§ 1. Postanowienia ogólne – powierzenie przetwarzania danych osobowych.

  1.        Na mocy Umowy o świadczenie usługi przez Przetwarzającego na rzecz Administratora danych (zwanej dalej „Umową Podstawową”), zawartej pomiędzy Stronami, Administrator powierza Przetwarzającemu dane osobowe do przetwarzania, w celu i na zasadach określonych
    w niniejszej Umowie.
  2.        Strony zawierając Umowę dążą do takiego uregulowania zasad przetwarzania Danych Osobowych, aby w pełni odpowiadały postanowieniom Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1) – dalej „RODO”.
  3.        Przetwarzający zobowiązuje się do przetwarzania powierzonych mu Danych zgodnie z Umową, RODO oraz innymi przepisami obowiązującego prawa.
  4.        Według art. 28 ust. 3 RODO na warunkach określonych niniejszą Umową oraz na podstawie świadczonej usługi przez Przetwarzającego na rzecz Administratora Danych, Administrator powierza Przetwarzającemu przetwarzanie (w rozumieniu RODO) dalej opisanych Danych Osobowych, polegające na ich przechowywaniu na serwerach stanowiących własność Przetwarzającego, gdzie Administrator osobiście zarządza i gromadzi Dane osobowe.

 

§2. Cel, charakter oraz czas przetwarzania danych osobowych.

  1.       Zgodnie z art. 28 ust. 3 RODO przetwarzanie Danych będzie wykonywane w okresie obowiązywania Umowy Podstawowej.
  2.       Charakter i cel przetwarzania wynikają z Umowy Podstawowej. Celem przetwarzania jest umożliwienie Administratorowiświadczenia drogą elektroniczną usług wchodzących w zakres działalności jego przedsiębiorstwa.
  3.       Cel i charakter przetwarzania Danych osobowych wynika z Umowy Podstawowej i ogranicza się jedynie do wykonywania przez Procesora obowiązków niezbędnych do świadczenia usługi
    na rzecz Administratora w związku z Umową Podstawową.
  4.       Zgodnie z art. 23 ust.3 RODO przetwarzanie Danych osobowych będzie się odbywało w czasie trwania Umowy Podstawowej.

 

§3. Dane osobowe.

  1.        W oparciu o art. 28 ust. 3 RODO przetwarzanie obejmować będzie następujące rodzaje danych osobowych („Dane”):

a)      Dane nie stanowiące szczególnej kategorii danych osobowych w rozumieniu art. 9 RODO:

(1)                imię i nazwisko, nazwa przedsiębiorstwa/firma;

(2)                numer NIP;

(3)                adres e – mail;

(4)                adres zamieszkania;

(5)                numery telefonów;

(6)                adres prowadzenia działalności gospodarczej;

(7)                numer ewidencyjny PESEL;

(8)                adres IP;

(9)                numer rachunku bankowego;

(10)            inne: …………….

b)      Dane stanowiące szczególną kategorię danych osobowych wg art. 9 RODO

(1)                ……………….

(2)                ………………….

(3)                ………………….

(4)                …………………..

c)       Dane zebrane przez Administratora, wymienione w punkcie (a) lub (b), za wyraźną i jednoznaczną zgodą osoby, której one dotyczą.

  1.        Przetwarzanie Danych, w rozumieniu art. 28 ust. 3 RODO będzie dotyczyć następujących kategorii osób:

(1)                …………………………………

(2)                …………………………………

(3)                …………………………………

(4)                …………………………………

 

§4. Podpowierzenie.

  1.        Przetwarzający nie ma prawa do podpowierzenia przetwarzania Danych objętych Umową.
  2.        Jedynym wyjątkiem jest sytuacja podpowierzenia Danych innym podmiotom przetwarzającym, zwanym dalej „Podwykonawcami”, tylko i wyłącznie w celu wykonywania obowiązków związanych z Umową Podstawową.
  3.        Przetwarzający podpowierzając dane Podwykonawcom zobowiązuje się do zawarcia z nimi stosownych umów powierzenia, gwarantujących poufność oraz tajność Danych oraz zapewniających stosowanie środków technicznych i organizacyjnych spełniających wymogi RODO. Procesor ponosi pełną odpowiedzialność wobec Administratora za czynności Podwykonawców.

 

§5. Obowiązki Przetwarzającego i odpowiedzialność.

  1.      Przetwarzający, w odniesieniu do art. 28 ust.3 RODO, ma następujące obowiązki:

a)    Przetwarzający przetwarza Dane wyłącznie zgodnie z udokumentowanymi poleceniami lub instrukcjami wydanymi przez Administratora;

b)    Przetwarzający oświadcza, że nie przekazuje Danych do państwa trzeciego (poza Europejski Obszar Gospodarczy - „EOG”); Przetwarzający oświadcza także, że nie korzysta z podwykonawców przekazujących Dane poza EOG;

c)    jeżeli Przetwarzający ma zamiar lub obowiązek przekazywać Dane poza EOG, jest zobowiązany do poinformowania o tym Administratora, w celu umożliwienia Administratorowi podjęcia decyzji i działań niezbędnych do zapewnienia zgodności przetwarzania z prawem lub zakończenia powierzenia przetwarzania;

d)    Przetwarzający uzyskuje od Podwykonawców udokumentowane zobowiązania
do zachowania tajemnicy, w zakresie przetwarzania Danych;

