Załącznik do Umowy pożyczki Nr z dnia ( Umowa pożyczki ) UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH ( Umowa Powierzenia") A. Umowa Powierzenia stanowi integralną część Umowy pożyczki i określa zasady przetwarzania przez Bank danych osobowych powierzonych przez Pożyczkobiorcę. B. Pojęcia użyte w Umowie Powierzenia i pisane wielką literą mają znaczenie przypisane im w treści Umowy Powierzenia oraz w Umowie pożyczki. C. Umowa Powierzenia stanowi całość zobowiązań oraz warunków powierzenia przetwarzania danych i zastępuje wszelkie dotychczasowe umowy, porozumienia oraz ustalenia pomiędzy Bankiem i Pożyczkobiorcą w tym zakresie. 1. Definicje 1. Administrator Danych/Pożyczkobiorca - oznacza Pożyczkobiorcę, który samodzielnie lub wspólnie z innymi podmiotami ustala cele i sposoby przetwarzania Danych Osobowych. 2. Cel Przetwarzania - oznacza realizację przez Bank zobowiązań określonych w Umowie pożyczki. 3. Czynności Przetwarzania - oznaczają wszelkie operacje na Danych Osobowych, które będzie wykonywał Podmiot Przetwarzający na polecenie Administratora Danych na podstawie Umowy pożyczki, takie jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. 4. Dane Osobowe - oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, których dotyczy powierzenie przetwarzania na mocy Umowy Powierzenia. Dane Osobowe określa 3 Umowy Powierzenia przez wskazanie kategorii osób, których dane dotyczą, rodzaju danych osobowych oraz czynności i formy przetwarzania. 5. EOG - oznacza Europejski Obszar Gospodarczy zdefiniowany w Porozumieniu o Europejskim Obszarze Gospodarczym ( Dz. U. UE L z dnia 3 stycznia 1994 r. z późn. zm.), czyli państwa należące do Unii Europejskiej oraz Norwegię, Islandię i Lichtenstein. 6. Kontrola Przetwarzania - oznacza audyty (w tym inspekcje) zgodności przetwarzania Danych Osobowych z przepisami prawa, w szczególności z RODO oraz Umową Powierzenia, z wyłączeniem: (i) informacji zawierających tajemnicę przedsiębiorstwa lub (ii) przeprowadzania testów penetracyjnych lub innych podobnych testów. Kontrola Przetwarzania może być dokonana samodzielnie przez Pożyczkobiorcę lub za pośrednictwem upoważnionego przez niego audytora, po przedłożeniu przez audytora pełnomocnictwa do działania w imieniu Pożyczkobiorcy. 7. Naruszenie Ochrony Danych Osobowych - oznacza naruszenie bezpieczeństwa Danych Osobowych prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, 1 z 6
zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych Osobowych, w stosunku do których są wykonywane Czynności Przetwarzania przez odpowiedni Podmiot Przetwarzający. 8. Ocena Skutków dla Ochrony Danych - oznacza ocenę skutków planowanych operacji przetwarzania dla ochrony Danych Osobowych, o której mowa w art. 35-36 RODO. 9. Organ Nadzoru - oznacza organ nadzorczy, o którym mowa w art. 4 pkt 21 RODO. 10. Podmiot Przetwarzający/Bank - oznacza Bank, który przetwarza Dane Osobowe powierzone mu przez Pożyczkobiorcę w imieniu Administratora Danych i na jego rzecz. 11. Grantobiorca/reprezentant Grantobiorcy - oznacza osobę fizyczną, której dane osobowe są przetwarzane w związku z realizacją Umowy pożyczki. 12. rozporządzenie RODO/RODO - oznacza rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/ WE (ogólne rozporządzenie o ochronie danych). 13. Umowa Powierzenia umowa będąca integralną częścią Umowy pożyczki, która określa zasady przetwarzania przez Podmiot Przetwarzający Danych Osobowych powierzonych przez Administratora Danych. 2. Zakres Umowy Powierzenia i podział obowiązków 1. Administrator Danych oświadcza, że jest administratorem danych w rozumieniu RODO. 2. Administrator Danych powierza Podmiotowi Przetwarzającemu Dane Osobowe w trybie art. 28 rozporządzenia RODO. 3. Podmiot Przetwarzający zobowiązuje się do przetwarzania Danych Osobowych zgodnie z udokumentowanym poleceniem Administratora Danych oraz Umową pożyczki. 4. Podmiot Przetwarzający oswiadcza, iż dysponuje odpowiednimi środkami, w tym należytymi zabezpieczeniami technicznymi i organizacyjnymi zapewniającymi przetwarzania Danych Osobowych zgodnie z przepisami RODO. 3. Dane Osobowe Kategoria osób, których Dane Osobowe dotyczą Grantobiorca/reprezentant Grantobiorcy Rodzaj Danych Osobowych Czynności Przetwarzania Forma przetwarzania Dane zwykłe: nazwisko i Imię, PESEL, NIP nazwa i numer dokumentu tożsamości adres zamieszkania adres do korespondencji adres e-mail numer telefonu, numer faksu przechowywanie, przeglądanie, modyfikowanie, usuwanie. Elektroniczna/papierowa 2 z 6
