UMOWA POWIERZENIA PRZETWARZANIA DANYCH
UMOWA POWIERZENIA PRZETWARZANIA DANYCH
(zwana dalej „Umową”)
Ze względu na fakt, iż Ogólne Rozporządzenie o Ochronie Danych (GDPR - ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
„Rozporządzenie” stosuje się od dnia 25 maja 2018 r., Strony muszą uzgodnić wymagane zasady i warunki przetwarzania danych osobowych.
§1
POLECENIE DOKONYWANIA
PRZETWARZANIA DANYCH OSOBOWYCH W IMIENIU ADMINISTRATORA
1. Niniejsza Umowa powierzenia przetwarzania danych osobowych określa główne zasady przetwarzania danych osobowych.
2. W celu wykonywania umowy o świadczenie usług/zlecenia pomiędzy Klientem (zwanego w dalszej części Umowy „Administartorem” a Usługodawcą (zwanego w dalszej części Umowy „Podmiotem przetwarzającym”, Administrator powierza Podmiotowi przetwarzającemu dokonywanie, w imieniu Administratora, przetwarzania danych osobowych w zakresie i na zasadach określonych w Umowie.
3. Podmiot przetwarzający uprawniony jest do dokonywania przetwarzania Danych osobowych w imieniu Administratora wyłącznie w celu i w sposób określonych w Umowie.
4. Umowa powierzenia ma charakter akcesoryjny wobec umowy o świadcznie usług/zlecenia („Umowa podstawowa”) i reguluje wzajemny stosunek Stron i obowiązki w zakresie przetwarzania danych osobowych wynikających z Umowy podstawowej.
§2
RODZAJ DANYCH OSOBOWYCH I
DKANAETEDGOOTRYICEZĄOSÓB, K
1. Polecenie dokonywania przetwarzania danych osobowych, będące przedmiotem Umowy, obejmuje dane osobowe w następującym zakresie:
1) Kandydaci – wszelkie dane udostępnianie przez Kandydatów za pośrednictwem Systemu Infopracy (np. dane zawarte w dokumentach aplikacyjnych takich jak: CV, profil kandydata, bądź list motywacyjny)
2) Pracownicy Klienta – Xxxx i nazwisko oraz adres e-mail (zwane dalej „Danymi osobowymi”).
2. Dane osobowe dotyczą następujących kategorii osób:
1) Kandydaci;
2) Pracownicy Klienta;
§3
CZYNNOŚCI PRZETWPAOWRIZERAZENNIIEMA, CHARAKTER I CELE PRZETWARZANIA DANYCH OSOBOWYCH
OBJĘTE
1. Administrator powierza Podmiotowi przetwarzającemu dokonywanie, w imieniu Administratora, przetwarzania Danych osobowych w zakresie następujących czynności: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
2. Administrator powierza Podmiotowi przetwarzającemu dokonywanie przetwarzania Danych osobowych w celu wykonywania Umowy podstawowej.
§4
OŚWIADCPZOEDNMIAOTU PRZETWARZAJĄCEGO
1. Podmiot przetwarzający oświadcza, że zapewnia wystarczające gwarancje – w szczególności poprzez wiedzę fachową, doświadczenie, wiarygodność i zasoby – wdrożenia adekwatnych do ryzyka i zagrożeń środków technicznych i organizacyjnych – by przetwarzanie Danych osobowych na podstawie Umowy spełniało wymogi wynikające z obowiązujących przepisów o ochronie danych osobowych, w tym zwłaszcza w zakresie bezpieczeństwa Danych osobowych i chroniło prawa osób, których dane dotyczą.
2. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu Dane osobowe zgodnie z Umową powierzenia, Rozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
3. Podmiot przetwarzający oświadcza, że powierzone mu do przetwarzania Dane osobowe przetwarzane będą wyłącznie na terytorium Unii Europejskiej lub Europejskiego Obszaru Gospodarczego.
