Umowa powierzenia przetwarzania danych osobowych


("Umowa") stanowi część umowy o świadczenie usług cyfrowych, zgodnie z Ogólnymi warunkami korzystania z usług ("Umowa główna") i jest zawierana pomiędzy:

[nawa_firmy] z siedzibą w [miejscowość] ([kod_pocztowy]) [adres_siedziby], NIP: [nip] , zwaną dalej "Klientem" reprezentowaną przez [reprezentant]

a

NETHAPPEN Marcin Koczwara, z siedzibą w Tarnowie (33-100) ul. Boya Żeleńskiego 5A/61, NIP: 873-295-53-36 zwanym dalej "Dostawcą" reprezentowaną przez Marcin Koczwara.

zawarta w Tarnowie, w dniu [dd-mm-rrrr].

W niniejszej umowie powierzenia, Dostawca działa jako "Podmiot przetwarzający", natomiast Klient może działać jako "Administrator danych osobowych" lub "Podmiot przetwarzający", który zleca powierzenie lub podpowierzenie danych osobowych Dostawcy.

W przypadku gdy Klient jest Podmiotem przetwarzającym i powierza Dostawcy dane osobowe do dalszego przetwarzania, strony umawiają się na poniższe warunki:

    1. Klient wskazuje na liście wszystkich Administratorów w imieniu których zleca podpowierzenie danych
    2. Klient zapewnia, że uzyskał od każdego Administratora wszelkie zezwolenia niezbędne do podpisania niniejszej Umowy powierzenia oraz wskazał Dostawcę jako podmiot mający dokonywać dalszego przetwarzania,
    3. Klient zawarł z każdym Administratorem umowę, która jest w pełni zgodna z warunkami Umowy zawierającej niniejszą Umowę powierzenia, zgodnie z artykułem 28 RODO,
    4. wszelkie polecenia otrzymane przez Dostawcę od Klienta w ramach realizacji niniejszej Umowy są w pełni zgodne z poleceniami Administratora,
    5. wszelkie informacje przekazane lub udostępnione przez Dostawcę na podstawie niniejszej Umowy są odpowiednio przekazywane Administratorowi,
    6. Dostawca powinien przetwarzać Dane Osobowe wyłącznie zgodnie z poleceniem Klienta oraz nie otrzymywać żadnych poleceń bezpośrednio od Administratora, poza przypadkami, gdy Klient przestał istnieć faktycznie lub formalnie i nie ma prawnego następcy, który przejmie prawa i obowiązki Klienta.
    7. Klient, który ponosi pełną odpowiedzialność wobec Dostawcy w zakresie właściwej realizacji zobowiązań Administratora zgodnie z postanowieniami niniejszej Umowy powierzenia, zabezpiecza i chroni Dostawcę przed wszelkimi działaniami Administratora niezgodnymi z obowiązującym prawem oraz przed wszelkimi działaniami, roszczeniami lub skargami ze strony Administratora dotyczącymi jakichkolwiek postanowień Umowy lub jakichkolwiek poleceń otrzymanych przez Dostawcę od Klienta.

I. Powierzenie przetwarzania danych osobowych

  1. Klient powierza Dostawcy do przetwarzania dane osobowe, zgodnie z art. 28 ogólnego rozporządzenia o ochronie danych z dnia 27 kwietnia 2016r. (zwanego dalej Rozporządzeniem).
  2. Przetwarzanie danych osobowych przez Dostawcę będzie odbywać się na zasadach i w celu określonym w niniejszej Umowie. Dostawca będzie przetwarzał dane osobowe zgodnie z niniejszą umową powierzenia, przepisami rozporządzenia oraz powszechnie obowiązującymi przepisami odnoszącymi się do ochrony danych osobowych, oraz zobowiązuje się do stosowania środków bezpieczeństwa odpowiadających wymogom Rozporządzenia.
  3. Strony zobowiązują się do wzajemnej współpracy przy realizacji Umowy jak również współpracy z organem nadzorczym w związku z wykonywaniem przez niego swoich zadań. Strony są zobowiązane do zapewnienia współpracy z organem nadzorczym także przez swych przedstawicieli.

