Zasady powierzenia przetwarzania danych osobowych
Zasady powierzenia przetwarzania danych osobowych
§ 1
Zawarcie umowy powierzenia przetwarzania danych osobowych
Poprzez złożenie i przyjęcie Zlecenia Strony zawierają na czas odpowiadający okresowi jego realizacji umowę powierzenia danych osobowych na następujących warunkach:
§ 2
Definicje
Ilekroć w niniejszej umowie powierzenia przetwarzania danych osobowych mowa o:
1. „DB SCHENKER” - rozumie się przez to Schenker Sp. z o.o. z siedzibą w Warszawie przy ul. Żwirki i Xxxxxx 00, 00-000 Xxxxxxxx, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000040104, NIP: 000-00-00-000, REGON: 010500539, kapitał zakładowy: 186 294 430 PLN,
2. „Zleceniodawcy” – rozumie się przez to podmiot, który zleca DBSCHENKER usługi spedycji, przewozu lub inne usługi określone w zleceniu,
3. „administratorze danych” – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych,
4. „podmiot przetwarzający” – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane w imieniu administratora,
5. „danych osobowych” – rozumie się przez to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”),
6. „przetwarzaniu danych” – rozumie się przez to operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie,
7. „systemie informatycznym” – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,
8. „Umowie” – rozumie się przez to niniejszą umowę powierzenia przetwarzania danych osobowych,
9. „Ogólnym rozporządzeniu o ochronie danych” – rozumie się przez to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
§ 3
Przedmiot umowy powierzenia
1. Przedmiotem Umowy jest wzajemne przekazanie w powierzenie przetwarzania danych osobowych przez Strony, w związku ze współpracą Stron w zakresie określonym w zleceniu.
2. Zleceniodawca oświadcza, że jest administratorem danych, o których mowa w § 4 ust. 1 Umowy.
3. DB SCHENKER oświadcza, że jest podmiotem przetwarzającym w stosunku do danych, o których mowa w § 4 ust. 2 Umowy.
4. DB SCHENKER oświadcza, że dysponuje pisemną, ogólną zgodą na podpowierzanie przetwarzania danych osobowych o których mowa w § 4 ust. 2 Umowy, wyrażoną przez administratorów danych tj. podwykonawców świadczących usługi transportowe na rzecz DB SCHENKER.
5. Strony przekazują w powierzenie, na podstawie art. 28 Ogólnego rozporządzenia o ochronie danych, przetwarzanie danych osobowych i zobowiązują się wzajemnie do ich przetwarzania zgodnego z prawem i zasadami określonymi w Umowie.
6. Strony będą przetwarzać dane osobowe wyłącznie w zakresie i celu przewidzianym w Umowie.
§ 4
Powierzenie danych osobowych
1. Zleceniodawca powierza DB SCHENKER przetwarzanie danych osobowych swoich klientów.
2. DB SCHENKER powierza Zleceniodawcy przetwarzanie danych osobowych powierzonych przez podwykonawców tj. dane osobowe kierowców.
3. Zakres powierzonych do przetwarzania danych osobowych, wskazanych w w § 4 ust. 1 niniejszej umowy, obejmuje w szczególności dane takie jak: imię, nazwisko, adres zamieszkania, miejsce nadania lub odbioru przesyłki, adres siedziby, PESEL, NIP, nr telefonu kontaktowego, adres e- mail oraz wszelkie inne kategorie danych jakie mogą być konieczne do realizacji zlecenia
4. Zakres powierzonych do przetwarzania danych osobowych, wskazanych w w § 4 ust. 2 Umowy, obejmuje dane takie jak: imię, nazwisko, XXXXX, telefon kontaktowy, numer dokumentu (prawo jazdy, dowód osobisty lub paszport).
5. Rodzaj powierzonych danych nie obejmuje tzw. szczególnych kategorii danych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa w rozumieniu przepisów Ogólnego rozporządzenia o przetwarzaniu danych osobowych.
6. Celem powierzenia przetwarzania danych osobowych jest wykonanie usług zgodnie z treścią zlecenia.
7. DB SCHENKER w zakresie realizacji celu określonego w ust.6 powyżej, jest uprawniony do wykonywania następujących operacji na powierzonych danych: zbieranie, przechowywanie, przeglądanie, ujawnianie poprzez przesłanie, usuwanie, niszczenie a także innych operacji niezbędnych do realizacji zlecenia.
