WZÓR

Załącznik nr 6

do Umowy nr COI/U/PZP/ /2021 (COI-ZAK.262.21.2021)

z dnia r.

WZÓR

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

zawarta w [***] w dniu złożenia podpisu pod nią przez ostatnią ze Stron, pomiędzy:

[***] z siedzibą w [***], ul. [***], kod pocztowy [***], wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla [***] w [***], [***] Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS: [***], NIP: [***], REGON: [***], kapitał zakładowy w wysokości [***] złotych, opłacony w całości/do kwoty [***] złotych („Administrator”), reprezentowaną przez:

1) [imię i nazwisko] – [xxxxxxx];

2) [imię i nazwisko] – [xxxxxxx]; a

[***] z siedzibą w [***], ul. [***], kod pocztowy [***], wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla [***] w [***], [***] Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS: [***], NIP: [***], REGON: [***], kapitał zakładowy w wysokości [***] złotych, opłacony w całości/do kwoty [***] złotych („Procesor”), reprezentowaną przez:

1) [imię i nazwisko] – [xxxxxxx];

2) [imię i nazwisko] – [xxxxxxx];

Administrator i Procesor zwani dalej łącznie: „Stronami” lub indywidualnie również „Stroną”.

1. PRZEDMIOT UMOWY

1.1. Administrator i Procesor zawierają umowę powierzenia przetwarzania danych osobowych, zwaną dalej „Umową powierzenia”, na mocy której Administrator powierza Procesorowi przetwarzanie danych osobowych, rozumianych jako informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”), w zakresie wskazanym w Załączniku A do Umowy powierzenia („Dane osobowe”).

Strona 1 z 20

1.2. Powierzenie Danych osobowych Procesorowi następuje w celu wykonania umowy zawartej pomiędzy Stronami w dniu [ ] [identyfikacja umowy, wskazanie

numeru i nazwy] (dalej jako „Umowa główna”).

1.3. Dane osobowe będą przetwarzane przez Procesora na terenie wskazanym w Załączniku A do Umowy powierzenia.

1.4. Zakres powierzenia, wskazany w Załączniku A do Umowy powierzenia, może zostać w każdym momencie rozszerzony lub ograniczony przez Administratora. Ograniczenie lub rozszerzenie może być dokonane poprzez przesłanie przez Administratora do Procesora nowej wersji Załącznika A do Umowy powierzenia za pośrednictwem poczty elektronicznej (na adres e-mail wskazany w rozdziale 10 Umowy powierzenia). W przypadku braku reakcji Procesora w ciągu 3 Dni Roboczych (na potrzeby Umowy powierzenia „Dni Robocze” należy rozumieć jako dni od poniedziałku do piątku, poza dniami ustawowo wolnymi od pracy w Polsce) od daty wysłania wiadomości przez Administratora przyjmuje się, że Procesor zaakceptował zmianę zakresu powierzenia.

1.5. Procesor może przetwarzać Dane osobowe wyłącznie w zakresie i celu określonym w Umowie powierzenia oraz w celu i zakresie niezbędnym do świadczenia usług określonych w Umowie głównej. Przetwarzanie Danych osobowych przez Procesora odbywa się wyłącznie w czasie obowiązywania Umowy głównej.

2. OŚWIADCZENIA I OBOWIĄZKI PROCESORA

2.1. Procesor niniejszym oświadcza, że posiada zasoby infrastrukturalne, doświadczenie, wiedzę oraz wykwalifikowany personel, w zakresie umożliwiającym należyte wykonanie Umowy powierzenia, w zgodzie z obowiązującymi przepisami prawa. W szczególności Procesor oświadcza, że znane mu są zasady przetwarzania i zabezpieczenia Danych osobowych wynikające w szczególności z:

2.1.1. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia

27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej jako: „RODO”);

2.1.2. ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (tj. Dz. U. z 2019 r., poz. 1781 z późn. zm., dalej jako: „Ustawa”).

2.2. Procesor jest zobowiązany:

Strona 2 z 20

2.2.1. przetwarzać Dane osobowe zgodnie z RODO, polskimi przepisami przyjętymi w celu umożliwienia stosowania RODO, innymi obowiązującymi przepisami prawa, Umową powierzenia oraz instrukcjami Administratora. Instrukcje (polecenia) są przekazywane przez Administratora drogą elektroniczną (przesyłane na adres e-mail Procesora wskazany w Załączniku A do Umowy powierzenia); z zastrzeżeniem postanowień rozdziału 3 Umowy powierzenia, Procesor powinien wdrożyć instrukcje niezwłocznie, jednak nie później niż w terminie 7 Dni Roboczych od ich otrzymania; jeżeli w ocenie Procesora termin 7-dniowy jest zbyt krótki na realizację instrukcji, powinien poinformować o tym fakcie Administratora drogą elektroniczną (przesyłając informację na adres e-mail Administratora wskazany w Załączniku A do Umowy powierzenia) wskazując uzasadnienie dla takiej oceny; w takim przypadku Strony wspólnie ustalą późniejszy termin wdrożenia instrukcji Administratora. Instrukcje nie będą rozszerzać zakresu obowiązków Procesora wynikających z Umowy powierzenia ani Umowy głównej;

