UMOWA O POWIERZENIE PRZETWARZANIA DANYCH Zawarta w dniu 25 maja 2018 r. pomiędzy Stronami: 1).; reprezentowaną przez, zwaną dalej jako Agent ; a 2) RANKOSOFT SP. Z O.O. SPÓŁKA KOMANDYTOWA z siedzibą w Warszawie 01-141, przy ul. Wolskiej 88, KRS: 0000699327, NIP: 527-282-37-35, REGON:368519866 reprezentowaną przez, zwaną dalej jako Spółka. 1 (Postanowienia ogólne) 1. W związku z tym, że od dnia 25 maja 2018 r. znajdzie zastosowanie do ochrony danych osobowych Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) zwane dalej jako RODO, Strony postanawiają zawrzeć umowę o przetwarzania danych, o której to mowa w art. 28 ust. 3 i 4 RODO. 2. Na mocy umowy o przetwarzanie danych Agent powierza przetwarzanie danych Spółce w jej systemie informatycznym. 3. Agent powierza Spółce przetwarzanie danych osobowych jako ich administrator, w rozumieniu art. 4 pkt 7 RODO lub jako podmiot przetwarzający, w rozumieniu art. 7 pkt 8 RODO. 4. Rola Agenta, o której mowa w 1 ust. 3 umowy będzie zależeć od treści umów zawartych z jego kontrahentami. Jednakże obowiązki Spółki jako podmiotu przetwarzającego pozostają niezmienne a tam, gdzie zostanie w umowie użyte pojęcie administrator, będzie ono odnosiło się do każdego bez wyjątku podmiotu będącego administratorem danego pakietu danych osobowych. 5. Umowa zostaje zawarta na czas nieokreślony, każdej ze Stron przysługuje prawo do jej wypowiedzenia z zachowaniem miesięcznego terminu wypowiedzenia na koniec miesiąca kalendarzowego.
2 (ogólne zasady powierzenia) 1. Agent powierza Spółce (podmiot przetwarzający procesor) przetwarzanie danych osobowych w systemie informatycznym Spółki, w zakresie: zbierania utrwalania przechowywania udostępniania usuwania 2. Dane osobowe przekazywane Spółce obejmują następujące kategorie: a. klienci; b. kontrahenci; 3. Zakres i kategorie danych o których mowa w 2 ust. 1 i 2 umowy mogą być rozszerzane lub zwężane przez Agenta pisemnie lub drogą elektroniczną. 4. Przetwarzanie i ochrona danych osobowych odbywają się na podstawie RODO z uwzględnieniem obowiązujących przepisów krajowych. 5. Użyte w umowie pojęcia oznaczają: a. dane osobowe: wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej ("osobie, której danej dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamości tej osoby fizycznej ; b. przetwarzanie: każda operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach/zbiorach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak zbieranie, utrwalanie, organizowanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie przez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. 6. Celem przetwarzania powierzonych danych osobowych jest umożliwienie Agentowi dostępu i korzystania z systemu informatycznego Spółki, w szczególności w zakresie: a. możliwość zapisu, zmiany, kopiowania i usuwania danych osobowych z systemu informatycznego; b. dostępu do danych osobowych w sposób bezpieczny i ciągły, z zachowaniem pełnej integralności danych; c. zapewnienia ochrony danych osobowych znajdujących się w systemie informatycznym Spółki przed nieupoważnionym dostępem, zmianą lub ich zniszczeniem. 7. Powierzenie Spółce danych osobowych w zakresie, o którym mowa w 2 ust. 1-3 następuje wyłącznie w celu, o którym mowa w 1 ust. 6 umowy, i na czas jej obowiązywania. 2
8. W dniu zakończenia obowiązywania umowy Spółka zgodnie z dyspozycją Spółki zwróci lub usunie wszelkie dane osobowe i ich kopie jeszcze posiadane, chyba że właściwe przepisy prawa krajowego lub unijnego będą nakazywać przechowywanie tych danych osobowych. 9. W przypadku ograniczenia zakresu powierzenia przetwarzania przez Agenta, w trybie określonym w umowie, postanowienia o usunięciu lub przekazaniu danych osobowych ( 2 ust. 8) stosuje się odpowiednio do danych, które wskutek ograniczenia zakresu nie mogą już być przetwarzane przez Spółkę. 3 (obowiązki Spółki) 1. Spółka oświadcza, że wdrożyła rozwiązania organizacyjne i techniczne, o których mowa w art. 32 ust. 1 RODO i będzie w sposób należyty realizować obowiązki dotyczące ochrony danych osobowych, o których mowa w RODO i w innych przepisach powszechnie obowiązujących, aby zapewnić stopień bezpieczeństwa i poufności odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których dane osobowe będą przetwarzane na podstawie umowy. 2. Spółka przetwarza dane osobowe wyłącznie na udokumentowane polecenie Agenta, chyba że obowiązek taki nakłada na nią obowiązujące prawo krajowe lub unijne. Wówczas poinformuje Agenta przed rozpoczęciem przetwarzania o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny. 3. Spółka udziela dostępu do danych osobowych wyłącznie osobom, które ze względu na zakres wykonywanych zadań otrzymały stosowne upoważnienie do ich przetwarzania oraz wyłącznie w celu wykonywania obowiązków wynikających z umowy. Spóła zobowiązuje się zapewnić zachowanie w tajemnicy, o której mowa w art. 28. ust. 3 lit. b RODO, o przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej umowy, zarówno w trakcie zatrudnienia ich w Spółce, jak i po jego ustaniu. 4. Spółka zobowiązuje się wspierać Agenta, poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO oraz pomagać Agentowi wywiązać się z obowiązków określonych w RODO (w tym w szczególności w art. 32 36 RODO). 5. Spółka udostępnia Agentowi, na jej uzasadnione żądanie wszelkie informacje niezbędne do wykazania spełnienia przez Agenta obowiązków wynikających z właściwych przepisów, w szczególności RODO. 6. Spółka prowadzi, w formie pisemnej lub elektronicznej, rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora. 7. Spółka umożliwi Agentowi lub podmiotowi upoważnionemu przez nią przeprowadzanie kontroli czynności przetwarzania danych osobowych, w tym kontroli, czy środki zastosowane 3
