Regulamin powierzenia przetwarzania danych osobowych

§ 1

Powierzenie przetwarzania danych osobowych

  1. Administrator powierza Podmiotowi przetwarzającemu, w trybie art. 28 Rozporządzenia, dane osobowe do przetwarzania na zasadach i w celu określonym w niniejszej Umowie.
  2. Administrator oświadcza, że jest Administratorem danych, które powierza Podmiotowi przetwarzającemu.
  3. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą Umową, Rozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
  4. Podmiot przetwarzający oświadcza, że stosuje środki bezpieczeństwa spełniające wymogi RODO określone w § 3 ust. 1 niniejszej Umowy.

§ 2

Zakres i cel przetwarzania danych

  1. Podmiot przetwarzający będzie przetwarzał powierzone na podstawie niniejszej Umowy dane. Zakres tych danych określa Umowa główna.
  2. Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie w celach określonych w Umowie głównej.

§ 3

Obowiązki i prawa Stron

  1. Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających odpowiedni stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia.
  2. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej Umowy. 
  3. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, (o której mowa w art. 28 ust. 3 pkt b Rozporządzenia) przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej Umowy, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.
  4. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zobowiązany jest do przekazania danych administratorowi i usunięcia wszelkich kopii.
  5. W miarę możliwości Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 Rozporządzenia. 
  6. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych niezwłocznie zgłasza je Administratorowi nie później niż w ciągu 48 godzin.
  7. Podmiot przetwarzający umożliwi Administratorowi lub podmiotom przez niego upoważnionym, w miejscach, w których są przetwarzane powierzone dane osobowe, dokonanie kontroli lub audytu zgodności przetwarzania powierzonych danych osobowych z Rozporządzeniem, ustawą o ochronie danych osobowych, przepisami prawa powszechnie obowiązującego dotyczącymi ochrony danych osobowych oraz z Umową. Zawiadomienie o zamiarze przeprowadzenia kontroli lub audytu powinno być przekazane podmiotowi kontrolowanemu co najmniej 3 dni robocze przed rozpoczęciem kontroli. W przypadku powzięcia przez Administratora wiadomości o rażącym naruszeniu przez Beneficjenta obowiązków wynikających z RODO, ustawy o ochronie danych osobowych, przepisów prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych lub z Umowy, Podmiot przetwarzający umożliwi Administratorowi lub podmiotom przez niego upoważnionym dokonanie niezapowiedzianej kontroli lub audytu. 
  8. Kontrolerzy Administratora lub podmiotów przez niego upoważnionych, mają w szczególności prawo:
    1. wstępu, w godzinach pracy do pomieszczenia, w którym jest zlokalizowany zbiór powierzonych do przetwarzania danych osobowych oraz pomieszczenia, w którym są przetwarzane powierzone dane osobowe i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych osobowych z Rozporządzeniem, 
    2. żądać złożenia pisemnych lub ustnych wyjaśnień,
    3. wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli lub audytu oraz sporządzania ich kopii;
    4. przeprowadzania oględzin urządzeń, nośników oraz systemu informatycznego służącego do przetwarzania danych osobowych.
    1. Podmiot przetwarzający zobowiązuje się zastosować zalecenia dotyczące poprawy jakości zabezpieczenia danych osobowych oraz sposobu ich przetwarzania sporządzone w wyniku kontroli lub audytu przeprowadzonych przez Administratora lub przez podmioty przez niego upoważnione albo przez inne instytucje upoważnione do kontroli na podstawie odrębnych przepisów.
    2. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia. 
    3. Podmiot przetwarzający ponosi odpowiedzialność, tak wobec osób trzecich, jak i wobec administratora, za szkody powstałe w związku z nieprzestrzeganiem RODO, ustawy o ochronie danych osobowych, przepisów prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych oraz za przetwarzanie powierzonych do przetwarzania danych osobowych niezgodnie z umową powierzenia przetwarzania danych osobowych.

§ 4

Dalsze powierzenie danych do przetwarzania

  1. Podmiot przetwarzający nie może powierzyć danych osobowych objęte niniejszą Umową do dalszego przetwarzania podwykonawcom bez uprzedniej, pisemnej zgody Administratora. 
  2. Podmiot przetwarzający zobowiązuje się do korzystania z usług wyłącznie takich podwykonawców, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie przez tych podwykonawców danych osobowych, spełniało wymogi Rozporządzenia.
  3. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora.
  4. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się ze spoczywających na podwykonawcy obowiązków ochrony danych.

§ 5

Odpowiedzialność Podmiotu przetwarzającego

  1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym. 
  2. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych w Umowie.

§ 6

Czas obowiązywania Umowy

  1. Niniejsza umowa obowiązuje od dnia jej zawarcia przez czas określony w Umowie Głównej.

§ 7

Rozwiązanie umowy

  1. Administrator może rozwiązać niniejszą Umowę ze skutkiem natychmiastowym, gdy Podmiot przetwarzający:
    1. pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie;
    2. przetwarza dane osobowe w sposób niezgodny z Umową;
    3. powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Administratora.

§ 8

Zasady zachowania poufności

  1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”). Podjęte zobowiązanie pozostaje w mocy w czasie trwania i po zakończeniu przetwarzania w ramach powierzenia danych osobowych.
  2. Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonania Umowy, chyba że konieczność ujawnienia informacji wynika z obowiązujących przepisów prawa lub Umowy.

§ 9 

Postanowienia końcowe

  1. Wszelkie zmiany niniejszej Umowy wymagają formy pisemnej pod rygorem nieważności.
  2. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach dla każdej ze Stron.
  3. W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego oraz Rozporządzenia.
  4. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej Umowy będzie sąd właściwy Administratora.
Skip to content