Umowa powierzenia przetwarzania danych osobowych

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH


zawarta w dniu [Data zawarcia] pomiędzy:

[Nazwa i adres firmy]

zwanym dalej „Powierzającym”,

a

Dariuszem Gryzło, prowadzącym działalność gospodarczą pod firmą Dariusz Gryzło z siedzibą w Bielsku-Białej, ul. Józefa Rymera 11/21, 43-300 Bielsko-Biała, NIP 5471829427, REGON 381804269,

zwanym dalej „Przetwarzającym”,

zwani dalej również „Stronami”.


§ 1 Definicje umowne

  1. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (EU) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
  2. Ustawa – ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922) lub inny akt prawny, który zastąpi rzeczoną ustawę.
  3. Dane osobowe – oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, ("osobie, której dane dotyczą"). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
  4. Przetwarzanie danych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
  5. Podpowierzenie – dalsze powierzenie przetwarzania Danych osobowych przez Podmiot przetwarzający.
  6. Umowa – to niniejsza umowa powierzenia danych osobowych.
  7. Umowa Główna – to umowa zawarta przez Strony w związku ze świadczeniem usług.

§ 2 Przedmiot umowy

  1. Przedmiotem Umowy jest powierzenie Przetwarzającemu przez Powierzającego przetwarzania danych osobowych, w związku z realizacją Umowy Głównej.
  2. Powierzający powierza Przetwarzającemu, w rozumieniu art. 28 RODO, dane osobowe do przetwarzania, na zasadach i w celu określonym w niniejszej Umowie.
  3. Przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie Powierzającego, chyba że obowiązek taki nakłada na niego prawo Unii Europejskiej lub prawo polskie. Za udokumentowane polecenie uważa się polecenie przetwarzania danych zawarte w Umowie lub w Umowie Głównej, a także wskazówki lub instrukcje przekazywane przez Powierzającego w trakcie ich obowiązywania.
  4. Przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą umową, RODO oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
  5. Przetwarzający oświadcza, iż stosuje środki bezpieczeństwa spełniające wymogi Ustawy oraz RODO.

§ 3 Zakres i cel przetwarzania danych

  1. Zakres przetwarzanych danych osobowych obejmuje dane osobowe wprowadzane przez Powierzającego w Systemie Przetwarzającego, w szczególności dane kontrahentów, pracowników i współpracowników Powierzającego, które są Przetwarzającemu niezbędne do wykonania Umowy Głównej.

§ 4 Zasady przetwarzania danych osobowych

  1. Powierzający i Przetwarzający zobowiązują się do przestrzegania przepisów i wymogów RODO i właściwych przepisów krajowych.
  2. Przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi Ustawy oraz RODO.
  3. Przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.
  4. Przetwarzający zobowiązuje się do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia, w tym także po rozwiązaniu Umowy Powierzenia, oraz zobowiązuje się zapewnić, by jego pracownicy oraz inne osoby upoważnione do przetwarzania powierzonych danych osobowych, zobowiązały się do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia, w tym także po rozwiązaniu Umowy Powierzenia.
  5. Powierzający zobowiązuje się do współdziałania w realizacji Umowy z Przetwarzającym w zakresie dotyczącym przetwarzania danych osobowych powierzonych na podstawie Umowy.
  6. W miarę możliwości Przetwarzający pomaga Powierzającemu w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 RODO.

§ 5 Dalsze powierzenie danych do przetwarzania

  1. W celu wykonania Umowy Głównej Powierzający wydaje zgodę Przetwarzającemu na podpowierzenie przetwarzania danych osobowych, o których mowa w § 3 innym podmiotom, w tym podwykonawcom. Niniejsza zgoda obejmuje dalsze powierzenie danych osobowych podmiotom wskazanym w Załączniku nr 2.
  2. O wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia podmiotów wskazanych w Załączniku nr 2, Przetwarzający będzie informował Powierzającego stosownym komunikatem, dając tym samym Powierzającemu możliwość wyrażenia sprzeciwu wobec takich zmian w terminie 7 dni od momentu otrzymania zawiadomienia.
  3. Podwykonawca wybrany przez Przetwarzającego do dalszego powierzania przetwarzania danych osobowych winien spełniać te same gwarancje i obowiązki jakie zostały nałożone na Przetwarzającego w niniejszej Umowie.
  4. Przetwarzający ponosi odpowiedzialność przy dochowaniu należytej staranności w doborze podmiotu, któremu podpowierzył przetwarzanie danych osobowych. Jeżeli Przetwarzający korzysta z usług innego podmiotu przetwarzającego, nałoży na ten inny podmiot przetwarzający te same obowiązki ochrony danych jak w Umowie, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom Ustawy i RODO.

§ 6 Odpowiedzialność Przetwarzającego

  1. Przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
  2. Przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych zgłasza je Powierzającemu w terminie do 24 godzin. Przetwarzający podejmuje także wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków naruszenia.
  3. Przetwarzający zobowiązuje się do niezwłocznego poinformowania Powierzającego o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Przetwarzającego danych osobowych określonych w umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania u Przetwarzającego tych danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez Generalnego Inspektora Ochrony Danych Osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Powierzającego.

