Umowa powierzenia przetwarzania danych - załącznik do "Regulamin świadczenia usług Serwisant Online"

zawarta dnia [aktualna data] w Bielsku-Białej pomiędzy

[nazwa firmy], [adres firmy]

zwanym dalej "Powierzającym",

a

Sugar Mice Software Arkadiusz Kuryłowicz, NIP: PL 5471824223, Cieszyńska 434/5 43-382 Bielsko-Biała PL

zwanym dalej "Przetwarzającym",

zwane dalej również "Stronami".

Preambula

Zważywszy, że: Powierzający i Przetwarzający zawarli Umowę na świadczenie usług a niniejsza umowa jest niezbędna dla realizacji celów wynikających z tej umowy na podstawie art. 28 RODO, Strony zawierają umowę o następującej treści:

§1
Definicje umowne

Dla potrzeb niniejszej umowy, o ile z treści i celu umowy nie wynika inaczej, przyjmuje się następujące znaczenie dla poniżej wymienionych sformułowań:

1. RODO - oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1);

2. Ustawa – rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922) lub inny akt prawny, który zastąpi rzeczoną ustawę;

3. Dane osobowe – oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

4. Przetwarzanie danych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

5. Serwis – rozumie się przez to oprogramowanie komputerowe dostępne pod adresami URL https://serwisant-online.pl, https://serwisant.online, https://naprawiam.online, udostępnione w formie usługi świadczonej drogą elektroniczną (SaaS)

6. Umowa – rozumie się przez to niniejszą umowę powierzenia przetwarzania danych osobowych;

7. Umowa Główna – rozumie się przez to umowę zawartą przez Strony w związku ze świadczeniem usług w ramach Serwisu;

8. Personel Przetwarzającego – rozumie się przez to pracowników i współpracowników Przetwarzającego, niezależnie od rodzaju umowy i formy współpracy, działających na rzecz i w imieniu Przetwarzającego.

§ 2
Przedmiot oraz cel umowy

1. Przedmiotem Umowy jest powierzenie Przetwarzającemu przez Powierzającego przetwarzania danych osobowych, w związku z realizacją Umowy Głównej.

2. Powierzający powierza Przetwarzającemu, w rozumieniu art. 28 RODO, przetwarzanie danych osobowych, a Przetwarzający zobowiązuje się do ich przetwarzania zgodnego z prawem oraz wyłącznie w celu i zakresie określonym w Umowie Głównej. Jednocześnie Powierzający - jako podmiot, któremu część przekazywanych na mocy niniejszej Umowy danych osobowych została powierzona (w stosunku do których nie jest on Administratorem Danych) - podpowierza Przetwarzającemu w zakresie określonym w niniejszej Umowie oraz Umowie Głównej ich przetwarzanie. Powierzający oświadcza, że posiada zgodę administratorów danych na dalsze ich powierzenie Przetwarzającemu.

3. Przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie Powierzającego, chyba że obowiązek taki nakłada na niego prawo Unii Europejskiej lub prawo polskie. Za udokumentowane polecenie uważa się polecenie przetwarzania danych zawarte w Umowie lub w Umowie Głównej, a także wskazówki lub instrukcje przekazywane przez Powierzającego w trakcie ich obowiązywania.

§ 3
Przetwarzanie danych osobowych – zakres przetwarzania

1. Zakres przetwarzanych danych osobowych obejmuje dane osobowe: wprowadzane przez Powierzającego w Serwisie , w szczególności dane klientów, pracowników i współpracowników Powierzającego, które są Przetwarzającemu niezbędne do wykonania Umowy Głównej.

§ 4
Zasady przetwarzania danych osobowych

1. Powierzający i Przetwarzający zobowiązują się do przestrzegania przepisów i wymogów RODO i właściwych przepisów krajowych.

2. Przetwarzający oświadcza, że dysponuje zasobami, doświadczeniem, wiedzą fachową i wykwalifikowanym personelem, które umożliwiają mu prawidłowe wykonanie Umowy Powierzenia oraz wdrożenie odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi Ustawy oraz RODO.

3. Przetwarzający oświadcza, że podjął skuteczne środki techniczne i organizacyjne zabezpieczające dane osobowe przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa oraz uszkodzeniem, zniszczeniem, utratą lub nieuzasadnioną modyfikacją. Przetwarzający oświadcza, że zastosowane przez niego środki pozostają zgodne z Ustawą oraz RODO.

4. Przetwarzający zobowiązuje się do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia, w tym także po rozwiązaniu Umowy Powierzenia, oraz zobowiązuje się zapewnić, by jego pracownicy oraz inne osoby upoważnione do przetwarzania powierzonych danych osobowych, zobowiązały się do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia, w tym także po rozwiązaniu Umowy Powierzenia.

