UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Załącznik nr 4
do Umowy nr …/PDH/2018 z dnia ….. („Umowa”)
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w dniu 2018 r. pomiędzy:
PDH Polska S.A. z siedzibą w Policach przy xx. Xxxxxxxxxx 0, 00-000 Xxxxxx, wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Przedsiębiorców prowadzonego przez Sąd Rejonowy Szczecin-Centrum w Szczecinie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS 0000577195, XXX 0000000000, REGON 362562393, o kapitale zakładowym w wysokości 304 000 000,00 złotych, opłaconym w całości, reprezentowaną przez:
………………………………………………,
………………………………………………,
zwaną w treści Umowy „Administratorem”
a
………………………… z siedzibą w Warszawie przy ul. …………………….., wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS …………………., NIP:
…………………., REGON ……………………, o kapitale zakładowym w wysokości zł,
reprezentowaną przez:
………………………………………………,
………………………………………………,
zwaną w dalszej części Umowy „Podmiotem Przetwarzającym”.
Administrator oraz Podmiot Przetwarzający dalej łącznie określania jako „Strony”, a indywidualnie jako „Strona”.
ZWAŻYWSZY, ŻE:
1. Administrator jest podmiotem, który decyduje o celach i środkach przetwarzania danych osobowych w rozumieniu przepisu art. 4 pkt 7 Rozporządzenia, a Podmiot Przetwarzający podmiotem, który przetwarza dane osobowe w rozumieniu przepisu art. 4 pkt 8 Rozporządzenia;
2. Na mocy zawartej przez Strony Umowy Podstawowej, Administrator zlecił Podmiotowi Przetwarzającemu świadczenie usług, w celu wykonania których Podmiot Przetwarzający będzie w imieniu Administratora dokonywał określonych w niniejszej umowie operacji na danych osobowych;
Adres Siedziby
PDH Polska S.A.
xx. Xxxxxxxx 0, 00-000 Xxxxxx
Zarząd Spółki
Xxxxxxx Xxxxxxxxx – Prezes Zarządu Xxxxxxxxx Xxxxx – Wiceprezes Zarządu Xxxxx Xxxx – Wiceprezes Zarządu
PDH Polska S.A. z siedzibą w Policach, xx. Xxxxxxxx 0, 00-000 Xxxxxx, wpisana do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy Szczecin-Centrum w Szczecinie XIII Wydział Gospodarczy Krajowego Rejestru Sądowego – numer KRS 0000577195, XXX 0000000000, o kapitale zakładowym i wpłaconym w wysokości 304 000 000 PLN.
3. Stosownie do art. 28 ust. 3 Rozporządzenia, przetwarzanie danych osobowych przez Podmiot Przetwarzający w imieniu Administratora, odbywa się na podstawie umowy, która wiąże Podmiot Przetwarzający i Administratora, określa przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa Administratora.
Xxxxxx postanowiły, co następuje:
DEFINICJE
§ 1
1. Dla potrzeb niniejszej umowy, Administrator i Podmiot Przetwarzający ustalają następujące znaczenie niżej wymienionych pojęć:
1) „Umowa” – oznacza niniejszą umowę powierzenia przetwarzania danych osobowych;
2) „Umowa podstawowa” – oznacza umowę nr …/PDH/2018 zawartą przez Strony dnia 2018 roku.
3) „Rozporządzenie” – oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
PRZEDMIOT UMOWY
§ 2
1. Administrator, na podstawie art. 28 ust. 3 Rozporządzenia, powierza Podmiotowi Przetwarzającemu dane osobowe do przetwarzania, na zasadach, w zakresie i w celu określonym w niniejszej Umowie.
2. Podmiot Przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą Umową, z przepisami prawa Unii Europejskiej (w szczególności z przepisami Rozporządzenia) oraz krajowymi przepisami prawa oraz niniejszą Umową.
ZAKRES I CEL PRZETWARZANIA
§ 3.