II. Cel i zakres przetwarzania danych

  1. Dostawca może przetwarzać dane osobowe przekazane przez Klienta wyłącznie w zakresie niezbędnym i celu wykonania zawartej Umowy na świadczenie Usług cyfrowych realizowanych przez Dostawcę.
  2. Przetwarzaniem danych przez Dostawcę, rozumie się operacje na takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, wykonywane na danych osobowych w systemach informatycznych.
  3. Zbiory Danych Osobowych oraz Podmioty Danych są określane i kontrolowane przez Klienta.
  4. Zakres przetwarzania obemuje Rodzaj Danych Osobowych określony w Załączniku nr. 1 do Umowy.
  5. Zmiana zakresu powierzenia następuje poprzez przesłanie do Dostawcy nowej wersji Załącznika nr. 1 i nie stanowi zmiany Umowy. Klient jest zobowiązany do aktualizacji Zakresu Danych w Załączniku nr. 1 w przypadku dokonanych zmian przetwarzania.
  6. Klient gwarantuje, że dane osobowe przetwarzane są w celach zgodnych z prawem, oraz że Dostawca nie przetwarza więcej danych osobowych niż jest to wymagane do spełnienia tych celów.
  7. Dostawca jest zobowiązany do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Klienta i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
  8. Dostawca oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Klienta w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.

II. Sposób wykonania Umowy

  1. Każda ze stron zobowiązuje się do przestrzegania obowiązujących przepisów dotyczących ochrony danych osobowych (w tym Rozporządzenia o Ochronie Danych Osobowych).
  2. Biorąc pod uwagę stan techniki, koszty wdrożenia oraz charakter, zakres i cele przetwarzania, Dostawca podczas przetwarzania danych osobowych, wdroży odpowiednie środki techniczne i organizacyjne zapewniające adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia.
  3. Administrator danych jest odpowiedzialny za informowanie Podmiotów Danych, o przysługujących im prawach oraz za przestrzeganie tych praw, w tym prawa dostępu, sprostowania, usunięcia, ograniczenia lub przenoszenia.
  4. Dostawca, w miarę możliwości i w niezbędnym zakresie, zapewni pomoc w wywiązaniu się z obowiązku odpowiadania na żądania Podmiotów Danych, których dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 Rozporządzenia, w tym stosować środki w celu zaradzenia Naruszeniom oraz w stosownych przypadkach środki w celu zminimalizowania ich ewentualnych negatywnych skutków.
  5. Klient zgadza się, że w przypadku gdy taka współpraca i pomoc wymieniona w punkcie wyżej, będzie wymagać znacznych zasobów ze strony Dostawcy, czynności te zostaną podjęte za opłatą po uprzednim poinformowaniu i uzgodnieniu z Klientem.
  6. Dostawca po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Klientowi w ciągu 48h od nabycia wiedzy o naruszeniu danych osobowych.
  7. Dostawca zobowiązuje się niezwłocznie zawiadomić Klienta o:
    1. każdym prawnie umocowanym żądaniu udostępnienia danych osobowych właściwemu organowi państwa, chyba że zakaz zawiadomienia wynika z przepisów prawa, a szczególności przepisów postępowania karnego, gdy zakaz ma na celu zapewnienia poufności wszczętego dochodzenia,
    2. każdym nieupoważnionym dostępie do danych osobowych,
    3. każdym żądaniu otrzymanym od osoby, której dane przetwarza, powstrzymując się jednocześnie od odpowiedzi na żądanie,
    4. jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Dostawcę danych osobowych określonych w Umowie,
    5. jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych skierowanej do Podmiotu Przetwarzającego,
    6. o wszelkich wiadomych i planowanych lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania danych osobowych w Podmiocie Przetwarzającym te dane.
  8. Klient zgodnie z art. 28 ust. 3 pkt h) Rozporządzenia ma prawo przeprowadzania audytów, czy środki zastosowane przez Dostawcę przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy.
  9. Audyt prowadzony jest w formie analizy oświadczeń i dokumentów przedłożonych przez Dostawcę. Z zakresu audytu wyłączone są informacje niedotyczące Klienta oraz dane poufne Dostawcy. W szczególnych przypadkach, jeżeli powyższe informację okazą się niewystarczające, aby Klient mógł wykazać, że spełnia zobowiązania ustanowione przez RODO, Dostawca i Klient uzgodnią warunki operacyjne, warunki bezpieczeństwa oraz finansowe tehnicznej inspekcji na miejscu. Przekazanie dodatkowych raportów z audytów, a także inspekcja na miejscu mogą być przedmiotem dodatkowych kosztów, ponadto audytor wyznaczony przez Klienta może być zobowiązany do podpisania umowy o poufności.
  10. Dostawca zobowiązuje się odpowiedzieć, na każde pytanie Klienta dotyczące przetwarzania powierzonych mu na podstawie Umowy danych osobowych oraz przedłożyć na wezwanie Klienta, aktualny wykaz osób przetwarzających dane osobowe Klienta.
  11. Dostawca, po wygaśnięciu usługi w której były przetwarzane dane osobowe, nie później niż w terminie 40 dni, usuwa wszelkie dane osobowe które pozyskał podczas trwania współpracy od Klienta oraz usuwa wszelkie ich istniejące kopie, zapisy, rejestry, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.

