UMOWA POWIERZENIA PRZETWARZANIA DANYCH
Zawarta pomiędzy
…………………………………………….
…………………………………………….
…………………………………………….
jako Zleceniodawca
aWIOD Sp. z o.o., ul. gen. W. Sikorskiego 166/0.03, 18-400 Łomża, KRS: 0000879109, NIP: 7182156911 zarejestrowana w Sądzie Rejonowym w Białymstoku, XII Wydział Gospodarczy Krajowego Rejestru Sądowego, kapitał zakładowy 50,000 zł, opłacony w całości.
jako Zleceniobiorca§1 Cel
- Niniejsza umowa dotyczy powierzenia przetwarzania danych i jest częścią warunków świadczenia usług drogą elektroniczną przez WIOD Sp. z o.o. określonych regulaminem dostępnym na stronie https://wiod.pl/regulamin-serwisu-wiod-app/, pomiędzy Zleceniodawcą a Zleceniobiorcą.
- Niniejsza umowa określa warunki na jakich Zleceniobiorca przy realizacji usług drogą elektroniczną, ma prawo do przetwarzania danych osobowych zgodnie z instrukcją Zleceniodawcy, mając na uwadze takie uregulowanie zasad przetwarzania danych osobowych, aby odpowiadały w pełni postanowieniom Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO).
- Zgodnie z definicjami w ogólnym rozporządzeniu o ochronie danych przyjmuje się:
- Zleceniodawcę (w skrócie Administrator lubADO)– jako
- Administratora danych osobowych (ang.: “Controller”);
- Pierwotny podmiot przetwarzający, który posiada zgodę ogólną lub szczególną na dalsze powierzenie danych do Zleceniobiorcy;
- Zleceniodawcę (w skrócie Administrator lubADO)– jako
-
- Zleceniobiorcę – jako Podmiot przetwarzający (ang.: “Processor”) lub kolejny podmiot przetwarzający, w skrócie Procesor lub PP.
- Każda ze stron ma obowiązek stosować się do obowiązujących przepisów o ochronie danych osobowych, w szczególności w stosunku do usług świadczonych na terytorium Unii Europejskiej – obowiązującego ogólnego rozporządzenia o ochronie danych. Procesor oświadcza, że jego działalność jest prowadzona zgodnie z RODO oraz zgodnie z innymi przepisami prawa powszechnie obowiązującego.
§2 Środki ochrony
- Procesor zapewnia, że przy przetwarzaniu powierzonych danych osobowych stosuje odpowiednie i adekwatne środki ochrony informacji.
- Procesor jest zobowiązany udostępnić Administratorowi, na jego żądanie, wszelkie informacje, w szczególności dotyczące prawidłowego przetwarzania danych osobowych powierzonych mu przez Administratora, na temat stosowanych środków bezpieczeństwa ochrony danych, aby umożliwić Administratorowi wykazanie, że Procesor jest w stanie zapewnić odpowiednie gwarancje przetwarzania danych, czyli posiada wdrożone odpowiednie środki techniczne i organizacyjne, by przetwarzanie danych spełniało wymogi RODO.
- Jeżeli informacje, o których mowa powyżej, są traktowane jako informacje poufne lub są to informacje mające charakter tajemnicy przedsiębiorstwa, Procesor przed ich przekazaniem zobowiąże Administratora do zachowania poufności a Administrator to zobowiązanie przyjmie bez zastrzeżeń.
- Informacje o których mowa w ust. 2, których może żądać Administrator, dotyczą również zobowiązań Procesora z §7 ust. 2.
- W przypadku, gdy Procesor świadczy usługi zgodnie z przyjętym kodeksem postępowania lub usługi są certyfikowane, Procesor może udostępnić Administratorowi protokół z cyklicznych audytów.
- Administrator ma prawo żądać przeprowadzenia własnego audytu drugiej strony u Procesora, w zwyczajnych godzinach pracy Procesora. O terminie audytu Administrator informuje Procesora minimum 30 dni przed jego rozpoczęciem.
