UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w dniu …………….. w ………………..………
pomiędzy:
……………………………………………………………….. z siedzibą w ………., ul. …, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy w …, … Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS: …, NIP: …, REGON: …, kapitał zakładowy: …………………….,
reprezentowaną przez ………………………………..……
/*
……………………………………………………………….. prowadzącą/prowadzącym* działalność gospodarczą pod firmą „…” ze stałym miejscem wykonywania działalności pod adresem: …, wpisaną do Centralnej Ewidencji i Informacji o Działalności Gospodarczej, NIP: …, REGON: …
zwaną dalej Administratorem,
a
Karolem Mazurem prowadzącym działalność gospodarczą pod firmą „MASIL OUTSOURCING KAROL MAZUR” ze stałym miejscem wykonywania działalności pod adresem: Strzegomska 42B, lok. 6.16, 53-611 Wrocław, wpisaną do Centralnej Ewidencji i Informacji o Działalności Gospodarczej, NIP: 8941131750, REGON: 931963663
zwanym dalej Podmiotem przetwarzającym,
zwanymi dalej łącznie Stronami lub pojedynczo Stroną.
Mając na uwadze, iż Strony zawarły za pośrednictwem serwisu https://masil.bhpsoft.pl umowę o dostarczenie Treści i Usług cyfrowych (dalej: Umowa o współpracy), której przedmiotem jest szkolenie/kurs dla pracowników lub współpracowników Administratora, Strony zgodnie postanowiły, co następuje:
- 1. Przedmiot Umowy
Strony postanawiają, że w celu spełnienia obowiązków wynikających z przepisów prawa, a w szczególności przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych), zwanego dalej RODO, oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, zwanej dalej Ustawą, jak również w celu właściwej realizacji postanowień Umowy o współpracy, Administrator powierza Podmiotowi przetwarzającemu dane osobowe do przetwarzania, o których mowa w § 2 poniżej, w celu świadczenia przez Podmiot przetwarzający usług wskazanych w Umowie o współpracy, w zakresie i na zasadach określonych niniejszą Umową oraz z uwzględnieniem postanowień Umowy o współpracy.
- 2. Zakres powierzonych danych
Administrator powierza Podmiotowi przetwarzającemu do przetwarzania dane osobowe swoich pracowników/współpracowników, którzy będą uczestniczyć w szkoleniu lub kursie przeprowadzanym na platformie Podmiotu przetwarzającego, w zakresie: imię i nazwisko, adres e-mail.
- 3. Oświadczenia Stron
- Administrator jako Administrator Danych Osobowych oświadcza, że powierzone Podmiotowi przetwarzającemu do przetwarzania dane osobowe zgromadził zgodnie z obowiązującymi przepisami prawa.
- Podmiot przetwarzający oświadcza, że zobowiązuje się do wykorzystania danych osobowych wyłącznie w zakresie niezbędnym do realizacji Umowy o współpracy oraz w celu w niej określonym.
- 4. Zobowiązania Stron
- Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu przez Administratora dane osobowe wyłącznie na udokumentowane polecenie Administratora. Dotyczy to również przekazywania danych do państw trzecich lub organizacji międzynarodowej – chyba, że obowiązek przekazania nakłada na Podmiot przetwarzający prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający (w takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny).
- Podmiot przetwarzający przy przetwarzaniu danych osobowych zobowiązany jest stosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, utratą, uszkodzeniem lub zniszczeniem. Wypełnienie przez Podmiot przetwarzający warunków, o których mowa w art. 28 ust. 1 RODO, zostało udokumentowane w ankiecie – weryfikacja podmiotu przetwarzającego, stanowiącej Załącznik nr 2 do niniejszej umowy.
- W celu wykonania obowiązku, o którym mowa w ust. poprzedzającym, Podmiot przetwarzający zobowiązany jest prowadzić dokumentację opisującą sposób przetwarzania danych, w tym w szczególności rejestr kategorii przetwarzania danych osobowych.
- Podmiot przetwarzający zobowiązuje się pomagać Administratorowi wywiązywać się z obowiązków określonych w art. 32-36 RODO, uwzględniając charakter przetwarzania oraz dostępne mu informacje.
- Podmiot przetwarzający nie jest uprawniony do przekazywania danych osobowych osobom trzecim, z wyłączeniem osób współpracujących lub pracujących dla Podmiotu przetwarzającego. W celu uniknięcia wątpliwości Strony ustalają, że w imieniu Podmiotu przetwarzającego powierzone dane osobowe mogą przetwarzać wyłącznie osoby, które uprzednio uzyskały od niego pisemne upoważnienie. Każde upoważnienie lub jego cofnięcie Podmiot przetwarzający zobowiązany jest wpisać do prowadzonej przez niego „Ewidencji osób upoważnionych do przetwarzania danych osobowych”.