III. Dalsze powierzenie danych do przetwarzania

  1. Dostawca może powierzyć dane osobowe objęte niniejszą umową do dalszego przetwarzania innym podmiotom przetwarzającym (zwanych dalej "Podwykonawcami") jedynie w celu wykonania umowy na co Klient wyraża zgodę.
  2. Dostawca jest zobowiązany poinformować Klienta o każdym planowanym powierzeniu przetwarzania danych osobowych oraz o wszelkich zamierzonych zmianach dotyczących Podwykonawców, w szczególności o zastępieniu dotychczasowego Podwykonawcy przez innego Podwykonawcę lub o rezygnacji z usług Podwykonawcy.
  3. Klient ma prawo zgłosić przeciw, co do podpowierzenia danych osobowych oraz przyjmuje do wiadomości, iż zgłoszenie sprzeciwu może skutkować niemożnością wykonania Umowy, a w konsekwencji prowadzić do rozwiązania Umowy Usługi, której dotyczy, z przyczyn leżących po stronie Klienta.
  4. Dostawca oświadcza, że powierzenie przetwarzania danych osobowych Podwykonawcom uregulowane zostanie w  stosownych umowach powierzenia, zakres powierzonych do przetwarzania danych osobowych i dopuszczalnych czynności przetwarzania przez Podwykonawców będzie adekwatny do określonego w niniejszej Umowie. Dostawca ponosi pełną odpowiedzialność wobec Klienta za realizację wszelkich zobowiązań niedopełnionych przez Podwykonawcę.
  5. Klient upoważnia Dostawcę do nadawania upoważnień, wydawania instrukcji i poleceń w rozumieniu art. 29 RODO w stosunku do dalszych podmiotów przetwarzających.
  6. Dostawca jest upoważniony bez konieczności informowania Klienta, ani uzyskania jego uprzedniej zgody do nawiązania współpracy z dostawcami zewnętrzynymi (o ile tacy dostawcy nie będą uczestyniczyć w przetwarzaniu Danych Osobowych), takimi jak:
    • dostawcy energii elektrycznej,
    • dostawcy i operatorzy telekomunikacyjni,
    • kolokowane centra danych,
    • dostawcy sprzętu i oprogramowania,
    • dostawcy i inżynierzy techniczni oraz przewoźnicy,
    • firmy ochroniarskie. 

