Załącznik do Regulaminu sygn. R/ITO/02/2021 obowiązującego od dnia 01.01.2021 r.
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w Działoszynie, w dniu [data zawarcia] pomiędzy:
ITO Spółka z ograniczoną odpowiedzialnością z siedzibą w Działoszynie, 98-355 Działoszyn, ul. Parkowa 7,
wpisana do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego
prowadzonego przez Sąd Rejonowy dla Łodzi – Śródmieścia w Łodzi,
XX Wydział Gospodarczy Krajowego Rejestru Sądowego, pod nr KRS – 0000860191,
kapitał zakładowy 8 000,00 zł,
numer NIP: 5080096340, numer REGON: 387054378,
zwaną w dalszej części Umowy „Podmiotem przetwarzającym” lub „Zleceniobiorcą”,
a
[dane podmiotu, który zawiera Umowę]
zwanym (-ną) w dalszej części Umowy „Administratorem danych”, „Administratorem” lub „Zleceniodawcą”,
wspólnie zwanymi dalej „Stronami”.
Zważywszy, że strony łączą Umowa/wy Główna dotycząc świadczenia usług w ramach systemu ITO, a w trakcie wykonywania przez „Podmiot Przetwarzający” obowiązków wynikających z zawartej umowy głównej, „Podmiot Przetwarzający” będzie miał możliwość dostępu do danych osobowych przetwarzanych przez Administratora, tj. danych osobowych: dane zwykłe – tj. imię i nazwisko, adres zamieszkania, data urodzenia, PESEL, telefon kontaktowy, login, hasło, adres poczty elektronicznej (e-mail), klucze API: Client ID i Client Secret z Rejestru BDO., firma prowadzonej działalności, NIP oraz dane wprowadzane do Systemu ITO, Zleceniodawca jako Administrator danych osobowych powierza „Podmiotowi Przetwarzającemu” w trybie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwanego w dalszej części „Rozporządzeniem”) dane osobowe do przetwarzania, na zasadach i w celu określonym w niniejszej Umowie.
§ 1. Przedmiot Umowy Powierzenia
1.1 Administrator danych powierza Podmiotowi przetwarzającemu dane osobowe do przetwarzania w trybie art. 28 ogólnego rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE.L Nr 119, str. 1) (zwanego w dalszej części Umowy „Rozporządzeniem” lub „RODO”), na zasadach, w zakresie i w celu określonych w niniejszej Umowie.
1.2 Administrator oświadcza, że jest administratorem danych osobowych w rozumieniu art. 4 pkt. 7 RODO, które powierza Podmiotowi przetwarzającemu.
1.3 Podmiot przetwarzający zobowiązuje się do przetwarzania powierzonych mu danych osobowych zgodnie z niniejszą Umową Powierzenia, Rozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, chroniącymi prawa osób, których dane dotyczą. Przez przepisy prawa powszechnie obowiązującego Strony rozumieją wszystkie akty prawne obowiązujące na dzień zawarcia niniejszej Umowy Powierzenia lub w przyszłości, z uwzględnieniem ich ewentualnych zmian.
1.4 Podmiot przetwarzający oświadcza, że zapewnia wystarczające gwarancje wdrożenia środków technicznych i organizacyjnych – by przetwarzanie Danych osobowych na podstawie Umowy spełniało obowiązujące przepisy o ochronie danych osobowych, w tym zwłaszcza w zakresie bezpieczeństwa Danych osobowych.
1.5 Podmiot Przetwarzający oświadcza, że powierzone dane nie będą poddawane dalszemu przetwarzaniu w sposób niezgodny z celem określonym w niniejszej umowie.
1.6 Podmiot przetwarzający oświadcza, że przetwarza dane osobowe wyłącznie na polecenie Administratora, w tym w zakresie przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba, że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
§ 2. Zakres i cel przetwarzania danych
2.1 Podmiot przetwarzający będzie przetwarzał powierzone na podstawie Umowy dane osobowe dotyczące następujących kategorii osób: Administratora, osób zatrudnionych u Administratora na jakiejkolwiek podstawie prawnej, osób uprawnionych do reprezentacji Administratora oraz innych osób/podmiotów, mogących pojawić się w ramach czynności prawnych związanych z prowadzoną działalnością Administratora – np. pracownicy, klienci, kontrahenci Administratora.
