Umowa powierzenia przetwarzania danych pomiędzy KLIENTEM jako Administratorem a MS POS Poland Sp. z o.o. Ul. Wojska Polskiego 102 98-200 Sieradz jako Podmiotem Przetwarzającym Dane odnosząca się do Umowy Wsparcia, którą mogłaby być dowolna umowa główna (dalej: Umowa Główna ) Strona 1 z 7
Preambuła Niniejsza Umowa Główna pomiędzy Administratorem a Podmiotem Przetwarzającym Dane (dalej: Strony ) może obejmować jeden lub kilka z następujących rodzajów usług (dalej: Usługi ): wsparcie techniczne systemów ERP / POS obsługiwanych przez Administratora lub przez stronę trzecią wyznaczoną przez Administratora, np. telefonicznie bądź przez e-mail w ramach takiego wsparcia baza danych systemu kasowego może być czasowo przesyłana do Podmiotu Przetwarzającego Dane w celu przeprowadzenia analizy błędów technicznych, po czym po analizie błędu baza danych u Podmiotu Przetwarzającego Dane jest usuwana; obsługa centralnych baz danych systemów ERP / POS na rzecz Administratora; korekty techniczne systemów ERP / POS odpowiednio do potrzeb Administratora w ramach takich korekt istnieć może ograniczony dostęp do danych osobowych zarządzanych w systemie kasowym w okresie realizacji projektu; odczyt danych z systemów ERP / POS, aby udostępnić je Administratorowi do celów audytu podatkowego; realizacja projektów w systemach ERP / POS klientów Administratora (konfiguracja, programowanie oraz techniczna organizacja systemów). Jeżeli usługi świadczone przez Podmiot Przetwarzający Dane w ramach umowy głównej obejmują przetwarzanie danych osobowych lub wymagają przetwarzania danych, za które odpowiedzialny jest Administrator, albo jeżeli Podmiot Przetwarzający Dane nie może być wykluczony z dostępu do takich danych, wówczas przetwarzanie odbywa się na podstawie niniejszej umowy dotyczącej powierzenia przetwarzania danych: 1. Krótki opis powierzonego przetwarzania danych Celem przetwarzania danych jest świadczenie usług. 2. Zakres, charakter i cel zamierzonego przetwarzania danych, rodzaj danych i krąg osób, których dane dotyczą, miejsca przetwarzania, inspektor ochrony danych 2.1 Rodzaj i zakres powierzonego przetwarzania danych Charakter i zakres usług, które Podmiot Przetwarzający Dane ma realizować, są określone w umowie głównej i w niniejszej umowie. 2.2 Cel przetwarzania danych Przetwarzanie danych osobowych odbywa się wyłącznie dla celów świadczenia usług w ramach umowy głównej. Zamiarem nie jest przetwarzanie danych osobowych w prawdziwym tego słowa znaczeniu. Strona 2 z 7
2.3 Grupy osób, których dane dotyczą Grupy osób, których dane osobowe mogą być przedmiotem przetwarzania, obejmują: pracowników, klientów i dostawców Administratora. 2.4 Kategorie danych, które mogą podlegać przetwarzaniu Przetwarzanie danych może obejmować następujące kategorie danych osobowych, w zależności od działalności Administratora: dane transakcyjne z systemu (w szczególności liczba zamówionych towarów / usług, ceny, stawka VAT, dane uczestników, rabaty / premie, datowniki); dane dotyczące metody płatności; nazwiska i dane kontaktowe pracowników Administratora jeżeli dotyczy; nazwiska i dane kontaktowe klientów końcowych Administratora jeżeli dotyczy. W zależności od rodzaju relacji z klientem końcowym, następujące dane mogą być także dostępne dla Podmiotu Przetwarzającego Dane: a) ostrzeżenia b) dane rachunkowe c) dane adresowe d) dane dotyczące oferty e) godziny pracy f) szkolenia / zawód g) dane bankowe h) zaszeregowanie / oceny i) dokumenty aplikacyjne / certyfikaty j) zdjęcia / filmy k) dane biometryczne l) dane dotyczące pochodzenia rasowego i etnicznego m) informacje seksualne n) dane dotyczące opinii politycznych o) dane wejściowe i wyjściowe p) rodzina / stan cywilny q) zakres obowiązków / dane stanowiska r) data urodzenia s) dane biznesowe t) dane dotyczące zdrowia u) przynależność do związków zawodowych v) dane identyfikacyjne w) hobby / zainteresowania x) dane komunikacyjne (komunikacja głosowa / pocztowa) y) dane kontaktowe aa) informacje