Umowa powierzenia przetwarzania danych dla substytutów
UMOWA POWIERZENIA
PRZETWARZANIA DANYCH OSOBOWYCH
Na potrzeby niniejszej Umowy przyjmuje się następujące definicje:
1) Administrator – Kancelaria Prawnicza ARGOS adw. Wojciech Lubelski i Wspólnicy sp. k., ul. Kościuszki 6/4, 40 – 049 Katowice, NIP: 6341000903, KRS: 0000749035, reprezentowana przez komplementariusza Wojciecha Lubelskiego;
2) Przetwarzający – osoba, która zawiera z Administratorem umowę główną;
3) Strony – Administrator oraz Przetwarzający;
4) Umowa główna – umowa, na mocy której Przetwarzający zobowiązał się do świadczenia na rzecz Administratora usługi prawniczej;
5) Umowa – niniejsza umowa powierzenia przetwarzania danych osobowych.
Zważywszy na to, że:
a) Administrator oraz Przetwarzający są stronami umowy głównej,
b) Administrator pełni funkcję administratora danych osobowych,
c) w związku z wykonywaniem umowy głównej zachodzi potrzeba przetwarzania przez Przetwarzającego danych osobowych przekazanych mu przez Administratora, Strony – zgodnie z art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „Rozporządzenie”) – postanawiają zawrzeć niniejszą Umowę powierzenia przetwarzania danych osobowych:
§ 1[Przedmiot Umowy]
1. Administrator powierza Przetwarzającemu przetwarzanie danych osobowych niezbędnych do realizacji umowy głównej, na zasadach i w celu określonym w niniejszej Umowie.
2. Przetwarzający zobowiązuje się do przetwarzania powierzonych mu danych osobowych zgodnie z niniejszą Umową, Rozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, tak by przetwarzanie chroniło prawa osób, których dane dotyczą, w szczególności prawo do ochrony danych osobowych.
3. Przetwarzający zobowiązuje się do stosowania środków bezpieczeństwa spełniających wymogi Rozporządzenia.
§ 2[Czas obowiązywania Umowy i przetwarzania danych osobowych]
1. Niniejsza Umowa zostaje zawarta w dniu zawarcia umowy głównej i obowiązuje od tego dnia przez czas nieoznaczony, lecz nie dłuższy niż okres obowiązywania umowy głównej. Okres obowiązywania Umowy jest jednocześnie czasem trwania przetwarzania danych przez Przetwarzającego, w rozumieniu art. 28 Rozporządzenia.
2. Każda ze stron może wypowiedzieć niniejszą Umowę z zachowaniem 14-dniowego okresu wypowiedzenia. Wypowiedzenie przez Stronę Umowy jest jednoznaczne z wypowiedzeniem przez nią umowy głównej. Zdanie poprzednie nie ma jednak zastosowania w sytuacji, gdy Strony postanowią inaczej bądź gdy dalsze świadczenie usług przez Przetwarzającego na rzecz Administratora na mocy umowy głównej nie będzie wiązało się z przetwarzaniem w jego imieniu jakichkolwiek danych osobowych przez Przetwarzającego i umowa główna będzie mogła być dalej wykonywana w zgodzie z Rozporządzeniem.
3. Administrator może rozwiązać niniejszą Umowę ze skutkiem natychmiastowym, gdy Przetwarzający:a) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie;b) przetwarza dane osobowe w sposób niezgodny z Umową lub Rozporządzeniem; c) powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Administratora
§ 3[Charakter i cel przetwarzania danych]
1. Przetwarzający będzie przetwarzał powierzone dane przy wykorzystaniu systemów informatycznych i dokumentacji papierowej. Przetwarzanie może być dokonywane z częstotliwością wymaganą w ramach realizacji obowiązków wynikających z umowy głównej, przy zastosowaniu dostępnych Przetwarzającemu technologii.