2.2.2. przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek taki nakłada na niego obowiązujące prawo krajowe lub unijne. W sytuacji, gdy obowiązek przetwarzania danych osobowych przez Procesora wynika z przepisów prawa, informuje on Administratora drogą elektroniczną – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;

2.2.3. przetwarzać Dane osobowe wyłącznie w sposób i na obszarze ustalonym w Umowie głównej i Umowie powierzenia oraz na urządzeniach zarządzanych przez Procesora i jego personel lub Administratora, z zachowaniem najwyższych zasad bezpieczeństwa i ochrony danych osobowych wymaganych przez obowiązujące przepisy prawa;

2.2.4. udzielać dostępu do Danych osobowych wyłącznie osobom, które ze względu na zakres wykonywanych zadań otrzymały od Procesora upoważnienie do ich przetwarzania oraz wyłącznie w celu wykonywania obowiązków wynikających z Umowy głównej oraz podjąć działania mające na celu zapewnienie, by każda osoba fizyczna działająca z upoważnienia Procesora, która ma dostęp do Danych osobowych, przetwarzała je wyłącznie

na polecenie Administratora, chyba że przetwarzanie jest wymagane przez właściwe przepisy krajowe lub unijne;

Strona 3 z 20

2.2.5. zapewnić, aby osoby upoważnione do przetwarzania Danych osobowych zobowiązały się do zachowania tajemnicy, chyba że są to osoby podlegające odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

2.2.6. wdrożyć, zgodnie z wytycznymi wskazanymi w rozdziale 3 Umowy powierzenia, odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane osobowe będą przetwarzane na podstawie Umowy powierzenia oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych (określonych w art. 25 RODO);

2.2.7. wspierać Administratora (w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. Współpraca Procesora z Administratorem, w zakresie wskazanym w zdaniu poprzedzającym, powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków Administratora; w związku z realizacją tego obowiązku Procesor jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych osobowych (lub ich kopii) na żądanie Administratora w terminie 5 Dni Roboczych w formie określonej przez Administratora; Procesor powinien również niezwłocznie, jednak nie później niż w terminie 2 Dni Roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której dane dotyczą, złożonym u Procesora; Procesor nie będzie jednak odpowiadał na taki wniosek bez uprzedniej zgody lub wyraźnego polecenia Administratora;

2.2.8. pomagać Administratorowi wywiązać się z obowiązków określonych w RODO (w tym w szczególności w art. 32–36 RODO), tj. w szczególności w zakresie:

- zapewnienia bezpieczeństwa przetwarzania Danych osobowych poprzez wdrożenie stosownych środków technicznych oraz organizacyjnych (wykaz minimalnych środków, które zobowiązany jest wdrożyć Procesor został określony w Załączniku C do Umowy powierzenia);

Strona 4 z 20

- stosowania wszelkich środków technicznych i organizacyjnych zabezpieczających Dane osobowe, na zasadach określonych w art. 32 RODO1;

- dokonywania zgłaszania naruszeń ochrony Danych osobowych organowi nadzorczemu oraz zawiadamiania osób, których dane dotyczą o takim naruszeniu (obowiązki Procesora w odniesieniu do zgłaszania naruszeń zostały określone w rozdziale 8 Umowy powierzenia);

- dokonywania przez Administratora oceny skutków dla ochrony danych oraz przeprowadzania konsultacji Administratora z organem nadzorczym;

2.2.9. xxxxxxxxx, w formie pisemnej lub postaci elektronicznej, rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora, zawierający informacje o:

- nazwie oraz danych kontaktowych Procesora oraz innych podmiotów przetwarzających (w przypadku podpowierzenia Danych osobowych, o którym mowa w rozdziale 4 Umowy powierzenia) oraz Administratora, a także inspektora ochrony danych, gdy ma to zastosowanie;

- kategoriach przetwarzań dokonywanych w imieniu Administratora;

- gdy ma to zastosowanie – przekazywaniu Danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwie tego państwa trzeciego lub organizacji międzynarodowej;

- ogólnym opisie technicznych i organizacyjnych środków bezpieczeństwa, służących do zabezpieczenia powierzonych danych osobowych;

2.2.10. udostępniać Administratorowi, na każde jego żądanie, nie później niż w terminie 3 Dni Roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Administratora obowiązków wynikających z właściwych przepisów prawa, w szczególności z RODO, w tym przekazywać informacje o stosowanych zabezpieczeniach, zidentyfikowanych zagrożeniach i incydentach w obszarze ochrony danych osobowych;

2.2.11. umożliwiać Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów na zasadach określonych w rozdziale 6 Umowy powierzenia;

2.2.12. niezwłocznie informować Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów krajowych

1 Postanowienie o charakterze alternatywnym. W razie przyjęcia tej wersji, należy zrezygnować z Załącznika C, a w miarę możliwości także z jakichkolwiek ograniczeń odpowiedzialności procesora.

