UMOWA O PODMIOCIE PRZETWARZAJĄCYM DANE OSOBOWE Klient: Administrator Unifaun: Podmiot przetwarzający lub Klient: Podmiot przetwarzający Unifraun: Podwykonawca 1 CEL I OKRES OBOWIĄZYWANIA 1.1 Niniejsza Umowa o podmiocie przetwarzającym dane osobowe stanowi integralną część umowy, w niniejszym przypadku uzupełnionej o Warunki Ogólne firmy Unifaun, ( Umowa o świadczenie usług"), podpisanej między Unifaun AB, szwedzki numer organizacyjny 556546-3717 lub też jedną z jej spółek zależnych: Unifaun Oy, fiński numer organizacyjny 2304024-0, Unifaun ApS, duński numer organizacyjny 34708584, Unifaun AS, norweski numer organizacyjny 816269032 lub też Unifaun Sp.z.o.o, polski numer NIP 7010419247, (nazywanych dalej Unifaun ) z jednej strony, a drugą stroną, ( Klientem ), która kupiła, zamówiła lub też ma zamiar kupić bądź zamówić w Unifaun uaktualnione i/lub dostarczane usługi administracyjnotransportowe, usługi on-line, oprogramowanie komputerowe, funkcje pomocnicze oraz szkolenia ( Usługa"). 1.2 Jeśli Umowa o świadczenie usług przestanie obowiązywać, ważność traci również niniejsza Umowa o podmiocie przetwarzającym dane osobowe, bez przekazania osobnego wypowiedzenia. 1.3 Pojęcia Administrator, Podmiot przetwarzający Osoba, której dane dotyczą, Przetwarzanie, Dane Osobowe, Organ Nadzorczy i Naruszenie ochrony danych osobowych w niniejszej Umowie o podmiocie przetwarzającym dane osobowe mają tę samą definicję, co w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 ( GDPR ). 1.4 Przy dostarczaniu Usługi firma Unifaun może w imieniu Klienta przetwarzać informacje, które bezpośrednio lub pośrednio mogą odnosić się do osoby fizycznej. Tego rodzaju informacje są uważane za dane osobowe i dlatego wymagają szczególnej ochrony prawnej. To Klient decyduje o celu i środkach Przetwarzania Danych Osobowych. W tym kontekście Klient przyjmie rolę Administratora, a Unifaun rolę Podmiotu Przetwarzającego. Obowiązujące przepisy prawa stawiają wymóg sporządzenia umowy pisemnej w przypadku, gdy Podmiot Przetwarzający ma przetwarzać Dane Osobowe dla Administratora Danych Osobowych. W oparciu o powyższe warunki Strony zgodziły się na zawarcie niniejszej Umowy o podmiocie przetwarzającym dane osobowe. 1.5 W przypadku, gdy Klient będzie Podmiotem przetwarzającym a Unifraun Podwykonawcą ( Podwykonawca przetwarzania danych osobowych ) w stosunku do Klienta, zastosowanie będzie miał rozdział 6. 2 RODZAJ PRZETWARZANIA DANYCH I JEGO CEL 2.1 Aby móc dostarczyć Usługę i utrzymywać poziom obsługi ustalony w Umowie o świadczenie usług, konieczne jest, by określone Dane Osobowe zostały przekazane do Unifaun, oraz by Unifaun przetwarzała te dane zgodnie z niniejszą Umową o Podmiocie Przetwarzającym. Aby móc wykonywać Usługę, Unifaun może w razie potrzeby przekazywać Dane Osobowe podmiotom zewnętrznym (m.in. przewoźnikom).