kredytowe ab) dane dotyczące wydajności ac) dane dotyczące płacy / wynagrodzenia ad) imię i nazwisko ae) informacje o osobie do kontaktu w nagłych sytuacjach af) dane dotyczące protokołu / kontroli dostępu ag) wyznanie ah) przekonania filozoficzne ai) kwalifikacje / umiejętności aj) dane dotyczące ubezpieczenia społecznego / emerytalnego ak) narodowość al) podatkowy numer identyfikacyjny / numer identyfikacyjny VAT am) aktywność zawodowa an) dane dotyczące zarządzania harmonogramem ao) transakcje ap) dane użytkownika / protokołu aq) dane dotyczące umowy ar) dane administracyjne as) historia karalności. 2.5 Kraje i miejsca przetwarzania Przetwarzanie odbywa się wyłącznie na terytorium Unii Europejskiej. 2.6 Inspektor ochrony danych Strona 3 z 7
Podmiot Przetwarzający Dane wskazał Pana Nielsa Wosnitza (Giesserallee 1, 47877 Willich, Niemcy; tel.: +49 2154 81254 10; Datenschutz@mspos.net) jako inspektora ochrony danych spółki. Podmiot Przetwarzający Dane poinformuje Administratora o zmianie inspektora. 3. Odpowiedzialność i zakres uprawnień Administrator pozostaje Administratorem podczas powierzonego przetwarzania w rozumieniu art. 4 punkt 7 RODO. Podmiot Przetwarzający Dane przetwarza dane osobowe jedynie na podstawie udokumentowanego polecenia Administratora, również w odniesieniu do przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, chyba że jest do tego zobowiązany prawem Unii Europejskiej lub prawem państw członkowskich, któremu podlega. Administrator posiada wszechstronne uprawnienia w zakresie usług uzgodnionych w ramach umowy głównej. Polecenia Administratora muszą być wydawane na piśmie (wystarczy forma wiadomości e- mail). W pilnych przypadkach polecenia mogą być wydawane ustnie. Takie ustne polecenia Administrator musi bezzwłocznie potwierdzić na piśmie (e-mail). Jeżeli Podmiot Przetwarzający Dane jest prawnie zobowiązany do przetwarzania danych, przed podjęciem przetwarzania poinformuje Administratora o takim wymogu prawnym, o ile prawo nie zabrania takiej komunikacji ze względu na istotny interes publiczny. Podmiot Przetwarzający Dane niezwłocznie powiadomi Administratora, jeżeli uważa, że polecenie narusza przepisy ochrony danych obowiązujące w Unii Europejskiej albo w Republice Federalnej Niemiec, a zwłaszcza RODO lub niemiecką ustawę BDSG. W tym przypadku Podmiot Przetwarzający Dane może zawiesić wykonywanie danego polecenia, dopóki nie zostanie ono potwierdzone lub zmienione przez Administratora. 4. Obowiązek zachowania poufności Podmiot Przetwarzający Dane zapewni, że w realizację prac będą zaangażowani jedynie pracownicy, którzy zobowiązali się na piśmie do zachowania poufności, a w szczególności do zachowania tajemnicy danych oraz do przestrzegania zobowiązań wynikających z niniejszej umowy powierzenia przetwarzania, bądź pracownicy, którzy podlegają odpowiedniemu ustawowemu obowiązkowi zachowania poufności. Pracownicy tacy muszą wpierw zostać zaznajomieni z odnoszącymi się do nich przepisami ochrony danych. 5. Techniczne i organizacyjne środki zabezpieczania danych, które należy podjąć Podmiot Przetwarzający Dane podejmie właściwe środki techniczne i organizacyjne biorąc pod uwagę aktualny stan technologii, koszty wdrożenia oraz charakter, zakres, okoliczności i cele przetwarzania danych, a także prawdopodobieństwo i dotkliwość różnego rodzaju zagrożeń dla praw i wolności osób fizycznych aby zapewnić poziom ochrony odpowiedni do ryzyka. Administrator musi zapewnić, że podjęte środki, o których Podmiot Przetwarzający Dane będzie zawsze informować Administratora na jego prośbę w udokumentowanej formie, odpowiadają jego wymaganiom i potrzebom w zakresie ochrony danych, za które jest odpowiedzialny. W celu dostosowania się do postępu technicznego, Podmiot Przetwarzający Dane może wdrożyć alternatywne, odpowiednie środki techniczne i organizacyjne. Strona 4 z 7