- Podmiot przetwarzający zobowiązany jest do zebrania od swoich pracowników lub współpracowników, przy pomocy których realizować będzie przedmiot niniejszej Umowy oraz Umowy o współpracy, oświadczeń o obowiązku zachowania w tajemnicy powierzonych danych osobowych. Podmiot przetwarzający zobowiązuje się okazać oświadczenia, o których mowa w zdaniu poprzedzającym, na każde żądanie Administratora, w terminie 7 dni roboczych od dnia otrzymania żądania.
- Podmiot przetwarzający zobowiązany jest do przeszkolenia swoich pracowników lub współpracowników w zakresie sposobów zabezpieczenia przetwarzanych danych, o których mowa w niniejszej Umowie.
- W razie stwierdzenia naruszenia ochrony powierzonych danych osobowych, Podmiot przetwarzający zobowiązany jest niezwłocznie, nie później niż w ciągu 24 godzin od powzięcia takiej informacji, zgłosić to Administratorowi, z uwzględnieniem przepisów art. 33 RODO.
- Przekazując informację o naruszeniu, Podmiot przetwarzający powinien przede wszystkim wskazać: opis zdarzenia, datę naruszenia, datę zauważenia naruszenia, charakter naruszenia (zewnętrzny czy wewnętrzny), kategorię osób oraz rodzaj danych osobowych, których dotyczy naruszenie, skalę naruszenia (ilu osób dotyczy), czas trwania naruszenia, czy zostały podjęte środki zaradcze.
- 5. Dalsze powierzenie przetwarzania danych osobowych
- Podmiot przetwarzający może powierzyć dane osobowe objęte niniejszą umową do dalszego przetwarzania podwykonawcom jedynie w celu wykonania umowy, wyłącznie w razie braku pisemnego sprzeciwu Administratora w ciągu 7 dni od dnia uzyskania informacji od Podmiotu przetwarzającego o zamiarze dalszego powierzenia, z uwzględnieniem ust. 2 niniejszego paragrafu. Informacja o zamiarze dalszego powierzenia zostanie przekazana drogą elektroniczną. Powyższe dotyczy także przekazywania danych do państwa trzeciego lub organizacji międzynarodowej.
- Administrator wyraża zgodę na dalsze powierzenie przetwarzania podwykonawcom, z którymi Podmiot przetwarzający współpracuje w momencie zawierania niniejszej umowy i którzy zostali wskazani w Załączniku nr 1 do niniejszej umowy. Podmiot przetwarzający oświadcza, że współpraca z tymi podwykonawcami jest konieczna do prawidłowego realizowania Umowy o współpracę oraz niniejszej umowy.
- Podmiot, któremu zostanie powierzone przetwarzanie danych osobowych w ramach podpowierzenia, winien spełniać wymogi, do spełnienia których zobowiązany jest Podmiot przetwarzający, a także dawać gwarancję należytego wykonania obowiązków ochrony danych osobowych. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Podmiotu powierzającego za niewywiązanie się ze spoczywających na podmiocie, któremu podpowierzył przetwarzanie danych osobowych, obowiązków ochrony danych osobowych.
- W razie złożenia przez Administratora sprzeciwu, o którym mowa w ust.1 niniejszego paragrafu, Podmiot przetwarzający będzie uprawniony do rozwiązania niniejszej umowy oraz Umowy o współpracy ze skutkiem natychmiastowym, gdyby dalsze powierzenie przetwarzania danemu podwykonawcy było konieczne do prawidłowego realizowania Umowy o współpracy.
- 6. Współdziałanie Stron
- W trakcie obowiązywania niniejszej Umowy, Strony zobowiązują się ściśle współpracować – w tym za pośrednictwem Inspektorów Ochrony Danych, jeżeli zostali wyznaczeni przez którąkolwiek ze Stron – informując się wzajemnie o wszystkich okolicznościach mających lub mogących mieć wpływ na realizację niniejszej Umowy.
- Podmiot przetwarzający na żądanie zgłoszone przez Administratora udostępni wszelkie informacje niezbędne do wykazania spełnienia obowiązków wynikających z RODO oraz obowiązków wynikających z niniejszej Umowy.