2.2 Podmiot przetwarzający będzie przetwarzać powierzone na podstawie niniejszej Umowy dane w następującym zakresie: imiona i nazwiska, numery PESEL, adresy zamieszkania, służbowe dane kontaktowe: adresy siedzib, numery telefonów, adresy mailowe, numery faksów, stanowiska służbowe, login, hasło, adres poczty elektronicznej (e-mail), klucze API: Client ID i Client Secret z Rejestru BDO., firma prowadzonej działalności, NIP oraz dane wprowadzane przez Administratora do Systemu ITO.
2.3 Administrator powierza Podmiotowi przetwarzającemu dokonywanie, w imieniu Administratora, przetwarzania Danych osobowych w zakresie następujących czynności: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
2.4 Dane osobowe powierzone przez Administratora danych będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu realizacji umowy Głównej, tj. umowy o świadczenie usług w zakresie systemu ITO.
§ 3. Zasady przetwarzania danych
3.1 Zleceniodawca powierza przetwarzanie danych osobowych wyłącznie w zakresie danych osobowych zgromadzonych przez niego zgodnie z obowiązującymi przepisami prawa w ramach korzystania z aplikacji ebdo.pl udostępnionej przez Zleceniobiorcę w systemie informatycznym.
3.2 Zakres przetwarzanych danych osobowych obejmuje dane osobowe wprowadzane do Systemu ITO przez Zleceniodawcę, które są niezbędne do wykonania Umowy zawartej między Stronami, w szczególności są to dane Zleceniodawcy, dane pracowników i współpracowników Zleceniodawcy, dane klientów i kontrahentów.
3.3 W ramach realizacji niniejszej Umowy Podmiot przetwarzający zobowiązuje się w szczególności do:
a). zabezpieczenia danych osobowych poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, zapewniających adekwatny stopień bezpieczeństwa, odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia,
b). wykorzystania powierzonych przez Administratora danych osobowych wyłącznie w zakresie i w celu określonym w niniejszej Umowie Powierzenia,
c). dołożenia należytej staranności przy przetwarzaniu powierzonych danych osobowych,
d). nie podejmowania żadnych czynności związanych z dalszym przekazywaniem danych osobowych jeżeli nie są one uregulowane w niniejszej Umowie,
e). zapewnienia by dostęp do Danych osobowych miały wyłącznie osoby upoważnione do tego przez Podmiot przetwarzający i nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane osobowe, w celu realizacji niniejszej Umowy Powierzenia, Podmiot przetwarzający zobowiązuje się zapewnić, by osoby, upoważnione do przetwarzania danych osobowych w celu realizacji niniejszej Umowy, zobowiązały się do zachowania tajemnicy, o której mowa w art. 28 ust. 3 lit. b Rozporządzenia, tj. do zachowania w tajemnicy tych Danych osobowych oraz sposobów ich zabezpieczenia zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu,
f). zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”),
g). do zachowania w tajemnicy danych poufnych i oświadcza, że nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy,
h). Podmiot przetwarzający biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO,
i). Podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32-36 RODO.
3.4 Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem danych osobowych, zależnie od ostatecznej decyzji Administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
3.5 Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków wynikających z art. 28 RODO oraz umożliwia Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzenie audytów, w tym inspekcji.
3.6 W przypadku stwierdzenia jakiegokolwiek naruszenia ochrony danych osobowych Podmiot przetwarzający bez zbędnej zwłoki, jednak nie później niż w ciągu 48 godzin, zgłasza je Administratorowi.
Zgłoszenie to powinno:
a). opisywać okoliczności i charakter naruszenia ochrony danych osobowych, tj. kategorię osób, które dane dotyczą oraz rodzaj danych osobowych, które były przedmiotem naruszenia,
b). opisywać możliwe konsekwencje naruszenia danych osobowych,
c). opisywać środki proponowane lub zastosowane przez Podmiot przetwarzający w celu wyeliminowania podobnych sytuacji naruszenia danych osobowych oraz w celu zmniejszenia potencjalnych negatywnych skutków tego naruszenia,
d). zawierać dane kontaktowe ze strony Podmiotu przetwarzającego gdzie można uzyskać inne niezbędne informacje do wyjaśnienia przedmiotowego naruszenia.