Strona 5 z 20

lub unijnych o ochronie danych; informacja w tym przedmiocie przekazana powinna zostać Administratorowi drogą elektroniczną (na adres e-mail Administratora wskazany w Załączniku A do Umowy powierzenia) oraz powinna zawierać stosowne uzasadnienie i wskazanie przepisu prawa, który zdaniem Xxxxxxxxx został naruszony;

2.2.13. niezwłocznie, jednak nie później niż w ciągu 2 Dni Roboczych, informować (o ile nie doprowadzi to do naruszenia przepisów obowiązującego prawa) Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania danych osobowych przez Procesora, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych, skierowanej do Procesora, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania danych osobowych przez Procesora, w szczególności prowadzonych przez organ nadzoru, a także o wszelkich skargach osób, których dane dotyczą związanych z przetwarzaniem ich danych osobowych;

2.2.14. przechowywać Dane osobowe tylko tak długo, jak to określił Administrator, a także, bez zbędnej zwłoki, aktualizować, poprawiać, zmieniać, anonimizować, ograniczać przetwarzanie lub usuwać wskazane Dane osobowe zgodnie z wytycznymi Administratora, Umową główną i Umową powierzenia.

3. ŚRODKI ORGANIZACYJNE I TECHNICZNE

3.1. Procesor wdraża i stosuje adekwatne środki techniczne i organizacyjne, w celu zapewnienia stopnia bezpieczeństwa odpowiedniego do ryzyka naruszenia praw lub wolności osób fizycznych, których Dane osobowe są przetwarzane na podstawie Umowy powierzenia. Wykaz minimalnych środków, które zobowiązany jest wdrożyć Procesor został określony w Załączniku C do Umowy powierzenia.2

3.2. Oceniając, czy stopień bezpieczeństwa, o którym mowa w pkt. 3.1 jest odpowiedni, Procesor jest zobowiązany uwzględnić ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

3.3. Procesor powinien również wdrożyć – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – odpowiednie środki

2 Postanowienie o charakterze fakultatywnym, dotyczy przypadków, gdy Strony określają umownie środki bezpieczeństwa.

Strona 6 z 20

techniczne i organizacyjne, zaprojektowane w celu skutecznej realizacji zasad ochrony danych określonych w RODO oraz w celu ochrony praw osób, których dane dotyczą (zasada ochrony danych osobowych w fazie projektowania określona w art. 25 ust. 1 RODO), a także odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te Dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania określonego w Załączniku A do Umowy powierzenia (zasada domyślnej ochrony danych określona w art. 25 ust. 2 RODO).

3.4. Wdrażając środki organizacyjne i techniczne, o których mowa powyżej, Procesor:

3.4.1. przestrzega wytycznych Administratora w zakresie sposobu zabezpieczenia procesów przetwarzania Danych osobowych zgodnie z przepisami obowiązującego prawa, o których mowa w pkt. 2.1.1 oraz 2.1.2;

3.4.2. powinien uwzględnić stan wiedzy technicznej oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, których Dane osobowe będzie przetwarzał na podstawie Umowy powierzenia.

3.5. W przypadku stwierdzenia, że stosowane środki mogą być nieadekwatne do rozpoznanych zagrożeń, Procesor informuje o tym Administratora i w porozumieniu z Administratorem dostosowuje odpowiednio zabezpieczenia przetwarzania Danych osobowych, po uzgodnieniu przez Stron zakresu, sposobu i terminu takich działań.

3.6. W przypadku stwierdzenia przez Administratora konieczności zastosowania dodatkowych środków zabezpieczających, Strony uzgodnią zakres, sposób i termin ich wdrożenia.

4. PODPOWIERZENIE

4.1. Administrator wyraża zgodę na dalsze powierzenie przez Procesora przetwarzania Danych osobowych innym podmiotom przetwarzającym wskazanym w Załączniku B do Umowy powierzenia w zakresie oraz celu zgodnym z Umową powierzenia. Procesor jest zobowiązany do informowania o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia dalszych podmiotów przetwarzających drogą elektroniczną (na adres e-mail Administratora wskazany w Załączniku A do Umowy powierzenia). Administrator może sprzeciwić się dalszemu powierzeniu przez Procesora Danych osobowych, w terminie 7 Dni Roboczych od otrzymania informacji, o której mowa w zdaniu poprzedzającym. W przypadku wyrażenia sprzeciwu przez Administratora, Procesor nie jest uprawniony do dalszego

Strona 7 z 20

powierzenia przetwarzania Danych osobowych dalszemu podmiotowi przetwarzającemu, którego dotyczy sprzeciw.

4.2. Procesor zapewnia, że będzie korzystał wyłącznie z usług takich dalszych podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO oraz przepisów obowiązującego prawa z zakresu ochrony danych osobowych, a także zapewniało ochronę praw osób, których dane dotyczą.

4.3. Procesor zapewni w umowie z dalszym podmiotem przetwarzającym, że na podmiot ten zostaną nałożone obowiązki odpowiadające obowiązkom Procesora określonym w Umowie powierzenia, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO.

