Umowa Powierzenia przetwarzania danych osobowych
zawarta w Warszawie, dnia …………2020 r. pomiędzy:
Chmura.tech Oskar Korzeniecki
z siedzibą w : adres: Prymasa Tysiąclecia 153/16, 01-424 Warszawie 01-424.
NIP: 527-237-05-35 reprezentowana przez: Oskara Korzenieckiego.
w dalszej części niniejszej umowy zwana „Podmiotem przetwarzającym”,
a xxxxxxxxxxxxxxxxxx.
z siedzibą w Warszawie, adres: ul. Antoniego Fontany 26/2, wpisana do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego dla d.m.st. Warszawy,
XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numer KRS 0000041738, NIP 1132324131, o kapitale zakładowym w wysokości: 100.000 złotych, reprezentowana przez: Jacka Dulewicza, Prezesa Zarządu.
w dalszej części niniejszej umowy zwana „Administratorem”,
dalej łącznie zwanymi „Stronami“.
Strony niniejszym postanawiają, co następuje:
- Administrator oświadcza, że jest administratorem danych osobowych w rozumieniu art. 4 pkt 7 Ogólnego Rozporządzenia o Ochronie Danych 2016/679/WE, zwanego dalej „RODO”, a powierzonych do przetwarzania na podstawie Umowy.
- Na podstawie art. 28 ust. 3 RODO Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych w zakresie i celu określonym w Umowie, a Podmiot przetwarzający zobowiązuje się przetwarzać te dane w sposób zapewniający spełnienie wymogów określonych w RODO, jak również w innych przepisach mających zastosowanie do przetwarzania powierzonych danych i obowiązujących w trakcie realizacji Umowy. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia Podmiot przetwarzający wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Przedmiotową umową będą objęte dane, które można zakwalifikować jako dane zwykłe.
- Powierzenie przetwarzania danych osobowych, o którym mowa w ust. 2 przez Administratora obejmuje dane osobowe w zakresie imię, nazwisko, pesel, adres zamieszkania, numery telefonów stacjonarnych, numery telefonów komórkowych, adresy email, tablice rejestracyjne samochodu, nr VIN, numer dowodu osobistego.
- Celem przetwarzania danych przez Podmiot przetwarzający jest realizacja umowy na dedykowany serwer VPS w chmurze, zawartej pomiędzy stronami oraz realizacja zamówień dotyczących prac na bazach danych dedykowanego serwera zlecanych przez Administratora Podmiotowi przetwarzającemu.
- Przedmiotem przetwarzania są dane osobowe wskazane w treści niniejszej umowy.
- Strony zgodnie oświadczają, że dane osobowe będą przetwarzane tylko na terenie Europejskiego Obszaru Gospodarczego (EOG).
- Kategoria osób, których dotyczą dane powierzane do przetwarzania, obejmuje dane klientów i pracowników Administratora.
- Powierzone do przetwarzania dane osobowe będą przetwarzane przez Podmiot przetwarzający w sposób elektroniczny.
- Powierzone do przetwarzania dane osobowe będą przetwarzane przez Podmiot przetwarzający przez okres niezbędny do realizacji zobowiązań wynikających z umowy głównej, lub zamówień Administratora ale nie dłużej niż 14 dni od daty zakończenia umowy głównej.
- Podmiot przetwarzający zobowiązuje się do:
- wykorzystania powierzonych przez Administratora danych osobowych wyłącznie w zakresie określonym w ust. 3 Umowy i celach określonych w ust. 4 Umowy, na udokumentowane polecenie Administratora, chyba że obowiązek przetwarzania w inny sposób nakładają na Podmiot przetwarzający przepisy prawa;
- poinformowania Administratora, przed rozpoczęciem przetwarzania, o obowiązku prawnym skutkującym koniecznością przetwarzania danych osobowych inaczej niż na udokumentowane polecenie Administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, chyba że przepisy prawa zabraniają udzielania takiej informacji z uwagi na ważny interes publiczny;
- niewykonywania żadnych czynności związanych z dalszym przekazywaniem danych osobowych nieuregulowanych w Umowie, a w szczególności do niekorzystania przy przetwarzaniu powierzonych danych z usług innego podmiotu bez uprzedniej pisemnej zgody Administratora oraz zawarcia z takim podmiotem umowy na warunkach analogicznych jak warunki niniejszej Umowy. Powierzenie danych o jakim mowa w zdaniu poprzedzającym powinno być poprzedzone zawarciem przez Podmiot przetwarzający oraz wskazane wyżej podmioty odrębnych umów dalszego powierzenia przetwarzania danych osobowych, spełniających warunki określone w art. 28 ust. 3 RODO, z uwzględnieniem założeń wynikających z niniejszej Umowy.
- zobowiązania osób upoważnionych do przetwarzania danych osobowych do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;
- wdrożenia wymaganych przepisami prawa środków technicznych i organizacyjnych, zapewniających stopień bezpieczeństwa powierzonych do przetwarzania danych osobowych odpowiadający ryzyku naruszenia praw i wolności osób fizycznych w szczególności poprzez zastosowania urządzeń zapewniających pseudonimizację i szyfrowanie danych osobowych;
- zgłaszania Administratorowi naruszenia ochrony powierzonych do przetwarzania danych osobowych bez zbędnej zwłoki po stwierdzeniu tego naruszenia (najpóźniej w ciągu 24 godzin);
- pomagania Administratorowi w wywiązywaniu się z jego obowiązków związanych z przetwarzaniem powierzonych do przetwarzania danych osobowych;
- niezwłocznego , nie później niż w ciągu 14 dni od daty zakończenia umowy głównej, zwrócenia Administratorowi danych osobowych po rozwiązaniu, wypowiedzeniu lub wygaśnięciu Umowy oraz usunięcia tych danych oraz ich kopii ze wszelkich elektronicznych nośników danych, na których zostały one utrwalone przez Podmiot przetwarzający dla realizacji celów określonych w ust. 4 Umowy, chyba, że przepisy prawa nakazują przechowywanie tych danych;
- wdrożenia wymaganych przepisami prawa środków zapewniających poufność, integralność, dostępność danych osobowych i odporność systemów wykorzystanych do ich przetwarzania;
- regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych.