4. Podmiot przetwarzający oświadcza, że powołał Inspektora Ochrony Danych (e-mail: xxx@xxxxxxxxx.xx
§5
OBOWIĄZKI PODMIOTU PRZETWARZAJĄCEGO
Podmiot przetwarzający zobowiązany jest do:
1. podjęcia przed rozpoczęciem dokonywania przetwarzania Danych osobowych na podstawie Umowy i stosowania przez cały czas trwania przetwarzania Danych osobowych środków organizacyjnych i technicznych zapewniających odpowiedni stopień bezpieczeństwa Danych osobowych w tym x.xx.:
a. pseudonimizacji oraz szyfrowaniu, jeżeli jest to odpowiedni rodzaj zabezpieczenia w związku z charakterem przedmiotu Umowy podstawowej;
b. zapewnieniu przez cały czas poufności, integralności, dostępności i odporności systemów oraz usług przetwarzania;
c. przywróceniu dostępności oraz dostępu do powierzonych danych osobowych w sposób terminowy w przypadku awarii fizycznej lub technicznej;
d. regularnym testowaniu, ocenie i ewaluacji efektywności środków technicznych i organizacyjnych dla bezpieczeństwa przetwarzania danych osobowych;
e. wdrożeniu i utrzymaniu kontroli bezpieczeństwa oraz zabezpieczeń w celu spełnienia wymogów właściwych przepisów w zakresie ochrony danych.
2. prowadzenia wymaganej obowiązującymi przepisami o ochronie danych osobowych dokumentacji ochrony danych;
3. współpracy, na każde żądanie, z jakimkolwiek organem nadzorczym uprawnionym do kontroli przestrzegania przepisów o ochronie danych w zakresie i sposób określonych przez ten organ;
4. dokumentowania wszelkich naruszeń ochrony Danych Osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutków oraz podjętych działaniach zaradczych;
5. regularnej weryfikacji i aktualizacji stosowanych przez niego środków technicznych i organizacyjnych tak, aby zapewnić powierzonym Danym osobowym adekwatny stopień ochrony. Podmiot przetwarzający, na żądanie Administratora, przekaże informacje o stosowanych przez niego środkach organizacyjnych i technicznych związanych z przetwarzaniem Danych osobowych.
6. dołożenia należytej staranności przy przetwarzaniu powierzonych Danych osobowych.
7. z uwzględnieniem charakteru przetwarzanych danych oraz dostępnych mu informacji współpracowania i udzielania pomocy Administratorowi w celu wywiązywania się z obowiązków określonych w art. 32-36 Rozporządzenia. W szczególności Podmiot przetwarzający będzie udzielał Administratorowi niezbędnych informacji dotyczących stosowanych środków bezpieczeństwa, certyfikacji w określonych obszarach, zidentyfikowanych po stronie Podmiotu przetwarzającego ryzyk związanych z przetwarzaniem Danych osobowych oraz wspierał Administratora przy przeprowadzaniu analizy ryzyka lub oceny skutków dla ochrony danych
poprzez udzielanie Administratorowi niezbędnych informacji odnośnie przetwarzania Danych osobowych przez Podmiot przetwarzający potrzebnych do przeprowadzenia przez Administratora analizy ryzyka lub oceny skutków dla ochrony danych;
8. zapewnienia by:
a. dostęp do Danych osobowych miały wyłącznie osoby upoważnione do tego przez Podmiot przetwarzający;
b. osoby upoważnione do przetwarzania Danych osobowych zobowiązały się na piśmie do zachowania w tajemnicy tych Danych osobowych oraz do przestrzegania sposobów ich zabezpieczenia.
