UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w Katowicach w dniu , pomiędzy:
……………………………………………………………………………………………………………………………………………………………
……………………………………………………………………………………………………………………, którą reprezentuje: 1. ………………………………………….
2. …………………………………………. zwaną dalej Administratorem oraz:
……………………………………………………………………………………………………………………………………………………………
……………………………………………………………………………………………………………………, którą reprezentuje: zwaną dalej Podmiotem Przetwarzającym
ZWAŻYWSZY, ŻE:
Administrator Danych wyraża zgodę na powierzenie przetwarzania danych osobowych Podmiotowi Przetwarzającemu na zasadach określonych w niniejszej Umowie.
Podmiot Przetwarzający potwierdza, iż dane osobowe będą wykorzystywane na zasadach określonych w niniejszej Umowie oraz zgodnie z Umową Główną.
Niniejsza Umowa stanowi część Umowy Głównej zawartej pomiędzy Stronami.
UZGODNIONE WARUNKI:
§ 1
Definicje
Następujące definicje oraz zasady interpretacji mają zastosowanie do niniejszej Umowy:
Umowa Główna: umowa …………………………………… z dnia ……………………………...
Usługi Kontraktowe: usługi świadczone przez Podmiot Przetwarzający zgodnie z Umową Główną. Naruszenie bezpieczeństwa danych osobowych: naruszenie bezpieczeństwa skutkujące przypadkowym lub bezprawnym zniszczeniem, utratą, zmianą, nieuprawnionym ujawnieniem lub dostępem do udostępnionych danych osobowych.
Regulacje dot. Ochrony Danych: Ogólne Rozporządzenie o Ochronie Danych (UE 2016/679), („RODO”) oraz wszelkie przepisy i regulacje w przedmiocie przetwarzania danych osobowych oraz prywatności, w tym także mające zastosowanie wytyczne oraz kodeksy postępowania wydane przez Komisarza ds. Informacji lub wszelkie dokumenty o znaczeniu równorzędnym w danej jurysdykcji. Odniesienia do ustawodawstwa obejmują również jakiekolwiek jego okresowe zmiany.
Dane Osobowe: dane osobowe będą przekazywane między Stronami zgodnie z paragrafem 5 niniejszej Umowy.
Podwykonawca: Osoba trzecia, której Podmiot Przetwarzający zlecił wykonywanie usług na zasadzie podpowierzenia przetwarzania danych osobowych.
§ 2
Zgodność z Regulacjami dot. Ochrony Danych
Strony niniejszym potwierdzają, że będą przetwarzać dane osobowe zgodnie z postanowieniami niniejszej Umowy. Każda ze Stron zobowiązana jest zapewnić zgodność przetwarzania z Regulacjami
dot. Ochrony Danych przez cały czas trwania niniejszej Umowy oraz chronić prawa osób, których dane dotyczą.
§ 3
Korzystanie, ujawnianie oraz przekazywanie danych
3.1. Podmiot Przetwarzający potwierdza, iż będzie przetwarzał dane osobowe, zgodnie z paragrafem 5 Umowy, wyłącznie w celach wskazanych w paragrafie 4 Umowy przez okres trwania Umowy Głównej, chyba że prawo Unii Europejskiej lub prawo Rzeczpospolitej Polskiej nakazują przechowywanie danych osobowych.
3.2. Podmiot Przetwarzający nie będzie ujawniał oraz przekazywał danych osobowych, przetwarzanych zgodnie z niniejszą Umową, jakiemukolwiek podmiotowi trzeciemu bez pisemnej zgody Administratora Danych, zgodnie z postanowieniami paragrafu 6 Umowy. Nie dotyczy to sytuacji, w których dane osobowe ujawniane są organom uprawnionym do tego na mocy przepisów prawa.
3.3. Podmiot Przetwarzający nie może publikować, kopiować, przekazywać ani powielać jakichkolwiek informacji związanych z realizacją Umowy lub Umowy Głównej bez zgody Administratora Danych.
3.4. Podmiot Przetwarzający zobowiązuje się do odebrania od osób upoważnionych przez niego do realizacji niniejszej Umowy stosownych oświadczeń o zachowaniu poufności.