przez Spółkę przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy. 8. Agent realizować będzie prawo kontroli w godzinach pracy Spółki i z minimum 7 dniowym jego uprzedzeniem. Spółka zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie uzgodnionym ze Spółką. 9. Spółka zobowiązuje się bez zbędnej zwłoki informować Agenta o postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Spółkę danych osobowych powierzonych jej przez Agenta, o skierowanej do Spółki decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych osobowych powierzonych Spółce; jak też o każdym prawnie umocowanym żądaniu udostępnienia danych osobowych właściwemu organowi państwa, chyba że zakaz zawiadomienia Agenta wynika z przepisów prawa. 10. Podmiot przetwarzający zobowiązuje się przechowywać dane osobowe tylko tak długo, jak to określił administrator, a także, bez zbędnej zwłoki, aktualizować, poprawiać, zmieniać, zanonimizować, ograniczać przetwarzanie lub usuwać wskazane dane osobowe zgodnie z wytycznymi administratora. 3 (rozwiązania organizacyjne i techniczne) 1. Spółka wdraża i stosuje odpowiednie środki techniczne i organizacyjne, w celu zapewnienia stopnia bezpieczeństwa odpowiedniego do ryzyka naruszenia praw lub wolności osób fizycznych, których dane osobowe są przetwarzane na podstawie umowy, w szczególności ryzyka wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. 2. Spółka przestrzega wytycznych Agenta w zakresie sposobu zabezpieczenia przetwarzanych danych osobowych zgodnie z obowiązującym prawem, z zastrzeżeniem, że wytyczne te nie mogą rozszerzać obowiązków spółki wynikających z umowy. 3. W razie stwierdzenia, że stosowane środki bezpieczeństwa mogą być nieodpowiednie do rozpoznanych zagrożeń, Spółka poinformuje o tym Agenta i w porozumieniu z nią dostosowuje odpowiednio zabezpieczenia przetwarzania danych osobowych, po ustaleniu zakresu, sposobu i terminu takich działań oraz podziału związanych z nimi kosztów. Tak samo Strony uczynią w przypadku stwierdzenia przez Agenta konieczności zastosowania dodatkowych środków zabezpieczających. 4 (dalsze powierzenie danych i transfer danych osobowych) 4
1. Agent dopuszcza powierzenie przez Spółkę przetwarzania danych osobowych innemu podmiotowi przetwarzającemu, w szczególności podmiotowi IT. 2. W przypadku, gdy Agent nie jest administratorem, ewentualne dalsze powierzenie przez Spółkę przetwarzania danych osobowych innym podmiotom przetwarzającym w zakresie oraz celu zgodnym z umową, wymaga uzyskania zgody Administratora zawartej w umowie między administratorem a Agentem. 3. Spółka zapewnia, że będzie korzystała wyłącznie z usług takich dalszych podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO (art. 28 i art. 32 RODO) oraz przepisów obowiązującego prawa z zakresu ochrony danych osobowych. 4. Spółka będzie uprawniona do upoważnienia osób działających na jej rzecz, w tym dalszych podmiotów przetwarzających, do przetwarzania danych osobowych w imieniu Spółki, w tym do wydawania tym podmiotom w imieniu Agenta poleceń dotyczących przetwarzania danych osobowych. 5. Spółka nie może przekazywać (transferować) danych osobowych do państwa trzeciego, które znajduje się poza Europejskim Obszarem Gospodarczym ( EOG). 5 (naruszenia) 1. Jeżeli stwierdzone zostanie naruszenie ochrony danych osobowych lub możliwość takiego naruszenia Spółka bez zbędnej zwłoki, nie dłużej jednak niż w ciągu 24 godzin, zgłasza Agentowi incydent, informując o okolicznościach tego naruszenia i potencjalnych zagrożeniach dla ochrony danych osobowych. Spółka przy tym opisze charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskaże kategorię i przybliżoną liczbę osób, których dane dotyczą oraz kategorię i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie. Spółka opisze środki zastosowane lub proponowane w celu zaradzeniu naruszeniu ochrony danych osobowych, w tym środki w celu zminimalizowania ewentualnych negatywnych skutków naruszenia ochrony danych osobowych. 2. Spółka bez zbędnej zwłoki podejmuje wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków naruszenia. 3. Spółka nie jest uprawniona ani zobowiązana do powiadamiania o naruszeniu osób, których dane dotyczą. 4. Agent jest uprawniony do wypowiedzenia umowy ze skutkiem natychmiastowym w przypadku rażącego lub powtarzającego się naruszenia umowy przez Spółkę lub innego podmiotu przetwarzającego. W szczególności: a. pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie; b. przetwarza dane osobowe w sposób niezgodny z umową. 5
6 (postanowienia końcowe) 1. Umowa została sporządzona w dwóch równo brzmiących egzemplarzach. 2. Wszelkie zmiany umowy wymagają formy pisemnej, z wyjątkiem przypadku o którym mowa w 2 ust. 3 umowy. 6