2. Przetwarzanie może obejmować takie operacje jak: utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych osobowych, z zastrzeżeniem ograniczeń wprowadzonych w Umowie oraz stosownie do potrzeb wynikających z celów przetwarzania, w tym wyznaczonych zakresem niniejszej Umowy i umowy głównej.
3. Powierzone przez Administratora dane osobowe będą przetwarzane przez Przetwarzającego wyłącznie w celu realizacji umowy głównej.
4. Przetwarzający nie będzie korzystał z usług dostawców usług elektronicznych (tzw. chmur, transferów), chyba że Administrator wyraźnie komunikuje się z nim w taki sposób.
§ 4[Rodzaj przetwarzanych danych i kategorie osób, których dane dotyczą]
1. Przetwarzający będzie przetwarzał powierzone na podstawie Umowy i umowy głównej: a) dane zwykłe w postaci: * imion i nazwisk * adresu zamieszkania * adresu korespondencyjnego * nr PESEL i daty urodzenia * nr NIP, REGON * serii i numeru dowodu osobistego lub innego dokumentu tożsamości * numeru telefonu lub telefonów * adresu e-mail * adresu IP * imion i nazwisk rodziców, dzieci i innych członków rodziny * numeru rachunku bankowego * nr rejestracyjnego oraz nr VIN pojazdu * w przypadku postępowań z zakresu ubezpieczeń – informacji dotyczących okoliczności zdarzenia ubezpieczeniowego, jego skutków, zgłoszonych roszczeń oraz przebiegu likwidacji szkody, informacji dotyczących zawartego ubezpieczenia * danych dotyczących zakończonych postępowań sądowych cywilnych, administracyjnych b) dane szczególnych kategorii i dane karne w postaci: * dokumentacji medycznej i innych informacji o stanie zdrowia i przebiegu leczenia * informacji o wyrokach skazujących oraz czynach zabronionych lub powiązanych środkach bezpieczeństwa c) dane nieustrukturyzowane – kontent o potencjalnej i prawdopodobnej zawartości danych osobowych (wpisy, dokumenty tekstowe, obrazy, nagrania, filmy, korespondencja).
2. Przetwarzający będzie przetwarzał powierzone na podstawie Umowy i umowy głównej dane osobowe: * pracowników Administratora * osób, z którymi Administrator współpracuje na podstawie umów cywilnoprawnych * kontrahentów handlowych Administratora * klientów Administratora i danych przekazanych przez tych klientów
§ 5[Obowiązki i prawa Administratora]
1. Administrator oświadcza, że przetwarza powierzane na podstawie Umowy dane osobowe zgodnie z obowiązującymi przepisami prawa, w szczególności zgodnie z Rozporządzeniem.
2. Administrator zobowiązuje się do współpracowania z Przetwarzającym w zakresie powierzanych mu do przetwarzania danych osobowych, w tym udziela Przetwarzającemu na jego żądanie niezbędnych informacji w celu wykonywania Umowy zgodnie z obowiązującymi przepisami prawa, w tym z Rozporządzeniem.
3. Administrator ma prawo przeprowadzenia audytu w zakresie realizacji przez Przetwarzającego obowiązków, o których mowa w niniejszej Umowie. W szczególności Administrator może dokonać inspekcji lub upoważnić do tego zewnętrznego audytora. Audyt powinien zostać przeprowadzony w sposób nie utrudniający Przetwarzającemu prowadzenia działalności. Strony ustalą termin przeprowadzenia audytu drogą pisemną lub e-mailową z odpowiednim, co najmniej 7 – dniowym wyprzedzeniem. Kontrola będzie odbywać się zgodnie z obowiązującymi przepisami prawa.