§ 4. Prawo kontroli
4.1 Zgodnie z art. 28 ust. 3 lit. h Rozporządzenia Administrator danych ma prawo kontroli, mającej na celu weryfikację, czy Podmiot przetwarzający spełnia obowiązki wynikające z niniejszej Umowy.
4.2 Administrator danych może realizować prawo kontroli wyłącznie w godzinach pracy Podmiotu przetwarzającego i z minimum 7-dniowym uprzedzeniem.
4.3 Podmiot przetwarzający zobowiązuje się do usunięcia uzasadnionych uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora danych, nie dłuższym niż 7 dni.
§ 5. Raportowanie
5.1 Na wniosek Administratora Podmiot przetwarzający udostępnia wszelkie informacje niezbędne do realizacji lub wykazania spełnienia obowiązków wynikających z Rozporządzenia.
5.2 Informacji, o których mowa w ust. 1, udziela się w terminie 15 dni roboczych od dnia doręczenia wniosku, z zastrzeżeniem ust. 3.
5.3 Jeżeli wniosek, o którym mowa w ust. 1, dotyczy realizacji obowiązku zgłoszenia naruszenia ochrony danych osobowych, Podmiot przetwarzający udziela informacji w najbliższym możliwym terminie, nie później niż w ciągu 48 godzin od doręczenia wniosku.
§ 6. Dalsze powierzenie danych do przetwarzania
6.1 Administrator wyraża ogólną zgodę na korzystanie przez Podmiot przetwarzający z usług innego podmiotu przetwarzającego (zwanego dalej „Innym podmiotem przetwarzającym”) w celu wykonywania w imieniu Administratora wszystkich lub wybranych czynności przetwarzania Danych osobowych, w szczególności podwykonawcom. Podmiot przetwarzający zobowiązany jest do uprzedniego poinformowania Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających – w takim wypadku Administrator uprawniony jest do wyrażenia wiążącego sprzeciwu wobec takich zmian.
§ 7. Odpowiedzialność Podmiotu przetwarzającego
7.1 Administrator ponosi odpowiedzialność za przestrzeganie przepisów prawa w zakresie przetwarzania i ochrony danych osobowych według RODO. Powyższe nie wyłącza odpowiedzialności Podmiotu Przetwarzającego za przetwarzanie powierzonych Danych Osobowych. Podmiot Przetwarzający odpowiada za szkody spowodowane przetwarzaniem, wyłączenie gdy nie dopełnił obowiązków, które nakłada na niego RODO lub gdy działał poza zgodnymi z prawem instrukcjami Powierzającego lub wbrew tym instrukcjom (art. 82 ust. 2 RODO).
7.2 Podmiot Przetwarzający nie ponosi odpowiedzialności za nieprzestrzeganie lub nienależyte przestrzeganie przez Administratora o ogólnych zaleceń Podmiotu Przetwarzającego dotyczących przetwarzania Danych Osobowych. Pełną odpowiedzialność, w tym odpowiedzialność odszkodowawczą, za wszelkie szkody wynikłe z naruszenia tych zaleceń ponosi Administrator.
7.3 Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora danych o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych w Umowie, o jakiejkolwiek decyzji administracyjnej lub jakimkolwiek orzeczeniu dotyczących przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie przetwarzającym tych danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez Prezesa Urzędu Ochrony Danych Osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora danych.
7.4 Zleceniobiorca nie jest odpowiedzialny za udostępnianie powierzonych danych osobowych osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem tych danych osobowych w przypadku, gdy przyczyna powyższego jest działania bądź zaniechania jest niezależna od Zleceniobiorcy, w szczególności gdy Zleceniodawca udostępnieni informacje autoryzujących dostęp do Usługi osobom trzecim, a także dopuści się innego zachowania dotyczącego usługi w obszarze zarządzanym przez Zleceniodawcę.
