Umowa powierzenia przetwarzania danych osobowych (zwana dalej „Umową Powierzenia”)
Umowa powierzenia przetwarzania danych osobowych (zwana dalej „Umową Powierzenia”)
zawarta w trybie art. 384 Kodeksu cywilnego, pomiędzy:
Podmiotem powierzającym dane osobowe
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
………………………………………………………………………………………………………………… zwanym w dalszej części umowy „Administratorem danych” lub „Administratorem” oraz
Grupą Xxxxxxx.xx spółka z ograniczoną odpowiedzialnością spółka komandytowa z siedzibą w Krakowie
(31-946), xx. Xxxxxxxxx 0x, wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla Krakowa – Śródmieścia w Krakowie, Wydział XI Gospodarczy KRS pod numerem 0000416593, NIP: 5272644300, reprezentowaną przez komplementariusza Grupę Xxxxxxx.xx spółka z ograniczoną odpowiedzialnością z siedzibą w Krakowie (31-946), xx. Xxxxxxxxx 0x, wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla Krakowa – Śródmieścia w Krakowie, Wydział XI Gospodarczy KRS pod numerem 0000324955, w imieniu którego działają:
Xxxxx Xxxxxxx – Prezes Zarządu;
Xxxxxxx Xxxxxxxxxx – Wiceprezes Zarządu
zwaną w dalszej części umowy „Podmiotem przetwarzającym”
zwanymi dalej łącznie „Stronami” lub pojedynczo „Stroną” o następującej treści:
§ 1
Powierzenie przetwarzania danych osobowych
1. W celu wykonania Umowy o świadczenie usług przez Podmiot przetwarzający na rzecz Administratora danych (zwanej dalej „Umową Główną”), Administrator danych powierza Podmiotowi przetwarzającemu, w trybie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (zwanego dalej „Rozporządzeniem”) dane osobowe do przetwarzania, na zasadach i w celu określonym w niniejszej Umowie Powierzenia.
2. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z Umową Powierzenia, Rozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
3. Podmiot przetwarzający oświadcza, iż stosuje środki bezpieczeństwa spełniające wymogi Rozporządzenia.
§ 2
Zakres i cel przetwarzania danych
1. Administrator danych oświadcza, iż powierza do przetwarzania Podmiotowi Przetwarzającemu na podstawie Umowy Powierzenia dane osobowe, nie stanowiące szczególnej kategorii danych osobowych w rozumieniu Rozporządzenia, zgromadzone w utworzonych przez Administratora danych zbiorach tj. zbiorze klientów Administratora danych lub w zbiorze pracowników Administratora danych lub w zbiorze usługodawców Administratora danych obejmujące: imię i nazwisko, XXX, XXXXX, adres zamieszkania, datę urodzenia, dane kontaktowe.
2. Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu wykonania Umowy Głównej zawartej drogą elektroniczną poprzez akceptację udostępnionych regulaminów, specyfikacji usługi oraz wzorców umownych.
3. Cel i zakres powierzenia przetwarzania danych osobowych wynika bezpośrednio i ogranicza się do zadań/ czynności koniecznych do wykonania Umowy Głównej. Umowa Powierzenia stanowi udokumentowane polecenie Administratora dotyczące przetwarzania danych osobowych określonych w Umowie Powierzenia przez Podmiot przetwarzający.
4. Powierzone dane osobowe przetwarzane będą przez Podmiot przetwarzający w systemach informatycznych lub w formie papierowej.
§ 3
Sposób wykonania Umowy Powierzenia w zakresie przetwarzania danych osobowych
1. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.
2. Podmiot przetwarzający zobowiązuje się zapewnić, aby powierzone dane osobowe przetwarzały wyłącznie osoby, którym nadano upoważnienie do przetwarzania danych osobowych w celu realizacji niniejszej Umowy Powierzenia.
3. Podmiot przetwarzający zobowiązuje się zapewnić (zgodnie z art. 28 ust 3 pkt b Rozporządzenia), aby osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej Umowy Powierzenia, zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy co do tych danych, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.