§ 6[Obowiązki i prawa Przetwarzającego]
1. Przetwarzający zobowiązuje się do:a) przetwarzania danych wyłącznie na udokumentowane polecenie Administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii Europejskiej lub prawo polskie; w takim przypadku przed rozpoczęciem przetwarzania Przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny; Administrator na mocy niniejszej umowy poleca Przetwarzającemu przetwarzanie wszelkich przekazanych mu zgodnie z Umową i umową główną danych osobowych, w celu realizacji umowy głównej; Strony zgodnie postanawiają, iż każde przekazanie danych osobowych w ramach realizacji obowiązków wynikających z umowy głównej stanowi jednocześnie polecenie przetwarzania danych przez Przetwarzającego, chyba że Administrator postanowi inaczej;b) zapewnienia, by osoby upoważnione przez Przetwarzającego do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały ustawowemu obowiązkowi zachowania tajemnicy;c) podejmowania wszelkich środków wymaganych na mocy art. 32 Rozporządzenia (bezpieczeństwo przetwarzania);d) przestrzegania warunków podpowierzenia, o których mowa w § 7 Umowy;e) pomagania – w miarę możliwości, biorąc pod uwagę charakter przetwarzania – Administratorowi poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia (prawa osoby, której dane dotyczą);f) pomagania – uwzględniając charakter przetwarzania oraz dostępne Przetwarzającemu informacje – w wywiązywaniu się przez Administratora z obowiązków określonych w art. 32–36 Rozporządzenia (bezpieczeństwo danych osobowych oraz ocena skutków dla ochrony danych i uprzednie konsultacje);g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji Administratora – usunięcia lub zwrócenia mu wszelkich danych osobowych oraz usunięcia wszelkich ich istniejących kopii, chyba że prawo Unii Europejskiej lub prawo polskie nakazują przechowywanie danych osobowych;h) udostępniania Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia oraz umożliwiania Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzania audytów, w tym inspekcji, i przyczyniania się do nich.
2. W związku z obowiązkiem określonym w ust. 1 lit. b) Przetwarzający dopuści do przetwarzania danych osobowych wyłącznie osoby, które:a) zostały upoważnione do przetwarzania danych osobowych, na podstawie pisemnego upoważnienia wydanego im przez Przetwarzającego;b) złożyły oświadczenie o zachowaniu tajemnicy w stosunku do powierzonych im danych osobowych.
3. W związku z obowiązkiem określonym w ust. 1 lit. g) Przetwarzający, po zakończeniu świadczenia usług związanych z przetwarzaniem, usunie dane osobowe oraz wszelkie ich istniejące kopie, bez osobnego wezwania Administratora, chyba że Administrator wcześniej zażąda zwrócenia mu tych danych. Powyższe nie dotyczy przypadku, gdy prawo Unii Europejskiej lub prawo polskie nakazują przechowywanie danych osobowych przez Przetwarzającego.
4. W związku z obowiązkiem określonym w ust. 1 lit. h) Przetwarzający:
a) niezwłocznie poinformuje Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie Rozporządzenia, innych przepisów Unii Europejskiej lub prawa polskiego o ochronie danych,
b) zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora nie dłuższym niż 7 dni.
5. Przetwarzający zobowiązuje się do:
a) dołożenia należytej staranności przy przetwarzaniu powierzonych danych osobowych
b)przetwarzania przekazanych mu przez Administratora danych osobowych w sposób zabezpieczający je przed udostępnieniem ich osobom nieuprawnionym. Przetwarzający zobowiązany jest do zapobiegania zbieraniu przez osoby nieuprawnione danych osobowych przekazanych Przetwarzającemu przez Administratora oraz zapobiegania ich niezgodnemu z prawem i Umową przetwarzania;
c) zapewnienia odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia (bezpieczeństwo przetwarzania);
6. Przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi, nie później jednak niż w ciągu 2 dni od tego naruszenia.
§ 7[Podpowierzenie]
1. Przetwarzający nie będzie korzystał z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody Administratora. W przypadku ogólnej pisemnej zgody Przetwarzający informuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym Administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
2. W przypadku uzyskania przez Przetwarzającego zgody o której mowa w ust. 1 może on powierzyć dane osobowe objęte niniejszą Umową do dalszego przetwarzania jedynie w celu należytego wykonania umowy głównej.
