorących udział w dniach otwartych; g. postanowienia §6 stosuje się także do prowadzonej kontroli w formie dni otwartych.
5. Kontrola bezpośrednia, o której mowa w ust. 3, prowadzona w innym terminie niż organizowany dzień otwarty może być realizowana na następujących zasadach:
a. termin kontroli, z zastrzeżeniem postanowień lit. b) i c) powinien zostać uzgodniony pomiędzy stronami z co najmniej 7-dniowym wyprzedzeniem, i uwzględniać oczekiwaną liczbę dni prowadzenia czynności kontrolnych;
b. ze względu na masowy charakter swojej działalności Przetwarzający nie gwarantuje możliwości obsłużenia kontroli bezpośredniej w terminie oczekiwanym przez Administratora danych. Przetwarzający obsługuje kontrole administratorów danych zgodnie z posiadanymi możliwościami, w kolejności ich zgłoszenia;
c. kontrola może odbywać się w dni robocze w godzinach 9-15;
d. kontrolę mogą prowadzić maksymalnie dwie osoby, wyłącznie takie, które posiadają pisemne pełnomocnictwo Administratora danych;
e. kontrolą mogą być objęte tylko te elementy działalności Przetwarzającego,
które pozostają w związku z realizacją niniejszej umowy;
f. wszelkie czynności kontrolne, w szczególności dostęp do pomieszczeń, systemów oraz dokumentów może być realizowany wyłącznie przy udziale przedstawiciela Przetwarzającego;
g. z przeprowadzonych czynności kontrolnych Administrator danych sporządza protokół, którego jeden egzemplarz jest przekazywany Przetwarzającemu;
h. postanowienia §6 stosuje się także do prowadzonej kontroli bezpośredniej.
6. Obsługa przez Przetwarzającego prowadzonych kontroli procesu przetwarzania danych w formie udzielania na żądanie Administratora danych informacji i wyjaśnień oraz kontroli bezpośrednich podczas organizowanych przez Przetwarzającego dni otwartych prowadzona jest w ramach wynagrodzenia Przetwarzającego przewidzianego dla niego w Umowie odrębnej.
7. W przypadku obsługi przez Przetwarzającego prowadzonych u niego bezpośrednio kontroli innych niż podczas organizowanych przez Przetwarzającego dni otwartych, Przetwarzającemu przysługuje zwrot kosztów obsługi takiej kontroli w ryczałtowej wysokości za każdy dzień obsługi kontroli. Wysokość ryczałtowych kosztów podlegających zwrotowi jest określona pod adresem xxxxxx.xxx.xx/xxxxxx-xxxxxxx- kontroli. Zwrot kosztów nastąpi na podstawie faktury wystawionej przez Przetwarzającego Administratorowi danych na koniec miesiąca kalendarzowego, obejmującej liczbę dni kontroli w danym miesiącu. Administrator danych jest zobowiązany uregulować fakturę także w sytuacji, gdy czynności kontrolne z jego strony nie zostały jeszcze zakończone.
8. Przetwarzającemu nie przysługuje zwrot kosztów, o których mowa w ust. 7, jeżeli kontrola bezpośrednia jest następstwem rażącego naruszenia przez Przetwarzającego postanowień niniejszej umowy lub rażącego naruszenia przez Przetwarzającego powszechnie obowiązujących przepisów prawa.
§11 (Wyłączenie odpowiedzialności)
1. Przetwarzający nie ponosi odpowiedzialności za skutki nieprzestrzegania przez Administratora danych lub osoby działające w jego imieniu zasad bezpieczeństwa przy użytkowaniu systemu. Podstawowe i uniwersalne zasady bezpieczeństwa, do przestrzegania których Administrator danych i osoby działające w jego imieniu są zobowiązani wskazano pod adresem xxxxx://xxxxxx.xxx.xx/xxxxxx/xxxxxxxxxxxxxx- systemow. Administrator danych podpisując niniejszą umowę potwierdza, że zapoznał się z informacjami tam zawartymi i zobowiązuje się wziąć je pod uwagę przy określaniu i stosowaniu środków bezpieczeństwa po swojej stronie. Katalog zasad bezpieczeństwa zawarty pod ww. adresem nie może być jednak traktowany jako wystarczający – Administrator danych jest odpowiedzialny za stosowanie po swojej stronie adekwatnych środków bezpieczeństwa, dobranych na podstawie przeprowadzonej analizy ryzyka, zgodnie z regulacjami RODO.
2. Przetwarzający nie ponosi odpowiedzialności za skutki niepodjęcia działań przez Administratora danych lub podjęcia przez niego działań niewłaściwych w zakresie obowiązków i odpowiedzialności Administratora danych. W szczególności Przetwarzający nie ponosi odpowiedzialności za stosowane po stronie Administratora danych środki bezpieczeństwa oraz sposoby ich doboru, jak i prowadzoną dokumentację.
§12 (Okres obowiązywania umowy)
1. Niniejsza umowa zostaje zawarta na okres obowiązywania Umowy odrębnej.
2. Dane przetwarzane w ramach realizacji usługi, o której mowa w §2 ust. 1 w związku z §1 Przetwarzający zobowiązuje się usuwać niezwłocznie po potwierdzeniu otrzymania ich przez Administratora danych po wykonaniu usługi i przyjęciu realizacji usługi bez zastrzeżeń.
3. Ze względu na stosowaną przez Przetwarzającego politykę zarządzania kopiami zapasowymi danych, kopie zapasowe danych objętych niniejszą umową zostaną usunięte z systemów informatycznych Przetwarzającego najpóźniej 30 dni od zakończenia realizacji usługi, na co Administrator danych wyraża zgodę.
§13 (Zobowiązania finansowe)
Niniejsza umowa nie powoduje powstania żadnych zobowiązań finansowych wobec
stron.
§11 (Inne postanowienia)
1. W przypadku naruszenia przez Przetwarzającego przepisów prawa powszechnie obowiązującego w związku z realizacją niniejszej umowy, w wyniku czego
Administrator danych zostanie obciążony karą pieniężną nałożoną przez organ nadzorczy lub prawomocnie zobowiązany do wypłaty odszkodowania, w zakresie jakim będą one wynikały z winy Przetwarzającego, Przetwarzający zobowiązuje się pokryć poniesione przez Administratora danych z tego tytułu straty. Warunkiem poniesienia odpowiedzialności, o której mowa w zdaniu poprzednim, jest poinformowanie Przetwarzającego o wszczęciu postępowania i w przypadku wyrażenia takiej woli przez Przetwarzającego umożliwienie mu udziału w postępowaniu, o ile będzie to zgodne z przepisami prawa.
2. Niniejsza umowa stanowi udokumentowanie polecenie administratora do
przetwarzania danych, o którym mowa w art. 28 ust. 3 lit. a RODO.
3. Umowa wchodzi w życie z dniem jej podpisania.
4. Umowa podlega prawu polskiemu. W sprawach nieuregulowanych umową mają zastosowanie przepisy prawa powszechnie obowiązującego w Polsce
5. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.
…………………………………………………………………….. Administrator danych (Placówka) | …………………………………………………………………….. Przetwarzający (VULCAN) |