Poznaj moje e-booki o web designie >>

Menu

Umowa powierzenia przetwarzania danych osobowych

zawarta w trybie art. 384 Kodeksu cywilnego pomiędzy:

Katarzyną Nowak prowadzącą działalność gospodarczą pod firmą Media in Motion, Katarzyna Nowak, ul. Nowowiejska 17, 34-115 Łączany, NIP: 5512542020, REGON: 364508825, zwana dalej jako „Podmiot Przetwarzający

a

Administratorem

zwane dalej łącznie jako “Strony”, a każda z osobna “Stroną

poprzez wypełnienie przez Administratora danych formularza udostępnionego w systemie informatycznym Podmiotu przetwarzającego, o następującej treści:

  1. Definicje
  1. Administrator – osoba fizyczna, osoba prawna lub jednostka organizacyjna nieposiadająca zdolności prawnej, której ustawa przyznaje zdolność prawną, z którym Podmiot przetwarzający nawiązał współpracę; administrator w rozumieniu art. 4 pkt 7 RODO.
  2. Dane osobowe – informacje o osobie fizycznej zidentyfikowanej lub możliwej do zidentyfikowania na podstawie identyfikatora takiego jak imię i nazwisko, jak również na podstawie jednego bądź kilku szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość, w tym IP urządzenia, dane o lokalizacji, numer identyfikacyjny, oraz informacje gromadzone za pośrednictwem plików cookie i innej podobnej technologii; dane osobowe w rozumieniu art. 4 pkt 1 RODO.
  3. Kodeks cywilny – ustawa z dnia 23 kwietnia 1964 roku (Dz.U. Nr 16, poz. 93 ze zm.).
  4. RODO – Rozporządzenie Parlamentu Europejskiego i Rady EU 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne Rozporządzenie o Ochronie Danych).
  5. System CMS – system do zarządzania treścią serwisu internetowego, w tym w szczególności WordPress, Joomla, Zendesk, Ghost.
  6. Szczególna kategoria danych osobowych – dane osobowe ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby; dane osobowe w rozumieniu art. 9 ust. 1 RODO.
  7. Umowa – niniejszy dokument.
  8. Umowa główna – umowa o współpracy zawarta – w każdej dopuszczalnej przez prawo formie, w tym w formie ustnej lub dokumentowej – pomiędzy Administratorem a Podmiotem przetwarzającym na podstawie, której może dochodzić do przetwarzania danych osobowych.
  1. Przedmiot Umowy
  1. Administrator przekazuje Podmiotowi przetwarzającemu, w trybie art. 28 RODO, dane osobowe do przetwarzania, na zasadach i w celu określonym w Umowie oraz Umowie głównej, w tym w celu zapewnienia wsparcia technicznego strony internetowej, sklepu internetowych lub platformy kursowej oraz ich Systemów CMS, jego aktualizacji, tworzenia oraz odzyskiwania danych, weryfikacji poprawności działania strony internetowej po dokonaniu aktualizacji lub odzyskaniu kopii.
  2. Podmiot przetwarzający zobowiązuje się do przetwarzania powierzonych mu danych osobowych wyłącznie na udokumentowane polecenie Administratora, zgodnie z Umową, Umową główną oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane osobowe dotyczą.

III. Zakres i cel przetwarzania danych

  1. Administrator powierza Podmiotowi przetwarzającemu dane osobowe zgromadzone przez Administratora w zbiorze danych umieszczonych przez niego w Systemie CMS obejmujące dane osobowe zwykłe klientów, kontrahentów, użytkowników strony internetowej, użytkowników firmowej poczty e-mail, dane analityczne i statystyczne, dane zbierane za pośrednictwem formularzy dostępnych na stronie internetowej Administratora obejmujące takie dane jak: imię, nazwisko, adres poczty elektronicznej, numer telefonu, adres zamieszkania, firma przedsiębiorstwa, adres prowadzenia działalności gospodarczej, NIP, REGON, adres IP, lokalizacja, źródło odwiedzin, rodzaj aktywności, czas spędzony na stronie, dane dotyczące przeglądarki i systemu operacyjnego użytkownika, dane dotyczące urządzenia użytkownika, a także wyrażone przez użytkownika zgody podczas korzystania z dostępnych na stronie internetowej formularzy.
  2. W zakresie niezbędnym dla realizacji celów przetwarzania, Podmiot przetwarzający może wyjątkowo przetwarzać szczególną kategorie danych osobowych.
  3. Administrator upoważnia Podmiot przetwarzający do wykonywania następujących operacji przetwarzania powierzonych danych osobowych: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie, które są niezbędne do realizacji Umowy i Umowy głównej.
  4. Dane osobowe będą przetwarzane przez Podmiot przetwarzający w formie elektronicznej, w tym także w systemach informatycznych i teleinformatycznych.