8. Zleceniodawca w zakresie realizacji celu określonego w ust.6 powyżej, jest uprawniony do wykonywania następujących operacji na powierzonych danych: zbieranie, przechowywanie, usuwanie, niszczenie.
9. Przetwarzanie danych odbywać się będzie w formie papierowej lub przy wykorzystaniu systemów informatycznych.
§ 5
Obowiązki Stron
1. Strony będą przetwarzać powierzone im dane osobowe na warunkach i zgodnie z treścią obowiązujących w tym zakresie przepisów prawa.
2. Strony oświadczają, iż są świadome unijnej reformy ochrony danych osobowych, która związana jest z opublikowaniem w dniu 4 maja 2016 w Dzienniku Urzędowym UE L119 oficjalnego tekstu Ogólnego rozporządzenia o ochronie danych, które będzie stosowane od dnia 25 maja 2018 r. Tym samym, Strony oświadczają również, że przetwarzanie powierzonych im danych osobowych, najpóźniej od dnia 25 maja 2018 r. będzie odbywało się z poszanowaniem przepisów Ogólnego rozporządzenia o ochronie danych osobowych oraz wydanych na jego podstawie krajowych przepisów z zakresu ochrony danych osobowych.
3. W związku z powierzeniem przetwarzania danych osobowych Strony zobowiązują się do:
1) przetwarzania danych osobowych wyłącznie na podstawie Umowy lub inne udokumentowane polecenie Stron, za jakie uważa się polecenie przekazane drogą pisemną lub elektroniczną,
2) zapewnienia by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,
3) podjęcia wszelkich środków gwarantujących bezpieczeństwo powierzonych do przetwarzania danych osobowych, w tym x.xx. do wdrożenia, przy uwzględnieniu stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, odpowiednich środków
technicznych i organizacyjnych, w celu zapewnienia stopnia bezpieczeństwa odpowiadającemu temu ryzyku, w tym między innymi w stosownym przypadku:
4) pseudonimizacji i szyfrowania danych osobowych,
5) zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
6) zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
7) regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania,
8) przestrzegania określonych w § 7 Umowy warunków podpowierzenia przetwarzania danych osobowych innemu podmiotowi,
9) aktywnej współpracy przez cały okres trwania powierzenia przetwarzania danych osobowych, która w szczególności polega na tym, iż Strony biorąc pod uwagę charakter przetwarzania, poprzez odpowiednie środki techniczne i organizacyjne, w miarę możliwości będą pomagały sobie wzajemnie wywiązywać się z obowiązków względem osób, których dane dotyczą oraz, uwzględniając charakter przetwarzania oraz dostępne informacje, wywiązywać się z obowiązków w zakresie zagwarantowania bezpieczeństwa danych osobowych.
4. Strona zobowiązuje się niezwłocznie zawiadomić drugą Stronę, o:
1) każdym prawnie umocowanym żądaniu udostępnienia danych osobowych właściwemu organowi państwa, chyba, że zakaz zawiadomienia Strony, wynika z przepisów prawa, a w szczególności przepisów postępowania karnego, gdy zakaz ma na celu zapewnienie poufności wszczętego dochodzenia,
2) każdym nieupoważnionym dostępie do danych osobowych,
3) każdym żądaniu otrzymanym bezpośrednio od osoby, której dane przetwarza, w zakresie przetwarzania dotyczącej jej danych osobowych, powstrzymując się jednocześnie od odpowiedzi na żądanie, chyba, że zostanie do tego upoważniony przez Xxxxxx.
5. Strony, na każdy pisemny wniosek drugiej Strony, zobowiązane są do udzielenia kompleksowej, pisemnej odpowiedzi, na skierowane pytania dotyczące kwestii związanych z przetwarzaniem powierzonych danych osobowych.
6. Odpowiedzi, o której mowa w ust. 5 powyżej, Strony udzielą niezwłocznie, nie później niż w terminie 7 dni roboczych od dnia otrzymania wniosku.