4.4. Procesor zapewni również w umowie z dalszym podmiotem przetwarzającym możliwość realizacji przez Administratora bezpośredniej kontroli względem dalszego podmiotu przetwarzającego (w tym możliwość przeprowadzania audytów, o których mowa w rozdziale 6 Umowy powierzenia). Procesor jest zobowiązany poinformować dalszy podmiot przetwarzający, że informacje, w tym Dane osobowe, na temat tego podmiotu przetwarzającego mogą być udostępnione Administratorowi w celu wykonania przez niego uprawnień, o których mowa w zdaniu poprzedzającym.

4.5. Procesor jest w pełni odpowiedzialny przed Administratorem za spełnienie obowiązków wynikających z umowy dalszego powierzenia zawartej pomiędzy Procesorem a dalszym podmiotem przetwarzającym. Jeżeli dalszy podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków tego dalszego podmiotu przetwarzającego spoczywa na Procesorze.

4.6. Procesor zobowiązany jest zapewnić, by umowy z dalszymi podmiotami przetwarzającymi ulegały rozwiązaniu w każdym wypadku rozwiązania Umowy powierzenia, niezależnie od przyczyny.

5. TRANSFER DANYCH OSOBOWYCH

5.1. Procesor nie może przekazywać (transferować) Danych osobowych do państwa trzeciego, które znajduje się poza Europejskim Obszarem Gospodarczym, chyba że Administrator udzieli mu uprzedniej, pisemnej pod rygorem bezskuteczności, zgody zezwalającej na taki transfer.

Strona 8 z 20

5.2. Jeśli Administrator udzieli Procesorowi uprzedniej zgody na przekazanie Danych osobowych do państwa trzeciego, które znajduje się poza Europejskim Obszarem Gospodarczym, Procesor może dokonać transferu tych danych osobowych tylko wtedy, gdy:

5.2.1. państwo docelowe zapewnia adekwatny poziom ochrony danych osobowych do tego, który obowiązuje w Unii Europejskiej; lub

5.2.2. Administrator i Procesor lub dalszy podmiot przetwarzający zawarli umowę w oparciu o standardowe klauzule umowne lub wdrożyli inny mechanizm, który zgodnie z przepisami prawa legalizuje transfer danych do państwa trzeciego.

6. AUDYT

6.1. Administrator jest w każdym momencie upoważniony do przeprowadzenia audytu zgodności przetwarzania Danych osobowych przez Procesora z Umową powierzenia oraz obowiązującymi przepisami prawa, w szczególności Administrator może przeprowadzić weryfikację zgodności i adekwatności środków technicznych i organizacyjnych zabezpieczających przetwarzanie Danych osobowych wdrożonych przez Procesora.

6.2. Administrator poinformuje Procesora co najmniej na 3 Dni Robocze przed planowaną datą audytu o zamiarze jego przeprowadzenia, chyba że z uwagi na wysokie ryzyko zagrożenia praw i wolności osób, których dane dotyczą, audyt powinien być przeprowadzony niezwłocznie. Jeżeli w ocenie Procesora audyt nie może zostać przeprowadzony we wskazanym terminie Procesor powinien poinformować o tym fakcie Administratora drogą elektroniczną (przesyłając informację na adres e-mail Administratora wskazany w Załączniku A do Umowy powierzenia) wskazując uzasadnienie dla takiej oceny. W takim przypadku Strony wspólnie ustalą późniejszy termin audytu.

6.3. Procesor ma obowiązek współpracować z Administratorem i upoważnionymi przez niego audytorami, w szczególności zapewniać im dostęp do pomieszczeń i dokumentów obejmujących Dane osobowe oraz informacje o sposobie przetwarzania Danych osobowych, infrastruktury teleinformatycznej oraz systemów IT, a także do osób mających wiedzę na temat procesów przetwarzania Danych osobowych realizowanych przez Procesora. Administrator będzie prowadzić audyt z poszanowaniem tajemnic przedsiębiorstwa Procesora.

6.4. Po przeprowadzonym audycie przedstawiciel Administratora sporządza protokół pokontrolny, który podpisują przedstawiciele obu Stron. Procesor zobowiązuje się w rozsądnym czasie, w terminie uzgodnionym z Administratorem, dostosować

Strona 9 z 20

do zaleceń pokontrolnych zawartych w protokole, mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania Danych osobowych.

6.5. Administrator ma także prawo żądać od Procesora składania pisemnych wyjaśnień dotyczących realizacji Umowy powierzenia. Procesor zobowiązuje się odpowiedzieć niezwłocznie, jednak nie później niż w terminie 3 Dni Roboczych, na każde pytanie Administratora dotyczące przetwarzania powierzonych mu na podstawie Umowy powierzenia Danych osobowych.

6.6. Procesor jest zobowiązany zapewnić w umowie z dalszym podmiotem przetwarzającym możliwość przeprowadzania przez Administratora audytu zgodności przetwarzania Danych osobowych przez dalszy podmiot przetwarzający z Umową powierzenia na zasadach określonych w pkt. 6.1. – 6.4 i 6.7.

6.7. Koszty związane z przeprowadzeniem audytu ponosi każda ze Stron we własnym zakresie, przy czym Procesor nie ma prawa do żądania zwrotu takich kosztów ani zapłaty jakiegokolwiek dodatkowego wynagrodzenia z tytułu poniesienia takich kosztów.