4. Podmiot przetwarzający po zakończeniu Umowy Głównej, nie później niż w terminie 30 dni od zakończenia Umowy Głównej, usuwa wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego lub prawo polskie, nakazują przechowywanie danych osobowych. Zapis zdania poprzedniego nie znajduje zastosowania w sytuacji, gdy usługa objęta Umową Główną zostanie odnowiona na kolejny okres abonamentowy. W takim przypadku Xxxxxx zgodnie uznają, iż Umowa Główna trwa nadal. Podmiot przetwarzający będzie zobowiązany do zwrotu danych po uprzednim pisemnym uzgodnieniu przez Strony warunków zwrotu, w tym kosztów z tym związanych. Żądanie zwrotu danych powinno być zgłoszone na piśmie, w nieprzekraczalnym terminie 7 dni od dnia ustania Umowy Powierzenia.
5. Uwzględniając charakter przetwarzania danych osobowych oraz dostępne Podmiotowi przetwarzającemu informacje, pomaga on Administratorowi danych wywiązać się z obowiązków dotyczących bezpiecznego przetwarzania, zgłaszania naruszeń ochrony danych osobowych organowi nadzoru, zawiadomienia osoby, której dane osobowe dotyczą, o naruszeniu ochrony danych osobowych, oceny skutków dla ochrony danych osobowych, uprzednich konsultacji z organem nadzorczym, wskazanych w art. 32-36 Rozporządzenia.
6. Podmiot przetwarzający stosuje w celu przetwarzania powierzonych mu danych osobowych środki techniczne i organizacyjne (w rozumieniu art. 32 Rozporządzenia) adekwatne do rodzaju powierzonych mu danych osobowych, zgodnie z opisem danych dokonanym przez Administratora danych w § 2 ust. 1 powyżej.
7. Podmiot przetwarzający zobowiązuje się, biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomagać Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane osobowe dotyczą, w zakresie wykonywania jej
praw określonych w rozdziale III Rozporządzenia. Jeżeli Podmiot przetwarzający otrzyma wniosek od osoby, której dane osobowe dotyczą, związany z przetwarzaniem danych osobowych, prześle taki wniosek w formie wiadomości elektronicznej do Administratora danych, w celu dalszego przetwarzania przez Administratora danych. Podmiot przetwarzający nie jest uprawniony, ani zobowiązany do samodzielnego odpowiadania na wnioski od osób, których dane osobowe dotyczą, związane z przetwarzaniem danych osobowych, ani ich realizacji, chyba że co innego wynika z obowiązujących przepisów prawa, niniejszej Umowy Powierzenia lub Umowy Głównej.
8. Jeżeli Podmiot przetwarzający otrzyma żądanie udzielenia dostępu lub udzielenia informacji o danych osobowych od właściwego organu nadzorczego, dotyczącą danych osobową objętych niniejszą Umową Powierzenia, powiadomi o tym fakcie Administratora danych w formie wiadomości elektronicznej i przekaże mu w formie wiadomości elektronicznej otrzymane żądanie. Podmiot przetwarzający nie jest uprawniony ani zobowiązany do samodzielnego załatwienia żądania, chyba że co innego wynika z obowiązujących przepisów prawa, niniejszej Umowy Powierzenia lub Umowy Głównej.
9. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych, które wyniknęło z powodu okoliczności dotyczących Podmiotu przetwarzającego, zgłasza je Administratorowi danych w formie wiadomości elektronicznej, niezwłocznie, nie później jednak niż w ciągu 48 godzin od stwierdzenia naruszenia ochrony danych osobowych.
§4
Obowiązki Administratora danych
1. Administrator danych gwarantuje, że dane osobowe są przetwarzane w celach zgodnych z prawem, oraz że Podmiot przetwarzający nie przetwarza więcej danych osobowych niż jest to wymagane do spełnienia tych celów.
2. Administrator danych zobowiązuje się do zapewnienia, że w momencie przekazania danych osobowych Podmiotowi przetwarzającemu, istnieć będzie ważna podstawa prawna do ich przetwarzania, w tym w szczególności zgoda podmiotu, którego dane osobowe dotyczą, wyrażona w prawidłowy sposób. Na żądanie Podmiotu przetwarzającego, Administrator danych zobowiązuje się na piśmie do wskazania i / lub udokumentowania podstawy przetwarzania danych osobowych.
