Umowa powierzenia przetwarzania danych osobowych
Umowa powierzenia przetwarzania danych osobowych
(zwana dalej „Umową”)
CALAMARI Sp. z o.o. Sp. k. xx. Xxxxxxxx 0/00, 00-000 Xxxxxxxx zwana dalej „Procesorem”, oraz
Klient (Odbiorca) zwanym w dalej „Administratorem danych”/,,ADO”
§ 1
Powierzenie przetwarzania danych osobowych
1. Administrator danych powierza Procesorowi, w trybie art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L Nr 119, s. 1 ze zm.), dalej jako
„RODO”, dane osobowe do przetwarzania, na zasadach i w celu określonym w niniejszej Umowie.
2. ADO oświadcza i zapewnia, że posiada podstawy prawne przetwarzania danych, a powierzenie Procesorowi danych do przetwarzania nie naruszy praw i wolności podmiotów tych danych, a także przepisów prawa (w szczególności RODO).
3. Procesor zobowiązuje się przetwarzać powierzone mu dane osobowe, wyłącznie na polecenie ADO, zgodnie z niniejszą Umową, RODO i powszechnie obowiązującymi przepisami prawa chroniącymi prawa osób, których dane dotyczą.
4. Procesor oświadcza, że stosuje techniczne i organizacyjne środki bezpieczeństwa, aby odpowiednio chronić dane osobowe przed zniszczeniem, utratą, zmodyfikowaniem, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem. Wykaz stosowanych zabezpieczeń zostanie przesłany w wiadomości zwrotnej, na każdorazowy wniosek Administratora skierowany na adres e-mail: xxx@xxxxxxxx.xx
§ 2
Zakres i cel przetwarzania danych
1. Celem przetwarzania danych osobowych jest udostępnienie ADO usługi wspierającej procesy zarządzania personelem w szczególności ewidencji czasu pracy i zarządzania nieobecnościami, z związku z zawartą pomiędzy ADO i Procesorem współpracą na podstawie obowiązującego Regulaminu Calamari oraz innych umów, które zawarły Strony.
2. Procesor, jako dostawca aplikacji internetowej Calamari, będzie przetwarzał powierzone, dane zwykłe i oraz szczególne kategorie danych w rozumieniu art. 9 RODO osób pełnoletnich, współpracujących z Administratorem.
3. Dane powierzone do przetwarzania są to takie dane jak: imię i nazwisko, adres e-mail, data zatrudnienia, rozpoczęcie i zakończenie pracy, przerwy w pracy, informacje o urlopach, informacje o zwolnieniach lekarskich, grafik pracy, daty i godziny nieobecności w pracy, przyczyny nieobecności w pracy, lokalizacja GPS (w przypadkach gdy Administrator włączy
funkcję pobierania lokalizacji GPS), adresy IP (w przypadkach gdy Administrator włączy funkcję zbierania adresu IP) oraz identyfikatory stosowane w systemach informatycznych.
4. Procesor może przetwarzać dane osobowe wyłącznie w celu świadczenia usługi, z której korzysta ADO, a także wykonania pozostałych operacji przetwarzania danych osobowych wskazanych w niniejszej Umowie, nieobjętych wprost przedmiotem usług a polegających na wsparciu w korzystaniu z Aplikacji Calamari, zgodnie z Regulaminem i obowiązującymi pomiędzy Stronami uzgodnieniami umownymi.
5. Jeżeli w związku z korzystaniem z usług Procesora, ADO po akceptacji Procesora wprowadza inne dane osobowe, niż te które zostały wymienione w ust. 3 i 4 powyżej, to również powierza je do przetwarzania, na zasadach niniejszej Umowy.
6. Procesor, w zakresie realizacji celu przetwarzania powierzonych danych osobowych jest uprawniony do wykonania operacji na danych osobowych polegających na ich utrwaleniu, organizowaniu, porządkowaniu, przechowywaniu, przeglądaniu, dopasowywaniu lub łączeniu, ograniczaniu i usuwaniu.
§ 3
Sposób wykonania umowy w zakresie przetwarzania danych osobowych
1. Procesor zobowiązuje się przy przetwarzaniu powierzonych danych osobowych do ich zabezpieczenia przez stosowanie odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 32 RODO, zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych.
2. Procesor zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.
3. Procesor zobowiązuje się do nadania pisemnych upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej umowy.
4. Procesor zobowiązuje się zapewnić zachowanie w tajemnicy przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej umowy, zarówno w trakcie trwania współpracy, jak i po jej ustaniu.
5. Procesor zobowiązuje się udostępniać dane osobowe wyłącznie osobom, które posiadają niezbędną wiedzę z zakresu ochrony danych osobowych adekwatną do obowiązków związanych z przetwarzaniem danych osobowych oraz otrzymały od Procesora upoważnienie do przetwarzania danych osobowych.
6. Procesor po rozwiązaniu umowy bądź zakończeniu świadczenia usług umożliwi ADO pobranie danych po czym niezwłocznie usuwa konto Administratora danych, usuwa wszelkie istniejące dane oraz kopie danych, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
7. Procesor po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi. Powiadomienie o naruszeniu będzie zawierać:
a) opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości zostaną wskazane kategorie i przybliżona liczba osób, których dane dotyczą, oraz kategoria i przybliżona liczba wpisów danych osobowych, których dotyczy naruszenie;
b) opis możliwych konsekwencji naruszenia ochrony danych osobowych;
c) opis środków zastosowanych lub proponowanych przez Procesora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków;
d) dane kontaktowe do osoby odpowiedzialnej za udzielenie informacji dotyczącej naruszenia.