2.2 Jeśli Klient nie poda inaczej w dodatkowej instrukcji na piśmie przekazanej Unifaun, Unifaun będzie mógł, w oparciu o niniejszą Umowę o Podmiocie Przetwarzającym, przetwarzać następujące kategorie Rejestrów i Danych Osobowych w podanym niżej celu. 2.2.1 Osoba, której dane dotyczą: nadawca, odbiorca, inne podmioty, których dane znajdują się w potwierdzeniu wysyłki, personel transportowy i administracyjny u Klientów i dostawców. 2.2.2 Dane Osobowe: imię i nazwisko, adres, nr telefonu, adres e-mail, numer ewidencyjny (jeśli jest wymagany). 2.2.3 Cel: dostarczenie Usługi Klientowi. 3 PRAWO UNIFAUN DO KORZYSTANIA Z USŁUG PODWYKONAWCÓW 3.1 Klient daje Unifaun prawo do korzystania z usług innych Podmiotów przetwarzających dane ( Podwykonawca ) w celu przetwarzania Danych Osobowych, które Unifaun pozyska podczas wykonywaniu Usługi. W przypadku zaangażowania Podwykonawcy, Unifaun stosując pisemną umowę ( Umowa o podwykonawstwo ) z Podwykonawcą, dopilnuje, by zobowiązania nałożone na Unifaun zgodnie z niniejszą Umową o podmiocie przetwarzającym dane osobowe, zostały nałożone również na Podwykonawcę. Unifaun będzie ponosić całkowitą odpowiedzialność wobec Klienta za Przetwarzanie Danych Osobowych przed Podwykonawcę, zgodne z Umową o podwykonawstwo. 3.2 Zanim Unifaun skorzysta z usług Podwykonawcy, Klient musi zostać poinformowany na piśmie o tym, że tego rodzaju korzystanie z usług może mieć miejsce. Klient w tego rodzaju sytuacji musi w ciągu dwudziestu dni roboczych (20) przekazać do Unifaun informacje na piśmie o tym, czy sprzeciwia się skorzystaniu z usług Podmiotu. Jeśli Klient się sprzeciwi wyborowi Podmiotu przetwarzającego, Strony będą współdziałać, by znaleźć w miarę możliwości rozwiązanie tych okoliczności, które spowodowały sprzeciw Klienta. Jeśli nie będzie sprzeciwu, Unifaun ma prawo do skorzystania z usług Podwykonawcy bez konieczności otrzymania dodatkowej zgody od Klienta. 3.3 W przypadku, gdy Klient odkryje usterki w Przetwarzaniu Danych Osobowych wykonanym przez Podwykonawcę lub też, gdy Podwykonawca w jakikolwiek sposób nie wywiąże się ze zobowiązań umowy podpisanej z Unifaun, Klient ma prawo zażądać na piśmie od Unifaun, by bezzwłocznie i na własny koszt zerwał on umowę z Podwykonawcą i by zagwarantował, że Podwykonawca nie będzie miał już dostępu do Danych Osobowych. Jeśli Unifaun nie zgodzi się z opinią, że wystąpiły jakieś usterki, Strony będą współdziałać, by doprowadzić do niezwłocznej konsultacji z Organem Nadzorczym. Umowa o podwykonawstwo będzie nadal obowiązywała, przynajmniej do otrzymania odpowiedzi Organu Nadzorczego. Opinia Organu Nadzorczego przekazana w odpowiedzi poinstruuje Strony w sprawie dalszego postępowania w celu rozwiązania problemu. 4 PRAWA I OBOWIĄZKI UNIFAUN 4.1 Unifaun zobowiązuje się do śledzenia i aktualizowania informacji odnośnie do ustawodawstwa, rozporządzeń i przepisów obowiązujących w państwie, w którym siedzibę ma spółka zależna Unifaun zawierająca umowę, w tym przepisów stanowionych przez zainteresowane Organy Nadzorcze, dotyczących ochrony podstawowych praw i wolności osób fizycznych, a zwłaszcza prawa do ochrony ich Danych Osobowych podczas Przetwarzania Danych Osobowych, które daje się zastosować wobec Administratora i Podmiotu Przetwarzającego, w tym