IV. Odpowiedzialność Klienta

  1. Dostawca nie jest odpowiedzialny za udostępnienie powierzonych danych osobowych osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem tych danych osobowych w przypadku, gdy przyczyną powyższego jest działanie bądź zaniechanie Klienta.
  2. Administrator danych jest wyłącznie odpowiedzialny za informowanie Podmiotów Danych o przysługujących im prawach oraz za przestrzeganie tych praw, w tym prawa dostępu, sprostowania, usunięcia, ograniczenia lub przenoszenia.
  3. Gdy Dostawca i Klient uczestniczą w przetwarzaniu w ramach niniejszej Umowy, które spowodowało szkody Podmiotom Danych, Klient w pierwszej kolejności zapłaci pełne odszkodowanie Podmiotowi Danych, a następnie będzie mógł żądać od Dostawcy zwrotu części odszkodowania odpowiadającej części szkody, za którą ponosi on odpowiedzialność, z zastrzeżeniem ograniczeń odpowiedzialności stosowanych w ramach Umowy.
  4. Klient jest odpowiedzialny za zapewnienie, że w momencie przekazania danych osobowych Dostawcy, istnieć będzie ważna podstawa prawna do ich przetwarzania, w szczególności zgody podmiotów, których dane dotyczą wyrażone w prawidłowy sposób oraz zostały zrealizowane wszelkie wymagane procedury i formalności. Klient zobowiązuje się, na żądanie Dostawcy do udokumentowania podstawy przetwarzania danych osobowych.
  5. Klient jest w pełni odpowiedzialny za sposób wykorzystania Usługi w której przetwarza dane osobowe, za konfigurację i korzystanie z Usługi w sposób właściwy, zgodny z jej przeznaczeniem i instrukcją.
  6. Klient jest odpowiedzialny za wdrożenie odpowiednich technicznych i organizacyjnych środków zapewniających bezpieczeństwo zasobów, aplikacji i operacji, które nie wchodzą w zakres odpowiedzialnośći Dostawcy.
  7. Klient jest w pełni odpowiedzialny za zabezpieczenie danych osobowych przetwarzanych w Usłudze poprzez samodzielne wykonywanie okresowej kopii bezpieczeństwa oraz innych operacji niezbędnych do zabezpieczenia danych osobowych, w szczcególności w sytuacjach przed działaniami takimi jak aktualizacje, usuwanie czy wygaśnięcie usługi.

V. Odpowiedzialność Dostawcy

  1. Dostawca zobowiązuje się zapewnić (zgodnie z art. 28 ust 3 pkt b Rozporządzenia), aby powierzone dane przetwarzały wyłącznie osoby, które w celu realizacji niniejszej Umowy Powierzenia są upoważnione do przetwarzania danych osobowych oraz zobowiązane się do zachowania tajemnicy dotyczących przetwarzanych danych osobowych, zarówno w trakcie ich zatrudnienia, jak i po jego ustaniu.
  2. Dostawca jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
  3. Dostawca odpowiada za szkody spowodowane przetwarzaniem danych gdy nie dopełnił obowiązków, które RODO nakłada na podmioty przetwarzające lub działał wbrew zgodnym z prawem instrukcjom Klienta.
  4. Całkowite i maksymalne zobowiązanie Dostawcy wobec Administratora danych w związku z wykonywaniem niniejszej Umowy Powierzenia, w każdym 12 miesięcznym okresie trwania umowy nie może w żadnym przypadku przekroczyć całkowitej kwoty zapłaconej za Usługi wymienione w Załączniku 1 (w których były przetwarzane dane) za okres 12 miesięcy poprzedzających zdarzenie, które pociąga za sobą odpowiedzialność. Ograniczenie nie ma zastosowania do szkód spowodowanych umyślnie.
  5. Dostawca nie ponosi odpowiedzialności za brak zgodności zastosowanych środków technicznych i organizacyjnych do rodzaju powierzonych mu na podstawie niniejszej Umowy Powierzenia danych osobowych, jeśli te środki są zgodne z wymaganiami co do rodzaju danych osobowych w tej umowie.