§ 6
OBOWIĄZEK INFORMOWANIA I WSPOMAGANIA ADMI
1. Podmiot przetwarzający zobowiązany jest do niezwłocznego poinformowania Administratora (za ƉŽƑƌĞĚŶŝĐƚǁĞŵ Ɖ)Žo:ĐnjƚLJ ĞůĞŬƚƌŽŶŝĐnjŶĞũ
a. jakimkolwiek postępowaniu lub orzeczeniu dotyczącym Danych osobowych powierzonych na mocy niniejszej Umowy, w tym zwłaszcza ich prawidłowego zabezpieczenia;
b. stwierdzonym przez Podmiot przetwarzający naruszeniu ochrony przetwarzanych Danych osobowych lub zagrożeniu takiego naruszenia nie później niż w ciągu 48 godzin od wykrycia naruszenia), wraz ze wskazaniem (opisem):
x charakteru naruszenia ochrony danych osobowych, w tym kategorii i przybliżonej liczby osób, których dane dotyczą;
x możliwych konsekwencji naruszenia ochrony danych osobowych;
x środków zastosowanych lub proponowanych przez Podmiot przetwarzający w celu zaradzenia naruszeniu ochrony danych osobowych, w tym środków mających na celu zminimalizowanie jego ewentualnych negatywnych skutków;
x dane kontaktowe inspektora ochrony danych,
c. zapowiedzi albo rozpoczęciu przez organ nadzorczy kontroli lub postępowania wyjaśniającego dotyczącego Danych osobowych powierzonych na mocy niniejszej Umowy;
2. Podmiot przetwarzający zobowiązany jest w miarę możliwości i z uwzględnieniem uzasadnionego interesu Administratora do wspomagania Administratora, w sposób wspólnie ustalony przez Xxxxxx, w sprawach dotyczących Danych osobowych powierzonych na mocy niniejszej Umowy, w szczególności poprzez:
a. udzielanie pisemnych wyjaśnień lub informacji;
b. udostępnianie dokumentów lub innego rodzaju zapisów;
c. umożliwianie:
x wglądu lub zapisania informacji przechowywanych w systemach informatycznych;
x dokonywania przeglądów stanu systemów informatycznych;
x przeprowadzania testów zabezpieczeń systemów informatycznych;
na każde żądanie Administratora w związku z prowadzoną kontrolą lub audytem.
3. Obowiązek, o którym mowa w ust. 2 powyżej dotyczy także wspierania Administratora w wywiązywaniu się z obowiązku udzielania osobie, której dane dotyczą informacji na temat przetwarzania jej danych osobowych, odpowiadania na żądania tych osób, oraz innych obowiązków Administratora, wynikających z korzystania przez osobę, której dane dotyczą z przysługujących jej praw zgodnie z obowiązującymi przepisami prawa o ochronie danych osobowych i z uwzględnieniem charakter przetwarzania na podstawie niniejszej Umowy.
§7
KORZYSTANIE Z USŁUG INNEGO PODMIOTU PRZET
1. Administrator wyraża ogólną zgodę na korzystanie przez Podmiot przetwarzający z usług innego podmiotu przetwarzającego (zwanego dalej „Innym podmiotem przetwarzającym”) w celu
wykonywania w imieniu Administratora wszystkich lub wybranych czynności przetwarzania Danych osobowych.
2. Podmiot przetwarzający zobowiązany jest do uprzedniego poinformowania Administratora
o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających – w takim wypadku Administrator uprawniony jest do wyrażenia wiążącego sprzeciwu wobec takich zmian.
3. Informacja obejmująca zamierzone zmiany, o których mowa w ust. 2 powyżej, winna zostać przekazana za pośrednictwem poczty elektronicznej na adres wskazany przez Administratora i powinna zawierać:
1) imię i nazwisko/nazwę oraz dane kontaktowe Innego podmiotu przetwarzającego;
2) określenie czynności przetwarzania Danych osobowych, w celu wykonywania których Podmiot przetwarzający będzie korzystać z usług Innego podmiotu przetwarzającego;
4. Strony zgodnie postanawiają, że w przypadku gdy Xxxx podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony Danych osobowych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków Innego podmiotu przetwarzającego spoczywa na Podmiocie przetwarzającym.