Strony postanawiają następująco określić zakres i cel przetwarzania danych osobowych
przez Podmiot Przetwarzający:
Przedmiot przetwarzania | Dane osobowe powierzone do przetwarzania Podmiotowi Przetwarzającemu, w związku ze świadczeniem usług na rzecz Administratora, na podstawie zawartej przez Strony Umowy Podstawowej. |
Czas przetwarzania | Okres obowiązywania Umowy Podstawowej. |
Charakter przetwarzania | Przetwarzanie danych w systemach IT i w formie papierowej obejmujące następujące operacje: utrwalanie, organizowanie, porządkowanie, przechowywanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, dopasowywanie lub łączenie, ograniczanie, |
niszczenie. | ||
Cel przetwarzania | Realizacja postanowień Umowy Podstawowej, w szczególności realizacja zadania pn. „Wykonanie sesji zdjęciowych w celu stworzenia portfolio fotograficnego PDH Polska S.A.” na rzecz Administratora. | |
Rodzaj danych osobowych | Imię i nazwisko, miejsce zamieszkania, miejsce pracy, NIP, Regon, numer KRS, nr PESEL, nr dowodu osobistego, nr prawa jazdy, adres do korespondencji, adres siedziby, adres zamieszkania, informacje o wysokości dochodów, informacje o wysokości wynagrodzenia i innych należności z tytułu stosunku pracy lub innego stosunku prawnego, dane kontaktowe, takie jak adres e-mail, nr telefonu lub faxu, posiadane ubezpieczenie, zajmowane stanowisko lub funkcja, posiadane doświadczenie lub uprawnienia, numer rachunku bankowego. | |
Kategorie osób, których dane dotyczą | Klienci, kontrahenci, zleceniobiorcy, doradcy, pracownicy, współpracownicy, członkowie organów, przedstawiciele ustawowi, reprezentanci i pełnomocnicy Administratora; spółki wchodzące w skład grupy kapitałowej Grupa Azoty S.A.; pracownicy, współpracownicy, doradcy, członkowie organów, przedstawiciele ustawowi, reprezentanci, pełnomocnicy i podwykonawcy klientów, kontrahentów, zleceniobiorców, doradców Administratora i spółek wchodzących w skład grupy kapitałowej Grupa Azoty S.A. | |
PRAWA I OBOWIĄZKI ADMINISTRATORA
§4.
1. Administrator, uwzględniając charakter, zakres, kontekst i cele przetwarzania przez niego danych osobowych oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z przepisami prawa, w tym wymogami Rozporządzenia.
2. Administrator, zgodnie z art. 28 ust. 3 lit. h Rozporządzenia, ma prawo przeprowadzania u Podmiotu Przetwarzającego audytów i kontroli, w celu weryfikacji, czy środki zastosowane przez niego przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych, spełniają postanowienia niniejszej Umowy, zgodnie z postanowieniami § 7 Umowy.
3. Administrator ma prawo żądania niezwłocznego, to jest w terminie 7 dni udostępnienia przez Podmiot Przetwarzający aktualnego rejestru kategorii czynności przetwarzania dokonywanych w imieniu Administratora, o którym mowa w § 6 ust. 1 niniejszej Umowy.
BEZPIECZEŃSTWO PRZETWARZANIA
§ 5.
1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, Podmiot Przetwarzający zobowiązuje się wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Przetwarzający powinien odpowiednio udokumentować zastosowanie tych środków, a także uaktualniać te środki w porozumieniu z administratorem.
2. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, Podmiot Przetwarzający zobowiązany jest uwzględnić w szczególności ryzyko wiążące się z przetwarzaniem, w tym wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
OBOWIĄZKI PODMIOTU PRZETWARZAJĄCEGO
§ 6.
1. Podmiot Przetwarzający prowadzi w formie pisemnej oraz elektronicznej rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora, stosownie do postanowień przepisu art. 30 ust. 2 Rozporządzenia.
2. Podmiot Przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej Umowy oraz Umowy Podstawowej.
3. Podmiot Przetwarzający zobowiązuje się zapewnić zachowanie tajemnicy powierzonych danych, o której mowa w art. 28 ust. 3 lit. b Rozporządzenia, przez osoby, które upoważnia do przetwarzania danych osobowych, zarówno w trakcie ich zatrudnienia w Podmiocie Przetwarzającym, jak i po jego ustaniu.