- Podmiot przetwarzający ma obowiązek pomagać Administratorowi jako Administratorowi Danych Osobowych w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie powierzonych do przetwarzania danych osobowych.
- Administrator ma prawo do przeprowadzania kontroli oraz audytów u Podmiotu przetwarzającego w związku z weryfikacją poprawnego stosowania przepisów RODO, Ustawy, innych właściwych przepisów prawa z zakresu ochrony danych osobowych, a także postanowień niniejszej Umowy. O terminie i formie kontroli lub przeprowadzanego audytu Administrator będzie każdorazowo informował Podmiot przetwarzający w sposób przyjęty przez Strony jako forma kontaktu z dwutygodniowym wyprzedzeniem.
- 7. Odpowiedzialność
- Każda ze Stron odpowiada za szkody wyrządzone drugiej Stronie oraz osobom trzecim w związku z wykonywaniem niniejszej Umowy, zgodnie z przepisami RODO, Ustawy, innymi właściwymi przepisami prawa oraz postanowieniami niniejszej Umowy.
- Przy określaniu odpowiedzialności cywilnoprawnej Podmiotu przetwarzającego stosuje się art. 82 ust. 2 RODO, zgodnie z którym Podmiot przetwarzający odpowiada za szkody wyrządzone osobie trzeciej wyłącznie, gdy nie dopełnił obowiązków nałożonych na niego przez RODO, lub gdy działał poza zgodymi z prawem poleceniami Administratora lub wbrew takim poleceniom.
- Administrator, który zapłacił całość odszkodowania za szkodę wyrządzoną przetwarzaniem, w którym uczestniczył Podmiot przetwarzający, ma prawo żądać od Podmiotu przetwarzającego zwrotu części odszkodowania, zgodnie z warunkami określonymi w ust. poprzednim.
- W przypadku wystąpienia przez osoby, których dane zostały powierzone do przetwarzania, z roszczeniami do Administratora, Administrator niezwłocznie poinformuje o tym fakcie Podmiot przetwarzający. W przedmiotowym przypadku, gdyby Podmiot przetwarzający ponosił odpowiedzialność w zakresie roszczeń, o których mowa w zdaniu poprzedzającym, Podmiot przetwarzający zobowiązany jest zwolnić Administratora od odpowiedzialności, zwrócić poniesione z tego tytułu koszty (w tym koszty pomocy prawnej) oraz zaspokoić roszczenia takich osób w sposób przewidziany przepisami prawa.
- W celu uniknięcia wątpliwości, Podmiot przetwarzający ponosi odpowiedzialność za działania lub zaniechania swoich pracowników i innych osób, przy pomocy których przetwarza powierzone dane osobowe, jak za własne działania lub zaniechania.
- 8. Czas trwania i wypowiedzenie Umowy
- Niniejsza Umowa zostaje zawarta na czas obowiązywania Umowy o współpracy.
- Każda ze Stron jest uprawniona do wypowiedzenia niniejszej Umowy z zachowaniem miesięcznego okresu wypowiedzenia, z zastrzeżeniem ust. 3 i 4 niniejszego paragrafu.
- Administrator uprawniony jest do rozwiązania niniejszej Umowy bez zachowania okresu wypowiedzenia ze skutkiem natychmiastowym:
- w przypadku rażącego naruszenia przez Podmiot przetwarzający celu i zakresu przetwarzania powierzonych danych osobowych określonych w niniejszej Umowie,
- jeżeli w wyniku kontroli PUODO zostanie wykazane, że Podmiot przetwarzający nie wdrożył środków technicznych i organizacyjnych, o których mowa w RODO, Ustawie lub innych właściwych przepisach prawa.
- W przypadku rozwiązania niniejszej Umowy, Podmiot przetwarzający w zależności od decyzji Administratora zwraca lub usuwa wszystkie powierzone dane oraz usuwa wszelkie ich istniejące kopie (chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych). Podmiot przetwarzający wykona powyższe obowiązki w terminie 7 dni od otrzymania informacji o decyzji Administratora, co potwierdzi w drodze wiadomości e-mail.
- 9. Postanowienia końcowe
- Niniejsza Umowa wchodzi w życie z dniem akceptacji Regulaminu na stronie https://masil.bhpsoft.pl/.
- Podmiot przetwarzający nie może przenieść na inny podmiot praw i obowiązków wynikających z niniejszej Umowy bez uprzedniej pisemnej zgody Administratora.
- W sprawach nieuregulowanych niniejszą Umową zastosowanie mają obowiązujące przepisy prawa, w tym w szczególności przepisy RODO, Ustawy oraz Kodeksu cywilnego.