5. Podmiot przetwarzający gwarantuje, że Inny podmiot przetwarzający o którym mowa w § 7 Umowy powierzenia daje te same gwarancje i spełnia obowiązki, jakie zostały nałożone na Podmiot przetwarzający w niniejszej Umowie powierzenia
§8
PRAWO AUDYTU
ORAZ OBOWIĄZKI PODMIOTU PRZETWARZAJĄCE
1. Administrator uprawniony jest do przeprowadzania audytu Podmiotu przetwarzającego w zakresie zgodności wykonywania przez niego czynności przetwarzania Danych osobowych z postanowieniami Umowy oraz obowiązującymi przepisami o ochronie danych, w szczególności w celu sprawdzenia wykonywania przez Podmiot przetwarzający ciążących na nim obowiązków.
2. O zamiarze przeprowadzenia audytu Administrator zobowiązany jest zawiadomić Podmiot przetwarzający z co najmniej 21 dniowym wyprzedzeniem.
3. Administrator ma prawo wskazać osoby upoważnione do przeprowadzenia audytu w jego imieniu.
4. Podmiot przetwarzający zobowiązany do umożliwienia Administratorowi lub osobom, o których mowa w ust. 3 powyżej, przeprowadzenia audytu, w szczególności poprzez:
1) umożliwienie wstępu na teren nieruchomości, obiektu, lokalu lub ich części, na którym Podmiot przetwarzający prowadzi działalność w zakresie objętym niniejszą Umową;
2) udostępnienie stosowanych środków technicznych ochrony Danych osobowych, w tym w szczególności systemów, urządzeń, programów, narzędzi, aplikacji, instalacji;
3) udostępnienie dokumentów lub innych nośników informacji;
4) udzielanie informacji lub wyjaśnień w formie ustnej lub pisemnej według wyboru Administratora;
w zakresie niezbędnym do przeprowadzenia audytu.
5. Administrator uprawniony jest do przekazania Podmiotowi przetwarzającemu, po przeprowadzonym audycie, pisemnych zaleceń i wytycznych wraz z propozycją terminu ich realizacji, nie krótszym niż 30 (słownie: trzydzieści) dni od dnia ich przekazania. Podmiot przetwarzający zobowiązany jest do wykonania uzasadnionych zaleceń pokontrolnych we wspólnie ustalonym przez Strony terminie.
§9
CZAS TRWANIA PRZETWARZANIA
1. Podmiot przetwarzający uprawniony jest do wykonywania czynności przetwarzania w imieniu Administratora przez czas obowiązywania Umowy.
2. Umowa zawarta jest na czas obowiązywania Umowy podstawowej, przy czym rozwiązanie, wypowiedzenie lub wygaśnięcie Umowy Podstawowej powoduje jednoczesne odpowiednio rozwiązanie, wypowiedzenie lub wygaśnięcie Umowy bez konieczności składania przez Strony dodatkowych oświadczeń w tym zakresie, chyba że Strony postanowią inaczej, z zastrzeżeniem postanowień poniższych.
3. Administrator jest uprawniony do wypowiedzenia Umowy ze skutkiem natychmiastowym w przypadku:
1) dokonywania przez Podmiot przetwarzający przetwarzania Danych osobowych w celu lub w sposób inny niż określony w Umowie;
2) korzystania przez Podmiot przetwarzający, w celu wykonywania w imieniu Administratora wszystkich lub wybranych czynności przetwarzania Danych osobowych, z usług Innego podmiotu przetwarzającego bez zgody Administratora lub wbrew sprzeciwowi Administratora;
3) niezastosowanie się przez Podmiot przetwarzający do zaleceń pokontrolnych w wyznaczonym terminie.
4. Xxxxxx zgodnie postanawiają, że wypowiedzenie Xxxxx w przypadkach określonych w ust. 3 powyżej powoduje jednoczesne wypowiedzenie Umowy podstawowej z winy Podmiotu przetwarzającego bez konieczności składania dodatkowych oświadczeń, chyba że co innego wynika z oświadczenia o wypowiedzeniu Umowy złożonego przez Administratora.
