Umowa powierzenia przetwarzania danych osobowych
Umowa powierzenia przetwarzania danych osobowych
(„Umowa”) zawarta pomiędzy
Klientem – dane wg umowy o świadczenie usług streamingowych
(dalej: „Administrator”) a
NADAJE BROADCASTING SPÓŁKĄ Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ z siedzibą we Wrocławiu, xx. Xxxxxxxxxxx 00/00, 00-000 Xxxxxxx, dla której Sąd Rejonowy dla Wrocławia-Fabrycznej we Wrocławiu, VI. Wydział Gospodarczy Krajowego Rejestru Sądowego prowadzi dokumentację spółki, wpisaną do rejestru przedsiębiorców pod numerem KRS 0000752054, XXX 0000000000, kapitał zakładowy: 100.000,00 PLN
(dalej: „Przetwarzający”)
(dalej łącznie jako: „Strony” lub osobno jako „Strona”)
Mając na uwadze, że:
1) Strony zawarły umowę o świadczenie usług streamingowych („Umowa Podstawowa”), w związku z wykonywaniem której Administrator powierzy Przetwarzającemu przetwarzanie danych osobowych w zakresie określonym niniejszą Umową, a Przetwarzający zobowiązuje się do przetwarzania danych osobowych;
2) Celem niniejszej Umowy jest ustalenie warunków, na jakich Przetwarzający wykonuje operacje przetwarzania danych osobowych w imieniu Administratora;
3) Strony zawierając niniejszą Umowę dążą do takiego uregulowania zasad przetwarzania danych osobowych, aby odpowiadały one w pełni postanowieniom rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1) (dalej: „RODO”);
Xxxxxx postanowiły zawrzeć niniejszą Umowę o następującej treści:
§ 1
OPIS PRZETWARZANIA
1. Na warunkach określonych w niniejszej Umowie oraz w Umowie Podstawowej, Administrator powierza Przetwarzającemu przetwarzanie dalej opisanych danych osobowych.
2. Przetwarzanie będzie wykonywane w okresie obowiązywania Umowy Podstawowej.
3. Charakter i cel przetwarzania wynikają z Umowy Podstawowej. W szczególności charakter przetwarzania określony jest rolą Przetwarzającego jako dostawcy usług streamingowych zaś celem przetwarzania jest umożliwienie przeprowadzenia transmisji audio/video stacji radiowej lub telewizyjnej lub wydarzeń organizowanych przez Administratora. Powierzone przez Administratora dane osobowe będą przetwarzane przez Przetwarzającego wyłącznie w celu wykonywania przez Przetwarzającego na rzecz Administratora usług szczegółowo opisanych w Umowie Podstawowej, w sposób zgodny z niniejszą Umową oraz z Umową Podstawową.
4. Przetwarzanie obejmować będzie następujące kategorie danych osobowych: imiona, nazwiska, wizerunek, głos, e-mail, numer telefonu, adres zamieszkania bądź prowadzenia działalności, .
5. Przetwarzanie będzie dotyczyć następujących kategorii osób: prezenterzy, prelegenci, pracownicy, podwykonawcy,
6. Przetwarzający na zlecenie Administratora będzie wykonywać następujące operacje na danych osobowych wyłącznie w zakresie i na potrzeby świadczenia usług: utrwalanie audio/video, przechowywanie w nagraniach, przeglądanie, rozpowszechnianie treści audio/video do odbiorów przekazu,.
7. Strony są zgodne, że po zakończeniu przetwarzania przewidzianego Umową i Umową Podstawową, wybrane dane pierwotnie przekazane Przetwarzającemu przez Administratora na podstawie Umowy i Umowy Podstawowej mogą być przetwarzane dalej przez Przetwarzającego jako niezależnego administratora danych osobowych, na zasadach określonych Umową Podstawową.
§ 2
OBOWIĄZKI PRZETWARZAJĄCEGO
1. Przetwarzający przetwarza dane zgodnie z przepisami prawa powszechnie obowiązującego, a także wyłącznie na udokumentowane polecenie Administratora, zgodnie z jego instrukcjami. Instrukcje będą przekazywane Przetwarzającemu przez Administratora pisemnie lub drogą elektroniczną.
2. Przetwarzający przetwarza powierzone mu dane osobowe wyłącznie w zakresie i celu przewidzianym w niniejszej Umowie i na jej podstawie, o ile Administrator nie przekaże Przetwarzającemu dodatkowego udokumentowanego polecenia. Przetwarzający zobowiązuje się nie przetwarzać danych osobowych w sposób inny niż określony w Umowie i Umowie Podstawowej lub wynikający z wyraźnego i udokumentowanego polecenia Administratora.