8. W miarę możliwości Procesor pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, wywiązywać się z obowiązków związanych z zapewnieniem odpowiedniego bezpieczeństwa danych osobowych, obowiązku zgłaszania naruszeń ochrony danych osobowych czy obowiązku oceny skutków dla ochrony danych (wynikających z w art. 32–36 RODO).
9. Jeżeli osoba, której dane dotyczą, przekaże żądanie bezpośrednio do Procesora, Procesor niezwłocznie poinformuje Administratora o złożonym żądaniu. Administrator jest wyłącznie odpowiedzialny za sporządzenie odpowiedzi na żądanie osoby, której dane dotyczą.
§ 4
Prawo kontroli/Audyty
1. Administrator danych, zgodnie z art. 28 ust. 3 lit. h RODO, ma prawo kontroli, czy środki zastosowane przez Procesora przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy.
2. Prawo kontroli może być wykonywane na odległość, za pośrednictwem adresu e-mail: xxx@xxxxxxxx.xx poprzez skierowanie listy pytań kontrolnych lub wniosków, na które Procesor zobowiązuje się udzielić odpowiedzi, w wiadomości zwrotnej.
3. Administrator danych może realizować prawo kontroli w godzinach pracy Procesora i z uprzedzeniem wynoszącym minimum 30 dni wraz ze wskazaniem listy osób zaangażowanych w przeprowadzenie Audytu po stronie ADO.
4. Administrator każdorazowo przed przeprowadzeniem audytu przedstawi Procesorowi do weryfikacji i akceptacji ramowy plan czynności kontrolnych.
5. Audyty przeprowadzane są na koszt Administratora danych.
6. W przypadku nieuzasadnionych, nadmiernie powtarzających się audytów o szerokim zakresie lub odbywających się poza terminami wynikającymi z harmonogramu audytów, Procesora może wprowadzić opłatę za przeprowadzenie audytu w wysokości wynikającej z poniesionych kosztów administracyjnych.
7. Procesor zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora danych, nie dłuższym niż 30 dni.
8. Procesor niezwłocznie informuje XXX, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów powszechnie obowiązujących regulujących ochronę danych osobowych.
9. Procesor udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.
§ 5
Podpowierzenie
1. Procesor może powierzyć dane osobowe objęte niniejszą umową do dalszego przetwarzania podwykonawcom i dostawcom jedynie w celu świadczenia usług, o których mowa w Regulaminie Calamari oraz innych umowach, które zawarły Strony.
2. Procesor powierza dane osobowe objęte niniejszą Umową do dalszego przetwarzania zewnętrznym podmiotom w obrębie Europejskiego Obszaru Gospodarczego. Dane powierzane są jedynie w celu i zakresie wykonania niniejszej Umowy, na co Procesor otrzymuje zgodę Administratora.
3. Lista podmiotów, którym podzlecono przetwarzanie danych jest dostępna na wniosek ADO, kierowany na adres e-mail: xxx@xxxxxxxx.xx.
4. Procesor, za pośrednictwem wiadomości mailowej, informuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, niż wymienione na Liście podmiotów. Administrator ma możliwość wyrażenia sprzeciwu wobec takich zmian w terminie 7 dni.
5. Procesor posiada Umowę powierzenia przetwarzania danych osobowych z podmiotami wskazanymi na liście podmiotów, którym podzlecono przetwarzanie danych osobowych lub podmioty te zapewniają wystarczające gwarancje odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO.
§ 6
Odpowiedzialność Procesora
1. W przypadku naruszenia postanowień Umowy lub obowiązujących w tym zakresie przepisów prawa z przyczyn leżących po stronie Procesora, w następstwie czego Administrator zostanie zobowiązany do wypłaty odszkodowania lub zostanie ukarany karą – Procesor odpowiada wyłącznie gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy Procesor działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom.
§ 7
Zasady zachowania poufności
1. Procesor zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora danych i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób,
zamierzony czy przypadkowy, w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
2. Procesor oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.
3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych w tym w szczególności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.
§ 8
Czas trwania przetwarzania
1. Niniejsza Umowa obowiązuje przez okres świadczenia usług świadczonych przez Procesora, do czasu usunięcia danych.
2. Umowa ulega rozwiązaniu z chwilą zakończenia korzystania z usług świadczonych przez Procesora.
3. Po zakończeniu świadczenia usług związanych z przetwarzaniem Danych na rzecz ADO, Procesor umożliwia pobranie danych po czym niezwłocznie usuwa konto ADO oraz usuwa wszelkie istniejące kopie danych – nie później niż w terminie 90 dni od zakończenia świadczenia usług, chyba że przepisy prawa powszechnie obowiązującego nakazują̨
przechowywanie danych osobowych.
§ 9
Postanowienia końcowe
1. Niniejsza Umowa zastępuje wszelkie wcześniejsze umowy, ustalenia i porozumienia w zakresie powierzenia danych osobowych.
2. W razie sprzeczności postanowień niniejszej Umowy z Regulaminem oraz innymi umowami, które zawarły Strony – pierwszeństwo mają postanowienia niniejszej Umowy.
3. Wszelkie zmiany Umowy Powierzenia będą publikowane na stronie internetowej, jako załącznik do Regulaminu. Ponadto ADO zostanie powiadomiony o zmianach na 21 dni przed ich wejściem w życie, za pośrednictwem adresu e-mail bądź poprzez interfejs usługi.
W imieniu Klienta
Firma:
Imię i nazwisko: Stanowisko: Podpis:
W imieniu Calamari
Firma: Calamari sp. z o.o. sp. k. Imię i nazwisko: Xxxxx Xxxxxxxx Stanowisko: Członek Zarządu Podpis: