Umowa powierzenia przetwarzania danych osobowych

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH 2023/10/PPODO

 

Zawarta w dniu 24.10.2023 r. w Warszawie (zwana dalej umową) pomiędzy:

 

CyberTech Solutions sp. z o.o. z siedzibą w Warszawie, zarejestrowaną w rejestrzeprzedsiębiorców Krajowego Rejestru Sądowego prowadzonym przez Sąd Rejonowy wWarszawie, Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS0000876543, NIP 1234567890, REGON 012345678,reprezentowaną przez: Jan Kowalski,

zwaną dalej Administratorem CyberTech Solutions,

 

a

 

DataSafe Sp. z o.o. z siedzibą w Krakowie, zarejestrowaną w rejestrzeprzedsiębiorców Krajowego Rejestru Sądowego prowadzonym przez Sąd Rejonowy wKrakowie, Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS0000123456, NIP 9876543210, REGON 876543210,reprezentowaną przez: Anna Nowak,

zwanym dalej Podmiotem przetwarzającym DataSafe,

 

zwanymi łącznie w dalszej części umowy Stronami, a każda z osobna Stroną.

 

Zważywszy, że

1. Strony zawarły umowę 2023/10/Umowa (zwana dalej umową podstawową), w związku   z wykonaniem której Administrator powierzy Podmiotowi przetwarzającemu   przetwarzanie danych osobowych w zakresie określonym niniejszą umową.

2. Celem umowy jest ustalenie warunków, na jakich Podmiot przetwarzający wykonuje   operacje przetwarzania danych osobowych w imieniu Administratora.

3. Strony dążą do takiego uregulowania zasad przetwarzania danych osobowych, aby   odpowiadały one w pełni postanowieniom rozporządzenia Parlamentu Europejskiego i   Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w   związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu   takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO) (Dz.Urz. UE L 119   z 4.05.2016 r., s. 1).

4. Administrator oświadcza, że jest uprawniony do przetwarzania danych, które powierza   Podmiotowi przetwarzającemu w celu realizacji umowy podstawowej oraz że jest   uprawniony do ich przetwarzania, w zakresie, w jakim powierzył je Podmiotowi   przetwarzającemu.

5. Podmiot przetwarzający oświadcza, że dysponuje odpowiednimi środkami   technicznymi i organizacyjnymi, by przetwarzanie powierzonych danych osobowych   było zgodne z aktualnymi przepisami o ochronie danych osobowych i chroniło prawa   osób, których dane dotyczą. Formularz oceny podmiotu przetwarzającego zawiera   załącznik nr 1 do umowy.

 

Strony zgodnie postanowiły, co następuje.

 

§1Przedmiot umowy

 

1. W związku z zawarciem umowy podstawowej Administrator powierza Podmiotowi   przetwarzającemu przetwarzanie danych osobowych wskazanych w § 2 umowy (dalej:   dane osobowe Klientów).

2. Podmiot przetwarzający będzie przetwarzał powierzone przez Administratora dane   osobowe wyłącznie w celu realizacji umowy podstawowej, tj. przechowywania danych   klientów w chmurze obliczeniowej (należy   określić cel przetwarzania danych przez podmiot przetwarzający wynikający z umowy   podstawowej).

3. Podmiot przetwarzający jest uprawniony do wykonywania, w sposób   zautomatyzowany oraz niezautomatyzowany, operacji przetwarzania danych   osobowych, takich jak: zbieranie, utrwalanie, organizowanie, porządkowanie,   przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie,   wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego   rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub   niszczenie.

 

§2Dane osobowe

 

1. Podmiot przetwarzający będzie przetwarzał, powierzone na podstawie niniejszej   umowy, następujące rodzaje danych osobowych Klientów:

   Dane zwykłe:

     1) Imię,

     2) Nazwisko,

     3) PESEL,

     4) Adres,

     5) Numer telefonu

2. Przetwarzanie danych będzie dotyczyć następujących kategorii osób:

     1) Klientów indywidualnych CyberTech Solutions;

     2) Przedstawicieli biznesowych Klientów CyberTech Solutions.

 

§3Obowiązki Podmiotu przetwarzającego DataSafe

1. Podmiot przetwarzający zobowiązuje się do przetwarzania danych wyłącznie w celu,   dla którego zostały one powierzone.

2. Podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane   polecenie Administratora, chyba że obowiązek przetwarzania danych osobowych   wynika z przepisów prawa, w takim przypadku przed rozpoczęciem przetwarzania   Podmiot przetwarzający informuje Administratora o tym obowiązku prawnym, o ile   prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.