ustawodawstwa, rozporządzeń i przepisów, które realizują dyrektywę 95/46/EG oraz, od dnia 25 maja 2018 roku, GDPR. 4.2 Unifaun i ta osoba lub te osoby, które pracują pod jego kierownictwem, mogą przetwarzać Dane Osobowe wyłącznie zgodnie z instrukcjami, przekazanymi przez Klienta. 4.2.1 Pod warunkiem, że integralność Osób, których dotyczą dane nie będzie zagrożona i że Unifaun nie będzie wyznaczać nowych celów ani środków Przetwarzania, Unifaun ma prawo do rozwijania i ulepszania swoich usług bez zakładania, że może to być niezgodne z instrukcjami wskazanymi przez Klienta. Unifaun ma prawo, bez zgody Klienta, do rozwijania i ulepszania swoich usług przy użyciu danych przetworzonych w celu zachowania anonimowości. 4.2.2 W przypadku, gdy Unifaun uzna, że przekazana przez Klienta instrukcja jest sprzeczna z GDPR, innym prawem UE lub prawem państwa członkowskiego UE, spółka Unifaun jest zobowiązana do bezzwłocznego poinformowania Klienta o tej okoliczności. Jeśli któraś ze Stron tego zażąda, Strony będą współdziałać, by doprowadzić do niezwłocznej konsultacji z Organem Nadzorczym odnośnie wspomnianej instrukcji. Opinia Organu Nadzorczego będzie wskazywała dalszy sposób rozwiązania problemu przez Strony. Unifaun ma prawo do odczekania z dalszym Przetwarzaniem Danych, oczekując na opinię Organu Nadzorczego. 4.2.3 W przypadku, gdy Unifaun z powodu obowiązujących przepisów będzie zobowiązana do przetwarzania Danych Osobowych w sposób inny, niż ten, który zaleca Klient, Unifaun poinformuje Klienta o tego rodzaju zobowiązaniu, przed rozpoczęciem przetwarzania. 4.3 Strony będą zobowiązane do zachowania poufności, zgodnie z paragrafem 7, zarówno jeśli chodzi o Dane Osobowe, które Unifaun otrzymał podczas wykonywania Usługi jak i o Przetwarzanie tego rodzaju Danych Osobowych przez Unifaun. 4.4 Unifaun zobowiązuje się do podjęcia niezbędnych środków bezpieczeństwa zgodnie z artykułem 32 GDPR. Unifaun zastosuje też odpowiednie środki techniczne i organizacyjne, które są konieczne w związku z artykułem 28 (3) GOPR, by chronić Dane Osobowe przed niepowołanym dostępem, zniszczeniem i zmianami. Jeśli Klient wyrazi taką wolę, Uniform przekaże mu informacje, jakiego rodzaju środki techniczne i organizacyjne zostały zastosowane. 4.5 Oprócz tego, co stwierdzono już w niniejszej Umowie o podmiocie przetwarzającym dane osobowe, Unifaun zobowiązuje się, mając na względzie charakter przetwarzanych danych, do pomagania Klientowi za pomocą odpowiednich środków technicznych i działań organizacyjnych, w zakresie w jakim jest to możliwe, by ten mógł spełnić swój obowiązek udzielenia na żądanie odpowiedzi na temat przestrzegania praw osób rejestrowanych zgodnie z rozdziałem III GDPR. Klient pokryje koszty poniesione przez Unifaun za tego rodzaju pracę, zgodnie z cennikiem obowiązującymi w Unifaun w danym okresie. 4.6 Jeśli Klient sobie tego zażyczy, biorąc pod uwagę rodzaj przetwarzania i informacje dostępne spółce Unifaun, Unifaun zobowiązuje się do udzielenia pomocy Klientowi w wypełnieniu zobowiązań nałożonych na Klienta zgodnie z artykułami od 32 do 36 GDPR. Klient pokryje koszty pracy Unifaun, zgodnie z cennikiem obowiązującym w danym okresie. 4.7 W zależności od tego, co zdecyduje Klient, Unifaun zobowiązuje się do usunięcia lub zwrócenia Klientowi wszystkich Danych Osobowych w ciągi 90 dni po zaprzestaniu dostarczania usług związanych z Przetwarzaniem Danych, a także do usunięcia istniejących kopii, o ile archiwizowanie Danych Osobowych nie jest wymagane przez prawo UE lub prawo państwa członkowskiego UE. Jeśli Klient już posiada Dane osobowe, zwrot nie jest możliwy, lub wiąże się z nieproporcjonalnym nakładem czynności oraz w sytuacji, gdy Dane osobowe muszą być zachowane w tajemnicy zgodnie z obowiązującym prawem lub podjętym zobowiązaniem o poufności, informacje mają być usunięte w ciągu tego samego czasu. 4.8 Unifaun udostępni Klientowi wszystkie informacje wymagane do tego, by pokazać, że zobowiązania określone w artykule 28 GDPR zostały wypełnione, jak również umożliwi i