6. Podwykonawcy Administrator niniejszym udziela Podmiotowi Przetwarzającemu Dane ogólnej zgody na zatrudnianie firm trzecich (zwanych dalej Podwykonawcami ) w celu świadczenia usług w całości lub w części. Na prośbę Administratora Podmiot Przetwarzający Dane poinformuje go o wszystkich Podwykonawcach zatrudnionych w czasie zawierania niniejszej umowy na piśmie, w dowolnym momencie. Podmiot Przetwarzający Dane będzie również informował Administratora o wszelkich planowanych zmianach w odniesieniu do angażowania lub wymiany Podwykonawców. Administrator może, w ciągu dwóch tygodni od otrzymania informacji o zmianie, z ważnych przyczyn sprzeciwić się takiej zmianie w formie pisemnej (wystarczy wiadomość e-mail). W przypadku takiego sprzeciwu Podmiot Przetwarzający Dane może, według własnego uznania: (i) świadczyć usługę bez planowanej zmiany, lub (ii) jeżeli dalsze świadczenie usługi bez wprowadzenia planowanej zmiany wydaje mu się niezasadne i jeżeli strony nie znajdą polubownego rozwiązania w okresie kolejnych dwóch tygodni może anulować usługę z ważnych przyczyn. Podwykonawcy muszą być starannie wybierani. Przed zaangażowaniem Podwykonawcy Podmiot Przetwarzający Dane musi mieć pewność, że Podwykonawca jest zdolny do realizacji środków technicznych i organizacyjnych określonych w niniejszej umowie. Podmiot Przetwarzający Dane zapewni, w drodze pisemnej umowy, że postanowienia niniejszej umowy będą miały zastosowanie także do Podwykonawców. W szczególności Podwykonawca musi podlegać takim samym zobowiązaniom w zakresie ochrony danych, jakie ustanowiono w niniejszej umowie. Podwykonawca musi być zobowiązany do podjęcia odpowiednich środków technicznych i organizacyjnych, które spełniają lub przekraczają wymogi w zakresie środków określone w niniejszej umowie powierzenia przetwarzania danych. Podmiot Przetwarzający Dane odpowiada wobec Administratora za przestrzeganie przez każdego Podwykonawcę zobowiązań związanych z ochroną danych i ponosi odpowiedzialność, jeżeli Podwykonawca nie przestrzega tych zobowiązań. 7. Pomoc w spełnianiu żądań osób, których dane dotyczą Administrator jest odpowiedzialny za ochronę praw osób, których dane dotyczą. Jeżeli osoba, której dane dotyczą, skontaktuje się w tej sprawie bezpośrednio z Podmiotom Przetwarzającym Dane, Podmiot Przetwarzający Dane przekaże takie żądanie Administratorowi. Biorąc pod uwagę charakter przetwarzania, Podmiot Przetwarzający Dane będzie jednak w miarę możliwości pomagał Administratorowi, na jego prośbę i przy użyciu odpowiednich środków technicznych i organizacyjnych, w spełnianiu jego zobowiązań w zakresie realizacji żądań wynikających z praw osób, których dane dotyczą, określonych w rozdziale III RODO. Administrator musi zwrócić Podmiotowi Przetwarzającemu Dane koszty, które on w związku z tym poniesie, zgodnie z cennikiem klienta. 8. Pomoc w wypełnianiu zobowiązań Administratora Podmiot Przetwarzający Dane będzie pomagał Administratorowi na jego prośbę, uwzględniając charakter przetwarzania danych i informacje, jakimi dysponuje, w spełnianiu jego zobowiązań, o których mowa w artykułach 32-36 RODO, w zakresie bezpieczeństwa danych osobowych. Administrator musi zwrócić Podmiotowi Przetwarzającemu Dane koszty, które on w związku z tym poniesie, zgodnie z cennikiem klienta. Podmiot Przetwarzający Dane zobowiązuje się do przekazywania Administratorowi żądań organów ochrony danych. Podmiot Przetwarzający Dane będzie pomagać Administratorowi w przygotowaniu niezbędnej dokumentacji ochrony danych oraz w reagowaniu na żądania organów ochrony danych. Strona 5 z 7