5. Powierzający zobowiązuje się do współdziałania w realizacji Umowy z Przetwarzającym w zakresie dotyczącym przetwarzania danych osobowych powierzonych na podstawie Umowy.

6. Przetwarzający zobowiązuje się, że podczas realizacji Umowy będzie współpracować z Powierzającym w zakresie dotyczącym przetwarzania danych osobowych powierzonych na podstawie Umowy, w tym współpracy w zakresie żądań osoby, której dane dotyczą (w szczególności: informowania o skierowaniu do Przetwarzającego żądań przez osobę której dane dotyczą).

7.Przetwarzający zobowiązuje się pomagać Powierzającemu w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO. Przetwarzający przekaże Powierzającemu informacje o każdym przypadku naruszenia ochrony danych osobowych w terminie 48 godzin od ich wykrycia. Informacje te w miarę możliwości powinny zawierać elementy wskazane w art. 33 ust. 3 i 34 ust. 3 RODO. Przetwarzający bez zbędnej zwłoki podejmuje wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków naruszenia.

8. Przetwarzający zobowiązuje się powiadamiać Powierzającego niezwłocznie o:

a) wszczęciu kontroli przez GIODO lub przez inny organ nadzorczy zajmujący się ochroną danych osobowych w związku z powierzeniem Przetwarzającemu przetwarzania danych osobowych, a także o wszelkich decyzjach lub postanowieniach administracyjnych wydanych wobec Przetwarzającego w związku z powyższym;

b) wszczętych lub toczących się postępowaniach administracyjnych, sądowych lub przygotowawczych związanych z powierzeniem Przetwarzającemu przetwarzania danych osobowych, a także o wszelkich decyzjach, postanowieniach lub orzeczeniach wydanych wobec Przetwarzającego w związku z powyższym;

c) wszelkich incydentach dotyczących powierzonych do przetwarzania danych osobowych przez Przetwarzającego, w tym uzyskania przypadkowego lub nieupoważnionego dostępu do powierzonych danych osobowych, przypadkach zmiany, utraty, uszkodzenia lub zniszczenia powierzonych danych osobowych.

§ 5
Kontrole i audyty

1. Powierzający jest uprawniony do weryfikacji przestrzegania zasad przetwarzania danych osobowych wynikających z RODO oraz niniejszej Umowy przez Przetwarzającego. Powierzający swoje uprawnienie realizuje poprzez:

a) żądanie udzielenia niezbędnych informacji dotyczących powierzonych danych osobowych;

b) przeprowadzanie audytów w zakresie zgodności operacji przetwarzania z prawem (zgodnie z art. 28 ust. 2 lit. h RODO).

2. Przeprowadzenie audytu każdorazowo wymaga wcześniejszego uzgodnienia terminu audytu przez Strony.

3. Powierzający zobowiązany jest do zgłoszenia chęci przeprowadzenia audytu nie później niż 14 dni roboczych przed planowanym audytem, jeżeli audyt odbywa się zgodnie z harmonogramem audytów ogłoszonym przez Przetwarzającego. W przypadku zgłoszenia przez Powierzającego chęci przeprowadzenia audytu poza terminem wynikającym z harmonogramu, Przetwarzający jest uprawniony do wyznaczenia terminu audytu na dzień roboczy przypadający między 14 a 30 dniem roboczym od dnia otrzymania żądania przeprowadzenia audytu.

4. Ustalając termin przeprowadzenia audytu, Przetwarzający uwzględnia preferencje Powierzającego oraz własny harmonogram pracy.

5. Powierzający każdorazowo przed przeprowadzeniem audytu przedstawi Przetwarzającemu do weryfikacji i akceptacji ramowy plan czynności kontrolnych.

6. W przypadku nieuzasadnionych, nadmiernie powtarzających się audytów o szerokim zakresie lub odbywających się poza terminami wynikającymi z harmonogramu audytów, Podmiot Przetwarzający może wprowadzić opłatę za przeprowadzenie audytu w wysokości wynikającej z poniesionych kosztów administracyjnych.

7. Audytorem Powierzającego nie może być podmiot prowadzący działalność konkurencyjną wobec Przetwarzającego ani podmiot z nim powiązany lub jego pracownik lub podmiot/osoba z nim współpracująca, bez względu na podstawę zatrudnienia lub współpracy.

8. Audyt może obejmować wysyłanie zapytań, analizę dokumentów, rozmowy z Personelem Przetwarzającego oraz wizytację lokali Przetwarzającego, o ile mają bezpośredni związek w wykonywaniem Umowy powierzenia.