przyczyni się do kontroli, w tym inspekcji, przeprowadzanej przez Klienta lub też innego audytora wyznaczonego przez Klienta. 4.9 Unifaun w razie potrzeby będzie wspierać Klienta w uzyskaniu informacji, o której dostarczenie od Klienta wystąpi Organ Nadzorczy, inny urząd lub Osoba, której dane dotyczą. Klient pokryje koszty poniesione przez Unifaun za tego rodzaju pracę, zgodnie z cennikiem obowiązującymi w Unifaun w określonym czasie. 4.10 Unifaun zobowiązuje się do informowania Klienta o każdym zapytaniu lub nakazie sądowym dotyczącym Przetwarzania Danych Osobowych wystosowanym przez Organ Nadzorczy, z wyłączeniem takich przypadków, gdy informowanie jest wyraźnie zakazane przez prawo, na przykład z powodu poufności postępowania przygotowawczego w trwającym śledztwie w sprawie przestępstwa. W przypadku gdy Osoba, której dane dotyczą, Organ Nadzoru albo inny podmiot zewnętrzny poproszą o uzyskanie od Unifaun informacji, która dotyczy Przetwarzania Danych Osobowych Klienta, Unifaun na piśmie poinformuje Klienta o tym wniosku. 4.11 Unifaun najszybciej jak to możliwe, ale nie później niż w ciągu 24 godzin po wykryciu ewentualnego Naruszenia ochrony danych osobowych, poinformuje o tym Klienta. W związku z poinformowaniem Klienta, Unifaun dostarczy Klientowi wszelkie niezbędne informacje potrzebne do umożliwienia zgłoszenia Naruszenia do Organu Nadzorczego i będzie służyć pomocą w zbadaniu Naruszenia, tak długo, jak Klient tego oczekuje, a także w porozumieniu z Klientem podejmie stosowne środki, by zapobiegać dalszym Naruszeniom. 4.12 Klient ma prawo do kontrolowania, na własny koszt lub przez podmiot zewnętrzny, czy Unifaun przestrzega niniejszej Umowy o Podmiocie Przetwarzającym Dane Osobowe. Taka kontrola musi być przeprowadzona w taki sposób i w czasie, który nie zakłóca pozostałej działalności Unifaun bardziej, niż jest to konieczne. Unifaun ma prawo wymagać, by kontrola została przeprowadzona przez wcześniej zgłoszone imiennie osoby posiadające niezbędne kompetencje do przeprowadzenia takiej kontroli i do sensownego wykorzystania wyników takiego postępowania. Unifaun ma prawo do sprzeciwienia się kontroli, która jest przeprowadzana przez strona trzecią, jeśli może to prowadzić do tego, że bezpieczeństwo poufnych informacji przedsiębiorstw będzie zagrożone lub też strona ta z innego uzasadnionego powodu może wydawać się nieodpowiednia. W przypadku, gdy Klient znajdzie istotne braki w Przetwarzaniu Danych Osobowych, które dokonuje Unifaun w imieniu Klienta, a działania naprawcze nie zostaną podjęte w ciągu 30 dni od pisemnego wezwania, Klient ma prawo do wypowiedzenia ze skutkiem natychmiastowym Umowy o świadczenie usług i niniejszej Umowy o Podmiocie Przetwarzającym Dane Osobowe. Jeśli przeprowadzona kontrola wykaże tylko mniejsze usterki w wypełnianiu przez Unifaun zobowiązań wynikających z niniejszej umowy, Unifaun ma prawo do uzasadnionego wynagrodzenia za koszty poniesione w związku z kontrolą. 4.13 Unifaun zwróci koszty poniesione przez Klienta za szkody lub wydatki związane z Przetwarzaniem Danych Osobowych przez Unifaun lub też Podmiot przetwarzający wynajęty przez Unifaun. Ograniczenia odpowiedzialności wynikające z Umowy o świadczenie usług lub też Warunków Ogólnych firmy Unifaun będą stosowane również w niniejszej Umowie o Podmiocie Przetwarzającym Dane Osobowe. 4.14 Unifaun nie jest odpowiedzialny na mocy Umowy o przetwarzanie Danych osobowych za przetwarzanie wrażliwych danych osobowych, które dotyczą rasy lub pochodzenia etnicznego, przekonań religijnych lub etycznych lub członkowstwa w związkach zawodowych, przetwarzania danych genetycznych, danych biometrycznych pozwalających jednoznacznie zidentyfikować osobę fizyczną, danych dotyczących zdrowia czy też danych dotyczących życia seksualnego lub orientacji seksualnej osoby fizycznej.