§ 7 Prawo kontroli

  1. Powierzający zgodnie z art. 28 ust. 3 pkt h RODO ma prawo kontroli, czy środki zastosowane przez Przetwarzającego przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy.
  2. Przeprowadzenie audytu każdorazowo wymaga wcześniejszego uzgodnienia terminu audytu przez Strony.
  3. Powierzający zobowiązany jest do zgłoszenia chęci przeprowadzenia audytu z minimum 14 dniowym jego uprzedzeniem. Ustalając termin przeprowadzenia audytu, Przetwarzający uwzględnia preferencje Powierzającego oraz własny harmonogram pracy.
  4. Powierzający każdorazowo przed przeprowadzeniem audytu przedstawi Przetwarzającemu do weryfikacji i akceptacji ramowy plan czynności kontrolnych.
  5. Audyt nie powinien być przeprowadzany częściej niż raz w roku kalendarzowym.
  6. W przypadku nieuzasadnionych, nadmiernie powtarzających się audytów o szerokim zakresie, Przetwarzający może wprowadzić opłatę za przeprowadzenie audytu w wysokości wynikającej z poniesionych kosztów administracyjnych.
  7. Audytorem Powierzającego nie może być podmiot prowadzący działalność konkurencyjną wobec Przetwarzającego ani podmiot z nim powiązany lub jego pracownik lub podmiot/osoba z nim współpracująca, bez względu na podstawę zatrudnienia lub współpracy.
  8. Przetwarzający może uzależnić udział audytora lub wyznaczonego pracownika Powierzającego w audycie od uprzedniego zawarcia odpowiedniej umowy poufności z Przetwarzającym.
  9. W czasie audytu Powierzający i audytor mają obowiązek przestrzegania wewnętrznych procedur i polityk Przetwarzającego dotyczących bezpieczeństwa i poufności.

§ 8 Czas obowiązywania umowy

  1. Niniejsza Umowa Powierzenia wchodzi w życie z dniem jej zawarcia i obowiązuje przez czas obowiązywania Umowy Głównej.

§ 9 Rozwiązanie umowy

  1. Każda ze stron może wypowiedzieć niniejszą umowę w dowolnym momencie.
  2. Powierzający może rozwiązać niniejszą umowę ze skutkiem natychmiastowym gdy Przetwarzający:
    1. pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie,
    2. przetwarza dane osobowe w sposób niezgodny z Umową,
    3. powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Powierzającego.
  3. Rozwiązanie niniejszej umowy wiąże się także z rozwiązaniem Umowy Głównej i zaprzestaniem świadczenia Usług przez Przetwarzającego w ramach realizacji Umowy Głównej.

§ 10 Zasady zachowania poufności

  1. Przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Powierzającego i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
  2. Przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Powierzającego w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.

§ 11 Postępowanie z danymi po wygaśnięciu Umowy Głównej

  1. Z chwilą zakończenia obowiązywania Umowy Przetwarzający jest zobowiązany do niezwłocznego (w terminie uzasadnionym względami technicznymi) przekazania Powierzającemu lub usunięcia (zależnie od decyzji Powierzającego) danych osobowych (w tym kopii zapasowych), a następnie zniszczenia wszelkich informacji mogących posłużyć do odtworzenia w całości lub części, powierzonych na podstawie Umowy oraz Umowy Głównej danych osobowych, chyba że właściwe przepisy prawa krajowego lub unijnego nakazują przechowywanie tych danych osobowych przez Przetwarzającego przez ustawowo określony czas.

§ 12 Dane kontaktowe Stron

  1. W sprawach związanych z realizacją Umowy Strony określają dane kontaktowe w załączniku nr 1.
  2. Doręczenia i zawiadomienia, dla których Umowa lub powszechnie obowiązujące przepisy nie wymagają formy pisemnej, dokonywane są drogą elektroniczną na adresy e-mail Stron.
  3. O zmianie danych zawartych w załączniku nr 1 każda ze Stron zawiadomi niezwłocznie drugą Stronę w formie elektronicznej, np. e-mailowo lub poprzez System Przetwarzającego. Zmiana danych zawartych w załączniku nr 1 nie stanowi zmiany Umowy.

§ 13 Postanowienia końcowe

  1. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
  2. Załączniki stanowiące integralną część Umowy:
    Załącznik nr 1: Dane kontaktowe Stron.
    Załącznik nr 2: Lista podmiotów, którym Przetwarzający Podpowierza przetwarzanie Danych osobowych.
    Zmiana załączników nie stanowi zmiany Umowy.
  3. Wszelkie zmiany Umowy wymagają zachowania formy w jakiej została zawarta pod rygorem nieważności, chyba że Umowa stanowi inaczej.
  4. Wszelkie obowiązki informacyjne i aktualizacje załączników mogą być realizowane w formie elektronicznej poprzez zamieszczenie informacji w Systemie Przetwarzającego lub/oraz przy wykorzystaniu poczty elektronicznej.
  5. Umowa podlega prawu polskiemu, w sprawach nieuregulowanych Umową zastosowanie mają powszechnie obowiązujące przepisy prawa.
  6. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej umowy będzie sąd właściwy dla siedziby Przetwarzającego.




Załącznik nr 1

Dane kontaktowe Stron


Data: [Data zawarcia]


Powierzający Przetwarzający
[Nazwa firmy]
[Adres firmy]
[e-mail firmy]
Dariusz Gryzło
ul. Józefa Rymera 11/21, 43-300 Bielsko-Biała
e-mail: info@umpelo.com

Załącznik nr 2

Lista podmiotów, którym Przetwarzający Podpowierza przetwarzanie Danych osobowych


Data: [Data zawarcia]


Dane podmiotu Opis usługi
IQ PL Sp. z o.o.
ul. Geodetów 16, 80-298 Gdańsk
NIP 583-27-36-211
REGON 192478853
Centrum danych