4. Przedmiot i czas trwania przetwarzania Danych Osobowych 1. Na podstawie art. 28 ust. 3 lit. a) rozporządzenia RODO, Pożyczkobiorca - wyłącznie w celu realizacji Umowy pożyczki - powierza Bankowi przetwarzanie Danych Osobowych Grantobiorców/reprezentantów Grantobiorców, których jest administratorem. 2. Bank może przetwarzać Dane Osobowe przez (i) okres obowiązywania Umowy pożyczki, przez (ii) okres od rozwiązania lub wygaśnięcia Umowy pożyczki do czasu usunięcia Danych Osobowych zgodnie z postanowieniami Umowy Powierzenia, chyba że Bank oraz Pożyczkobiorca ustalą inny termin przetwarzania Danych Osobowych w drodze odrębnego porozumienia oraz przez (iii) przez okres oraz w zakresie wymaganym przez przepisy prawa lub dla zabezpieczenia i dochodzenia ewentualnych roszczeń z Umowy pożyczki. 5. Miejsce przetwarzania Danych Osobowych 1. Bank będzie przetwarzać Dane Osobowe jedynie na obszarze EOG, nie może przekazywać Danych Osobowych do Państw Trzecich. 2. Dane Osobowe nie będą przekazywane przez Bank innym podmiotom w celu ich dalszego powierzenia. 6. Środki techniczne i organizacyjne 1. Przy przetwarzaniu Danych Osobowych związanych z wykonaniem Umowy pożyczki, Bank powinien przestrzegać zasad wskazanych w niniejszym paragrafie oraz w RODO. 2. Bank oświadcza, że posiada środki techniczne i organizacyjne określone w art. 32-34 rozporządzenia RODO. 3. Bank zobowiązuje się, biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomagać Pożyczkobiorcy poprzez odpowiednie środki techniczne i organizacyjne wywiązywać się z obowiązku odpowiadania, na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III rozporządzenia RODO. 4. Bank, uwzględniając charakter przetwarzania oraz dostępne jemu informacje, wspiera Pożyczkobiorcę w realizacji obowiązków wymienionych w art. 32-36 rozporządzenia RODO. 5. Na żądanie Pożyczkobiorcy, w terminie wskazanym przez niego, nie krótszym jednak niż dwa dni robocze, Bank udostępni Pożyczkobiorcy wszelkie informacje niezbędne do wykazania, że spełnia obowiązki wynikające z Umowy Powierzenia, a także inne obowiązki wynikające z RODO. 6. Bank obowiązany jest niezwłocznie poinformować Pożyczkobiorcę, jeżeli zdaniem Banku wydane mu polecenie stanowi naruszenie RODO lub innych przepisów Unii lub przepisów prawa obowiązujących w Polsce dotyczących ochrony Danych Osobowych. 7. Personel Banku 1. Bank dopuści do przetwarzania Danych Osobowych jedynie osoby działające z jego upoważnienia oraz których dostęp do Danych Osobowych jest niezbędny do wykonania Umowy pożyczki. 3 z 6
2. Bank zapewni, aby osoby działające z jego upoważnienia i mające dostęp do Danych Osobowych zobowiązały się do zachowania tajemnicy przetwarzanych Danych Osobowych lub podlegały ustawowemu obowiązkowi zachowania tajemnicy. Bank zaznajomi osoby upoważnione do przetwarzania Danych Osobowych z przepisami dotyczącymi ochrony Danych Osobowych i odpowiedzialnością za ochronę tych danych przed niepowołanym dostępem, nieuzasadnioną modyfikacją, zniszczeniem, nielegalnym ujawnieniem lub pozyskaniem Danych Osobowych. 8. Kontrola Przetwarzania 1. Pożyczkobiorca ma prawo do przeprowadzenia Kontroli Przetwarzania. 2. Kontrole, o których mowa w ust. 1, mogą być wykonywane przez Pożyczkobiorcę (osoby przez niego wyznaczone) w miejscu przetwarzania powierzonych Danych Osobowych w dni robocze w godzinach od 9:00 do 15:00. 3. Pożyczkobiorca powiadomi Bank o zamiarze przeprowadzania Kontroli, o której mowa w ust. 1 z wyprzedzeniem, nie krótszym niż 7 dni, a Bank zobowiązany jest umożliwić Pożyczkobiorcy przeprowadzenie przedmiotowej kontroli, w szczególności poprzez udostępnienie systemów komputerowych, dokumentacji i pomieszczeń, w zakresie niezbędnym dla Kontroli Przetwarzania Danych Osobowych oraz udzielić wszelkich niezbędnych informacji dotyczących realizacji postanowień niniejszej Umowy Powierzenia. 