- Prawidłowe usunięcie danych osobowych, o którym mowa w ust. 10 lit. h Umowy zostanie potwierdzone pisemnym protokołem podpisanym przez przedstawicieli Podmiotu przetwarzającego i przekazanym Administratorowi najpóźniej w ciągu 14 dni od daty zakończenia umowy głównej.
- Podmiot przetwarzający jest odpowiedzialny wobec Administratora z tytułu niewykonania lub nienależytego wykonania postanowień Umowy. W przypadku, gdy wskutek naruszenia przez Podmiot przetwarzający postanowień niniejszej umowy Administrator zostanie obciążony karami pieniężnymi, w tym roszczeniami odszkodowawczymi, wymierzonymi na rzecz Administratorowi, osób reprezentujących Administratora lub pracowników Administratora z powyższego tytułu, Podmiot przetwarzający zobowiązuje się do zapłaty kwoty równej wartości uiszczonej kary.
- Strony zobowiązują się do szczególnej staranności w wykonaniu Umowy, w tym Podmiot przetwarzający zobowiązuje się do skrupulatnego i dokładnego zapoznania osób biorących udział przy przetwarzaniu danych osobowych powierzonych na podstawie Umowy z przepisami RODO oraz zobowiązania tych osób do złożenia podpisu pod oświadczeniem o zapoznaniu się z RODO lub instrukcją przetwarzania danych udostępnioną przez Administratora.
- Administrator ma prawo do przeprowadzania kontroli zastosowanych przez Podmiot przetwarzający sposobów ochrony powierzonych danych osobowych. Podmiot przetwarzający ma obowiązek umożliwienia Administratorowi przeprowadzenia takiej kontroli niezwłocznie po wezwaniu. Jeżeli zdaniem Podmiotu powierzającego polecenie wydane mu w związku z realizacją przez Administratora prawa do kontroli stanowi naruszenie przepisów o ochronie danych, Podmiot przetwarzającym niezwłocznie informuje o tym Administratora.
- Podmiot przetwarzający zobowiązuje się zająć niezwłocznie i właściwie każdym pytaniem Administratora dotyczącym przetwarzania powierzonych mu na podstawie Umowy danych osobowych, w szczególności tych dotyczących organizacji ochrony danych osobowych u Podmiotu przetwarzającego oraz związanych z żądaniem osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w przepisach o ochronie danych osobowych. W tym celu Podmiot przetwarzający wdroży odpowiednie środki techniczne i organizacyjne umożliwiające sprawne udzielenie Administratorowi żądanych informacji.
- Administrator upoważnia Podmiot przetwarzający do przetwarzania danych osobowych w zakresie i celu określonym w umowie głównej, a także do udzielenia dalszych upoważnień do przetwarzania danych osobom współpracującym z Podmiotem przetwarzającym na podstawie umowy o pracę lub umowy cywilnoprawnej, które mają dostęp do przetwarzanych danych osobowych.
- Strony zgodnie postanawiają, że w przypadku przesyłania danych osobowych, dane te będą zabezpieczone podczas transmisji przez sieć publiczną za pomocą kryptograficznych środków ochrony danych osobowych.
- W przypadku gdy Administrator uzna to za konieczne celem zapewnienia należytej najwyższej ochrony danych osobowych osób których one dotyczą, Podmiot przetwarzający zobowiązany jest pomóc Administratorowi w realizowaniu obowiązków wynikających z powszechnie obowiązujących przepisów prawa w szczególności zawiadamianiu osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, ocenie skutków dla ochrony danych i uprzednich konsultacjach oraz zapewnieniu bezpieczeństwa danych osobowych.
- Administrator ma prawo wypowiedzieć Umowę gdy Podmiot przetwarzający:
- wykorzystał dane osobowe w sposób niezgodny z Umową,
- powierzył wykonanie przedmiotu Umowy osobie trzeciej bez zgody Administratora,
- nie zaprzestanie niewłaściwego przetwarzania danych osobowych.
- Strony zobowiązują się, że podczas realizacji Umowy będą ze sobą ściśle współpracować, informując się wzajemnie o wszystkich okolicznościach mających lub mogących mieć wpływ na wykonanie Umowy.
- Administrator nie jest odpowiedzialny za zobowiązania Podmiotu przetwarzającego wobec osób trzecich nie przewidzianych Umową ani za zobowiązania Podmiotu przetwarzającego wobec osób, które ten upoważnił do przetwarzania danych.
Ze strony Podmiotu przetwarzającego osobami do kontaktów w sprawie realizacji umowy są:
- Oskar Korzeniecki adres poczty elektronicznej: biuro@chmura.tech
- Ze strony Administratora osobami do kontaktów w sprawie realizacji umowy są:
- xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
- Zmiana danych dotyczących osób do kontaktu, wskazanych w ust. 22 i 23 nie jest traktowana jako zmiana warunków umowy.
- Podmiot przetwarzający zobowiązany jest do niezwłocznego poinformowania Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie powszechnie obowiązujących przepisów prawa krajowego oraz unijnego w tym w zakresie w jakim regulują one zasady ochrony danych osobowych.
- Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron Umowy.
——————-
Administrator |
———————————–
Podmiot przetwarzający |