5 PRAWA I OBOWIĄZKI KLIENTA 6 PODWYKONAWCA 5.1 Klient zobowiązuje się do informowania się o aktualnie obowiązujących przepisach prawa dotyczących ochrony danych osobowych w kraju, w którym wymieniona w umowie spółka zależna Unifaun ma swoją siedzibę jak też śledzenia zmian i uaktualnień tych przepisów. 5.2 Klient jest odpowiedzialny za informowanie Osoby, której dane dotyczą o Przetwarzaniu Danych Osobowych dokonywanym przez Unifaun na podstawie instrukcji Klienta, i jeśli to konieczne za uzyskanie zgody tej osoby na Przetwarzanie, a także za ocenę, czy występuje podstawa prawna do Przetwarzania i czy Przetwarzanie jest dozwolone oraz za to, że Przetwarzanie w stosownych przypadkach zgłaszane jest do Organu Nadzorczego. 5.3 Klient bezzwłocznie poinformuje Unifaun o zmianach w Przetwarzaniu, które mają wpływ na prawa i obowiązki Unifaun wspomniane w niniejszej Umowie. Klient poinformuje również Unifaun o środkach przedsięwziętych przez podmioty zewnętrzne, między innymi Organ Nadzorczy, Osoby, których dane dotyczą i Osoby trzecie ( w rozumieniu art. 6.1), w związku z Przetwarzaniem. 5.4 W związku ze zmianami przewidzianymi w punkcie 5.3, Klient ma prawo do aktualizowania niniejszej Umowy o Podmiocie Przetwarzającym Dane Osobowe w stopniu, który jest konieczny. W przypadku wprowadzenia takich zmian i sytuacji, które pociągają za sobą wzrost kosztów poniesionych przez Unifaun, Klient pokryje dodatkowe koszty poniesione przez Unifaun. 5.5 Klient wyrówna Unifraun zwiększenie kosztów, które wynikło ze zmian lub uzupełnień w instrukcjach przetwarzania Danych osobowych. 5.6 Klient pokryje wszelkie szkody i koszty poniesione przez Unifaun w związku z Przetwarzaniem powiązanym z Klientem, Osobą trzecią (w rozumieniu art. 6.1) lub inną osobą działającą za Klienta. 6.1 W przypadku gdy podmiot zewnętrzny ( Osoba trzecia ) jest Administratorem, Klient jest Podmiotem przetwarzającym w imieniu Osoby trzeciej a Unifaun jest Podwykonawcą ( Podwykonawca przetwarzania danych osobowych ) w stosunku do Klienta, Unifaun jest uprawniony do Przetwarzania Danych Osobowych wyłącznie w zgodzie z instrukcjami oraz wszelkimi innymi dalszymi instrukcjami przekazanymi Klientowi przez Osobę trzecią, które zostały udostępnione Unifaun. Bez względu na powyższe, w takim przypadku Unifaun i Klient są również w pełni związani umową o Podmiocie Przetwarzającym Dane Osobowe. 7 PRZEKAZANIE DO KRAJU TRZECIEGO 8 POUFNOŚĆ 7.1 W przypadku, gdy Przetwarzanie przez Unifaun Danych Osobowych zgodnie z niniejszą Umową pociąga za sobą obowiązek Unifaun przekazania Danych Osobowych do kraju trzeciego (poza UE/EOG) lub organizacji międzynarodowej, które nie są objęte postanowieniem o adekwatnym poziomie ochrony, od Klienta zależy, by przy każdym tego rodzaju przenoszeniu dopilnować, by zostały przedsięwzięte stosowne środki bezpieczeństwa, zgodnie z artykułem 46 GDPR. Unifaun nie ma nigdy obowiązku, by przekazywać Dane Osobowe do kraju trzeciego, jeśli przy przekazaniu nie zostaną przedsięwzięte stosowne środki ochronne. 8.1 Unifaun zobowiązuje się do nieprzekazywania podmiotom zewnętrznym Danych Osobowych lub też w inny sposób ujawniania informacji o Przetwarzaniu Danych Osobowych, objętych niniejszą umową.
8.2 Unifaun gwarantuje, że osoby uprawnione do przetwarzania Danych Osobowych podejmą się przestrzegania właściwej poufności, do której zobowiązany jest Unifaun zgodnie z niniejszą umową. 8.3 Zobowiązanie do zachowania poufności podjęte przez Unifaun, zgodnie z paragrafem 8, nie dotyczy informacji przekazywanych przez Unifaun w odpowiedzi na nakaz wystosowany przez Organ Nadzorczy lub inny urząd czy sąd lub też informacji o Osobie, której dane dotyczą, co do której Unifaun otrzymał zgodę od Osoby, której dane dotyczą na przekazanie ich. 8.4 Zobowiązanie do zachowania poufności określone w Rozdziale 8 obowiązuje również wtedy, gdy niniejsza umowa przestanie obowiązywać.