3. Przetwarzający, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, wdrożył odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
4. Przetwarzający będzie w miarę możliwości pomagać Administratorowi, poprzez odpowiednie środki techniczne i organizacyjne, w wywiązywaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.
5. Uwzględniając charakter przetwarzania oraz informacje dostępne Przetwarzającemu, Przetwarzający będzie pomagać Administratorowi w wywiązaniu się z obowiązków określonych w art. 32–36 RODO.
6. Jeżeli Przetwarzający poweźmie wątpliwości co do zgodności z prawem wydanych przez Administratora poleceń lub instrukcji, Przetwarzający natychmiast informuje Administratora o stwierdzonej wątpliwości.
7. Przetwarzający oświadcza, że podjął środki techniczne i organizacyjne zabezpieczające dane osobowe, uwzględniające w szczególności ryzyko wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.
8. Przetwarzający zapewnia, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy. Osoby te przetwarzają dane wyłącznie w związku z udokumentowanymi poleceniami Administratora wobec Przetwarzającego, chyba że przetwarzanie wymagane jest prawem.
9. Przetwarzający zobowiązuje się do prawidłowego i zgodnego z prawem prowadzenia dokumentacji opisującej sposób przetwarzania danych, w tym rejestru kategorii czynności przetwarzania dokonywanych w imieniu administratora, o ile obowiązek prawny prowadzenia takiego rejestru spoczywa na Przetwarzającym.
10. W przypadku zaistnienia prawnego obowiązku wyznaczenia inspektora ochrony danych, Przetwarzający zobowiązuje się do jego wyznaczenia oraz powiadomi Administratora o fakcie jego wyznaczenia i przekaże Administratorowi jego dane kontaktowe.
11. Przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi.
12. Wszelkie zobowiązania Przetwarzającego ograniczone są zakresem wyznaczonym przez charakter i cel przetwarzania oraz rodzaj przetwarzanych danych.
§ 3
OBOWIĄZKI ADMINISTRATORA
1. Administrator oświadcza, że z zastrzeżeniem ust. 2 poniżej jest administratorem powierzanych danych osobowych w rozumieniu RODO oraz że jest uprawniony do ich przetwarzania w zakresie, w jakim powierzył je Przetwarzającemu. Dane dostarczane Przetwarzającemu są przetwarzane zgodnie z prawem, rzetelnie, i w sposób przejrzysty dla osoby, której dane dotyczą. W szczególności, Administrator oświadcza, że istnieje podstawa prawna przetwarzania danych dostarczonych Przetwarzającemu oraz że został spełniony obowiązek informacyjny wobec osób, których dane dotyczą.
2. W każdym przypadku, w którym przekazane dane osobowe obejmują dane, których administratorem w rozumieniu art. 4 pkt 7 RODO jest podmiot inny niż Administrator, Administrator gwarantuje, że zgodnie z przepisami prawa lub porozumieniem z tym innym podmiotem jest uprawniony do dalszego powierzania tych danych osobowych, na zasadach określonych Umową.
3. Administrator zobowiązany jest współdziałać z Przetwarzającym w wykonaniu Umowy, udzielać Przetwarzającemu wyjaśnień w razie wątpliwości co do legalności poleceń Administratora, jak też wywiązywać się z obowiązków wynikających z obowiązujących przepisów prawa.
4. Administrator zobowiązany jest dostarczyć Przetwarzającemu dane, o których mowa w § 1 niniejszej Umowy oraz aktualizować te dane niezwłocznie, w każdym wypadku, w którym ulegną zmianie lub uzupełnieniu.
5. Administrator zobowiązany jest wykonać ocenę skutków dla ochrony danych w procesach realizowanych przez Przetwarzającego, o ile będzie to wymagane przez przepisy prawa powszechnie obowiązującego.
6. Administrator wykonuje uprzednie konsultacje z organem nadzorczym, jeśli zachodzi taka konieczność.
7. Administrator wykonuje inne obowiązki nałożone na niego przepisami prawa powszechnie obowiązującego lub decyzjami albo orzeczeniami odpowiednich organów lub sądów.