7. W przypadku wystąpienia incydentu zagrażającego bezpieczeństwu powierzonych do przetwarzania danych osobowych, tj. w szczególności wystąpienia lub podejrzenia wystąpienia któregokolwiek z: kradzieży, nieuprawnionego dostępu lub wykorzystania, ujawnienia, utraty, uszkodzenia lub zniszczenia powierzonych danych osobowych lub jakiegokolwiek innego
niewłaściwego lub bezprawnego przetwarzania powierzonych danych osobowych, Strona jest zobowiązana:
1) niezwłocznie po powzięciu wiadomości o incydencie, jednak w każdym przypadku nie później niż w ciągu czterdziestu ośmiu (48) godzin od powzięcia takiej wiadomości, przekazać Xxxxxxx powiadomienie o takim incydencie oraz zapewnić pomoc i przekazać dalsze informacje, które mogą być zasadnie wymagane przez Stronę w związku z tym incydentem,
2) niezwłocznie po powzięciu wiadomości o incydencie podjąć wszelkie zasadne starania w celu przeprowadzenia dochodzenia w sprawie incydentu jak również usunięcia przyczyn oraz jego skutków, z zastrzeżeniem, że Strona dołoży takich starań wyłącznie na polecenie drugiej Strony oraz
3) wyłącznie, jeżeli zostanie to uprzednio zaakceptowane na piśmie przez Xxxxxx, powiadomić o incydencie osoby, na które incydent miał wpływ.
§ 6
Prawo kontroli
1. Strona, ma prawo do kontroli przetwarzania przez drugą Stronę powierzonych jej danych osobowych z punktu widzenia zgodności tego przetwarzania z przepisami prawa oraz postanowieniami Umowy w postaci audytu realizowanego przez Stronę lub audytora upoważnionego przez Stronę.
2. Informacja o terminie i zakresie audytu, o którym mowa w ust. 1 powyżej, będzie przekazana Stronie z co najmniej trzydniowym wyprzedzeniem.
3. Strona umożliwia Stronie lub audytorowi upoważnionemu przez Stronę, przeprowadzanie audytu, o którym mowa w ust.1 i przyczynia się do niego. W szczególności, Strona zobowiązana jest udostępnić wgląd do wszystkich materiałów oraz systemów, w których realizowane jest przetwarzanie danych Strony oraz umożliwić dostęp do pracowników zaangażowanych w ich przetwarzanie.
4. Strona lub audytor upoważniony przez Stronę przed rozpoczęciem czynności audytowych podpisze zobowiązanie o zachowaniu w poufności wszelkich informacji uzyskanych podczas realizacji audytu.
§ 7
Podpowierzenie
1. DB SCHENKER ma prawo podpowierzania danych osobowych, o których mowa w w § 4 ust. 2, w zakresie i celu niezbędnym do realizacji celu powierzenia przetwarzania danych osobowych określonego w w § 4 ust. 6 (ogólna zgoda Zleceniodawcy na podpowierzenie przetwarzania danych osobowych).
2. DB SCHENKER jest zobowiązany do poinformowania Zleceniodawcy o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym Zleceniodawcy możliwość wyrażenia sprzeciwu wobec takich zmian.
3. Jeżeli inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych osobowych, pełna odpowiedzialność wobec Zleceniodawcy za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na DB SCHENKER.
§ 8
Odpowiedzialność Stron
1. Strony są odpowiedzialne za udostępnienie lub wykorzystanie danych osobowych niezgodnie z Umową oraz obowiązującymi w tym zakresie przepisami prawa.
2. W każdym przypadku odpowiedzialność Stron ograniczona jest do szkody rzeczywistej (damnum emergens), bez utraconych korzyści (lucrum cessans) czy też szkód pośrednich, bez względu czy podstawą dochodzenia odszkodowania jest umowa (ex contractu) czy czyn niedozwolony (ex delicto), z wyjątkiem przypadków, gdy bezwzględnie obowiązujące prawo stanowi inaczej.
§ 9
Usunięcie lub zwrot danych osobowych
1. Zależnie od decyzji Xxxxxx w tym zakresie, w terminie do 14 dni roboczych od dnia zakończenia współpracy Xxxxxx jest zobowiązana do usunięcia lub zwrotu wszelkich powierzonych jej danych osobowych oraz usunięcia wszelkich ich istniejących kopii, chyba, że obowiązujące przepisy prawa nakazują przechowywanie tych danych osobowych.
2. Powierzenie przetwarzania danych osobowych trwa do upływu wyżej wskazanego terminu.