3. Administrator może przekazywać Podmiotowi przetwarzającemu instrukcje dotyczące przetwarzania danych osobowych zgodnie z niniejszą Umową Powierzenia. Udokumentowane polecenia Administratora (w tym instrukcje) mają na celu doprecyzowanie postanowień Umowy Powierzenia i nie mogą rozszerzać zakresu obowiązków Podmiotu przetwarzającego, wynikających z Umowy Powierzenia. Podmiot przetwarzający ma prawo wstrzymać się od wykonania poleceń Administratora (w tym instrukcji), jeśli skutkują one takim rozszerzeniem obowiązków. W przypadku, gdy Administrator danych udzieli instrukcji bezpośrednio Podwykonawcy, Administrator danych niezwłocznie powiadomi o tym fakcie Podmiot przetwarzający. Podmiot przetwarzający nie ponosi odpowiedzialności za jakiekolwiek przetwarzanie wykonane przez Podwykonawcę zgodnie z takimi instrukcjami, jeżeli instrukcje te nie są zgodne z zasadami przetwarzania danych osobowych przyjętymi w niniejszej Umowie Powierzenia lub innych przepisach prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą. Przekazanie instrukcji następuje w formie wiadomości e-mail, chyba że przepis prawa wymaga zachowania formy szczególnej.
§5
Podpowierzenie
1. Podmiot przetwarzający powierza xxxx.xx Spółka Akcyjna z siedzibą w Szczecinie, adres: xx. Xxxxxxx 0, 00-000 Xxxxxxxx, wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego
przez Sąd Rejonowy Szczecin – Centrum w Szczecinie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000431335, zarejestrowaną pod numerem NIP: 8522103252, REGON: 811158242, kapitał zakładowy w kwocie: 1.294.000,00 PLN opłacony w całości (dalej jako „xxxx.xx”) i jej podwykonawcom, powierzone mu dane osobowe do dalszego przetwarzania innym podmiotom przetwarzającym (zwanymi dalej „Podwykonawcami”) jedynie w celu wykonania Umowy Głównej, na co Administrator danych wyraża zgodę. Lista Podwykonawców jest dostępna na stronie internetowej Podmiotu przetwarzającego w sekcji Pomoc pod adresem xxxxx://xxxxx.xxxxxx.xx/xxxxxxxx. Podmiot przetwarzający jest zobowiązany poinformować Administratora danych o każdym planowanym dalszym powierzeniu przetwarzania danych osobowych oraz o wszelkich zamierzonych zmianach dotyczących Podwykonawców, w szczególności o zastąpieniu dotychczasowego Podwykonawcy przez innego Podwykonawcę lub o rezygnacji z usług Podwykonawcy. Powiadomienia, o którym mowa w zdaniu poprzednim, mogą być dokonywane - według wyboru Podmiotu przetwarzającego – w formie wiadomości elektronicznej skierowanej do Administratora danych lub ogólnego komunikatu na stronie internetowej Podmiotu przetwarzającego w sekcji Pomoc pod adresem xxxxx://xxxxx.xxxxxx.xx/xxxxxxxx. Po otrzymaniu powiadomienia, o którym mowa w zdaniach poprzednich, Administrator danych jest uprawniony zgłosić sprzeciw co do podpowierzenia danych osobowych w terminie 7 dni od otrzymania tego powiadomienia. W razie niezgłoszenia sprzeciwu o którym mowa powyżej, uznaje się, że Administrator wyraził zgodę na takie podpowierzenie danych osobowych. Administrator przyjmuje do wiadomości, iż zgłoszenie sprzeciwu może skutkować niemożnością wykonania Umowy Głównej, a w konsekwencji prowadzić do rozwiązania Umowy Głównej przez Podmiot przetwarzający z przyczyn leżących po stronie Administratora danych.
2. Podmiot przetwarzający oświadcza, że powierzenie przetwarzania danych osobowych Podwykonawcom uregulowane zostanie w stosownych umowach powierzenia, zakres powierzonych do przetwarzania danych osobowych i dopuszczalnych czynności przetwarzania przez Podwykonawców będzie adekwatny do określonego w niniejszej Umowie Powierzenia celu powierzenia danych, oraz nie będzie wykraczał poza Umowę Powierzenia oraz Umowę Główną, a Podwykonawcy będą stosowali środki techniczne i organizacyjne zapewniające wystarczający poziom ochrony powierzonych danych osobowych. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora danych za działania lub zaniechania Podwykonawców.
