Data Processing Agreement

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zwana w dalszej części Umową powierzenia

Usługobiorca, zwany w dalszej części umowy Administratorem akceptując Regulamin zawiera z Usługodawcą, zwanym w dalszej części umowy Podmiotem przetwarzającym lub Procesorem niniejszą Umowę powierzenia o następującej treści:

§ 1
POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

1. W celu prawidłowego wykonania Umowy niezbędne jest powierzenie przez Administratora do przetwarzania Podmiotowi przetwarzającemu określonych danych osobowych, na podstawie art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego w dalszej części Umowy powierzenia Rozporządzeniem RODO.
2. W ramach realizacji Umowy Procesor będzie przetwarzał dane osobowe na polecenie Administratora danych na warunkach określonych w niniejszej Umowie powierzenia.
3. Administrator danych oświadcza, że jest administratorem danych osobowych osób uprawnionych na podstawie Umowy oraz posiada zgodę na przetwarzanie danych osobowych.
4. Administrator danych jest zobowiązany do współdziałania z Podmiotem przetwarzającym w zakresie realizacji Umowy oraz niniejszej Umowy powierzenia.
5. W celu prawidłowej realizacji przedmiotu Umowy Administrator powierza Podmiotowi przetwarzającemu następujące rodzaje danych osobowych dotyczących kategorii osób wskazanych w ust. 1 powyżej: imię, nazwisko, PESEL, data urodzenia, adres zamieszkania, adres e-mail, telefon kontaktowy zwane w dalszej części Danymi osobowymi.
6. Cel i zakres powierzenia przetwarzania Danych osobowych wynika bezpośrednio i ogranicza się do zadań lub usług wynikających z Umowy. Procesor uprawniony jest, w szczególności do dokonywania następujących operacji przetwarzania Danych osobowych:
a. Zbierania
b. Modyfikowania
c. Przechowywania
d. Przeglądania
e. Katalogowania
f. Aktualizowania.
7. Powierzone Dane osobowe przetwarzane będą przez Podmiot przetwarzający w formie elektronicznej, w systemach informatycznych.
8. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu Dane osobowe zgodnie z Rozporządzeniem RODO, Umową powierzenia danych, oraz z innymi przepisami prawa powszechnie obowiązującego, chroniącymi prawa osób, których dane dotyczą.
9. Podmiot przetwarzający oświadcza, iż stosuje odpowiednie środki techniczne i organizacyjne w rozumieniu Rozporządzenia RODO, które zapewniają bezpieczeństwo powierzonych do przetwarzania Danych osobowych.

§ 2
OBOWIĄZKI PROCESORA

1. Podmiot przetwarzający oświadcza, że wdrożył odpowiednie środki techniczne i organizacyjne zapewniające adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanego z przetwarzaniem powierzonych Danych osobowych, o których mowa w art. 32 Rozporządzenia RODO. Procesor zobowiązuje się do regularnej weryfikacji i aktualizacji stosowanych przez siebie środków technicznych i organizacyjnych w celu zapewnienia powierzonym Danym osobowym właściwego stopnia ochrony. Podmiot przetwarzający, na każde żądanie Administratora danych, przekaże informacje o stosowanych przez niego środkach organizacyjnych i technicznych związanych z przetwarzaniem Danych osobowych.
2. Podmiot przetwarzający zobowiązuje się dołożyć najwyższej staranności przy przetwarzaniu powierzonych Danych osobowych, w celu ich ochrony.