VI. Postanowienia końcowe

  1. Umowa Powierzenia wchodzi w życie z dniem zawarcia jej zawarcia i obowiązuje przez cały czas trwania Umowy na świadczenie Usługi cyfrowej w której powierzone dane Klienta są przetwarzane.
  2. Zawarcie niniejszej Umowy Powierzenia, powoduje rozwiązanie dotychczas zawartych Umów Powierzenia.
  3. W przypadku niezgodności z Umową Główną, pierwszeństwo mają postanowienia niniejszej Umowy Powierzenia.
  4. Umowa może zostać rozwiązana przez Klienta ze skutkiem natychmiastowym, gdy:
    1. zostanie stwierdzone prawomocną decyzją administracyjna lub prawomocnym wyrokiem sądu, że Dostawca naruszył zasady ochrony danych osobowych, o których mowa w Umowie Powierzenia,
    2. Dostawca rażąco i wielokrotnie narusza istotne zasady przetwarzania danych osobowych określone w Umowie Powierzenia oraz Rozporządzeniu.
  5. W sprawach nieuregulowanych niniejszą Umową Powierzenia, zastosowanie będą miały przepisy Rozporządzenia oraz obowiązujące przepisy prawa polskiego.
  6. Wszelkie zmiany lub uzupełnienia Umowy wymagają zachowania formy pisemnej pod rygorem
    nieważności, chyba że Umowa stanowi inaczej. 
  7. Przeniesienie praw i obowiązków wynikających z Umowy jest dopuszczalne wyłącznie w przypadku, gdy
    następuje przeniesienie praw i obowiązków wynikających z Umowy głównej. Zmiana Strony Umowy
    następuje na warunkach określonych w Umowie głównej.
  8. Umowę sporządzono w dwóch egzemplarzach, po jednym dla każdej ze Stron. 

 

(Klient)
Podpis podmiotu powierzającego


 

 

 

 

....................................................................

(Dostawca)
Podpis podmiotu przetwarzającego


 

 

 

 

....................................................................

 

 

Załącznik nr 1

 

(wzór zakresu przetwarzanych danych) 
(tabele należy powielić w przypadku wielu usług lub wielu administratorów)

 

Usługa, w której są przetwarzane dane:

Hosting Plus "nazwa_serwera"

Administrator danych osobowych:

"nazwa klienta"
"dane teleadresowe klienta"

Zbiór danych (dane zwykłe):

  • klienci, kontrahenci, abonenci, potencjalni klienci, zleceniodawcy,
  • pracownicy, kandydaci do pracy, współpracownicy,
  • oferenci, dostawcy, zleceniobiorcy,
  • użytkownicy, internauci,

Rodzaj danych osobowych (dane zwykłe):

  • imię i nazwisko, 
  • adres zamieszkania lub zameldowania,
  • numer PESEL,
  • NIP,
  • seria i numer dowodu osobistego lub paszportu,
  • data i miejsce urodzenia, 
  • numer telefonu, 
  • wykonywany zawód, 
  • wysokość wynagrodzenia,
  • wizerunek,
  • stan cywilny,
  • obywatelstwo,
  • stan zdrowia,
  • wykształcenie,
  • adres e-mail,
  • nazwa użytkownika (login), 
  • adres IP, 
  • user-agent (nagłówek żądania identyfikujący oprogramowanie),
  • płeć,
  • kolor oczu,
  • waga,
  • wzrost,
  • grupa krwi,
  • dane lokalizacyjne,

Zbiór danych (dane szczególnej kategorii):

nie wskazano

Rodzaj danych (dane wrażliwe):

nie wskazano