9. Audyt nie może obejmować informacji lub dokumentów dotyczących innych klientów Przetwarzającego, ani zmierzać lub skutkować uzyskaniem dostępu Klienta do Danych Osobowych innych niż Dane Osobowe Powierzającego;

10. Przetwarzający może uzależnić udział audytora lub wyznaczonego pracownika Powierzającego w audycie od uprzedniego zawarcia odpowiedniej umowy poufności z Przetwarzającym.

11. W czasie audytu Powierzający i audytor mają obowiązek przestrzegania wewnętrznych procedur i polityk Przetwarzającego dotyczących bezpieczeństwa i poufności.

12. Audyt nie powinien być przeprowadzany częściej niż raz w roku kalendarzowym.

§ 6
Przetwarzanie danych osobowych – Obszar przetwarzania danych (OPD)

1. Miejscem wykonywania Umowy, w zakresie powierzonych na podstawie Umowy danych osobowych jest OPD Przetwarzającego, w którym zapewnione będą środki bezpiecznej łączności teleinformatycznej niezbędne do zgodnego z obowiązującymi przepisami wykonania Umowy.

2. Obszar przetwarzania danych, o którym mowa w ust. 1, musi znajdować się:

1) na obszarze Europejskiego Obszaru Gospodarczego lub

2) w innym państwie niż wymienione w pkt. 1, w stosunku do którego Komisja Europejska wydała na podstawie art. 25 ust. 6 Dyrektywy 95/46/WE z dnia 24 października 1995 r. (Dz. Urz. WE Nr L 281 z 23.11.1995, s. 31) lub art. 45 ust. 3 RODO decyzję stwierdzającą, że dane państwo trzecie (w przypadku decyzji wydanej na podstawie ww. Dyrektywy) albo dane państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub organizacja międzynarodowa (w przypadku decyzji wydanej na podstawie RODO) zapewnia odpowiedni poziom ochrony danych osobowych, a Przetwarzający spełnia te warunki i nie jest konieczne uzyskiwanie zgody organu nadzorczego na przekazanie danych osobowych objętych Umową do państwa trzeciego.

§ 7
Podpowierzenie przetwarzania danych osobowych

1. W celu wykonania Umowy Głównej Powierzający wydaje zgodę Przetwarzającemu na podpowierzenie przetwarzania danych osobowych, o których mowa w § 3 innym podmiotom, w tym podwykonawcom. Niniejsza zgoda obejmuje dalsze powierzanie danych w ramach usług zlecanych przez Przetwarzającego w zakresie realizacji usług:

Podmioty, którym Przetwarzający podpowierza przetwarzanie danych osobowych wyszczególnione są w załączniku do Umowy głównej.

2. O wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających Przetwarzający będzie informował Powierzającego stosownym komunikatem, dając tym samym Powierzającemu możliwość wyrażenia sprzeciwu wobec takich zmian w terminie 7 dni od momentu otrzymania zawiadomienia.

3. Przetwarzający zobowiązuje się do zawierania umów dalszego powierzenia przetwarzania danych osobowych, które będą gwarantowały co najmniej taki sam poziom ochrony przetwarzanych danych osobowych, jak wynikający z Umowy, w tym w zakresie zachowania tajemnicy.

4. Przetwarzający ponosi odpowiedzialność przy dochowaniu należytej staranności w doborze podmiotu, któremu podpowierzył przetwarzanie danych osobowych. Jeżeli Przetwarzający korzysta z usług innego podmiotu przetwarzającego, nałoży na ten inny podmiot przetwarzający te same obowiązki ochrony danych jak w Umowie, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom Ustawy i RODO.

§ 8
Przetwarzanie danych osobowych – postępowanie z danymi po wygaśnięciu Umowy Głównej

Z chwilą zakończenia obowiązywania Umowy Przetwarzający jest zobowiązany do niezwłocznego (w terminie uzasadnionym względami technicznymi) przekazania Powierzającemu lub usunięcia (zależnie od decyzji Powierzającego) danych osobowych (w tym kopii zapasowych), a następnie zniszczenia wszelkich informacji mogących posłużyć do odtworzenia w całości lub części, powierzonych na podstawie Umowy oraz Umowy Głównej danych osobowych, chyba że właściwe przepisy prawa krajowego lub unijnego nakazują przechowywanie tych danych osobowych przez Przetwarzającego przez ustawowo określony czas.

§ 9
Postanowienia końcowe

1. Niniejsza Umowa Powierzenia wchodzi w życie z dniem jej zawarcia i obowiązuje przez czas obowiązywania Umowy Głównej. Jednocześnie dotychczasowa umowa o powierzeniu ulega rozwiązaniu.

2. Umowa nie narusza obowiązków Stron wynikających z bezwzględnie obowiązujących przepisów prawa.

3. W sprawach nieuregulowanych Umową, mają zastosowanie przepisy ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny (Dz. U. z 2017 r. poz. 459 z późn. zm.), Ustawa oraz RODO.