- Wszelkie zmiany lub uzupełnienia niniejszej Umowy wymagają zachowania formy pisemnej pod rygorem nieważności.
- Sądem właściwym dla rozstrzygania sporów powstałych w związku z realizacją niniejszej Umowy jest sąd właściwy dla Podmiotu przetwarzającego.
- Niniejszą Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym egzemplarzu dla każdej ze Stron.
………………………………… …………………………………
Administrator Podmiot przetwarzający
Załączniki:
- Załącznik nr 1 Lista dalszych podmiotów przetwarzających
- Załącznik nr 2 Ankieta – weryfikacja podmiotu przetwarzającego
Załącznik nr 1 Lista dalszych podmiotów przetwarzających
LISTA DALSZYCH PODMIOTÓW PRZETWARZAJĄCYCH:
Firma | Rodzaj usługi | Zakres powierzonych danych osobowych |
Cyberfolks.pl | hosting | Imię, nazwisko, adres e-mail |
Andrzej Szeląg prowadzący działalność gospodarczą pod firmą „Andrzej Szeląg Maxintec Andrzej Szeląg” | Obsługa IT |
|
Patrycja Maciaszek prowadząca działalność gospodarczą pod firmą „HOME OFFICE” Patrycja Maciaczek | księgowość |
|
|
|
|
|
|
|
Załącznik nr 2 Ankieta – weryfikacja podmiotu przetwarzającego
Obszar weryfikacji | L.P. | Pytanie | Odpowiedź: | Ewentualne uwagi |
INFORMACJE OGÓLNE | 1. | Czy podmiot przetwarzający posiada doświadczenie w świadczeniu usług związanych z powierzeniem przetwarzania danych? Jeśli tak, to jak długie? | TAK | |
2. | Czy Podmiot przetwarzający wyznaczył inspektora ochrony danych? | NIE | ||
3. | Czy Podmiot przetwarzający posiada referencje od innych podmiotów, które obsługuje/obsługiwał w zakresie przetwarzania danych osobowych na ich zlecenie? | NIE | ||
4. | Czy stwierdzono prawomocną decyzją organu nadzorczego lub prawomocnym wyrokiem sądu naruszenie ochrony danych osobowych przez Podmiot przetwarzający? | NIE | ||
PERSONEL | 5. | Czy Podmiot przetwarzający zapewnia, że dostęp do powierzonych danych mają wyłącznie osoby upoważnione, które zostały jednocześnie zobowiązane do zachowania poufności danych (także po zakończeniu pracy/współpracy). Podmiot przetwarzający prowadzi rejestr osób upoważnionych. | TAK | |
6. | Czy osoby po stronie podmiotu przetwarzającego dedykowane do obsługi administratora danych zostały przeszkolone z zasad bezpiecznego przetwarzania danych osobowych i czy zostały zapoznane z przepisów obowiązujących w tym zakresie? | TAK | ||
7. | Czy Podmiot przetwarzający podejmuje działania celem stałego podwyższenia świadomości i wiedzy o ochronie danych osobowych i bezpieczeństwie informacji osób, które przetwarzają dane osobowe w ramach swoich obowiązków służbowych? | TAK | ||
KONTROLA DOSTĘPU | 8. | Czy w pracy zdalnej do przetwarzania powierzanych danych osobowych wykorzystywany jest sprzęt prywatny? | NIE | |
9. | Czy urządzenia wykorzystywane do przetwarzania powierzonych danych osobowych w Podmiotu przetwarzającego posiadają skonfigurowaną kontrolę dostępu? | TAK | ||
10. | Czy osoby zatrudnione przez Podmiot przetwarzający – uczestniczące w przetwarzaniu powierzonych danych osobowych – otrzymują indywidualny identyfikator do systemów teleinformatycznych? | TAK | ||
11. | Czy hasła do systemów teleinformatycznych, z których korzysta Podmiot przetwarzający są zmieniane okresowo lub w razie zaistnienia takiej konieczności? | TAK | ||
WDROŻONE ZASADY I POLITYKI. KONTROLA PROCEDUR. | 12. | Czy Podmiot przetwarzający posiada opracowaną, zatwierdzoną i wdrożoną politykę ochrony danych osobowych lub inny dokument regulujący zasady przetwarzania danych osobowych w organizacji? | TAK | |
13. | Czy Podmiot przetwarzający stosuje politykę czystego biurka i czystego ekranu? | TAK | ||