- Zgłoszenie żądania audytu musi zawierać:
- proponowany czas i miejsce przeprowadzenia audytu,
- podstawę prawną,
- proponowany zakres audytu,
- osoby upoważnione przez Administratora.
- Koszt audytu w tym:
- udostępnienie personelu,
- konieczność udostępnienia pomieszczeń własnych lub podmiotów, którym przetwarzanie powierzono, które mogą spowodować przestój w pracy, ponosi w całości Administrator.
- Wszyscy pracownicy Procesora, biorący udział w przetwarzaniu danych Administratora, posiadają odpowiednie kwalifikacje, ważne upoważnienia do przetwarzania danych osobowych a także są zobowiązani do zachowania ich w tajemnicy.
§3 Podpowierzenie
- Administrator wyraża ogólną i bezterminową zgodę na podpowierzenie przetwarzania danych osobowych umieszczanych w serwisie wiod.app, przy czym zgoda ta dotyczy wyłącznie podmiotów:
- świadczących usługę wsparcia informatycznego, w tym administratorów aplikacji czy baz danych,
- świadczących usługę hostingu i kolokacji danych.
- Procesor publikuje w Załączniku nr 1 do umowy, podmioty którym dane powierza do przetwarzania.
- Podpowierzenie będzie następować wyłącznie na podstawie pisemnej umowy i zgodnie z ogólnym rozporządzeniem o ochronie danych, w szczególności zgodnie z art. 28 ust. 4 tego rozporządzenia, na podprocesora, na mocy umowy zawartej między nim a Procesorem, nałożone zostaną te same obowiązki ochrony danych jak w umowie między Zleceniobiorcą a Zleceniodawcą.
- Procesor zapewnia, że podmiot, któremu dane podpowierzono (podprocesor), spełnia wszystkie niezbędne wymogi ochrony danych.
- Na żądanie Administratora, Procesor dostarczy wszystkich niezbędnych informacji o działaniach, środkach ochrony informacji i o zastosowaniu przepisów o ochronie danych osobowych u podprocesora.
§4 Czas trwania umowy
- Czas trwania usługi przetwarzania danych związany jest bezpośrednio z usługą świadczoną drogą elektroniczną przez WIOD Sp. z o.o. określającą warunki świadczenia usług przez Zleceniobiorcę.
- Niniejsza umowa wygasa w chwili, w której wygasają inne, pozostałe umowy o świadczenie usług elektronicznych przez Zleceniobiorcę w tym umowa subskrypcji serwisu wiod.app.
§5 Zakres, cel, charakter przetwarzania
- Celem umowy jest wykonywanie przez Procesora czynności przetwarzania danych związanych z przechowywaniem, kopiowaniem, udostępnianiem oraz usuwaniem danych osobowych, które Zleceniodawca sam umieszcza w systemie informatycznym Zleceniobiorcy.
- Administrator samodzielnie wykonuje takie czynności przetwarzania jak: wprowadzanie danych, modyfikowanie, drukowanie, przenoszenie na nośniki zewnętrzne, nadawanie uprawnień do danych osobom trzecim, zlecenie kopiowania, zlecenie usunięcia danych.
- Przetwarzane są dane zwykłe, w szczególności:
- imię i nazwisko,
- adres email,
- wizerunek,
- czynności osób wykonywane w serwisie,
- dane behawioralne, w tym: opis zdarzeń, opis incydentów z udziałem tych osób itp.
- Dane o których mowa w ust. 2 dotyczą w szczególności pracowników oraz kontrahentów Zleceniodawcy oraz osób, z którymi Zleceniodawca prowadzi korespondencję (sprawy) lub obsługuje wnioski.
- Na zlecenie Administratora i tylko przy jego udziale, do systemu mogą trafić dane szczególnych kategorii, które zostały zdefiniowane w art. 9 ust. 1 RODO.
- Wszystkie czynności Procesor wykonuje na polecenie Administratora i na podstawie jego instrukcji, bądź zgodnie z umową o świadczenie usług elektronicznych przez WIOD Sp. z o.o.