§6
Odpowiedzialność Podmiotu przetwarzającego
1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie powierzonych danych osobowych niezgodnie z treścią Umowy Powierzenia, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
2. Podmiot przetwarzający nie ponosi odpowiedzialności za brak zgodności zastosowanych środków technicznych i organizacyjnych do rodzaju powierzonych mu na podstawie niniejszej Umowy Powierzenia danych osobowych, jeśli środki te są zgodne z rodzajem danych osobowych zadeklarowanym przez Administratora danych w § 2 ust. 1 powyżej. W razie stwierdzenia w toku wykonania Umowy Powierzenia, iż zachodzi wzmiankowany brak zgodności, Podmiot przetwarzający niezwłocznie (nie później niż w ciągu 48 godzin od stwierdzenia niezgodności) powiadamia o tym fakcie Administratora danych wzywając go jednocześnie do właściwego określenia rodzaju przetwarzanych danych. Administrator danych jest zobowiązany do zajęcia stanowiska w tym przedmiocie w terminie kolejnych 48 godzin od otrzymania powiadomienia. Do czasu dokonania przez Administratora danych odpowiedniej korekty informacji o rodzaju powierzonych danych osobowych, Podmiot przetwarzający może powstrzymać się od dalszego przetwarzania danych osobowych, jak również od świadczenia usług określonych w Umowie Głównej. Jeśli w powyższym terminie 48 godzin Administrator danych nie dokona korekty w zakresie określenia rodzaju powierzanych danych osobowych, Podmiot przetwarzający
może wezwać Administratora danych do dokonania tej korekty wyznaczając mu w tym celu dodatkowy 48-godzinny termin. W razie bezskutecznego upływu tego terminu, Podmiot przetwarzający może rozwiązać Umowę Powierzenia oraz Umowę Główną bez zachowania okresu wypowiedzenia z winy Administratora danych. Korespondencja Stron w sprawach określonych w niniejszym ustępie może być prowadzona w formie wiadomości elektronicznej. Powyższe nie dotyczy ewentualnych oświadczeń o rozwiązaniu Umowy powierzenia i Umowy Głównej, których formę określają odrębne postanowienia tych umów.
3. Procedurę postępowania oraz sankcje określone w ust. 2 stosuje się odpowiednio również w razie stwierdzenia przez Podmiot przetwarzający naruszenia przez Administratora danych postanowień §4 ust. 1 lub 2.
4. Całkowite i maksymalne zobowiązanie Podmiotu przetwarzającego wobec Administratora danych w związku z wykonywaniem niniejszej Umowy Powierzenia w każdym dwunastomiesięcznym (12) okresie trwania Umowy Powierzenia nie może w żadnym przypadku przekroczyć kwoty równej całkowitej kwocie zapłaconej za usługi świadczone w ramach Umowy Głównej za okres dwunastu (12) miesięcy poprzedzających zdarzenie, które pociąga za sobą odpowiedzialność. Powyższe ograniczenie nie ma zastosowania do szkód spowodowanych umyślnie.
§7
Czas obowiązywania Umowy Powierzenia.
1. Z zastrzeżeniem zdania drugiego, Umowa Powierzenia obowiązuje w okresie trwania Umowy Głównej i wchodzi w życie z dniem zawarcia niniejszej Umowy Powierzenia przez Strony. W przypadku, gdy usługa objęta Umową Główną zostanie odnowiona na kolejny okres abonamentowy Strony zgodnie uznają, iż Umowa Główna trwa nadal.
2. Administrator danych osobowych jest uprawniony do rozwiązania Umowy Powierzenia ze skutkiem natychmiastowym w przypadku, gdy:
a) zostanie stwierdzone prawomocną decyzją administracyjną lub prawomocnym wyrokiem sądu, że Podmiot przetwarzający naruszył zasady ochrony danych osobowych, o których mowa w Umowie Powierzenia,
b) Podmiot przetwarzający rażąco i wielokrotnie narusza istotne zasady przetwarzania danych osobowych określone w Umowie Powierzenia oraz w Rozporządzeniu.