7. POUFNOŚĆ

7.1. Procesor ma obowiązek ochrony informacji poufnych, niezależnie od formy ich przekazania i przetwarzania, rozumianych jako informacje takie jak:

7.1.1. powierzone przez Administratora Dane osobowe, w tym szczególne kategorie danych osobowych (w rozumieniu art. 9 ust. 1 RODO);

7.1.2. informacje stanowiące tajemnicę przedsiębiorstwa Administratora (w rozumieniu ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji);

7.1.3. informacje wymagające ochrony ze względu na ich znaczenie dla interesów Administratora, w tym wszelkie dane techniczne, finansowe i handlowe, materiały i dokumenty lub inne informacje bez względu na fakt, czy są one utrwalone w formie pisemnej lub w jakikolwiek inny sposób, zapisane w jakiejkolwiek formie i na jakimkolwiek nośniku, dotyczące Administratora lub jego klientów, kontrahentów, dostawców, a także informacje dotyczące usług, polityki cenowej, sprzedaży, wynagrodzeń pracowników, które Procesor otrzymał w okresie obowiązywania Umowy powierzenia, lub o których dowiedział się, czy też do których miał dostęp lub będzie w ich posiadaniu, w związku z prowadzonymi rozmowami i negocjacjami, a które nie są powszechnie znane.

7.2. Procesor w szczególności zapewnia, że:

Strona 10 z 20

7.2.1. wszelkie przekazane, udostępnione lub ujawnione mu przez Administratora informacje poufne będą chronione i zachowane w tajemnicy, w sposób zgodny z obowiązującymi przepisami prawa oraz postanowieniami Umowy powierzenia;

7.2.2. uzyskane informacje poufne zostaną użyte i wykorzystane wyłącznie w celu, w jakim zostały przekazane, udostępnione lub ujawnione;

7.2.3. posiadane informacje poufne nie zostaną przekazane lub ujawnione żadnej osobie trzeciej – bezpośrednio ani pośrednio (z zastrzeżeniem wyjątków przewidzianych w Umowie powierzenia lub Umowie głównej) – bez uprzedniej zgody Administratora, wyrażonej w formie pisemnej;

7.2.4. będzie chronić na swój koszt informacje poufne poprzez dołożenie najwyższego poziomu staranności.

7.3. Procesor zobowiązuje się nie kopiować, ani w inny sposób nie powielać dostarczonych przez Administratora informacji poufnych lub ich części, z wyjątkiem przypadków, kiedy jest to konieczne w celu, dla jakiego zostały przekazane lub w innym celu ściśle związanym z przedmiotem współdziałania Stron. Wszelkie wykonane w takim przypadku kopie lub reprodukcje informacji poufnych, utrwalonych na jakichkolwiek nośnikach informacji, łącznie z nośnikami elektronicznymi, pozostają własnością Administratora i zostaną wydane, zniszczone lub skutecznie usunięte z nośników informacji na jego żądanie.

7.4. Informacje poufne mogą zostać przekazane tylko upoważnionym pracownikom Procesora, osobom zatrudnionym przez Procesora na podstawie umów cywilnoprawnych, podwykonawcom Procesora, którzy z uwagi na zakres swych obowiązków, bądź zadania im powierzone będą zaangażowani w wykonanie Umowy głównej na rzecz Administratora, i którzy zostaną wcześniej wyraźnie poinformowani o charakterze informacji poufnych oraz o zobowiązaniach Procesora do zachowania ich w tajemnicy wynikających z Umowy powierzenia oraz zobowiążą się do przestrzegania zasad ochrony informacji poufnych, w tym procedur bezpieczeństwa wynikających z obowiązujących przepisów prawa i Umowy głównej. Administrator upoważnia Procesora do udzielania dalszych upoważnień do przetwarzania informacji poufnych. Procesor ponosi całkowitą odpowiedzialność za działania i zaniechania ww. osób.

7.5. Procesor będzie zwolniony z obowiązku zachowania w tajemnicy informacji poufnych w przypadku, gdy obowiązek ujawnienia informacji poufnych wynikać będzie z bezwzględnie obowiązujących przepisów prawa, bądź też prawomocnego orzeczenia lub decyzji uprawnionego sądu lub organu. O każdorazowym powzięciu informacji o takim obowiązku Procesor jest zobowiązany niezwłocznie, nie później

Strona 11 z 20

niż w terminie 24 godzin od dowiedzenia się o nim, powiadomić Administratora. W takim przypadku Procesor obowiązany jest do:

7.5.1. ujawnienia tylko takiej części informacji poufnych, jaka jest wymagana przez prawo;

7.5.2. podjęcia wszelkich możliwych działań w celu zapewnienia, iż ujawnione informacje poufne będą traktowane w sposób poufny i wykorzystywane tylko w zakresie uzasadnionym celem ujawnienia.