4. Wraz z zawarciem niniejszej umowy Administrator poleca Podmiotowi Powierzającemu przetwarzanie danych osobowych w celu wskazanym w niniejszej umowie, w odniesieniu do czynności i kategorii danych wskazanych w niniejszej umowie.
5. Z zastrzeżeniem § 6 ust .6 Umowy, Podmiot Przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora – co dotyczy również przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej.
6. Podmiot Przetwarzający może również przetwarzać dane osobowe w zakresie, w jakim obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot Przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Podmiot Przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
7. Podmiot Przetwarzający, biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia.
8. Podmiot Przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32–36 Rozporządzenia.
9. Podmiot Przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych, zobowiązany jest zgłosić je Administratorowi bez zbędnej zwłoki, nie później jednak
niż w ciągu 24 godzin od stwierdzenia naruszenia. Zgłoszenie powinno uwzględniać co najmniej charakter naruszenia ochrony danych, w tym miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie.
10. Podmiot Przetwarzający, po zakończeniu świadczenia usług związanych z przetwarzaniem, zależnie od decyzji Administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. Nie dotyczy to sytuacji gdy Podmiot Przetwarzający ma prawo do przetwarzania danych osobowych uzyskanych od Administratora jako odrębny administrator danych, w szczególności w przypadku konieczności ustalenia, dochodzenia lub obrony roszczeń.
PRAWO KONTROLI
§ 7.
1. Podmiot Przetwarzający umożliwia Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów (kontroli) w zakresie zgodności z Umową oraz obowiązującymi przepisami prawa, przetwarzania przez Podmiot Przetwarzający powierzonych mu do przetwarzania danych osobowych. W tym celu Administrator może zażądać od Podmiotu Przetwarzającego niezbędnych dokumentów oraz informacji, a także dokonać inspekcji siedziby Podmiotu Przetwarzającego, w godzinach jego działalności.
2. Administrator zobowiązany jest poinformować Podmiot Przetwarzający o terminie
i zakresie planowanej kontroli, co najmniej na 7 dni przed jej rozpoczęciem.
3. W ramach kontroli Podmiot Przetwarzający zobowiązany jest:
a. umożliwić osobom przeprowadzającym kontrolę dostęp do miejsc, w których
przetwarza powierzone na podstawie niniejszej umowy dane osobowe,
b. udzielić Administratorowi, wszelkich informacji lub złożyć pisemne wyjaśnienia dotyczące przetwarzania powierzonych danych osobowych, co może obejmować przedstawienie sposobu działania systemów IT oraz przekazanie innych danych niezbędnych do sprawdzenia sposobu i zakresu ochrony danych osobowych przez Podmiot Przetwarzający.
4. Kontrolę kończy raport pokontrolny sporządzony na piśmie, podpisany przez upoważnionych przedstawicieli obu Stron.
5. Koszty związane z przeprowadzeniem audytu ponosi każda ze Stron w swoim zakresie,
niezależnie od ich wysokości i wyniku kontroli.
ZASADY PODPOWIERZENIA
§8.
1. Wraz z zawarciem niniejszej umowy Administrator udziela na rzecz Podmiotu Przetwarzającego ogólnej zgody na dalsze powierzanie przetwarzania danych osobowych, w zakresie i celu niezbędnym do realizacji celu powierzenia przetwarzania danych osobowych, z zastrzeżeniem ust. 2 i ust. 3.
2. Jeżeli Podmiot Przetwarzający zamierza podpowierzyć przetwarzanie danych osobowych swoim podwykonawcom, musi uprzednio poinformować Administratora o zamiarze podpowierzenia, nazwie podmiotu któremu ma zamiar podpowierzyć przetwarzanie danych, a także o charakterze podpowierzenia, zakresie danych, celu
i czasie trwania podpowiedzenia. Poinformowanie przez Podmiot Przetwarzający może nastąpić poprzez wiadomość elektroniczną wysłaną na adres Administratora: xxx.xxxxxx@xxxxxxxxxx.xxx. Administrator ma prawo do wyrażenia sprzeciwu w tym zakresie w terminie 7 dni od dnia poinformowania go przez Podmiot Przetwarzający. Podmiot Przetwarzający może podpowierzyć przetwarzanie danych osobowych swoim podwykonawcom po upływie terminu, o którym mowa w zdaniu poprzednim, chyba że Administrator wyrazi sprzeciw.