§ 4
Cel przetwarzania
4.1. Strony potwierdzają, iż powierzenie przetwarzania danych osobowych jest niezbędne, aby Podmiot Przetwarzający mógł świadczyć Usługi Kontraktowe godne z umową główną.
4.2. Podmiot Przetwarzający potwierdza, iż dane osobowe będą przetwarzane wyłącznie zgodnie z wytycznymi Administratora Danych oraz wyłącznie mając na celu świadczenie Usług Kontraktowych. Strony nie będą przetwarzać danych osobowych w sposób sprzeczny z celem opisanym w niniejszym paragrafie.
4.3. Każda ze Stron zobowiązana jest wskazać osobę do kontaktu. Podmiot Przetwarzający jest zobowiązany do współpracy z Administratorem Danych w zakresie jakichkolwiek kwestii związanych z przetwarzaniem danych w drodze niniejszej Umowy. Osoby do kontaktu dla każdej ze Stron są następujące:
ze strony Administratora Danych - ………………………………….. tel. …………, mail: ……………….
ze strony Podmiotu Przetwarzającego – …………………………., tel. …………, mail: ……………….
§ 5
Dane osobowe
1. Administrator powierza Przetwarzającemu przetwarzanie danych osobowych następujących kategorii osób fizycznych:
a. pracownicy,
b. osoby zatrudnione na innej podstawie niż umowa o pracę (x.xx. umowy cywilnoprawne, umowy B2B, praktyki studenckie, staże),
c. osoby wskazane przez ww. kategorie osób – które należy zawiadomić w razie wypadku,
d. członkowie organów zarządzających i nadzorczych,
e. kontrahenci.
2. Administrator powierza Przetwarzającemu przetwarzanie następujących rodzajów danych osobowych:
a. imię i nazwisko,
b. nazwisko xxxxxx,
c. imiona rodziców,
d. data urodzenia,
e. obywatelstwo,
f. nr dowodu osobistego lub innego dokumentu tożsamości,
g. PESEL,
h. NIP,
i. adres zameldowania,
j. adres zamieszkania,
k. adres do korespondencji,
l. adres e-mail,
m. numer telefonu,
n. wynagrodzenie,
o. rachunek bankowy,
p. inne informacje zawarte w kwestionariuszu zatrudnienia: data rozpoczęcia pracy, wymiar czasu pracy, wykształcenie, przebieg dotychczasowego zatrudnienia, stan rodzinny, kasa chorych, Urząd Skarbowy, informacja o pobieraniu renty/emerytury, powszechny obowiązek obrony.
§ 6
Podwykonawstwo w zakresie przetwarzania danych
6.1. Podmiot Przetwarzający, w celu wykonywania w imieniu Administratora Danych czynności związanych z przetwarzaniem danych osobowych może korzystać z usług Podwykonawców, z zastrzeżeniem ograniczeń wynikających z niniejszej Umowy, Umowy Głównej i przepisów obowiązującego prawa.
6.2. Podmiot Przetwarzający może nawiązywać współpracę z Podwykonawcami, pod warunkiem uprzedniego zawiadomienia Administratora Danych o zamiarze korzystania z usług Podwykonawców i braku sprzeciwu na takie działanie ze strony Administratora Danych. Przedmiotowe zawiadomienie jest przesyłane Administratorowi Danych w formie pisemnej (dopuszczalna jest droga elektroniczna) na 14 dni przez zawarciem umowy z podwykonawcą. Jeśli w ciągu 7 dni od otrzymania informacji Administrator Danych nie wyrazi sprzeciwu, uznaje się, że Administrator Xxxxxx wyraził zgodę na zawarcie umowy z Podwykonawcą.
§ 7
Prawa podmiotów, których dane dotyczą
7.1 Na podstawie Regulacji dot. Ochrony Danych, podmioty, których dane dotyczą posiadają uprawnienia w związku z ich danymi osobowymi, tj.:
1) prawo do bycia informowanym,
2) prawo dostępu do danych,
3) prawo do poprawiania danych,
4) prawo do usuwania danych,
5) prawo do ograniczenia przetwarzania danych,
6) prawo do przenoszenia danych,
7) prawo do wniesienia sprzeciwu,
8) prawa związane z zautomatyzowanym procesem decyzyjnym oraz profilowaniem.