8. W przypadku, gdy Administrator stwierdzi naruszenie lub podejrzenie wystąpienia naruszenia ochrony danych w odniesieniu do danych, które przetwarzane są przez Przetwarzającego w oparciu o niniejszą Umowę, Administrator zobowiązany jest niezwłocznie, ale nie później niż w ciągu 12 godzin po stwierdzeniu naruszenia lub podejrzenia jego wystąpienia, przekazać Przetwarzającemu dokumentację dotyczącą naruszenia w rozumieniu art. 33 ust. 5 RODO, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze, przedłożyć dowód zgłoszenia naruszenia organowi nadzorczemu lub pisemne uzasadnienie odnoszące się do szczegółowych przyczyn braku takiego zgłoszenia, a także przekazać Przetwarzającemu wszystkie żądane informacje o jakimkolwiek zdarzeniu, które stanowi lub może stanowić naruszenie ochrony danych osobowych dotyczące powierzonych danych. Administrator podejmuje niezwłocznie wszelkie działania mające na celu ograniczenie i naprawienie negatywnych skutków naruszenia, które dokumentuje zgodnie z
przepisami prawa. Administrator umożliwia Przetwarzającemu uczestnictwo w czynnościach wyjaśniających i informuje Przetwarzającego o ustaleniach z chwilą ich dokonania.
§ 4
PODPOWIERZENIE
1. Przetwarzający może powierzyć konkretne operacje przetwarzania danych („podpowierzenie”) innym podmiotom przetwarzającym („Podprzetwarzający”), a niniejsze postanowienie stanowi ogólną pisemną zgodę Administratora na korzystanie z usług Podprzetwarzających.
2. Przetwarzający informuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia Podprzetwarzajacych, dając tym samym Administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian przetwarzania danych. Administrator może sprzeciwić się podpowierzeniu w terminie 7 dni od otrzymania zawiadomienia, o którym mowa w zdaniu poprzednim. W przypadku braku sprzeciwu, Przetwarzający może poczytywać to za akceptację zmiany dotyczącej dodania lub zastąpienia Podprzetwarzającego.
3. Dokonując podpowierzenia, Przetwarzający zobowiąże Podprzetwarzającego do realizacji obowiązków Przetwarzającego w zakresie ochrony danych wynikających z niniejszej Umowy, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO.
§ 5
NADZÓR
1. Przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwia Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji.
2. Administrator jest uprawniony do kontroli przetwarzania danych osobowych przez Przetwarzającego, w postaci audytu lub inspekcji, nie częściej jednak niż raz na 6 miesięcy.
3. Administrator poinformuje Przetwarzającego o zamiarze przeprowadzania audytu lub inspekcji z wyprzedzeniem, nie krótszym niż 30 dni roboczych, a Przetwarzający zobowiązany jest umożliwić przeprowadzenie audytu lub inspekcji, w szczególności poprzez udostępnienie właściwej dokumentacji i pomieszczeń oraz udzielić wszelkich niezbędnych informacji dotyczących realizacji postanowień Umowy, z zastrzeżeniem obowiązków spoczywających na Przetwarzającym wynikających z przepisów prawa lub umów zawartych z innymi administratorami oraz tajemnicy przedsiębiorstwa Przetwarzającego.
4. Audyt lub inspekcja mogą być wykonywane tylko w dni robocze i w standardowych godzinach pracy Przetwarzającego, w sposób nieutrudniający pracy Przetwarzającemu. Jeden audyt lub inspekcja nie może trwać dłużej niż łącznie 2 dni robocze.
5. Warunkiem rozpoczęcia audytu lub inspekcji jest pisemne zobowiązanie się Administratora do zachowania poufności w związku z materiałami i informacjami uzyskanymi w toku audytu bądź inspekcji.
6. Administrator lub wyznaczone przez niego osoby są uprawnione do wstępu do pomieszczeń Przetwarzającego wyłącznie w obecności upoważnionego pracownika Przetwarzającego.
7. Przetwarzający współpracuje z Administratorem w zakresie realizacji audytów oraz inspekcji, a także z organem nadzorczym i innymi organami państwowymi w zakresie wykonywanych przez nich czynności.
8. W przypadku stwierdzenia w wyniku audytu lub inspekcji nieprawidłowości w procesie przetwarzania danych osobowych, Administrator wezwie Przetwarzającego do ich usunięcia, zaś Przetwarzający zobowiązuje się dostosować do zaleceń pokontrolnych Administratora mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania danych osobowych. Przetwarzający o fakcie, sposobie i terminie usunięcia uchybień wskazanych przez kontrolę poinformuje Administratora w terminie uzgodnionym między Stronami.