e)    Przetwarzający w celu przetwarzania powierzonych mu Danych stosuje środki techniczne i organizacyjne, o których mowa w art.32 RODO, adekwatnie do rodzaju powierzonych mu Danych, przekazanych przez Administratora i w zakresie uprawnień nadanych przez Administratora Procesorowi;

f)     Przetwarzający powiadamia Administratora Danych o każdym podejrzeniu naruszenia ochrony jego Danych nie później niż w 48 godzin od pierwszego zgłoszenia, umożliwia Administratorowi uczestnictwo w czynnościach wyjaśniających i informuje Administratora o ustaleniach z chwilą ich dokonania, w szczególności
o stwierdzeniu naruszenia drogą elektroniczną (wiadomość e-mail);

g)    Przetwarzający zobowiązuje się wobec Administratora do współpracy przy realizacji praw jednostki w odniesieniu do powierzonych Danych, jeżeli będzie to konieczne
do obsługi tych praw;

h)    Przetwarzający pomaga Administratorowi w wywiązaniu się z obowiązku odpowiadania na żądania osoby, której Dane dotyczą, w zakresie wykonywania jej praw określonych w RODO (wspiera w realizacji uprawnień osoby o charakterze informacyjnym, korekcyjnym i zakazowym);

i)     Procesor pomaga Administratorowi w zabezpieczaniu danych, zgłaszaniu naruszeń organowi nadzorczemu, zawiadamianiu osoby, której Dane dotyczą, o naruszeniu ochrony Danych;

j)     Jeżeli Przetwarzający będzie miał wątpliwości co do zgodności z prawem wydanych przez Administratora poleceń lub instrukcji, Przetwarzający natychmiast poinformuje Administratora o stwierdzonej wątpliwości (w sposób udokumentowany
i z uzasadnieniem), pod rygorem utraty możliwości dochodzenia roszczeń przeciwko Administratorowi z tego tytułu.

  1.        Jeżeli Dane określone przez Administratora w §3 zostały zgromadzone przez niego
    bez jednoznacznej zgody osoby, której dotyczą, Przetwarzający nie ponosi odpowiedzialności
    za nieprawidłowe zbieranie Danych przez Administratora, równocześnie przenosząc sankcje i odpowiedzialność tylko na Administratora.
  2.        Zgodnie z art. 82 ust. 3 RODO Przetwarzający odpowiada za szkody spowodowane swoim działaniem w związku z niedopełnieniem obowiązków, które RODO nakłada bezpośrednio na Przetwarzającego lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom. Całkowite i maksymalne zobowiązanie Procesora wobec Administratora Danych nie może przekroczyć całkowitej kwoty rocznej, uiszczonej Procesorowi za usługę, której dotyczy roszczenie, z ostatnich dwunastu miesięcy przed zdarzeniem. Przetwarzający odpowiada w ten sposób za szkody spowodowane nieumyślnie.

Powyższe nie ma zastosowania w przypadku umyślnego spowodowania szkody lub zaniedbania obowiązków przez Procesora.

 

§5. Obowiązki i odpowiedzialność Administratora.

  1.        Administrator zobowiązany jest współdziałać z Przetwarzającym w wykonaniu Umowy, udzielać Przetwarzającemu wyjaśnień w razie wątpliwości co do legalności poleceń Administratora, jak też wywiązywać się terminowo ze swoich szczegółowych obowiązków.
  2.        Administrator oświadcza, że jest uprawniony do przetwarzania Danych w zakresie, w jakim powierzył je Przetwarzającemu doprecyzowując je w §3 powyższej Umowy.
  3.        Administrator podmiotu, na wezwanie Procesora jest zobowiązany do wskazania i udokumentowania podstawy przetwarzania danych osobowych w jak najkrótszym czasie.
  4.        Administrator zobowiązuje się do pełnego i rzetelnego wykonywania warunków RODO.
  5.        W przypadku braku zgodności organizacyjnych i technicznych środków zastosowanych w związku
    z nieprawidłowym bądź niekompletnym zadeklarowaniem przez Administratora rodzajem Danych w §3 Umowy, sankcje i odpowiedzialność za nieprawidłowości ponosi jedynie Administrator.

 

§6. Usunięcie Danych.

  1.        Zgodnie z art. 28 RODO z chwilą rozwiązania Umowy Przetwarzający nie ma prawa do dalszego przetwarzania powierzonych mu Danych i jest zobowiązany nie później niż w przeciągu 30 dni
    od rozwiązania umowy do usunięcia Danych i wszelkich ich istniejących kopii, chyba że Administrator postanowi inaczej lub prawo Unii Europejskiej, lub prawo państwa członkowskiego nakazują dalsze przechowywanie Danych.

 

§7. Postanowienia Końcowe.

  1.     W razie sprzeczności pomiędzy postanowieniami niniejszej Umowy Powierzenia a Umowami Podstawowymi, pierwszeństwo mają postanowienia Umowy Powierzenia. Oznacza to także, że kwestie dotyczące przetwarzania Danych osobowych pomiędzy Administratorem a Przetwarzającym należy regulować poprzez zmiany niniejszej Umowy.
  2.     Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej
    ze Stron.
  3.     Umowa podlega prawu polskiemu oraz RODO, a w razie sporów związanych z Umową sprawę rozstrzygnie sąd właściwy ze względu na siedzibę pozwanego.
  4.     Jeżeli przed podpisaniem Umowy były zawarte jakieś inne umowy w zakresie przetwarzania
    i ochrony Danych, z dniem podpisania obecnej Umowy tracą one ważność na rzecz Umowy.