7.2. Podmiot Przetwarzający zobowiązuje się niezwłocznie powiadomić Administratora Danych o otrzymaniu przez Podmiot Przetwarzający wezwania od podmiotu zamierzającego skorzystać z któregokolwiek ze swoich uprawnień na podstawie Regulacji dot. Ochrony Danych, a także roszczenia ze strony Podmiotu, którego dane dotyczą w zakresie przetwarzania danych osobowych zgodnie z Umową. Podmiot Przetwarzający będzie ściśle współpracował i wspierał Administratora Danych w związku ze zgłoszonym roszczeniem lub żądaniem ze strony podmiotu, którego dane dotyczą w zakresie przetwarzania danych osobowych zgodnie z Umową.
§ 8
Ewidencja oraz prawo nadzoru
8.1. Podmiot Przetwarzający zobowiązuje się prowadzić rejestr kategorii czynności przetwarzania na podstawie niniejszej Umowy.
8.2. Na wezwanie Administratora Danych, Podmiot Przetwarzający zobowiązany jest w ciągu 14 dni udostępnić mu wszelkie informacje niezbędne do wykazania zgodności z postanowieniami niniejszej Umowy, a także zobowiązany jest wyrazić zgodę na przeprowadzenie audytu oraz przyłączyć się do podejmowanych działań, w tym inspekcji przez Administratora Danych lub audytora działającego na zlecenie Administratora Danych w związku z przetwarzaniem danych osobowych przez Podmiot Przetwarzający lub Podwykonawców.
8.3. Audyt, o którym mowa w punkcie 8.2 powyżej, powinien być przeprowadzany w normalnych godzinach pracy Podmiotu Przetwarzającego, w sposób niezakłócający pracy jego przedsiębiorstwa.
§ 9
Przechowywanie oraz usuwanie danych
9.1. Podmiot Przetwarzający nie jest uprawniony do przechowywania lub przetwarzania danych osobowych przez okres dłuższy niż potrzebny do uzyskania zamierzonych celów lub przez okres dłuższy niż wskazany przez Administratora Danych. Administrator Danych określa terminy, do których upływu Podmiot Przetwarzający może przechowywać dane osobowe przetwarzane zgodnie z Umową.
9.2. Zgodnie z wytycznymi Administratora Danych, Podmiot Przetwarzający zobowiązany jest zapewnić, że dane osobowe, przetwarzane zgodnie z Umową, zostaną zwrócone do Administratora Danych lub zniszczone.
§ 10
Bezpieczeństwo oraz szkolenie
10.1. Podmiot Przetwarzający zapewnia ochronę Danych Osobowych i podejmuje środki ochrony danych, o których mowa w art. 32 RODO, zgodnie z dalszymi postanowieniami Umowy. Podmiot Przetwarzający zobowiązuje się w szczególności wdrożyć odpowiednie techniczne oraz organizacyjne środki bezpieczeństwa mające na celu:
A) zapobieganie:
1) nieuprawnionemu lub niezgodnemu z prawem przetwarzaniu danych osobowych; oraz
2) przypadkowej utracie lub zniszczeniu, lub uszkodzeniu danych osobowych;
B) zapewnienie odpowiedniego poziomu bezpieczeństwa w odniesieniu do:
1) szkody jaka może powstać na skutek nieuprawnionego lub niezgodnego z prawem przetwarzania danych, przypadkowej utraty, zniszczenia lub uszkodzenia; oraz
2) charakteru danych osobowych podlegających ochronie.
§ 11
Naruszenie bezpieczeństwa danych osobowych oraz procedury raportowania
11.1. Podmiot Przetwarzający jest bezwzględnie zobowiązany do niezwłocznego poinformowania Administratora Danych o jakimkolwiek podejrzeniu naruszenia lub stwierdzonym naruszeniu bezpieczeństwa danych osobowych, jednak nie później niż w terminie 36 godzin od momentu uzyskania informacji o wystąpieniu naruszenia lub podejrzeniu jego wystąpienia.