9. Przetwarzający zobowiązuje się odpowiadać na pytania Administratora dotyczące przetwarzania danych osobowych powierzonych mu na podstawie niniejszej Umowy.
10. Koszty związane z przeprowadzeniem audytu lub inspekcji ponosi wyłącznie Administrator. Administratorowi nie przysługuje prawo do żądania zwrotu takich kosztów ani do zapłaty wynagrodzenia.
§ 6
ODPOWIEDZIALNOŚĆ
1. Przetwarzający ponosi odpowiedzialność wobec Administratora wyłącznie za zawinione szkody spowodowane umyślnym działaniem w związku z niedopełnieniem obowiązków, które RODO nakłada bezpośrednio na Przetwarzającego, na zasadach określonych przepisami prawa (zasady ogólne). Przetwarzający nie odpowiada za utracone korzyści Administratora.
2. W przypadku nałożenia na Przetwarzającego przez organ nadzorczy administracyjnej kary pieniężnej w związku z niezgodnym z przepisami prawa przetwarzaniem danych osobowych powierzonych Przetwarzającemu z przyczyn leżących po stronie Administratora, Administrator zobowiązany będzie do zapłaty Przetwarzającemu kwoty w wysokości odpowiadającej sankcji administracyjnej nałożonej na Przetwarzającego, niezależnie od administracyjnych kar pieniężnych, jakie mogą być również nałożone na Administratora odrębnie.
3. Jeżeli w związku z niezgodnym z przepisami prawa przetwarzaniem danych osobowych powierzonych Przetwarzającemu, z przyczyn leżących po stronie Administratora, wobec Przetwarzającego zostanie wytoczone postępowanie sądowe, Administrator zobowiązany będzie do udzielenia Przetwarzającemu wszelkiego wsparcia w takim postępowaniu sądowym (w
tym zwrotu kwot zapłaconych przez Przetwarzającego tytułem kaucji lub zaliczek w celu dopuszczenia lub przeprowadzenia dowodów), a także do przejęcia odpowiedzialności w przypadku przyznania osobie, której dane dotyczą, odszkodowania bądź zadośćuczynienia w takim postępowaniu – w wysokości odpowiadającej równowartości przyznanego odszkodowania lub zadośćuczynienia wraz z kosztami postępowania, w tym kosztami zastępstwa procesowego, pod warunkiem, że Przetwarzający zawiadomi Administratora o toczącym się postępowaniu sądowym i wezwie go do wzięcia w nim udziału, w terminie umożliwiającym wstąpienie Administratora do postępowania, a także, gdy Przetwarzający podejmie uzasadnione działania mające na celu obronę przed roszczeniem, zmierzające do oddalenia powództwa albo zmniejszenia roszczenia.
4. Koszty, o których mowa w ustępie powyżej, zostaną zwrócone w terminie 30 dni od dnia otrzymania pisemnego żądania Przetwarzającego wskazującego ich wysokość oraz oznaczenie orzeczenia sądowego z którego wynikają.
5. Łączny limit odpowiedzialności Przetwarzającego związany z zawarciem, realizacją lub rozwiązaniem niniejszej Umowy jest ograniczony do kwoty wskazanej w Umowie Podstawowej, niezależnie od podstawy dochodzenia tej odpowiedzialności.
§ 7
OKRES OBOWIĄZYWANIA
1. Niniejsza Umowa została zawarta na czas obowiązywania Umowy Podstawowej. Rozwiązanie Umowy Podstawowej powoduje rozwiązanie niniejszej Umowy.
2. W przypadku, gdyby na realizację Umowy miały mieć wpływ akty prawne, którym Przetwarzający zwykle nie podlega w związku ze swoją normalną działalnością lub przepisy państwa innego niż państwo siedziby Przetwarzającego, Administrator zobowiązuje się do uprzedniego (co najmniej 30-dniowego) zawiadomienia o powyższym Przetwarzającego, w formie pisemnej pod rygorem nieważności, a Przetwarzający będzie miał prawo do rozwiązania niniejszej Umowy w terminie 21 dni od otrzymania ww. zawiadomienia ze skutkiem natychmiastowym.
