UMOWA POWIERZENIA PRZETWARZANIA DANYCH
UMOWA POWIERZENIA PRZETWARZANIA DANYCH
(zwana dalej także „Umową”)
Zawarta z chwilą akceptacji przez Użytkownika Regulaminu Serwisu Chmury Faktur, pomiędzy:
Użytkownikiem ……………………………………………………………………….
(zwanym dalej także „Administratorem”),
a Bankiem ……………………………………………………………………….
(zwanym dalej także „Podmiotem przetwarzającym” lub „Procesorem”), zwanymi dalej łącznie „Stronami”, a każ- dy z osobna „Stroną”.
Zważywszy, że:
1) Użytkownik jest zainteresowany korzystaniem z serwisu oferowanego przez Bank, zwanego dalej także „Chmurą Faktur”,
2) Chmura Faktur umożliwia w szczególności wystawianie, przesyłanie, odbieranie i przechowywanie faktur elek- tronicznych; importowanie i przechowywanie skanów i kopii dokumentów do niej wprowadzonych; wykonywanie czynności związanych z przygotowaniem oraz generowaniem danych i dokumentów księgowych oraz archiwiza- cję wygenerowanych i zaimportowanych danych znajdujących się we wprowadzonych dokumentach,
3) Bank z uwagi na świadczoną usługę uzyska dostęp do Danych Osobowych wprowadzonych przez Użytkownika do Chmury Faktur oraz znajdujących się w treści dokumentacji zamieszczonej przez Użytkownika w Chmurze Faktur,
4) W świetle powyższego niezbędne jest zawarcie przez Użytkownika, jako administratora danych w rozumieniu art. 4 pkt 7 RODO, z Bankiem, jako Podmiotem przetwarzającym w rozumieniu art. 4 pkt 8 RODO, Umowy powierze- nia przetwarzania danych osobowych.
§ 1.
Użytym w Umowie określeniom nadaje się następujące znaczenia:
1) Administrator – administrator danych w rozumieniu art. 4 pkt 7 RODO, a więc podmiot, który ustala cele i sposoby przetwarzania danych;
2) Bank - Bank Pekao S.A. z siedzibą w Warszawie, xx. Xxxxxxxxxx 00/00,00-000 Xxxxxxxx, wpisany do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla m. st. Warszawy, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS 0000014843, XXX 0000000000, REGON 000010205 kapitał zakładowy wpłacony w całości 262 470 034 PLN jako następca prawny Idea Bank S.A. w Warszawie, w zakresie przeję- tych praw i związanych z nimi zobowiązań na podstawie decyzji Bankowego Funduszu Gwarancyjnego z dnia 30 grudnia 2020 r.;
3) Dane osobowe – oznaczają informacje stanowiące dane osobowe w rozumieniu art. 4 pkt 1 RODO, przetwarza- ne przez Procesora w imieniu Administratora, wprowadzone przez Użytkownika (w tym przez osoby działające w jego imieniu) do Serwisu lub przez niego w Serwisie wytworzone, w tym dane zawarte w fakturach elektronicz- nych i pozostałych dokumentach znajdujących się w Serwisie;
4) RODO - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
5) Procesor – Bank, który w związku ze świadczeniem dla Użytkownika usługi w Serwisie, staje się wobec danych osobowych zamieszczanych przez Użytkownika w Serwisie podmiotem przetwarzającym w rozumieniu art. 4 pkt 8 RODO;
6) Regulamin – Regulamin Serwisu Chmura Faktur, akceptowany przez Użytkownika w związku z korzystaniem z Serwisu;
7) Serwis – oprogramowanie i serwis Chmury Faktur;
8) Umowa– niniejsza umowa powierzenia przetwarzania danych osobowych;
9) Użytkownik – oznacza Administratora danych, który w związku z korzystaniem z Serwisu, jako podmiot decy- dujący o celach i sposobach przetwarzania danych osobowych zawartych w fakturach elektronicznych i innych dokumentach wprowadzanych do Serwisu, zobowiązany jest do zawarcia Umowy, o której stanowi art. 28 RODO.
§ 2.
1. W celu skorzystania z usługi świadczonej w Serwisie, Użytkownik powierza Procesorowi przetwarzanie danych osobowych.
2. Procesor zobowiązuje się do przetwarzania powierzonych danych osobowych w imieniu i na rzecz Administrato- ra, zgodnie z prawem i niniejszą Umową.
§3.
1. Administrator danych oświadcza, że w jego ocenie Procesor daje rękojmię zgodnego z przepisami prawa, w tym z przepisami RODO, przetwarzania danych osobowych powierzonych mu przez Administratora do przetwarzania.
2. Administrator danych oświadcza, że decyduje o celach i środkach przetwarzania powierzonych danych osobo- wych, tzn. przysługuje mu status wynikający z art. 4 pkt 7 RODO oraz, że powierzył Procesorowi, na podstawie art. 28 RODO, przetwarzanie danych osobowych.