11.2. Podmiot Przetwarzający zobowiązuje się zapewnić odpowiednie wsparcie wymagane przez Administratora Danych lub Organ Ochrony Danych w celu podjęcia sprawnych i odpowiednich działań w przedmiocie naruszenia bezpieczeństwa danych osobowych.
§ 12
Weryfikacja oraz rozwiązanie umowy
12.1. Administratorowi danych przysługuje prawo oceny należytego wykonywania niniejszej umowy przez Podmiot Przetwarzający. W sytuacji negatywnego wyniku przedmiotowej weryfikacji Podmiot Przetwarzający zobowiązany jest do podjęcia działań eliminujących wykryte niezgodności w terminie 14 dni.
12.2 W przypadku wystąpienia naruszenia bezpieczeństwa danych osobowych skutkującego, w ocenie Podmiotu Przetwarzającego, wysokim prawdopodobieństwem naruszenia praw i wolności osób, których dane dotyczą, Administrator danych zastrzega sobie prawo do rozwiązania niniejszej umowy lub Umowy Głównej ze skutkiem natychmiastowym.
12.3. Rozwiązanie lub wygaśnięcie Umowy Głównej skutkuje rozwiązaniem niniejszej Umowy.
§ 13
Pozostałe postanowienia
13.1. W sytuacji powstania sporu lub roszczenia ze strony podmiotu, którego dane dotyczą lub Organu Ochrony Danych w przedmiocie przetwarzania danych osobowych skierowanego wobec jednej lub obu Stron, w związku z wykonywaniem niniejszej Umowy, Xxxxxx zobowiązują się informować wzajemnie o wszelkich takich sporach lub roszczeniach oraz będą współpracować w celu ich ugodowego zakończenia w odpowiednim czasie.
13.2. Jeżeli którekolwiek postanowienie niniejszej Umowy lub jego część jest lub stanie się nieważne, niezgodne z prawem lub niewykonalne, winno ono zostać zmodyfikowane w najmniejszym możliwym zakresie w celu przywrócenia jego ważności, zgodności z prawem i wykonalności. Jeżeli taka modyfikacja nie jest możliwa, odpowiednie postanowienie lub jego część winno zostać uznane za usunięte. Wszelkie modyfikacje lub usunięcia postanowień lub ich części zgodnie z niniejszym ustępem nie wpływają na ważność i wykonalność pozostałych postanowień niniejszej Umowy.
13.3. Jeżeli Administrator Danych zawiadomi Podmiot Przetwarzający, że którekolwiek postanowienie niniejszej Umowy lub jego część jest nieważne, niezgodne z prawem lub niewykonalne, Strony podejmą negocjacje w dobrej wierze w celu zmiany takiego postanowienia, tak by zmodyfikowane postanowienie było zgodne z prawem, ważne oraz wykonalne, a także w
najszerszym możliwym zakresie przedstawiało zamierzony cel biznesowy pierwotnego postanowienia.
13.4. Umowa oraz Umowa Główna w zakresie, w jakim odnosi się do niniejszej Umowy, stanowią całość umowy zawartej pomiędzy Stronami, która tym samym zastępuje i rozwiązuje wszelkie wcześniejsze porozumienia, przyrzeczenia, zapewnienia, oświadczenia, gwarancje oraz interpretacje pomiędzy Stronami, zarówno złożone pisemnie lub ustnie, a związane z przedmiotem Umowy.
13.5. Niniejsza Umowa, a także wszelkie spory lub roszczenia (w tym spory oraz roszczenia pozaumowne) wynikające z lub pozostające w związku z przedmiotem niniejszej Umowy lub jej sporządzeniem, podlegają prawu polskiemu oraz RODO. Wszelkie spory powstałe w związku z niniejszą Umową będzie rozstrzygał wyłącznie Sąd właściwy dla siedziby Administratora Danych.
13.6. W razie sprzeczności pomiędzy postanowieniami niniejszej Umowy a postanowieniami Umowy Głównej, pierwszeństwo mają postanowienia niniejszej umowy.
13.7. Umowa została sporządzona w dwóch egzemplarzach, po jednym dla każdej ze Stron.