3. W przypadku rozwiązania Umowy Powierzenia rozwiązaniu ulega Umowa Główna.
§ 8
Odpłatność
1. Z zastrzeżeniem ust. 2, czynności związane z powierzeniem przetwarzania danych osobowych (wykonywaniem Umowy Powierzenia) wykonywane będą w ramach wynagrodzenia uzgodnionego w Umowie Głównej.
2. Określone czynności związane z powierzeniem przetwarzania danych osobowych wskazane w cenniku, dostępnym na stronie internetowej Podmiotu przetwarzającego, będą wykonywane za odrębnym wynagrodzeniem ustalonym na podstawie stawek i kwot wskazanych w tym cenniku.
§ 9
Zasady zachowania poufności
1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora danych i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
2. Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie Umowy Powierzenia lub Umowy Głównej, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy Powierzenia lub Umowy Głównej.
3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych w tym w szczególności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.
§ 10
Audyty
1. Administrator jest uprawniony do przeprowadzenia audytu bezpieczeństwa przetwarzania danych osobowych powierzonych do przetwarzania na podstawie Umowy Powierzenia, w zakresie zgodności ich przetwarzania z treścią Umowy Powierzenia oraz obowiązujących przepisów prawa, w szczególności Rozporządzenia.
2. Administrator oświadcza, że akceptuje fakt, iż realizacja praw wskazanych w niniejszym paragrafie wiąże się koniecznością poniesienia przez niego opłat określonych w cenniku dostępnym na stronie internetowej Podmiotu przetwarzającego, na co wyraża zgodę.
3. Administrator danych może realizować prawo audytu w następujący sposób:
a) w formie elektronicznej poprzez przesłanie przez Podmiot przetwarzający w formie elektronicznej Administratorowi danych na jego żądanie listy zawierającej dane konieczne do wykonania uprawnienia audytowego przewidzianego w Rozporządzeniu, zgodnie ze wzorem obowiązującym u Podmiotu przetwarzającego. Informacja udzielona w trybie audytu elektronicznego przesyłana jest Administratorowi danych po uprzednim uiszczeniu przez niego opłaty przewidzianej w cenniku dostępnym na stronie internetowej Podmiotu przetwarzającego lub zaliczki odpowiadającej przewidywanej opłacie w przypadku, gdy cennik przewiduje stawkę godzinową.
b) w formie osobistego audytu w siedzibie Podmiotu przetwarzającego w godzinach pracy Podmiotu przetwarzającego, za minimum 21-dniowym uprzedzeniem w formie pisemnej, po uprzednim uiszczeniu opłaty przewidzianej w cenniku dostępnym na stronie internetowej Podmiotu przetwarzającego lub zaliczki odpowiadającej przewidywanej opłacie w przypadku, gdy cennik przewiduje stawkę godzinową. W przypadku audytu osobistego następuje on wg harmonogramu, na zasadach i w zakresie uzgodnionym pomiędzy Administratorem danych a Podmiotem przetwarzającym. Administrator jest uprawniony do przeprowadzenia audytu osobistego nie częściej niż raz w ciągu każdego kolejnego roku kalendarzowego.
4. Audyty (kontrole) będą przeprowadzane w zakresie niezbędnym dla przetwarzania danych osobowych powierzonych na podstawie Umowy Powierzenia, bez uszczerbku dla organizacji pracy przedsiębiorstwa Podmiotu przetwarzającego oraz informacji poufnych należących do osób trzecich. Administrator
zobowiązuje do zachowania ww. informacji w tajemnicy. Przed przystąpieniem do czynności audytowych, Strony podpiszą stosowną umowę o zachowaniu poufności.
§11
Postanowienia końcowe
1. W sprawach nieuregulowanych Umową Powierzenia zastosowanie będą miały przepisy Rozporządzenia oraz obowiązujące przepisy prawa polskiego.
2. Dane kontaktowe Stron (w tym adresy pocztowe i elektroniczne do doręczeń) określa Umowa Główna.
3. Wszelkie zmiany Umowy Powierzenia, oświadczenia i porozumienia o jej rozwiązaniu, dokonywane będą w formie pisemnej pod rygorem nieważności.
4. Sądem właściwym dla rozpatrzenia sporów wynikających z Umowy Powierzenia będzie sąd właściwy dla powoda.
Administrator Podmiot przetwarzający
………………….. …………………………..