3. Zakres powierzonych danych osobowych obejmuje dane znajdujące się w fakturach elektronicznych i doku- mentach przechowywanych przez Administratora w Serwisie, a także dane wprowadzone przez Administratora do Serwisu, a w szczególności imię, nazwisko, numer identyfikacji podatkowej lub PESEL, adres prowadzonej działalności gospodarczej, adres poczty elektronicznej oraz dane dotyczące rozliczeń pomiędzy Administratorem i jego kontrahentami.
4. Procesor zobowiązuje się do przetwarzania powierzonych mu danych osobowych w zakresie wskazanym w ust. 3 powyżej i w celu niezbędnym do świadczenia usług wskazanych w Regulaminie.
5. Powierzone dane osobowe mogą być przez Procesora utrwalane, przechowywane, pobierane, opracowywane, porządkowane, weryfikowane, modyfikowane, usuwane.
6. Przetwarzanie powierzonych danych osobowych przez Procesora odbywa się przy wykorzystaniu systemów in- formatycznych.
§4.
1. Procesor oświadcza, że będzie przetwarzać powierzone dane osobowe wyłącznie na udokumentowane pole- cenie Administratora, tj. w zakresie i celu wynikającym z Regulaminu oraz Umowy i nie może wykorzystywać powierzonych danych do realizacji innych, np. własnych celów.
2. Procesor oświadcza, że będzie dopuszczać do przetwarzania powierzonych danych osobowych jedynie osoby, którym nadał odpowiednie upoważnienia do dostępu do powierzonych danych osobowych oraz które złożyły oświadczenie o zachowaniu danych i sposobów ich zabezpieczenia w poufności.
3. Procesor oświadcza, że przy przetwarzaniu danych osobowych stosuje środki techniczne i organizacyjne, za- pewniające odpowiedni do ryzyka naruszenia praw i wolności osób fizycznych stopień bezpieczeństwa danych osobowych w tym: szyfrowanie danych osobowych; w sposób ciągły i nieprzerwany poufność, integralność, do- stępność i odporność systemów i usług przetwarzania oraz zdolność do szybkiego przywrócenia danych osobo- wych i dostępu do nich w razie incydentu bezpieczeństwa.
§5.
1. Procesor oświadcza, że na żądanie Administratora, w razie potrzeby, będzie pomagał Administratorowi wywiązy- wać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w przedmiocie wykonywania jej praw określonych w przepisach RODO.
2. W przypadku skierowania do Procesora przez osobę, której dane dotyczą, żądania wynikającego z RODO, Pro- cesor będzie informować o takim żądaniu Administratora w terminie do 15 dni roboczych od dnia jego otrzymania na adres e-mail Administratora, będący w posiadaniu Procesora. Administrator jest zobowiązany do podania Procesorowi swojego adresu e-mail oraz do utrzymywania go przez cały okres obowiązywania Umowy.
3. Na żądanie Administratora, Procesor będzie przekazywać Administratorowi informacje, których Administrator z uwagi na specyfikę usługi świadczonej przez Procesora w Serwisie nie posiada, a które są temu Administrato- rowi niezbędne w celu wywiązania się przez niego z wynikającego z RODO obowiązku odpowiadania na żądania osób, których dane dotyczą, chyba, że żądania Administratora są nadmierne.
§6.
1. Procesor ma obowiązek prowadzenia wszelkiej wymaganej przepisami dotyczącymi ochrony danych osobowych dokumentacji, w tym x.xx. zobowiązany jest prowadzić Rejestr Kategorii Czynności Przetwarzania Danych Oso- bowych.
2. Rejestr, o którym mowa powyżej, zawierać powinien następujące informacje:
1) imię i nazwisko lub nazwę oraz dane kontaktowe Procesora oraz Administratora, a gdy ma to zastosowanie – przedstawiciela Procesora oraz inspektora ochrony danych Procesora;
2) kategorie przetwarzań dokonywanych w imieniu Administratora;
3) gdy ma to zastosowanie – informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę państwa trzeciego lub organizacji międzynarodowej, a w przypadku, o którym mowa w art. 49 ust. 1 akapit drugi RODO dokumentację odpowiednich zabezpieczeń;
4) ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, zastosowanych przez Procesora w celu zapewnienia poufności, integralności i dostępności powierzonych danych osobowych.
§7.
1. Procesor oświadcza, że wdrożył i stosuje procedury służące wykrywaniu naruszeń ochrony danych osobowych oraz w razie potrzeby wdraża właściwe środki naprawcze.
2. Po stwierdzeniu naruszenia ochrony danych osobowych Procesor, informuje o powyższym Administratora w ter- minie 24 godzin , wskazując:
1) opis charakteru naruszenia ochrony danych osobowych, w tym w szczególności kategorie osób, których naru- szenie dotyczyło oraz przybliżoną ich liczbę;
2) imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub określenie innej osoby kontaktowej w sprawie;
3) opis możliwych konsekwencji naruszenia ochrony danych osobowych oraz
4) opis środków zastosowanych lub proponowanych przez Procesora w celu zapobieżenia skutkom naruszenia, w tym opis proponowanych środków, które pomogą zapobiegać podobnym naruszeniom w przyszłości.
