Inspektor Ochrony Danych Osobowych - Agata Ziemińska

e-mail: daneosobowe@zetorzeszow.pl

Umowa Powierzenia Przetwarzania Danych Osobowych

Umowa: zawarta w w dniu pomiędzy: z siedzibą w , zarejestrowaną/ym w pod numerem , posiadającą/ym numer NIP oraz numer REGON , reprezentowaną/ym przez: , zwaną/ym dalej Administratorem

a

ZETO-RZESZÓW Sp. z o.o. z siedzibą w Rzeszowie, Al. Rejtana 55, zarejestrowanym w Krajowym Rejestrze Sądowym prowadzonym przez Sąd Rejonowy w Rzeszowie XII Wydział Gospodarczy pod numerem KRS 0000119555, posiadającą numer NIP 813-03-35-772 oraz numer REGON 690022547, reprezentowaną przez:

........................................................., zwanym dalej Przetwarzającym.

Mając na uwadze, że:

Strony zawarły umowę nr z dnia .(dalej „Umowa Podstawowa”), (której przedmiotem jest , w związku z wykonywaniem której Administrator powierzy Przetwarzającemu przetwarzanie danych osobowych w zakresie określonym niniejszą umową (dalej „Umowa”).

Strony postanowiły zawrzeć umowę o następującej treści:

§1

Przedmiot umowy

1. Na podstawie Umowy, a także postanowień art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), (dalej „RODO”) Administrator powierza do przetwarzania dane osobowe Przetwarzającemu.
2. Poprzez przetwarzanie danych rozumie się wszelkie czynności wykonywane na danych, a w szczególności np. przechowywanie, zbieranie, wprowadzanie, przekazywanie, zapisywanie, modyfikację, usuwanie danych osobowych.

§2

Informacje o przedmiocie umowy

1. Przedmiot: Na warunkach określonych Umową oraz Umową Podstawową Administrator powierza Przetwarzającemu przetwarzanie (w rozumieniu „RODO”) dalej opisanych Danych Osobowych.
2. Czas: Przetwarzanie będzie wykonywane w okresie obowiązywania Umowy Podstawowej.
3. Charakter i cel: Charakter i cel przetwarzania wynikają z Umowy Podstawowej i służą jej prawidłowej realizacji.
4. Rodzaj danych: Przetwarzanie obejmować będzie następujące rodzaje danych osobowych (dalej „Dane”): Proszę zaznaczyć odpowiednie
   Dane zwykłe:
   • Imię i nazwisko
   • Numer ewidencyjny PESEL
   • Adres e-mail
   • Adres IP
   • Numery telefonów
   • Adres zamieszkania
   • Data urodzenia
   • NIP
   • Seria i numer dokumentu tożsamości
   • Imiona rodziców
   • Numer rachunku bankowego
   • Inne

   Dane szczególnie chronione: Proszę zaznaczyć odpowiednie

   • Dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych
   • Dane genetyczne
   • Dane biometryczne
   • Dane dotyczące zdrowia, seksualności lub orientacji seksualnej
   • Dane dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa
   • Inne
5. Kategorie osób: Przetwarzanie Danych będzie dotyczyć następujących kategorii osób: Proszę zaznaczyć odpowiednie
   • Pracownicy Administratora i podmiotów stowarzyszonych Administratora
   • Klienci usługi/produktu Administratora określonych w Umowie Podstawowej
   • Osoby, z którymi klienci Administratora wchodzą w interakcje społeczne
   • Kontrahenci (odbiorcy i dostawcy) klientów Administratora
   • Odbiorcy korespondencji elektronicznej klientów Administratora
   • Inne

§3

Oświadczenia Przetwarzającego

1. Przetwarzający oświadcza, iż posiada zdolność do ciągłego zapewnienia poufności, integralności dostępności i odporności systemów i usług przetwarzania powierzonych mu zbiorów danych osobowych tj. przygotował i wdrożył stosowne rozwiązania techniczne i organizacyjne zapewniające ochronę powierzonych danych, w zgodzie z powszechnie obowiązującymi przepisami prawa.
2. Przetwarzający oświadcza, że nie przekazuje Danych do państwa trzeciego lub organizacji międzynarodowej (czyli poza Europejski Obszar Gospodarczy („EOG”)). Przetwarzający oświadcza również, że nie korzysta z podwykonawców, którzy przekazują Dane poza EOG.
3. Jeżeli Przetwarzający ma zamiar lub obowiązek przekazywać Dane poza EOG, informuje o tym Administratora, w celu umożliwienia Administratorowi podjęcia decyzji i działań niezbędnych do zapewnienia zgodności przetwarzania z prawem lub zakończenia powierzenia przetwarzania.
4. Przetwarzający oświadcza, iż upoważnił swoich pracowników do przetwarzania powierzonych przez Administratora zbiorów danych oraz prowadzi ewidencję tych osób a także zobowiązał te osoby do zachowania tajemnicy w zakresie przetwarzania i sposobów zabezpieczenia tych danych. Na żądanie Administratora Przetwarzający okazuje aktualną ewidencję.
5. Przetwarzający oświadcza, iż nie będzie podpowierzał przekazanych mu zbiorów danych innym podmiotom bez pisemnej zgody Administratora Danych lub osoby przez niego upoważnionej, a w przypadku gdy taką zgodę uzyska zobowiązuje się do zapewnienia poziomu ochrony nie mniejszego niż wynikający z Umowy. Wniosek o zgodę na podpowierzenie może być przesłany pocztą lub e-mailem na adres:

§4

Zobowiązania podmiotu, któremu powierzono przetwarzanie danych osobowych (zobowiązania Przetwarzającego)

1. Przetwarzający może przetwarzać Dane przekazane przez Administratora wyłącznie na udokumentowane polecenie Administratora tj. w zakresie i w celu określonych w Umowie.
2. Przetwarzający zapewnia, by osoby upoważnione do przetwarzania Danych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
3. Przetwarzający zapewnia Administratorowi pomoc w realizacji postanowień o których mowa w Rozdziale III RODO, które dotyczą osób, których dane przetwarza w ramach Umowy.
4. Przetwarzający zapewnia, iż uwzględniając charakter przetwarzania oraz dostępne mu informacje, będzie wspierał Administratora w wywiązywaniu się z obowiązków określonych w art. 32–36 RODO.
5. O ile Administrator lub przepis prawa nie stanowi inaczej, Przetwarzający po zakończeniu usług związanych z przetwarzaniem zobowiązuje się do usunięcia wszelkich powierzonych mu Danych na mocy Umowy niezwłocznie po jej wygaśnięciu. Na prośbę Administratora, Przetwarzający w ciągu 7 dni prześle Administratorowi dokument (lub jego kopię) potwierdzający przeprowadzenie czynności usunięcia danych (np. protokół zniszczenia, notatkę).
6. Przetwarzający zobowiązuje się do udostępniania wszelkich informacji niezbędnych do wykazania spełnienia obowiązków wynikających z przepisów prawa i Umowy oraz umożliwi Administratorowi danych lub audytorowi upoważnionemu przez Administratora danych przeprowadzania audytów, w tym inspekcji w zakresie czynności wykonywanych na powierzonych mu do przetwarzania danych. Wskazany audyt lub inspekcja może się odbywać w godzinach pracy Przetwarzającego po uprzednim jego poinformowaniu telefonicznym z tygodniowym wyprzedzeniem.
7. Przetwarzający odpowiada za wszelkie wyrządzone osobom trzecim szkody, które powstały w związku z nienależytym przetwarzaniem przez Przetwarzającego powierzonych Danych.
8. W ramach zapewnienia prawa do kontroli przetwarzania powierzonych zgodnie z przepisami prawa Przetwarzający na wniosek Administratora przedstawia pisemną informację na temat sposobu zabezpieczenia powierzonego zbioru oraz wyniku przeprowadzonych kontroli wewnętrznych.
9. Przetwarzający niezwłocznie (nie później niż w ciągu 24 godzin od zaistnienia zdarzenia) informuje Administratora w formie wiadomości e-mail w przypadku, gdy:
   • w trakcie przetwarzania powierzonych Danych wystąpiło zdarzenie, mające wpływ na ich bezpieczeństwo z zachowaniem wymogów zawartych w art.33 ust.3 RODO,
   • toczy się wobec niego postępowanie przed organem ochrony danych osobowych,
   • toczy się wobec niego postępowanie przed organem ochrony danych osobowych ,
10. Wszelkie obowiązki informacyjne, o których mowa w Umowie Przetwarzający przesyłać może na adres a-mail lub w formie pisemnej na adres korespondencyjny Administratora.

§5

Odpowiedzialność

1. Odpowiedzialność Przetwarzającego: Przetwarzający odpowiada za szkody spowodowane swoim działaniem w związku z niedopełnieniem obowiązków, które RODO nakłada bezpośrednio na Przetwarzającego lub gdy działał wbrew zgodnym z prawem instrukcjom Administratora. Przetwarzający odpowiada za szkody spowodowane nie zastosowaniem właściwych środków bezpieczeństwa.
2. Odpowiedzialność za dalszych przetwarzających: Przetwarzający zobowiązany jest do nałożenia na podmiot, któremu powierza czynności przetwarzania obowiązki wynikające z Umowy. Jeżeli podmiot ten nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków przez ten podmiot spoczywa na Przetwarzającym.

§6

Postanowienia końcowe

1. W sprawach nieuregulowanych Umową zastosowanie znajdują przepisy dotyczące ochrony danych osobowych oraz Kodeksu Cywilnego.
2. Wszelkie zmiany Umowy wymagają zachowania formy pisemnej pod rygorem nieważności.
3. Administrator jest uprawniony do rozwiązania Umowy bez wypowiedzenia w przypadku rażącego naruszenia postanowień Umowy przez Przetwarzającego.
4. Spory wynikłe z tytułu Umowy będzie rozstrzygał Sąd właściwy dla miejsca siedziby Przetwarzającego.
5. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach po jednym dla każdej ze stron.