IV. Sposób wykonania Umowy

  1. Podmiot przetwarzający oświadcza, że stosuje środki bezpieczeństwa spełniające wymogi RODO oraz zobowiązuje się podczas przetwarzania powierzonych przez Administratora danych osobowych do ich zabezpieczenia przez stosowanie odpowiednich środków wymaganych na mocy art. 32 RODO i które chronią prawa osób, których dane osobowe dotyczą. Wykaz stosowanych środków bezpieczeństwa określa załącznik nr 2 do Umowy.
  2. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych oraz przetwarzać dane osobowe wyłącznie na udokumentowane polecenie oraz zgodnie z udokumentowanymi instrukcjami Administratora.
  3. W przypadku wątpliwości co do zgodności z prawem polecenia lub instrukcji Administratora, Podmiot przetwarzający posiada prawo do odmowy realizacji polecenia lub instrukcji Administratora, bez ponoszenia konsekwencji takiego działania.
  4. Podmiot przetwarzający zobowiązuje się by każda osoba fizyczna działająca z jego upoważnienia, która ma dostęp do danych osobowych:
    1. posiadała upoważnienie do przetwarzania danych osobowych nadane przez Podmiot przetwarzający;
    1. zobowiązała się do przetwarzania danych osobowych zgodnie z udzielonym upoważnieniem, przepisami o ochronie danych osobowych oraz zasadami obowiązującymi w organizacji Podmiotu przetwarzającego;
    1. zobowiązała się do zachowania tajemnicy przetwarzanych danych osobowych, do których uzyska dostęp, zarówno w trakcie zatrudnienia, jak i po jego ustaniu lub podlegała odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
  5. W miarę możliwości Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania ich praw określonych w art. 15-22 RODO oraz obowiązków określonych w art. 28-29, 32-36 RODO.
  6. Po stwierdzeniu naruszenia ochrony danych osobowych Podmiot przetwarzający bez zbędnej zwłoki nie później jednak niż 48 godzin od wykrycia zdarzenia stanowiącego naruszenie ochrony danych osobowych zgłasza je Administratorowi.

V. Dalsze powierzenie danych osobowych do przetwarzania

  1. Administrator wyraża zgodę na powierzenie danych osobowych objętych Umową do dalszego przetwarzania przez podwykonawców Podmiotu przetwarzającego, w celu wykonania Umowy, przy czym podwykonawcy Podmiotu przetwarzającego powinni spełniać te same gwarancje i obowiązki, jakie zostały nałożone na Podmiot przetwarzający niniejszą Umową. Lista podmiotów stanowi załącznik nr 1 do Umowy.
  2. W przypadku zmiany lub dodania innych podwykonawców biorących udział w przetwarzaniu danych powierzonych przez Administratora, Podmiot przetwarzający informuje o zamierzonych zmianach, dając Administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian w terminie 3 dni roboczych od przekazania informacji o zamierzonych zmianach.
  3. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na udokumentowane polecenie Administratora, chyba że taki obowiązek nakłada na Podmiot przetwarzający prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
  4. Administrator wyraża zgodę na to, by podmioty, o których mowa w ustępie 3 powyżej mogły zapewnić zgodność z rozdziałem V RODO za pomocą standardowych klauzul umownych przyjętych przez Komisję UE zgodnie z art. 46 ust. 2 RODO, pod warunkiem, że spełnione są warunki stosowania tych standardowych klauzul umownych.
  5. Podmiot przetwarzający ponosi odpowiedzialność wobec Administratora za niewywiązanie się z obowiązków spoczywających na podwykonawcy, wynikających z Umowy.

VI. Prawo kontroli

  1. Administrator ma prawo kontroli czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia Umowy oraz przepisy o ochronie danych osobowych, w tym RODO.
  2. Podmiot przetwarzający umożliwia Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
  3. Administrator realizuje prawo kontroli poprzez żądanie udzielenia wszelkich informacji dotyczących powierzonych danych osobowych.
  4. Strony zgodnie oświadczają i godzą się na to, że przedmiotowe prawo kontroli nie może doprowadzić do naruszenia przez Podmiot przetwarzający wiążących jej umów o poufności, zobowiązań wynikających z bezwzględnie obowiązujących przepisów prawa lub zobowiązań umownych lub prowadzić do naruszenia tajemnicy zawodowej lub innej przewidzianej przepisami prawa. Administrator dokłada starań, by działania podejmowane w ramach realizacji prawa kontroli nie zakłócały działalności Podmiotu przetwarzającego.