Administrator musi zwrócić Podmiotowi Przetwarzającemu Dane koszty, które on w związku z tym poniesie, zgodnie z cennikiem klienta. 9. Usunięcie lub zwrot danych po zakończeniu przetwarzania Dane dostarczone Podmiotowi Przetwarzającemu Dane przez Administratora, w tym wszelkie ich kopie, muszą natychmiast zostać całkowicie usunięte lub przekazane Administratorowi z końcem umowy, zgodnie z instrukcjami Administratora, chyba że istnieje obowiązek przechowywania danych osobowych wynikający z prawa Unii Europejskiej lub prawa krajowego. Spełnienie powyższego zobowiązania należy potwierdzić Administratorowi na piśmie (wystarczy wiadomość e-mail) na jego prośbę. Jeśli w związku z usuwaniem lub zwrotem danych powstaną dodatkowe koszty, takie koszty poniesie Administrator. Jeżeli na mocy prawa Unii Europejskiej lub prawa krajowego istnieje obowiązek przechowywania danych osobowych, Podmiot Przetwarzający Dane poinformuje Administratora o tym fakcie, wskazując dane lub kategorie danych, których to dotyczy. Ustawowe obowiązki Podmiotu Przetwarzającego Dane w zakresie zachowywania danych pozostają nienaruszone i zostają niniejszym uznane za przekazane do jego wiadomości. 10. Weryfikacja i kontrola spełniania zobowiązań Podmiotu Przetwarzającego Dane Podmiot Przetwarzający Dane jest zobowiązany dostarczać Administratorowi wszelkie informacje konieczne do wykazania zgodności z obowiązkami określonymi w art. 28 RODO, a także umożliwiać przeprowadzanie kontroli i pomagać w ich przeprowadzaniu przez Administratora lub przez inspektora wyznaczonego przez Administratora. Kontrole będą ograniczone do jednej (1) kontroli w okresie dwunastu miesięcy, a ich zakres będzie uzasadniony. Jeżeli, w poszczególnych przypadkach, kontrole Administratora lub inspektora wyznaczonego przez Administratora okażą się niezbędne, będą one przeprowadzane w trakcie normalnych godzin pracy, bez zakłócania działalności firmy i po zawiadomieniu z odpowiednim wyprzedzeniem. Podmiot Przetwarzający Dane może uzależnić kontrolę od otrzymania wcześniejszego zawiadomienia, co zapewni odpowiedni czas na przygotowanie, oraz od podpisania zwyczajowego oświadczenia o zachowaniu poufności w odniesieniu do danych innych klientów, wdrożonych środków technicznych i organizacyjnych oraz innych informacji poufnych Podmiotu Przetwarzającego Dane. Jeżeli wyznaczony inspektor jest związany z Podmiotem Przetwarzającym Dane na zasadzie konkurencji, wówczas Podmiot Przetwarzający Dane ma prawo sprzeciwić się jego wyznaczeniu. Koszty poniesione przez Podmiot Przetwarzający Dane w związku z realizacją postanowień niniejszego punktu 10, zostaną zwrócone przez Administratora, zgodnie z cennikiem klienta. Strona 6 z 7
11. Postanowienia końcowe Niniejsza umowa stanowi uwzględniając umowę główną całość uregulowań dotyczących ochrony danych. Uregulowania te pozostają bez wpływu na dodatkowe umowy. Zmiany, uzupełnienia lub uchylenia niniejszej umowy muszą być dokonywane w formie pisemnej (wystarczy wiadomość e-mail). To samo ma zastosowanie do uregulowania zmieniającego niniejszą klauzulę o konieczności zachowania formy pisemnej. Miejscem wykonania i wyłącznym miejscem jurysdykcji w odniesieniu do wszelkich sporów bezpośrednio lub pośrednio wynikających z niniejszej umowy jest miejsce jurysdykcji mające zastosowanie do umowy głównej. W przypadku gdy postanowienia niniejszej umowy okażą się lub staną nieskuteczne lub w przypadku gdy niniejsza umowa posiada braki, pozostanie to bez wpływu na ważność pozostałych jej postanowień. Takie nieważne postanowienie zostanie zastąpione uzgodnionym skutecznym postanowieniem, które będzie odpowiadało lub będzie jak najbardziej zbliżone do ducha i celów nieskutecznego postanowienia. W przypadku luk w umowie, uznaje się za uzgodnione takie postanowienie, które zostałoby ustalone zgodnie z duchem i celem niniejszej umowy, gdyby strony uwzględniły ten punkt przy podpisywaniu umowy. Zastosowanie ma niemieckie prawo rzeczowe, z wyłączeniem prawa prywatnego międzynarodowego i Konwencji Narodów Zjednoczonych o Umowach Międzynarodowej Sprzedaży Towarów (CISG). Okres obowiązywania niniejszej umowy powierzenia przetwarzania zależy od czasu trwania umowy głównej. Prawo do wypowiedzenia niniejszej umowy z ważnych przyczyn pozostaje nienaruszone. Wypowiedzenie musi być dokonane w formie pisemnej pod rygorem nieważności (wiadomość e-mail nie jest wystarczająca). Administrator: Podmiot przetwarzający dane: Miejscowość, data Miejscowość, data NAZWA KLIENTA MS POS Poland Sp. z o.o. Strona 7 z 7