§6 Obowiązki Administratora
- W celu odpowiedniego przetwarzania danych, Administrator ma obowiązek dostarczyć wszystkie niezbędne instrukcje na piśmie (elektronicznie lub tradycyjnie) i pozostaje odpowiedzialny za wykonanie tych instrukcji.
- Administrator oświadcza i gwarantuje, że:
- ma odpowiednią podstawę prawną do przetwarzania i ujawniania danych osobowych podmiotowi przetwarzającemu w ramach świadczenia usług,
- wykonał wszystkie niezbędne procedury związane z powierzeniem danych w tym szacowanie ryzyka i wpływ na bezpieczeństwo powierzanych danych,
- dokonał przeglądu dostarczonych informacji na temat ochrony danych w tym zastosowanych środków organizacyjnych i technicznych u Procesora,
- dostarczy wszelkich niezbędnych informacji, aby Procesor mógł wpisać do swojego rejestru odpowiednie czynności przetwarzania danych.
- Administrator jest odpowiedzialny za zabezpieczenie zasobów, ochronę systemów i aplikacji oraz ich aktualizację, z których dokonuje dostępu do serwisu wiod.app.
- Procesor w żadnym wypadku nie odpowiada za incydenty związane z bezpieczeństwem danych osobowych, które powstały podczas wykonywania czynności przez pracowników Administratora, na danych powierzonych, w szczególności, gdy:
- dane zostały skasowane,
- dane zostały zmienione przez nieuprawnione osoby,
- dane zostały ujawnione nieautoryzowanym osobom, chyba że umowa o świadczenie usług elektronicznych stanowi inaczej.
§7 Obowiązki Procesora
- Podczas wykonywania czynności przetwarzania zgodnie z §5 ust. 1 Procesor postępuje zgodnie z instrukcjami Administratora.
- Procesor zobowiązuje się do:
- przetwarzać dane osobowe i wykorzystywać je wyłącznie, jeżeli jest to niezbędne do świadczenia usług, zgodnie z umową o świadczenie usług elektronicznych, oraz nie przetwarzać danych nadmiarowych, zbędnych do celów, zgodnie z którymi są przetwarzane;
- nie uzyskiwać dostępu i nie wykorzystywać danych Administratora do innych celów niż wymagane do świadczenia usług w szczególności:
- na potrzeby profilowania,
- na potrzeby marketingu bezpośredniego;
- wdrożenia organizacyjnych i technicznych środków ochrony danych w celu zapewnienia poufności i integralności danych osobowych w ramach przetwarzania, w szczególności wdraża środki ochrony:
- przed przetwarzaniem niezgodnym z prawem,
- przed przypadkowym zagubieniu i utracie danych,
- przed przypadkowemu zniszczeniu lub uszkodzeniu danych;
- przed udostępnieniem danych osobom nieuprawnionym;
- wydania swoim pracownikom niezbędnych upoważnień do przetwarzania danych;
- poinformowania swoich pracowników przetwarzających powierzone dane o konieczności zachowania poufności;
- zapewnienia szkoleń z zakresu ochrony danych dla swoich pracowników;
- uwzględniając charakter przetwarzania oraz dostępne Procesorowi informacje, pomaga wywiązać się Administratorowi z obowiązków, zgodnie z art. 28 ust. 3 lit f) RODO;
- informowania Administratora, jeżeli w opinii Procesora, wydana dyspozycja jest niezgodna z krajowymi lub unijnymi prawem dotyczącym ochrony danych;
- wspierać Administratora w obsłudze wniosków o dostęp, modyfikację, przeniesienie, i usunięcie danych oraz ograniczenie ich przetwarzania;
- poinformowania Administratora w przypadku otrzymania wniosku od właściwego organu sądowego lub prawnego dotyczącego danych Administratora, chyba że jest to wyraźnie zabronione przez prawo lub nakaz tego organu;
- przetwarzania danych w sposób gwarantujący umożliwienie Administratorowi wykazanie przestrzegania przepisów RODO, zgodnie z art. 5 ust. 2 RODO;
- Administrator przyjmuje do wiadomości, że wskazane w ust. 2 lit. h) RODO wsparcie będzie realizowane w rozsądnym zakresie, a Procesor zobowiązuje się współdziałać z Administratorem w powyższym zakresie oraz wynikającym z §2 ust. 1, 2 i 5.