3. Jeżeli do wykonania w imieniu Administratora konkretnych czynności przetwarzania Przetwarzający będzie korzystał z usług innego podmiotu przetwarzającego, zobowiązuje się on do nałożenia na ten podmiot takich samych obowiązków ochrony danych jakie zawarto w Umowie, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom Rozporządzenia. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na Przetwarzającym.
§ 8[Rejestr kategorii czynności przetwarzania]
1. Przetwarzający (oraz – gdy ma to zastosowanie – jego przedstawiciel) prowadzi rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora jeśli:
a) zatrudnia 250 osób lub więcej,
b) dokonuje przetwarzania, które może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
c) dokonuje przetwarzania, które nie ma charakteru sporadycznego lub
d) dokonuje przetwarzania, które obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 Rozporządzenia, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 Rozporządzenia.
2. Rejestr, o którym mowa w ust. 1 zawiera następujące informacje:
a) imię i nazwisko lub nazwa oraz dane kontaktowe Przetwarzającego oraz Administratora, a gdy ma to zastosowanie – przedstawiciela Administratora lub Przetwarzającego oraz inspektora ochrony danych;
b) kategorie przetwarzań dokonywanych w imieniu Administratora;
c) gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi Rozporządzenia, dokumentacja odpowiednich zabezpieczeń;
d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 Rozporządzenia.
§ 9[Odpowiedzialność i obowiązek informowania]
1. Przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
2. Przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora o:
a) jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Przetwarzającego danych osobowych określonych w Umowie,
b) jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych osobowych określonych w Umowie, skierowanych do Przetwarzającego,
c) wszelkich planowanych (o ile są wiadome) lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania przez Przetwarzającego danych osobowych określonych w Umowie, w szczególności prowadzonych przez inspektorów upoważnionych przez Prezesa Urzędu Ochrony Danych Osobowych.
§ 10[Zachowanie poufności]
1. Przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz danych osobowych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w każdej formie (w tym ustnej, pisemnej lub elektronicznej), zarówno w czasie obowiązywania niniejszej Umowy, jak i po jej rozwiązaniu, wygaśnięciu, odstąpieniu od niej lub zakończeniu jej wykonywania w jakikolwiek inny sposób.
2. Przetwarzający oświadcza, że dane, o których mowa w ust. 1 powyżej nie będą wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie Umowy i umowy głównej, chyba że konieczność ujawnienia posiadanych informacji wynika z Umowy lub obowiązujących przepisów, w tym Rozporządzenia.
§ 11[Postanowienia końcowe]
1. Wszelkie zmiany i uzupełnienia niniejszej Umowy wymagają zachowania formy pisemnej pod rygorem nieważności.
2. Jeżeli którekolwiek z postanowień Umowy jest lub stanie się z jakichkolwiek przyczyn nieważne lub nieskuteczne, nie narusza to ważności i skuteczności pozostałych postanowień. Strony w takim wypadku zastąpią nieważne lub nieskuteczne postanowienia takimi, które w sensie gospodarczym najbardziej odpowiada ich pierwotnej intencji. Odpowiednio obowiązek, o którym mowa w zdaniu pierwszym odnosi się także do sytuacji, gdy w trakcie wykonywania niniejszej Umowy wyniknie w niej luka wymagająca uzupełnienia.
3. Strony oświadczają, że adresy e-mail podane w trakcie zawierania umowy głównej są właściwe dla doręczenia między nimi korespondencji i zobowiązują się do powiadomienia drugiej strony o każdorazowej zmianie tych danych. W razie zaniedbania tego obowiązku korespondencję nadaną na ostatnio wskazany adres, uważa się za prawidłowo doręczoną.
4. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej umowy będzie sąd właściwy dla siedziby Administratora.
5. W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego oraz Rozporządzenia.