3. Procesor oświadcza, że:
a. jego pracownicy oraz współpracownicy (pracownicy, osoby świadczące czynności na podstawie umów cywilnoprawnych, inne osoby pracujące lub świadczące usługi na rzecz Podmiotu przetwarzającego), którzy będą przetwarzać Dane osobowe w związku z Umową powierzenia, będą działać na podstawie wyraźnego upoważnienia do przetwarzania danych osobowych, w granicach określonych Umową powierzenia oraz
b. zostaną dopuszczeni do przetwarzania Danych osobowych jedynie po odbyciu szkolenia z zakresu ochrony danych osobowych w świetle Rozporządzenia RODO.
4. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, o której mowa w art. 28 ust. 3 pkt b) Rozporządzenia RODO, przetwarzanych Danych osobowych przez osoby, które upoważni do przetwarzania Danych osobowych w ramach realizacji Umowy powierzenia, zarówno w trakcie ich zatrudnienia w Podmiocie przetwarzającym, jak i po jego ustaniu.
5. Procesor zobowiązuje się wspierać Administratora danych, przez stosowanie odpowiednich środków technicznych i organizacyjnych, przy spełnieniu żądań osób, których Dane osobowe – powierzone do przetwarzania Procesorowi – dotyczą, a które związane są z realizacją praw osób fizycznych oraz w terminie wynikającym z Rozporządzenia RODO.
6. Procesor zobowiązuje się współpracować oraz udzielać pomocy Administratorowi w celu wywiązywania się z obowiązków określonych w art. 32-36 Rozporządzenia RODO. W szczególności Podmiot przetwarzający będzie udzielał Administratorowi wszelkich informacji dotyczących stosowanych środków bezpieczeństwa, certyfikacji w określonych obszarach, zidentyfikowanych po stronie Podmiotu przetwarzającego ryzyk związanych z przetwarzaniem Danych osobowych.
7. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem na podstawie Umowy, nie później niż w terminie 30 dni zwróci Administratorowi danych wszelkie powierzone mu Dane osobowe i usunie wszelkie ich istniejące kopie lub dokona ich zniszczenia – adekwatnie do woli Administratora, chyba że prawo Unii lub prawo polskie nakazują przechowywanie danych osobowych. Przez usunięcie Danych osobowych, rozumieć należy zniszczenie tych danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą (anonimizacja danych). Administrator danych może w każdym przypadku zweryfikować u Procesora wypełnienie obowiązku usunięcia Danych osobowych.

§ 3
PRAWO NADZORU I KONTROLI

1. Administrator danych lub pisemnie upoważniony przez Administratora danych audytor jest uprawniony do kontrolowania Podmiotu przetwarzającego w zakresie przetwarzania Danych osobowych pod względem zgodności z postanowieniami Umowy powierzenia i przepisów Rozporządzenia RODO.
2. Administrator danych realizować będzie prawo kontroli w godzinach pracy Podmiotu przetwarzającego i za minimum 3-dniowym uprzedzeniem.
3. Podmiot przetwarzający będzie współpracował z Administratorem danych podczas kontroli, przy uwzględnieniu faktu świadczenia pracy w trakcie kontroli przez pracownika oddelegowanego do pomocy przy kontroli.
4. Procesor zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora danych, nie dłuższym niż 7 dni, na pisemne żądanie Administratora.
5. Administrator, w ramach czynności nadzorczych, jest uprawniony do żądania od Procesora, udzielenia informacji związanych z przetwarzaniem Danych osobowych oraz wypełnienia przez Podmiot przetwarzający obowiązków wynikających z Umowy powierzenia oraz Rozporządzenia RODO. Podmiot przetwarzający zobowiązany jest udostępnić Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w Umowie powierzenia oraz Rozporządzeniu RODO.
6. W ramach czynności nadzorczych i kontrolnych Administrator danych jest uprawniony do wydawania Podmiotowi przetwarzającemu pisemnych poleceń odnośnie sposobu wykonania Umowy powierzenia danych oraz wskazówek w celu poprawienia sposobu ochrony Danych osobowych.
7. Podmiot przetwarzający zobowiązany jest do niezwłocznego informowania Administratora danych osobowych, jeżeli jego zdaniem wydane przez Administratora danych polecenie stanowi naruszenie Rozporządzenia RODO lub innych przepisów Unii lub prawa polskiego o ochronie danych osobowych.