3. W przypadku, gdy Podmiot Przetwarzający dokonuje zmian dotyczących dodania lub zastąpienia dalszych podmiotów przetwarzających, informuje o tym Administratora. Postanowienia ust. 2 stosuje się odpowiednio.
4. Podmiot, któremu Podmiot Przetwarzający powierzył przetwarzanie danych osobowych powinien spełniać te same gwarancje i obowiązki, jakie zostały nałożone na Podmiot Przetwarzający w niniejszej Umowie, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom Rozporządzenia.
5. Podmiot Przetwarzający ponosi pełną odpowiedzialność wobec Administratora za niewywiązywanie się przez podwykonawcę ze spoczywających na nim obowiązków ochrony danych.
6. Administratorowi będą przysługiwały uprawnienia wynikające z umowy podpowierzenia bezpośrednio wobec podwykonawcy. W przypadku wypowiedzenia lub rozwiązania umowy podpowierzenia, Podmiot Przetwarzający poinformuje o tym fakcie Administratora w terminie 3 dni od wypowiedzenia lub rozwiązania umowy.
ODPOWIEDZIALNOŚĆ PODMIOTU PRZETWARZAJĄCEGO
§9.
1. Podmiot Przetwarzający odpowiada za szkody spowodowane przetwarzaniem powierzonych mu danych osobowych w przypadku gdy:
a. nie dopełnił obowiązków, które Rozporządzenie nakłada bezpośrednio na podmioty przetwarzające lub gdy
b. działał wbrew zobowiązaniom wynikającym z niniejszej Umowy.
2. Podmiot Przetwarzający zostanie zwolniony z odpowiedzialności wynikającej z § 9 ust.
1 Umowy, jeżeli udowodni, że nie ponosi winy za zdarzenie, które doprowadziło do
powstania szkody.
CZAS TRWANIA I ROZWIĄZANIE UMOWY
§10.
1. Niniejsza Umowa zostaje zawarta na czas trwania Umowy Podstawowej i ulega
rozwiązaniu z chwilą rozwiązania Umowy Podstawowej.
2. Administrator może rozwiązać niniejszą Umowę ze skutkiem natychmiastowym, gdy Podmiot Przetwarzający przetwarza powierzone mu dane osobowe w sposób rażąco sprzeczny z treścią przepisów Rozporządzenia lub niniejszej umowy i nie zaprzestał takiego przetwarzania pomimo pisemnego upomnienia przez Administratora.
POUFNOŚĆ
§11.
1. Informacje lub materiały przekazywane lub udostępniane przez jedną ze Stron drugiej
Stronie w związku z Umową, niezależnie od sposobu ich przekazania lub udostępnienia
- ustnie, pisemnie, na nośniku magnetycznym lub innym, lub w inny sposób, stanowią
informacje poufne w rozumieniu Umowy Podstawowej.
2. Każda ze Xxxxx zobowiązuje się wobec drugiej Strony do zachowania w tajemnicy i nieujawniania żadnych informacji opisanych w ust. 1, na zasadach i z zastrzeżeniem wyjątków określonych w Umowie Podstawowej.
POSTANOWIENIA KOŃCOWE
§ 12.
1. Niniejsza Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po
jednym dla każdej ze Stron.
2. Wszelkie zmiany treści niniejszej Umowy wymagają formy pisemnej pod rygorem nieważności.
3. Jakiekolwiek spory wynikłe w związku z niniejszą Umową oraz jej wykonywaniem będą rozstrzygane przez sąd powszechny właściwy dla siedziby Administratora.
4. Umowa wchodzi w życie z dnie jej zawarcia i z tą datą zastępuje wszelkie wcześniejsze umowy lub porozumienia Stron dotyczące powierzenia przetwarzania danych osobowych.
Administrator _ | Podmiot Przetwarzający _ _ |