14. | Czy Podmiot przetwarzający prowadzi rejestr kategorii czynności przetwarzania, rejestr osób upoważnionych oraz rejestr incydentów – zgodnie z przepisami RODO? | TAK | ||
15. | Czy Podmiot przetwarzający stosuje zatwierdzony kodeks postępowania lub mechanizm certyfikacji zgodnie z art. 40-42 RODO? | NIE | ||
16. | Czy Podmiot przetwarzający zapewnia realizacje praw osób, których dane dotyczą, wskazanych w rozdziale III RODO? | TAK | ||
17. | Czy w ciągu ostatnich dwóch lat podmiot przetwarzający przeprowadzał audyt bezpieczeństwa teleinformatycznego? | TAK | ||
18. | Czy w ciągu ostatnich dwóch lat podmiot przetwarzający poddawał się zewnętrznej kontroli niezależnych audytorów w zakresie obowiązujących w jego organizacji zasad ochrony danych osobowych? | TAK | ||
19. | Czy Podmiot przetwarzający przeprowadza regularne audyty i kontrole w zakresie przestrzegania w organizacji przepisów związanych z ochroną danych osobowych? | TAK | ||
20. | Czy Podmiot przetwarzający dokonuje okresowego przeglądu ryzyka związanego z przetwarzaniem danych osobowych? | TAK | ||
21. | Czy w przypadku zmiany poziomu ryzyka Podmiot przetwarzający dobiera nowe, odpowiednie środki techniczne i organizacyjne zabezpieczające dane, stosownie do wyników analizy? | TAK | ||
22. | Czy podmiot przetwarzający wdrażając nowe rozwiązania stosuje zasadę privacy by design? | TAK | ||
23. | Czy podmiot przetwarzający przetwarza dane zgodnie z zasadą privacy by default? | TAK | ||
24. | Czy podmiot przetwarzający wdrożył procedurę działania na wypadek wystąpienia naruszenia ochrony danych osobowych? | TAK | ||
25. | Czy podmiot przetwarzający jest w stanie wykazać odpowiednie wdrożenie zasad ochrony danych osobowych w organizacji? | TAK | ||
ZABEZPIECZENIA TECHNICZNE I FIZYCZNE | 26. | Czy oprogramowanie stosowane przez podmiot przetwarzający jest na bieżąco aktualizowane? | TAK | |
27. | Czy podmiot przetwarzający stosuje środki techniczne zabezpieczające system teleinformatyczny przed nieuprawnionym dostępem? | TAK | program anytywirusowy, zapora sieciowa (firewall), backupy (tworzenie kopii zapasowych plików), indywidualne loginy i hasła dla użytkowników urządzeń elektronicznych (w tym polityka minimalnych wymogów haseł oraz wymóg zmiany haseł nie rzadziej niż co 1 dzień – 30 dni). | |
28. | Czy podmiot przetwarzający jest w stanie zapewnić przywrócenie dostępności danych osobowych w przypadku incydentu fizycznego lub technicznego? | TAK | ||
29. | Czy podmiot przetwarzający stosuje środki ochrony fizycznej, mające na celu zabezpieczenie przetwarzanych danych przed nieuprawnionym dostępem? Jeśli tak to jakie? | TAK | system przeciwpożarowy, wejście na domofon, ochrona fizyczna, dzwi główne zamykane na klucz, monitoring zewnętrzny i wewnętrzny, karta magnetyczna ogólna, pomieszczenia zamykane na klucz | |
30. | Czy w przypadku przekazywania danych za pośrednictwem system teleinformatycznych lub na nośnikach zewnętrznych, dane są szyfrowane? | TAK | ||
PODMIOTY PODPRZETWARZAJĄCE | 31. | Czy podmiot przetwarzający korzysta z rozwiązań chmurowych w procesie przetwarzania powierzonych danych osobowych? Jeśli tak to proszę wskazać dostawców. | NIE | |
32. | Czy podmiot przetwarzający korzysta z usług podwykonawców, którym przekazuje powierzone dane. Jeśli tak to proszę wskazać podmioty. | TAK | Załącznik nr 1 | |
33. | Czy z podwykonawcami wskazanymi w pkt. 31 została zawarta umowa powierzenia? | TAK | ||
34. | Czy podwykonawcy wskazani w pkt. 31 zostali zweryfikowani pod kątem wdrożenia odpowiednich środków ochrony danych osobowych? | TAK | ||
35. | Czy powierzone dane osobowe będą przetwarzane poza obszarem EOG? Jeśli tak to proszę wskazać szczegóły. | NIE |