§8 Odpowiedzialność
- Procesor odpowiada za szkody spowodowane przetwarzaniem tylko i wyłącznie wtedy, gdy:
- nie wypełnił obowiązków wynikających z ogólnego rozporządzenia o ochronie danych osobowych (RODO / GDPR);
- działał wbrew niniejszej umowie, umowie o świadczenie usług elektronicznych lub instrukcjom Administratora.
- W przypadku, gdy podczas przetwarzania danych powstała szkoda lub Procesor naruszył postanowienia umowy bądź umowy o świadczenie usług elektronicznych, Administrator ma prawo ubiegać się o rekompensatę przez Procesora, w wysokości nie przewyższającej 5 krotności opłaty abonamentowej (kara umowna) za każde naruszenie.
- Odpowiedzialność odszkodowawcza, niezależnie od źródła i charakteru roszczeń jest ograniczona do kwoty 20 krotności abonamentu miesięcznego płaconego przez Zleceniodawcę.
- Odpowiedzialność odszkodowawcza za utracone korzyści jest całkowicie wyłączona.
§9 Lokalizacja danych
- Procesor zapewnia, że powierzone dane przetwarzane będą wyłącznie na terenie EOG.
- W przypadku, gdy Administrator w czynności przetwarzania poleca Procesorowi transfer danych poza kraje EOG, Administrator jest zobowiązany do posiadania podstawy na przekazanie danych zgodnie z rozdziałem 5 RODO.
§10 Naruszenie bezpieczeństwa
- Procesor, bez zbędnej zwłoki, nie później niż w terminie 24 godzin po stwierdzeniu naruszenia, poinformuje Administratora o wszelkich wykrytych przez niego zdarzeniach naruszających bezpieczeństwo danych osobowych, w szczególności gdy dojdzie do:
- nieuprawnionego dostępu,
- ujawnienia,
- utraty,
- lub modyfikacji danych.
§11 Zakończenie współpracy
- Procesor w żaden sposób nie ogranicza Administratorowi prawa ani dostępu do pobierania, modyfikowania lub usuwania danych.
- W chwili zakończenia współpracy Procesor zobowiązuje się do natychmiastowego usunięcia przekazanych danych ze wszystkich swoich rejestrów wliczając w to (ale nie tylko):
- nośniki tradycyjne (np. wydruki),
- wykonane kopie bezpieczeństwa, chyba, że umowa o świadczenie usług elektronicznych, prawo Unii lub prawo krajowe nakazuje przechowywanie danych osobowych.
§12 Postanowienia końcowe
- Umowa została sporządzona w dwóch egzemplarzach, po jednym dla każdej ze stron.
- Umowa zostaje elektronicznie zawarta za pomocą zgody wyrażonej przez Zlecającego. Bez wyrażenia zgody, pewna część serwisu Wirtualny Inspektor Danych może nie być dostępna.
- Wszelkie zmiany, uzupełnienia, rozwiązanie lub wypowiedzenie umowy może być dokonane przez Zleceniobiorcę. Zleceniodawcy każdorazowo przy zmianie treści umowy, przysługuje jej wypowiedzenie, bez wskazania przyczyny oraz w trybie natychmiastowym.
- Umowa wchodzi w życie z dniem jej zawarcia w systemie informatycznym.
- Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej umowy będzie sąd właściwy dla Procesora.
- W przypadkach nie zawartych w niniejszej umowie mają zastosowanie:
- postanowienia umowy o świadczenie usług elektronicznych,
- przepisy Kodeksu Cywilnego oraz
- przepisy Ogólnego Rozporządzenia Ochrony Danych Osobowych.
- Integralną częścią niniejszej umowy jest umowa o świadczenie usług elektronicznych oraz Załącznik nr 1.
- Hosting i kolokacja: Nask S.A., NIP9512421815, KRS0000644422, ul. Wąwozowa 18 /010, 02-796 Warszawa, DataCenter NASK, ul. 11 Listopada 23, 03-446 Warszawa