3. Podmiot przetwarzający ma obowiązek niezwłocznie informować Administratora,   jeżeli jego zdaniem polecenie Administratora jest niezgodne z prawem.

4. Podmiot przetwarzający zobowiązuje się nie przekazywać danych osobowych do   państwa trzeciego lub organizacji międzynarodowej ani nie korzysta z usług innych   podmiotów przetwarzających, które przekazują dane osobowe do państwa trzeciego   lub organizacji międzynarodowej.

5. Podmiot przetwarzający zobowiązuje się do wdrożenia odpowiednich środków   technicznych i organizacyjnych zmierzających do zapewnienia bezpieczeństwa   przetwarzania, tak aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku   naruszenia praw lub wolności osób fizycznych. Środki techniczne i organizacyjne   stosowane przez Podmiot przetwarzający zostały opisane w załączniku nr 2 do umowy   2023/10/Umowa.

6. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania   danych osobowych każdej osobie fizycznej, która będzie przetwarzała powierzone   dane osobowe, przy czym będą to jedynie osoby, które posiadają odpowiednie   przeszkolenie z zakresu ochrony danych osobowych.

7. Podmiot przetwarzający zobowiązuje się zapewnić, aby każda osoba fizyczna, która   ma dostęp do danych osobowych z upoważnienia Podmiotu przetwarzającego,   zobowiązała się do zachowania ich w tajemnicy.

8. Podmiot przetwarzający zobowiązuje się do prowadzenia dokumentacji opisującej   sposób przetwarzania danych osobowych, w tym do prowadzenia rejestru kategorii   czynności przetwarzania danych osobowych dokonywanych w imieniu   Administratora, w przypadku obowiązku prowadzenia takiego rejestru.

9. Podmiot przetwarzający oświadcza, że wyznaczył Inspektora Ochrony Danych w   osobie: Tomasz Wiśniewski.

10. Podmiot przetwarzający zobowiązuje się do współpracy z Administratorem, przy   uwzględnieniu charakteru przetwarzania, w wywiązaniu się z obowiązku   odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej   prawa do uzyskania informacji, prawa dostępu do danych, prawa do sprostowania   danych, usunięcia danych, ograniczenia przetwarzania danych, przenoszenia danych   oraz prawa sprzeciwu, poprzez odpowiednie środki techniczne i organizacyjne. W   razie wpływu takiego żądania Podmiot przetwarzający niezwłocznie przekazuje je   Administratorowi pocztą elektroniczną na adres: [email protected], nie później jednak   niż w terminie trzech dni od otrzymania żądania.

11. Podmiot przetwarzający zobowiązuje się do współpracy z Administratorem w zakresie   realizacji obowiązków określonych w art. 32–36 RODO, tj. zabezpieczenia danych,   zgłaszania naruszenia ochrony danych, zawiadamiania osób, których dane dotyczą, o   naruszeniu, dokonywania oceny skutków dla ochrony danych oraz uprzednich   konsultacji z organem nadzorczym w zakresie powierzonych danych.

12. Podmiot przetwarzający zobowiązuje się niezwłocznie, nie później jednak niż w   terminie 24 godzin, informować Administratora o wszelkich stwierdzonych   naruszeniach danych osobowych pocztą elektroniczną na adres [email protected].

 

§4Obowiązki Administratora

 

1. Administrator zobowiązuje się współdziałać z Podmiotem przetwarzającym w   wykonaniu umowy, w tym do udzielenia Podmiotowi przetwarzającemu wszelkich   informacji, niezbędnych do wykonania umowy.

2. Administrator zobowiązuje się dokumentować w formie pisemnej wszystkie polecenia   dotyczące przetwarzania danych osobowych dla Podmiotu przetwarzającego.

3. Administrator zobowiązuje się do przekazania informacji osobom, których dane   dotyczą, o operacjach przetwarzania w momencie zebrania danych.

 

§5Kontrola

 

1. Na wniosek Administratora, Podmiot przetwarzający udostępnia wszelkie informacje   niezbędne do realizacji lub wykazania spełnienia obowiązków wynikających z RODO.

2. Administrator zastrzega sobie prawo do przeprowadzenia kontroli wykonywania   umowy, nie rzadziej niż co 12 miesięcy oraz zawsze w przypadku stwierdzenia   naruszenia ochrony danych osobowych przez Podmiot przetwarzający. Podmiot   przetwarzający zobowiązuje się do należytego współdziałania z Administratorem w   czynnościach kontrolnych. W szczególności Podmiot przetwarzający zobowiązany   jest do:

     1) udostępnienia Administratorowi dokumentacji przetwarzania danych        osobowych;

     2) udostępnienia Administratorowi dostępu do pomieszczeń, w których        przetwarzane są dane osobowe;

     3) umożliwienia Administratorowi sporządzania kopii dokumentów dotyczących        przetwarzania danych osobowych Klientów.