3. Procesor podejmuje bez zbędnej zwłoki działania mające na celu ograniczenie skutków naruszenia ochrony da- nych osobowych.
4. Procesor zobowiązany jest dokumentować wszelkie naruszenia ochrony danych powierzonych mu przez Xxxxxx- xxxxxxxx, w tym okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze.
5. Procesor ponosi odpowiedzialność za działania swoich pracowników i innych osób, przy pomocy których przetwa- rza powierzone dane osobowe, jak za własne działanie i zaniechanie.
§8.
1. Korzystanie przez Administratora z usługi świadczonej w Serwisie wiąże się z wyrażeniem przez niego zgody na dalsze powierzenie (dalej: „Umowa podpowierzenia” lub „podpowierzenie”) przez Procesora przetwarzania da- nych osobowych innym podmiotom przetwarzającym, przy pomocy których Procesor świadczy Administratorowi usługę (dalej: „Podprocesorzy”).
2. Podpowierzenie danych osobowych ma miejsce wyłącznie w celu zgodnym z Umową, niezbędnym do jej wyko- nania.
3. Procesor prowadzi listę Podprocesorów, którą udostępnia Administratorowi na jego pisemne żądanie. W przypad- ku zgłoszonego przez Administratora sprzeciwu wobec podpowierzenia danych określonemu Podprocesorowi, Procesor uprawniony jest do zakończenia świadczenia usług Administratorowi w ramach Chmury Faktur.
4. Procesor zapewnia, że będzie korzystał wyłącznie z usług takich Podprocesorów, którzy zapewniają wystarczają- ce gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wy- mogi RODO oraz innych przepisów prawa z zakresu ochrony danych osobowych, a także, aby należycie chroniło prawa osób, których dane dotyczą.
5. Procesor zapewnia, że w Umowie podpowierzenia, na Podprocesora zostaną nałożone obowiązki odpowiadające obowiązkom Procesora określonym w niniejszej Umowie.
§9.
1. Procesor zapewnia możliwość przeprowadzania przez Administratora w uzgodnionym pomiędzy Stronami termi- nie audytów w zakresie zgodności przetwarzania powierzonych danych osobowych, poprzez prawo żądania infor- macji dotyczących warunków przetwarzania oraz potwierdzenie przestrzegania przepisów RODO oraz niniejszej Umowy z zastrzeżeniem, że prawo to nie może naruszać innych tajemnic chronionych.
2. W razie wykazania przez Administratora w trakcie audytu, o którym mowa w ust. 1, że działania Procesora są sprzeczne z przepisami obowiązującymi w zakresie ochrony danych osobowych lub postanowieniami niniejszej Umowy, Procesor obowiązany jest do przywrócenia stanu zgodnego z prawem.
3. Administrator zobowiązuje się pokryć wszelkie koszty poniesione przez Procesora w związku z audytem, w tym koszty związane z koniecznością oddelegowania pracowników do wzięcia udziału w audycie. Procesor przekaże Administratorowi szacowane koszty audytu przed jego wykonaniem. Procesor może żądać wpłacenia przez Ad- ministratora zaliczki na pokrycie kosztów audytu, przed jego wprowadzeniem.
4. Koszty Administratora związane z audytem pokrywa Administrator.
§10.
Po zakończeniu świadczenia usług związanych z przetwarzaniem danych osobowych Procesor usuwa wszelkie powierzone mu dane osobowe oraz ich ewentualne kopie, chyba, że ich dalsze przetwarzanie jest przewidziane przepisami prawa. Administrator jest obowiązany do czasu ustania obowiązywania Umowy pobrać z Serwisu wszyst- kie przetwarzane w nim dane osobowe będące przedmiotem powierzenia. Wszelkie obowiązki przechowywania dokumentacji księgowej oraz innej dokumentacji przechowywanej w Serwisie, zgodnie z obowiązującymi przepisami prawa, spoczywają na Administratorze.
§11.
1. Wszelka korespondencja w sprawach związanych z powierzeniem przetwarzania danych, która zgodnie z po- wszechnie obowiązującymi przepisami, postanowieniami Umowy lub Regulaminu nie wymaga zachowania formy pisemnej, będzie kierowana na adres poczty elektronicznej Użytkownika podany w procesie rejestracji w Ser- wisie. W przypadku przesyłania pocztą elektroniczną za pośrednictwem sieci Internet informacji prawnie chro- nionych, Strony umowy będą stosowały kryptograficzne metody przesyłania danych (szyfrowanie, spakowanie z hasłem, a hasło zostanie przesłane odrębnym kanałem komunikacji np. sms-em).
2. Odpowiedzialność Procesora za niewykonanie lub nieprawidłowe wykonanie niniejszej Umowy ograniczona jest w najszerszym możliwym zakresie dopuszczalnym przez przepisy prawa tj. do strat rzeczywistych spowodowa- nych z winy umyślnej Procesora.
3. Postanowienia dotyczące powierzenia przetwarzania danych osobowych obowiązują przez okres realizacji usługi świadczonej w Serwisie.