VII. Odpowiedzialność

Podmiot przetwarzający jest odpowiedzialny za przetwarzanie danych osobowych niezgodnie z Umową, w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym. Odpowiedzialność ta odnosi się wyłącznie do danych osobowych powierzonych przez Administratora na podstawie Umowy.

VIII. Współdziałanie

  1. Strony zobowiązują się do ścisłej współpracy podczas realizacji Umowy oraz informowania się wzajemnie o wszelkich okolicznościach mających lub mogących mieć wpływ na wykonanie Umowy.
  2. Podmiot przetwarzający zobowiązuje się informować Administratora, jeżeli jego zdaniem wydane polecenie stanowi naruszenie przepisów RODO lub innych przepisów Unii Europejskiej lub prawa krajowego o ochronie danych.
  3. Administrator zobowiązuje się udzielać Podmiotowi przetwarzającemu wyjaśnień w razie wątpliwości co do legalności jego poleceń lub wydanych instrukcji.

IX. Czas obowiązywania i rozwiązanie Umowy

  1. Umowa obowiązuje od dnia jej podpisania przez czas obowiązywania Umowy Głównej.
  2. W przypadku rozwiązania, wygaśnięcia Umowy Głównej lub odstąpienia od niej przez Stronę lub Strony, Umowę również uznaje się za rozwiązaną lub stwierdza się jej wygaśnięcie lub fakt odstąpienia od niej. 

X. Warunki zakończenia współpracy

  1. Po rozwiązaniu, wygaśnięciu lub odstąpieniu od Umowy, w zależności od decyzji Administratora, Podmiot przetwarzający usuwa lub zwraca Administratorowi wszelkie materiały lub nośniki z danymi osobowymi, które pozostają w jej dyspozycji oraz usuwa wszelkie ich istniejące kopie z zastrzeżeniem ustępu 2 poniżej.
  2. W przypadku gdy prawo Unii Europejskiej lub przepisy prawa krajowego nakazują przechowywanie danych osobowych przez okres wskazany w tych przepisach, Podmiot przetwarzający ma prawo przechowywać dane osobowe wyłącznie w zakresie koniecznym do wykonania tego obowiązku prawnego.

XI. Zachowanie poufności

  1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy danych osobowych otrzymanych od Administratora.
  2. Podmiot przetwarzający oświadcza, że w związku z zobowiązaniem do zachowania w tajemnicy danych osobowych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie Umowy lub Umowy głównej, chyba, że konieczność ujawnienia posiadanych danych wynika z obowiązujących przepisów prawa.

XII. Postanowienia końcowe

  1. Wszelkie zmiany i uzupełnienia Umowy wymagają formy dokumentowej pod rygorem bezskuteczności.
  2. Umowa oraz wszelkie spory z niej wynikające podlegają prawu polskiemu.
  3. Wszelkie spory wynikłe na tle Umowy Strony będą rozstrzygać polubownie. W przypadku nieosiągnięcia polubownego porozumienia, Strony poddają spór pod rozstrzygniecie przez sąd powszechny właściwy miejscowo dla pozwanego.

Załącznik nr 1 – Lista podwykonawców

Lp.Dane PodwykonawcyDane identyfikacyjneRodzaj usługi
1.Hostovita sp. z o.o. z siedzibą w Rzeszowie, ul. Grunwaldzka 40, 35-203 RzeszówKRS: 0000545434  hosting strony, przechowywanie danych na serwerze, system do wysyłki e-maila  
2.Google LLC  (Google Ireland Limited) European Headquarters 1st & 2nd Floors Gordon House Barrow Street Dublin 4, IrelandNumer rejestracyjny spółki w Irlandii: 368047pakiet aplikacji oparty na chmurze obliczeniowej uwzględniający kompleksowe przechowywanie danych

Załącznik nr 2 – Środki bezpieczeństwa (techniczne i organizacyjne)

Lp.Środki bezpieczeństwa
1.Dostęp do serwera jest zapewniony przez SSH
2.Dane przekazywane drogą elektroniczną są zabezpieczone hasłem
3.Dane przechowywane w bazie zostały zaszyfrowane
 Polityka bezpieczeństwa
 Audyty skuteczności przyjętych środków ochrony danych
 Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła
 Środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity
 System Firewall do ochrony dostępu do sieci komputerowej
 Dostęp do danych osobowych w systemie informatycznym wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła
 Środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego w systemie informatycznym zbioru danych osobowych
 Środki pozwalające na rejestrację zmian wykonywanych na poszczególnych elementach zbioru danych osobowych w systemie informatycznym
12Dwuetapowa weryfikacja SMS/mail/komunikacja telefoniczna
13.Menedżer haseł umożliwiający przechowywanie zaszyfrowanych danych w ramach konta internetowego[1] 

Dopisałam.