§ 8
KOPIOWANIE, POWIELANIE, USUNIĘCIE DANYCH
1. W przypadku rozwiązania niniejszej Umowy, w zależności od instrukcji przekazanych przez Administratora lub obowiązujących przepisów prawa, w szczególności w zakresie retencji danych, Przetwarzający jest zobowiązany do:
a) nieodwracalnego usunięcia pozyskanej w trakcie realizacji niniejszej Umowy dokumentacji zawierającej dane osobowe, a także usunięcia danych osobowych ze wszystkich urządzeń, systemów IT oraz dysków Przetwarzającego w sposób uniemożliwiający ich odzyskanie, lub
b) przekazania Administratorowi danych osobowych oraz ich kopii zapasowych w sposób i w formacie umożliwiającym ich dalsze przetwarzanie i wykorzystywanie do tych samych celów dla których przetwarzał je Przetwarzający. Przetwarzający nie przekazuje danych osobowych, które przetwarza jako niezależny administrator.
2. Przetwarzający dokona usunięcia danych lub ich przekazania najpóźniej w ciągu 30 dni od momentu, gdy Umowa przestanie obowiązywać.
3. Po zakończeniu przetwarzania przewidzianego Umową i Umową Podstawową, dane pierwotnie przekazane Przetwarzającemu przez Administratora na podstawie Umowy i Umowy Podstawowej nie będą podlegały usunięciu, o którym mowa w ust. 1 i 2 powyżej, jeżeli przepisy prawa Unii Europejskiej lub prawa polskiego nakazują dalsze przechowywanie danych osobowych lub jeżeli Przetwarzający może przetwarzać je dalej w charakterze administratora w oparciu o podstawę prawną.
§ 9
POSTANOWIENIA KOŃCOWE
1. Strony potwierdzają, że omówione przez nie przed zawarciem niniejszej Umowy doświadczenie, wiedza i zasoby Przetwarzającego, a także uzgodnione przez Strony środki bezpieczeństwa, będą wystarczające dla prawidłowej realizacji Umowy. Strony będą niezwłocznie zawiadamiały się o jakichkolwiek zmianach w zakresie powyższych okoliczności, na piśmie pod rygorem nieważności.
2. W razie sprzeczności pomiędzy postanowieniami niniejszej Umowy a Umowy Podstawowej, pierwszeństwo mają postanowienia niniejszej Umowy. Jednak w przypadku, gdyby Umowa Podstawowa w zakresie przetwarzania danych osobowych nakładała na Przetwarzającego obowiązki idące dalej niż obowiązki wynikające z niniejszej Umowy, wówczas odpowiednie postanowienia Umowy Podstawowej obowiązują bez zmian.
3. Wynagrodzenie za usługi świadczone przez Przetwarzającego na rzecz Administratora na podstawie niniejszej Umowy uwzględnione jest w wynagrodzeniu Przetwarzającego za świadczenie na rzecz Administratora usług na podstawie Umowy Podstawowej.
4. Strony ustalają, że treść niniejszej Umowy winna pozostać poufna, oraz że żadna ze Stron nie będzie upoważniona do ujawnienia treści niniejszej Umowy jakimkolwiek osobom trzecim, za wyjątkiem doradców i osób działających na rzecz Stron, lub organom, o ile jest to wymagane przepisami prawa.
5. Jeżeli którekolwiek z postanowień Umowy stanie się w dowolnym czasie niezgodne z prawem, nieważne lub niewykonalne pod jakimkolwiek względem w świetle prawa, fakt ten nie będzie miał wpływu na zgodność z prawem, ważność ani wykonalność pozostałych postanowień Umowy oraz nie ograniczy ich w jakikolwiek sposób. W takim wypadku Xxxxxx dołożą najwyższej staranności aby uzgodnić między sobą takie brzmienie nieważnego postanowienia, które będzie zgodne z prawem, i które będzie najbardziej odpowiadało celowi postanowienia nieważnego.
6. Nieuregulowane kwestie dotyczące przetwarzania danych osobowych pomiędzy Administratorem a Przetwarzającym Strony uzgadniają poprzez zmiany niniejszej Umowy lub w wykonaniu jej istniejących postanowień.
7. Niniejsza Umowa zastępuje wszelkie dotychczasowe ustalenia i umowy pomiędzy Stronami dotyczące powierzenia przetwarzania danych osobowych.
8. Wszelkie zmiany i uzupełnienia treści niniejszej Umowy wymagają zachowania formy pisemnej pod rygorem nieważności.
9. Wszelkie spory Strony będą starały się rozstrzygnąć polubownie w terminie do 30 dni kalendarzowych od daty zgłoszenia sporu przez jedną ze Stron, a w przypadku nierozwiązania sporu polubownie, będą one rozstrzygane będą sąd powszechny miejscowo właściwy dla siedziby Przetwarzającego.
10. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
11. Umowa podlega prawu Rzeczypospolitej Polskiej.
DATA