4. Bank zobowiązany jest do niezwłocznego poinformowania Pożyczkobiorcy o wszelkich skargach, żądaniach, pytaniach oraz innych oświadczeniach skierowanych do Banku lub skierowanych do Pożyczkobiorcy, lecz złożonych w Banku, przez jakiekolwiek osoby trzecie, w szczególności osoby fizyczne, których Dane Osobowe Bank przetwarza na podstawie Umowy Powierzenia. 5. Bank zobowiązany jest do niezwłocznego poinformowania Pożyczkobiorcy o podjęciu przez uprawniony Organ Nadzoru jakichkolwiek działań względem Banku w zakresie Kontroli Przetwarzania Danych Osobowych, w szczególności informacji o rozpoczęciu Kontroli Przetwarzania przez uprawniony Organ Nadzoru, a także zobowiązany jest na żądanie Pożyczkobiorcy do przekazania Pożyczkobiorcy wszelkich informacji dotyczących zakresu, wyników oraz działań podjętych przez uprawniony organ w wyniku przeprowadzonej kontroli. 9. Zakończenie przetwarzania Danych Osobowych 1. Umowa Powierzenia została zawarta na czas obowiązywania Umowy pożyczki. 2. Po rozwiązaniu lub wygaśnięciu Umowy pożyczki, Bank zaprzestanie przetwarzania Danych Osobowych i usunie je lub dokona ich anonimizacji w taki sposób, aby nie było możliwe ich ponowne odtworzenie oraz usunie wszelkie istniejące nośniki i ich kopie lub zanonimizuje znajdujące się na nich Dane Osobowe, chyba że konieczność ich dalszego przechowywania wynika z przepisów prawa powszechnie obowiązującego lub gdy dalsze przetwarzanie jest niezbędne dla zabezpieczenia i dochodzenia ewentualnych roszczeń z Umowy pożyczki. 3. Strony mogą ustalić inny termin usunięcia lub anonimizacji Danych Osobowych w drodze odrębnego porozumienia, z uwzględnieniem przepisów prawa powszechnie obowiązującego. 4. Na żądanie Pożyczkobiorcy, Bank przekaże protokół usunięcia lub anonimizacji Danych Osobowych. 4 z 6
10. Wynagrodzenie 1. Umowa Powierzenia jest nieodpłatna. 2. Bank nie jest uprawniony do żądania od Pożyczkobiorcy jakiegokolwiek dodatkowego wynagrodzenia z tytułu realizacji Umowy Powierzenia ani też zwrotu jakichkolwiek kosztów związanych z realizacją praw lub zobowiązań wynikających z Umowy Powierzenia. 11. Dane do kontaktu 1. Wszelka korespondencja w sprawach związanych z Umową Powierzenia będzie kierowana na podane niżej adresy Stron: Do Pożyczkobiorcy: Do Banku: Al. Jerozolimskie 7 00-955 Warszawa tel. (+48 22) 599-81-89 e-mail:. e-mail: iod@bgk.pl 2. Bank w kontaktach z Pożyczkobiorcą, w zakresie ustaleń Umowy Powierzenia reprezentuje Inspektor Ochrony Danych, e-mail: iod@bgk.pl. 3. Pożyczkobiorcę w kontaktach z Bankiem, w zakresie ustaleń Umowy Powierzenia reprezentuje/reprezentują:.... 4. Zmiana adresów i danych osób, o których mowa w ust. 1-3, nie stanowi zmiany Umowy Powierzenia. O każdej zmianie powyższych danych Strony powiadomią się na piśmie, za potwierdzeniem odbioru lub drogą elektroniczną. 12. Postanowienia końcowe 1. Wszelkie zmiany w treści Umowy Powierzenia wymagają formy pisemnej pod rygorem nieważności, z zastrzeżeniem przypadków wymienionych w niniejszej Umowie. 2. W sprawach, które nie zostały uregulowane Umową Powierzenia lub Umową pożyczki, znajdują zastosowanie odpowiednie przepisy Kodeksu cywilnego oraz rozporządzenia RODO. 3. Sądem właściwym do rozstrzygnięcia sporów będzie sąd właściwy miejscowo dla siedziby Banku. 4. Umowa Powierzenia została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron. 5. Umowa Powierzenia obowiązuje od dnia jej podpisania. W imieniu Pożyczkobiorcy: ----------------------------------------------------------------------- (pieczęć firmowa*) ------------------------------------------------------------------------ (podpisy przedstawicieli) 5 z 6
W imieniu Banku: ------------------------------------------------------------------------ (pieczęć firmowa*) *jeżeli używana ------------------------------------------------------------------------ (podpisy przedstawicieli) 6 z 6