7.6. Zobowiązanie do zachowania poufności nie wygasa po zakończeniu Umowy powierzenia i jest nieograniczone w czasie. W przypadku gdyby powyższe zastrzeżenie okazało się nieważne lub bezskuteczne, zobowiązanie do zachowania poufności trwa przez okres 10 lat od dnia wygaśnięcia Umowy głównej, niezależnie od przyczyny.

8. ZGŁASZANIE NARUSZEŃ

8.1. Procesor jest zobowiązany do wdrożenia i stosowania procedur służących wykrywaniu naruszeń ochrony danych osobowych oraz wdrażaniu właściwych środków naprawczych.

8.2. Po stwierdzeniu naruszenia ochrony powierzonych mu przez Administratora Danych osobowych Procesor, bez zbędnej zwłoki, jednak nie później niż w ciągu

12 godzin od wykrycia naruszenia, zgłasza je Administratorowi. Zgłoszenie powinno zawierać co najmniej informacje o:

8.2.1. dacie, czasie trwania oraz lokalizacji naruszenia ochrony Danych osobowych;

8.2.2. charakterze i skali naruszenia, tj. w szczególności o kategoriach i przybliżonej liczbie osób, których dane dotyczą, oraz kategoriach i przybliżonej liczbie wpisów Danych osobowych, których dotyczy naruszenie;

8.2.3. systemie informatycznym, w którym wystąpiło naruszenie (jeżeli naruszenie nastąpiło w związku z przetwarzaniem danych w systemie informatycznym);

8.2.4. przewidywanym czasie potrzebnym do naprawienia szkody spowodowanej naruszeniem;

8.2.5. charakterze i zakresie Danych osobowych objętych naruszeniem;

Strona 12 z 20

8.2.6. kategoriach osób, których dotyczą Dane osobowe objęte naruszeniem, a w razie możliwości także wskazania podmiotów danych, których dotyczyło naruszenie;

8.2.7. możliwych konsekwencjach naruszenia, z uwzględnieniem konsekwencji dla osób, których dane dotyczą;

8.2.8. środkach podjętych w celu zminimalizowania konsekwencji naruszenia oraz proponowanych działaniach zapobiegawczych i naprawczych;

8.2.9. danych kontaktowych osoby mogącej udzielić dalszych informacji o naruszeniu.

8.3. Jeżeli Procesor nie jest w stanie w tym samym czasie przekazać Administratorowi wszystkich informacji, o których mowa powyżej, powinien je udzielać sukcesywnie, bez zbędnej zwłoki.

8.4. Procesor bez zbędnej zwłoki podejmuje wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków naruszenia.

8.5. Procesor jest zobowiązany do dokumentowania wszelkich naruszeń ochrony powierzonych mu Danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutków oraz podjętych działań zaradczych. Procesor jest zobowiązany na każde żądanie Administratora niezwłocznie udostępnić mu dokumentację, o której mowa w zdaniu poprzednim.

8.6. Procesor nie będzie bez wyraźnej instrukcji Administratora powiadamiał o naruszeniu:

8.6.1. osób, których dane dotyczą; ani

8.6.2. organu nadzorczego.

9. CZAS TRWANIA UMOWY POWIERZENIA ORAZ ZASADY ODPOWIEDZIALNOŚCI

9.1. Umowa powierzenia zostaje zawarta na czas określony i przestaje obowiązywać wraz z zakończeniem obowiązywania Umowy głównej.

9.2. Administrator uprawniony jest do wypowiedzenia Umowy powierzenia ze skutkiem natychmiastowym w przypadku zaistnienia ważnych powodów, w tym także w razie naruszenia przez Procesora lub dalszy podmiot przetwarzający przepisów RODO, innych obowiązujących przepisów prawa lub Umowy powierzenia, a w szczególności, gdy:

9.2.1. organ nadzoru nad przestrzeganiem zasad przetwarzania danych osobowych stwierdzi, że Procesor lub dalszy podmiot przetwarzający nie przestrzega zasad przetwarzania Danych osobowych,

Strona 13 z 20

9.2.2. prawomocne orzeczenie sądu powszechnego wykaże, że Procesor nie przestrzega zasad przetwarzania Danych osobowych;

9.2.3. Administrator, w wyniku przeprowadzenia audytu, o którym mowa w rozdziale 6 Umowy powierzenia stwierdzi, że Procesor nie przestrzega zasad przetwarzania Danych osobowych wynikających z Umowy powierzenia lub obowiązujących przepisów prawa lub Procesor nie zastosuje się do zaleceń pokontrolnych, o których mowa w pkt. 6.4.

9.3. Naruszenie przez Procesora postanowień Umowy powierzenia, RODO lub innych obowiązujących przepisów prawa z zakresu ochrony danych osobowych stanowi podstawę do wypowiedzenia Umowy głównej.

9.4. W dniu zakończenia obowiązywania Umowy powierzenia Procesor powinien zgodnie z dyspozycją Administratora zwrócić lub zniszczyć, w sposób odrębnie ustalony z Administratorem, wszelkie Dane osobowe i ich kopie, chyba że właściwe przepisy prawa krajowego lub unijnego nakazują przechowywanie tych Danych osobowych.

9.5. Na prośbę Administratora Procesor przesyła pisemne potwierdzenie zniszczenia Danych osobowych w terminie przez niego wskazanym.