5. Po zakończeniu przetwarzania Danych osobowych, niezależnie od sposobu lub przyczyny, Podmiot przetwarzający zobowiązany jest, na swój koszt i ryzyko, według wyboru Administratora do:
1) niezwłocznego zwrócenia Danych osobowych Administratorowi i następnie usunięcia wszelkich istniejących ich kopii;
lub
2) niezwłocznego usunięcia Danych osobowych.
6. Dane osobowe lub ich kopie powinny zostać usunięte przez Xxxxxxx przetwarzający w terminie 14 (słownie: czternastu) dni od dnia zakończenia ich przetwarzania na podstawie Umowy.
7. Podmiot przetwarzający zobowiązany jest do przekazania Administratorowi w terminie 7 (słownie: siedmiu) dni od dnia usunięcia Danych osobowych, oświadczenia o usunięciu Danych osobowych.
§ 10
POSTĘPOWANIE Z DANYM OSOBOWYMI PRZETWARZANYMI Z
INFORMATYCZNYCH
1. Podmiot przetwarzający ma obowiązek przestrzegać:
a. dobrych praktyk w zakresie bezpieczeństwa danych obowiązujących w branży Administratora;
b. procedur w obszarze bezpieczeństwa danych rekomendowanych przez producentów oprogramowania używanego w ramach wykonywania Umowy Podstawowej.,
oraz dokumentować wszelkie odstępstwa od wspomnianych procedur. Podmiot Przetwarzający zobowiązuje się bezzwłocznie i bez odrębnych kosztów wywiązywać się z obowiązków w zakresie zgłaszania naruszeń danych określonych przez obowiązujące przepisy prawa lub Administratora.
2. Administrator może zlecić osobie trzeciej zbadanie zagrożeń dla bezpieczeństwa związanych z przetwarzaniem Danych Osobowych przez Podmiot Przetwarzający a jeżeli istotne zagrożenie istnieje – Podmiot przetwarzający zobowiązuje się wyeliminować je na własny koszt.
3. O ile nie postanowiono inaczej na piśmie, Podmiot przetwarzający będzie tworzył kopie zapasowe dla Danych Osobowych wykorzystywanych w procesie przetwarzania oraz sprawdzał funkcjonalność kopii zapasowych.
4. W przypadku jakiegokolwiek uchybienia bezpieczeństwu danych w ramach wykonywania Umowy rzecz Administratora przez Podmiot przetwarzający (w tym także ewentualnych podwykonawców), Podmiot przetwarzający bezzwłocznie (nie później niż w ciągu 24 godzin od wykrycia naruszenia) powiadomi Administratora o takim zdarzeniu, zgodnie z zasadami zawartymi w § 6 ust. 1b.
§11
ODPOWIEDZIALNOŚĆ
1. Podmiot przetwarzający jest odpowiedzialny za szkody wyrządzone Administratorowi, osobie fizycznej, której Dane osobowe dotyczą lub innym osobom trzecim w związku z niewykonaniem lub nienależytym wykonaniem Umowy powierzenia, w szczególności niezgodnym z Umową lub Rozporządzeniem przetwarzaniem Danych osobowych.
2. Odpowiedzialność Podmiotu przetwarzającego wobec Administratora danych obejmuje wszelkie szkody (w tym kary) poniesione przez Administratora danych na skutek działań lub zaniechań Podmiotu przetwarzającego na zasadach ogólnych przepisów Rozporządzenia lub przepisów Kodeksu cywilnego.
3. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie Danych osobowych niezgodnie z treścią Umowy powierzenia.
4. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora danych o jakimkolwiek postępowaniu, czynnościach sprawdzających, zapytaniach lub żądaniach osób których Dane osobowe dotyczą, w szczególności o postępowaniu administracyjnym lub sądowym dotyczącym przetwarzania przez Podmiot przetwarzający Danych osobowych określonych w Umowie powierzenia, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie przetwarzającym tych danych osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora danych.