7.5 Odpowiedzialność Zleceniobiorcy względem Zleceniodawcy w każdym przypadku ograniczona jest do wysokości opłaty rocznej, jaką Zleceniodawca wnosi na rzecz Zleceniobiorcy z tytułu Umowy o świadczenie usług.
§ 8. Czas obowiązywania Umowy
8.1 Umowa Powierzenia wchodzi w życie w dniu jej zawarcia.
8.2 Umowa Powierzenia zostaje zawarta na czas trwania Umowy na świadczenie usług w ramach Systemu ITO.
8.3 Umowa zawarta jest na czas określony, tj. na czas obowiązywania Umowy podstawowej, przy czym rozwiązanie, wypowiedzenie lub wygaśnięcie Umowy Podstawowej powoduje jednoczesne odpowiednio rozwiązanie, wypowiedzenie lub wygaśnięcie Umowy bez konieczności składania przez Strony dodatkowych oświadczeń w tym zakresie, chyba że Strony postanowią inaczej.
8.4 Umowa Powierzenia obowiązuje do chwili upływu okresu abonamentowego usługi, przy czym przedłużenie okresu abonamentowego dla usługi, skutkuje przedłużeniem niniejszej umowy bez konieczności składania dodatkowych oświadczeń woli przez Strony. Umowa obowiązuje również w przypadku, gdy Klient nie przedłuży okresu abonamentowego, ale też nie usunął swojego konta z systemu, co oznacza, iż Zleceniobiorca zobowiązany jest do przechowywania danych Zleceniodawcy przez okres 5 lat licząc od dnia następnego po zakończeniu ostatniego okresu abonamentowego. Po ustaniu okresu przetwarzania danych wynikającego z Umowy o świadczenie usług Zleceniobiorca usuwa dane, chyba że właściwe przepisy prawa krajowego lub unijnego nakazują przechowywanie tych danych osobowych przez Zleceniobiorcę przez inny ustawowo określony okres czasu.
8.5 Umowa niniejsza rozwiązuje się w każdym czasie, gdy Zleceniodawca usunie swoje konto z systemu informatycznego ITO, na skutek czego usuwane zostają bezpowrotnie wszystkie dane, które w związku z usługą przechowywane były w systemie Zleceniobiorcy.
§ 9. Rozwiązanie Umowy
9.1 Administrator danych może rozwiązać niniejszą Umowę ze skutkiem natychmiastowym, gdy Podmiot przetwarzający:
a). pomimo zobowiązania go do usunięcia uzasadnionych uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie,
b). przetwarza dane osobowe w sposób niezgodny z Umową, powierzył przetwarzanie danych osobowych innemu podmiotowi mimo sprzeciwu Administratora danych.
§ 10. Zasady zachowania tajemnicy
10.1 Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora danych i od współpracujących z nim osób, a także danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy, w formie ustnej, pisemnej lub elektronicznej.
10.2 Podmiot przetwarzający oświadcza, że w związku z zobowiązaniem do zachowania w tajemnicy danych, o których mowa ust. 1 nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie Umowy Powierzenia z wyłączeniem sytuacji, gdy będzie to dokonywane w celu realizacji postanowień umowy głównej, realizowane na pisemne zlecenie Zamawiającego lub realizowane w związku z obowiązkiem przewidzianym przepisami prawa, wyrokiem sądu albo decyzją organu administracji publicznej lub jakiegokolwiek innego organu.
§ 11. Postanowienia końcowe
11.1 Treść Umowy może być zmieniana między innymi w przypadku zmiany przepisów prawa i konieczności dostosowania jej treści do tych przepisów lub zmiany regulacji wewnętrznych dotyczących przetwarzania danych osobowych obowiązujących u każdej ze Stron.
11.2 Wszelkie zmiany oraz uzupełnienia w treści Umowy Powierzenia wymagają akceptacji każdej ze Stron oraz formy pisemnej pod rygorem nieważności.
11.3 W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego, Rozporządzenia oraz inne przepisy prawa powszechnie obowiązującego.
11.4 Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej Umowy będzie sąd właściwy ze względu na siedzibę Podmiotu przetwarzającego.
11.5 Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
11.6 Umowa została zawarta w formie elektronicznej. Nie wymaga podpisów Stron.