3.  Kontrola będzie przeprowadzona po uprzednim zawiadomieniu Podmiotu   przetwarzającego o terminie kontroli. Kontrola przeprowadzona będzie w godzinach   pracy Podmiotu przetwarzającego.

4.  Podmiot przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych   podczas kontroli i wdrożenia zaleceń Administratora w terminie nie dłuższym niż 10   dni. Podmiot przetwarzający niezwłocznie przekaże Administratorowi informacje o   podjętych działaniach.

5.  Uprawnienia określone w § 5 pkt 1–2 umowy przysługują Administratorowi   odpowiednio w stosunku do podmiotów, którym Podmiot przetwarzający powierzył   dalsze przetwarzanie danych osobowych zgodnie z § 6 pkt 1 umowy.

6.  Administrator zastrzega sobie prawo korzystania z usług osób trzecich celem   przeprowadzenia kontroli (audytorów), jak również do przeprowadzenia takiej   kontroli samodzielnie.

7.  Podmiot przetwarzający przed podpisaniem umowy zobowiązuje się udzielić   informacji dotyczących zabezpieczeń technicznych i organizacyjnych dotyczących   powierzonych przez Administratora danych osobowych, celem weryfikacji rękojmi   bezpiecznego i zgodnego z prawem przetwarzania danych osobowych.

 

§6Podpowierzenie

 

1. Podmiot przetwarzający może powierzyć konkretne operacje na danych osobowych do   dalszego przetwarzania w drodze pisemnej umowy zawartej z innym podmiotem   przetwarzającym, wyłącznie po uzyskaniu uprzedniej pisemnej zgody Administratora   CyberTech Solutions.

2. Podmiot przetwarzający zobowiązuje się zapewnić, aby podmiot, któremu powierzono   dalsze przetwarzanie danych osobowych zgodnie z § 6 pkt 1 umowy, spełniał co   najmniej te same gwarancje i wymagania dotyczące ochrony danych osobowych, jakie   zostały nałożone na Podmiot przetwarzający na mocy umowy. W szczególności   wymóg ten dotyczy obowiązku zapewnienia wystarczających gwarancji wdrożenia   odpowiednich środków technicznych i organizacyjnych, by przetwarzanie   odpowiadało wymogom RODO.

3. Podmiot przetwarzający ma obowiązek niezwłocznie informować Administratora o   wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych   podmiotów przetwarzających. Administrator ma prawo wyrazić sprzeciw wobec   zamierzonych przez podmiot przetwarzający zmian.

4. Podmiot przetwarzający nie może powierzyć innemu podmiotowi przetwarzającemu   całości wykonania umowy.

5. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za   niewywiązanie się ze spoczywających na podwykonawcy obowiązków wynikających   z umowy.

 

§7Wynagrodzenie

 

Wynagrodzenie należne Podmiotowi przetwarzającemu na podstawie umowypodstawowej obejmuje wynagrodzenie należne z tytułu umowy.

 

§8Czas

 

1. Umowa zostaje zawarta na czas obowiązywania umowy podstawowej 2023/10/Umowa.

2. Z chwilą zakończenia obowiązywania umowy podstawowej Podmiot przetwarzający   zobowiązuje się w zależności od żądania Administratora zwrócić lub usunąć   powierzone dane Administratorowi oraz usunąć wszelkie ich istniejące kopie, chyba   że prawo Unii lub prawo państwa członkowskiego nakazuje przechowywanie danych   osobowych.

 

§9Postanowienia końcowe

 

1. Wszelkie zmiany i uzupełnienia postanowień niniejszej umowy wymagają formy   pisemnej pod rygorem nieważności.

2. W sprawach nieuregulowanych w niniejszej umowie zastosowanie mają przepisy   kodeksu cywilnego, RODO, a także przepisy innych ustaw regulujących ochronę   danych osobowych.

3. Wszelkie spory mogące wyniknąć w związku z zawarciem lub wykonaniem umowy   rozstrzygane będą przez sąd miejscowo właściwy dla siedziby Administratora.

4. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym   dla każdej ze Stron.

5. Umowa wchodzi w życie z dniem podpisania.

 

CyberTech Solutions                            DataSafeAdministrator                                          Podmiot przetwarzający

 

Załączniki:

1) załącznik nr 1 – formularz oceny podmiotu przetwarzającego, wypełniony przez    Podmiot przetwarzający przed podpisaniem umowy podstawowej

2) załącznik nr 2 – wykaz środków technicznych i organizacyjnych stosowanych przez    Podmiot przetwarzający