9.6. W przypadku ograniczenia zakresu powierzenia przetwarzania przez Administratora, w trybie określonym w Umowie powierzenia, postanowienia o rozwiązaniu Umowy powierzenia stosuje się odpowiednio do danych, które wskutek ograniczenia zakresu nie mogą już być przetwarzane przez Procesora.

9.7. W przypadku dalszego powierzenia przetwarzania Danych osobowych Procesor zobowiązuje się do zawarcia w umowach z dalszymi podmiotami przetwarzającymi postanowień, zgodnie z którymi umowy dalszego przetwarzania danych będą ulegały automatycznemu rozwiązaniu w razie zakończenia obowiązywania Umowy powierzenia.

9.8. Procesor odpowiada za szkody, jakie powstaną u Administratora, osób, których dane dotyczą lub innych osób trzecich w wyniku niezgodnego z Umową powierzenia lub przepisami prawa przetwarzania przez Procesora Danych osobowych, a w szczególności w związku z udostępnianiem Danych osobowych osobom nieupoważnionym.

9.9. Z zastrzeżeniem poniższych punktów, Procesor ponosi względem Administratora odpowiedzialność na zasadach ogólnych. Administrator jest uprawniony do naliczenia Procesorowi następujących kar umownych:

Strona 14 z 20

9.9.1. Z tytułu opóźnienia w zgłoszeniu naruszenia w terminie określonym w pkt 8.2, w wysokości [xxx] złotych, za każdą godzinę opóźnienia;

9.9.2. Z tytułu naruszenia obowiązków w zakresie poufności, określonych w rozdziale 7 Umowy powierzenia, w wysokości [xxx] złotych, za każdy przypadek naruszenia;

9.9.3. Z tytułu niezastosowania któregokolwiek z zabezpieczeń, określonych w [xxx], w wysokości [xxx] złotych za każdy stwierdzony przypadek;

9.9.4. Z tytułu naruszenia obowiązku uzyskania zgody Administratora na dalsze powierzenie przetwarzania Danych osobowych - w wysokości [xxx] złotych, za każdy stwierdzony przypadek;

9.9.5. Z tytułu zawarcia umowy dalszego powierzenia pomimo zgłoszonego przez Administratora sprzeciwu – w wysokości [xxx] złotych, za każdy stwierdzony przypadek;

9.9.6. Z tytułu nie zawarcia w umowie z dalszym podmiotem przetwarzającym postanowień, o których mowa w pkt 4.3, 4.4 lub 4.6 – w wysokości [xxx] złotych, za każdy stwierdzony przypadek;

9.9.7. Z tytułu uniemożliwienia Administratorowi przeprowadzenia audytu, zgodnie z rozdziałem 6 Umowy powierzenia, w wysokości [xxx] złotych, za każdy przypadek;

9.9.8. Z tytułu opóźnienia we wdrożeniu zaleceń pokontrolnych, o których mowa w pkt 6.4, w stosunku do terminu uzgodnionego przez Strony, w wysokości

[xxx] złotych, za każdy dzień opóźnienia;

9.9.9. Z tytułu naruszenia obowiązku uzyskania zgody Administratora na transfer danych poza obszar EOG, w wysokości [xxx] złotych, za każdy stwierdzony przypadek;

9.10. Naliczenie kary umownej nie wyłącza odpowiedzialności Procesora w pełnej wysokości jeżeli wyrządzona szkoda przekracza wartość kary umownej.

9.11. Naliczenie kary umownej nie wyłącza odpowiedzialności Procesora na zasadach ogólnych, z zastrzeżeniem ograniczenia odpowiedzialności do …% wartości całkowitego wynagrodzenia brutto określonego w Umowie głównej. Ograniczenie odpowiedzialności, o którym mowa w zdaniu poprzedzającym, nie dotyczy przypadków, w których Administrator zostanie zobowiązany prawomocną decyzją lub prawomocnym wyrokiem właściwego sądu do zapłaty kary pieniężnej, odszkodowania, zadośćuczynienia lub jakiejkolwiek innej kwoty z tytułu naruszenia przepisów dotyczących ochrony danych osobowych lub w związku ze szkodą lub krzywdą wyrządzoną w związku z naruszeniem przepisów dotyczących ochrony danych osobowych, jeśli takie naruszenie lub szkoda

Strona 15 z 20

(krzywda) wynikać będą z naruszenia przez Procesora postanowień Umowy powierzenia. W takim przypadku Procesor odpowiada względem Administratora w pełnej wysokości i zobowiązany jest zwrócić Administratorowi wszelkie koszty, wynikłe z tego dla Administratora, w tym w szczególności zwrócić kwotę wypłaconego odszkodowania, zadośćuczynienia lub kary pieniężnej.3

10. ADRESY STRON I DANE OSÓB

10.1. Wszelka korespondencja w sprawach związanych z Umową będzie kierowana na adresy Stron wskazane w Załączniku A do Umowy powierzenia.