§ 4
DALSZE POWIERZENIE DANYCH DO PRZETWARZANIA

1. Na potrzeby hostingu serwerów i infrastruktury informatycznej Administrator danych wyraża zgodę, aby w związku z przetwarzaniem Danych osobowych Procesor korzystał z usług podmiotów trzecich, które związane są z przetwarzaniem Danych osobowych, czyli udziela Procesorowi zgody na dalsze podpowierzenie przetwarzania Danych osobowych.
2. Procesor oświadcza, że zakres powierzonych do przetwarzania Danych osobowych i dopuszczalnych czynności przetwarzania przez ww. podmioty będzie adekwatny do określonego celu oraz nie będzie wykraczał poza Umowę powierzenia oraz Umowę, a podmioty, którym zostaną podpowierzone do przetwarzania Dane osobowe będą stosowały środki techniczne i organizacyjne zapewniające wystarczający poziom ochrony powierzonych Danych osobowych. Procesor ponosi pełną odpowiedzialność wobec Administratora danych za działania lub zaniechania ww. podmiotów.
3. Procesor odpowiada za to, aby podprocesor dawał te same gwarancje i spełniał obowiązki, jakie zostały nałożone na Procesora w niniejszej Umowie powierzenia, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom przepisów powszechnie obowiązującego prawa krajowego i europejskiego – Rozporządzenia RODO.

§ 5
ODPOWIEDZIALNOŚĆ PODMIOTU PRZETWARZAJĄCEGO

1. Odpowiedzialność Procesora wobec Administratora danych obejmuje szkody poniesione przez Administratora danych na skutek działań lub zaniechań Procesora na zasadach ogólnych przepisów Rozporządzenia RODO lub przepisów Kodeksu cywilnego.
2. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora danych o postępowaniu, czynnościach sprawdzających, zapytaniach osób których Dane osobowe dotyczą, w szczególności o postępowaniu administracyjnym lub sądowym dotyczącym przetwarzania przez Procesora Danych osobowych określonych w Umowie powierzenia, o decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie przetwarzającym danych osobowych.
3. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora danych.

§ 6
CZAS OBOWIĄZYWANIA UMOWY POWIERZENIA

1. Niniejsza Umowa powierzenia zostaje zawarta na czas dostępu Usługobiorcy do Pakietu Usług.

§ 7
ZASADY ZACHOWANIA POUFNOŚCI

1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i Danych osobowych otrzymanych od Administratora danych i od współpracujących z nim osób oraz danych uzyskanych w inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej, zwane dalej Informacjami poufnymi.
2. Procesor oświadcza, że w związku z zobowiązaniem do zachowania w tajemnicy Informacji poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez uprzedniej, pisemnej zgody Administratora danych w innym celu niż wykonanie Umowy powierzenia, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy powierzenia.
3. Obowiązek zachowania poufności Informacji poufnych obowiązuje przez okres Umowy powierzenia oraz po jej rozwiązaniu lub wygaśnięciu.

§ 8
NARUSZENIE OCHRONY DANYCH OSOBOWYCH

1. W przypadku stwierdzenia sytuacji stanowiącej naruszenie ochrony Danych osobowych Procesor zobowiązany jest:
a) niezwłocznie, lecz nie później niż w ciągu 24 godzin od stwierdzenia naruszenia, poinformować o tym Administratora, podając wszelkie informacje dotyczące takiego naruszenia.
b) ustalić przyczynę naruszenia.
c) podjąć niezwłocznie wszelkie czynności mające na celu usunięcie naruszenia i zabezpieczenie Danych osobowych w sposób należyty przed dalszymi naruszeniami.
d) zebrać wszystkie dane i dokumenty, które mogą pomóc w ustaleniu okoliczności naruszenia i przeciwdziałaniu podobnym naruszeniom w przyszłości.
e) udzielać Administratorowi wszelkich wyjaśnień.

§ 9
POSTANOWIENIA KOŃCOWE

1. W sprawach nieuregulowanych w Umowie powierzenia zastosowanie będą miały przepisy Kodeksu cywilnego, ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych oraz Rozporządzenia RODO.
2. W przypadku, gdy któreś z postanowień Umowy powierzenia okazało się w całości lub w części nieskuteczne lub niemożliwe do zrealizowania, skuteczność pozostałych postanowień pozostaje nienaruszona.
3. Wszelkie spory pomiędzy Stronami będą rozstrzygane polubownie. W przypadku braku osiągnięcia porozumienia, ostateczny spór pomiędzy Stronami zostanie rozstrzygnięty przez właściwy sąd powszechny dla siedziby Administratora danych.
4. Umowa wchodzi w życie z chwilą zaakceptowania Regulaminu i dokonania płatności za wybrany Pakiet Usług.

Skontaktuj się z nami, aby poznać ofertę