10.2. Procesora w kontaktach z Administratorem oraz Administratora w kontaktach z Procesorem w zakresie ustaleń Umowy powierzenia reprezentować będą osoby wskazane w Załączniku A do Umowy powierzenia. Zmiana adresów i danych tych osób nie stanowi zmiany Umowy powierzenia. O każdej zmianie powyższych danych Strony powiadomią się na piśmie, za potwierdzeniem odbioru lub drogą elektroniczną. Osoby wskazane w Załączniku A do Umowy powierzenia nie są uprawnione do zmiany Umowy powierzenia, jej wypowiedzenia lub rozwiązania, chyba że co innego wynika z treści okazanego przez nie pełnomocnictwa.

11. POSTANOWIENIA KOŃCOWE

11.1. Umowa powierzenia podlega prawu polskiemu. Umowa powierzenia została zawarta [xxx]4.

11.2. Wszelkie zmiany postanowień zawartej Umowy powierzenia mogą nastąpić za zgodą obu Stron wyrażoną w formie pisemnej poprzez zawarcie aneksu do Umowy powierzenia pod rygorem bezskuteczności, z zastrzeżeniem wyraźnie odmiennych postanowień Umowy powierzenia oraz z uwzględnieniem postanowień ust. 11.3. poniżej.

11.3. Zgodnie z art. 781 § 2 Kodeksu cywilnego Strony zgodnie potwierdzają, że złożenie oświadczenia, przez którąkolwiek ze Stron, w postaci elektronicznej i opatrzenie go kwalifikowanym podpisem elektronicznym jest tożsame z oświadczeniem złożonym w formie pisemnej i stanowi zachowanie wymogu co do formy określonego w Umowie powierzenia

3 Postanowienie zapisane kursywą ma charakter alternatywny wobec pkt 9.10.

4 Alternatywnie do wyboru:

- w formie elektronicznej;

- poprzez wymianę dokumentów obejmujących treść oświadczeń woli, z których każdy jest podpisany przez jedną ze Stron, przy czym Procesor/Administrator podpisuje egzemplarz Umowy powierzenia w formie pisemnej – własnoręcznie, a Administrator/Procesor podpisuje egzemplarz Umowy powierzenia w formie elektronicznej – z wykorzystaniem kwalifikowanego podpisu elektronicznego.

Strona 16 z 20

11.4. Procesor nie może przenieść praw lub obowiązków wynikających z Umowy powierzenia bez uprzedniej zgody Administratora wyrażonej w formie pisemnej pod rygorem bezskuteczności.

11.5. Wszelkie spory w związku z Umową powierzenia zostaną poddane pod rozstrzygnięcie sądu powszechnego miejscowo właściwego zgodnie z Umową główną.

11.6. Załączniki do Umowy powierzenia stanowią jej integralną część. Lista Załączników jest następująca:

11.6.1. Załącznik A – Zakres powierzenia danych osobowych;

11.6.2. Załącznik B – Lista dalszych podmiotów przetwarzających;

11.6.3. Załącznik C – Wykaz minimalnych środków technicznych i organizacyjnych, które zobowiązany jest wdrożyć Procesor.

Strona 17 z 20

ZAŁĄCZNIK A

ZAKRES POWIERZENIA DANYCH OSOBOWYCH ORAZ DANE KONTAKTOWE STRON

1) Charakter oraz cele przetwarzania: (…)

2) Kategorie osób, których dane dotyczą: (…)

3) Rodzaj danych osobowych: (…)

4) Obszar, na którym przetwarzane będą dane osobowe: (…)

5) Dane kontaktowe stron:

a. Wszelka korespondencja w sprawach związanych z Umową powierzenia będzie kierowana do Administratora na następujące dane kontaktowe: adres [xxx], tel. [xxx], email [xxx];

b. Wszelka korespondencja w sprawach związanych z Umową powierzenia będzie kierowana do Procesora na następujące dane kontaktowe: adres [xxx], tel. [xxx], e-mail [xxx].

6) Dane przedstawicieli Stron:

a. Procesora w kontaktach z Administratorem w zakresie ustaleń Umowy powierzenia reprezentować będą następujące osoby: [xxx];

b. Administratora w kontaktach z Procesorem w zakresie ustaleń Umowy powierzenia reprezentować będą następujące osoby: [xxx].

Strona 18 z 20

ZAŁĄCZNIK B

WYKAZ DALSZYCH PODMIOTÓW PRZETWARZAJĄCYCH

1) …

2) …

3) …

Xxxxxx 00 x 00

XXXXXXXXX X

WYKAZ MINIMALNYCH ŚRODKÓW TECHNICZNYCH

I ORGANIZACYJNYCH, KTÓRE ZOBOWIĄZANY JEST WDROŻYĆ PROCESOR5

5 Uwaga: zaproponowane środki mają jedynie charakter przykładowy. Każdorazowo powinny one zostać określone z uwzględnieniem założeń i specyfiki konkretnego projektu oraz wyników prac audytu przeprowadzanego w ramach wdrażania wymagań RODO. Część propozycji dotyczy przetwarzania danych w systemach informatycznych (nie znajdą one zatem zastosowania, gdy procesor nie będzie wykorzystywał takich systemów do przetwarzania powierzonych danych).

Strona 20 z 20