UMOWY POWIERZENIA W RODO Kancelaria Maruta Wachta Sp. j.
Kancelaria Maruta Wachta Kancelaria głównie znana z IT i nowych technologii Zwycięstwo w the Lawyer 2018 oraz w rankingu Rzeczpospolita
Zespół RODO 30 prawników oraz eksperci techniczni i biznesowi prawdopodobnie największy taki zespół w Polsce Nagroda 2018 Rzeczpospolitej Lider w dziedzinie ochrony danych W zakresie RODO pomogliśmy ponad100 organizacjom publicznym i prywatnym ze wszystkich dziedzin gospodarki
Usługi RODO SPECJALIZACJE IT i nowe technologie Telekomunikacja Sektor finansowy Energetyka e-commerce e-marketing Sieci handlowe i franczyzowe Sektor publiczny HR Branża produkcyjna
Napisz do nas kontakt_rodo@maruta.pl newsletter_rodo@maruta.pl
Obowiązki procesora: przetwarza dane wyłącznie na udokumentowane polecenie administratora zapewnia, że osoby upoważnione do przetwarzania danych są zobowiązane do zachowania tajemnicy podejmie wszelkie środki zapewniające bezpieczeństwo przetwarzania przestrzega warunków korzystania z usług innego podmiotu przetwarzającego pomaga wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw pomaga wywiązać się z obowiązków określonych w RODO po zakończeniu świadczenia usług usuwa lub zwraca wszelkie dane umożliwia administratorowi lub audytorowi przez niego upoważnionemu przeprowadzanie audytów oraz inspekcji
Gwarancje co do należytej ochrony praw i wolności art. 28 ust. 1 RODO Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
Gwarancje co do należytej ochrony praw i wolności PROCESOR DAJE GWARANCJE NALEŻYTEJ OCHRONY, GDY: 1. stosuje zatwierdzony kodeks postępowania, o którym mowa w art. 40 RODO, lub 2. posiada zatwierdzony mechanizm certyfikacji, o którym mowa w art. 42 RODO, lub 3. spełnia wszystkie wymogi zawarte w ankiecie administratora Weryfikacja procesora: 1. Czy procesor prowadzi rejestr naruszeń? 2. Czy pracownicy / współpracownicy procesora są upoważnieni do przetwarzania danych osobowych? 3. Czy osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy? 4. Jeżeli procesor dokonuje transferów danych do państw poza EOG, to czy zapewniony jest mechanizm legalizujący taki transfer?
Polecenia administratora i możliwość sprzeciwu wobec nich art. 28 ust. 3 lit. a) RODO podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
Transfer poza EOG Art. 45 48 RODO Decyzja KE Standardowe klauzule umowne [ ]
Transfer poza EOG ZAPIS ADO 1. Procesor nie może przekazywać Danych osobowych poza Europejski Obszar Gospodarczy ( EOG ), chyba że Administrator udzieli mu uprzedniej, pisemnej pod rygorem bezskuteczności, zgody na taki transfer. 2. Jeśli Administrator udzieli Procesorowi uprzedniej zgody na przekazanie Danych osobowych do państwa trzeciego, Procesor może dokonać transferu tych Danych osobowych tylko wtedy, gdy: a) państwo docelowe zapewnia adekwatny poziom ochrony danych osobowych do tego, który obowiązuje w Unii Europejskiej; lub b) Administrator i Procesor lub dalszy podmiot przetwarzający zawarli umowę na podstawie standardowych klauzul umownych lub wdrożyli inny mechanizm, który zgodnie z przepisami prawa legalizuje transfer danych do państwa trzeciego.
Transfer poza EOG ZAPIS PROCESORA 1. Procesor nie może przekazywać Danych osobowych poza Europejski Obszar Gospodarczy ( EOG ), chyba że Administrator udzieli mu uprzedniej zgody na taki transfer. Administrator nie odmówi zgody, o której mowa w zdaniu poprzedzającym, bez uzasadnionej przyczyny. 2. j.w.
Dostęp osób uprawnionych do danych osobowych art. 28 ust. 3 lit. b) RODO Podmiot przetwarzający zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy
Zapisy dot. dalszego przetwarzania art. 28 ust. 2 RODO Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
Wykonywanie praw podmiotów danych art. 28 ust. 3 lit. e) RODO biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III
Zgłaszanie naruszeń art. 28 ust. 3 lit. f) RODO: podmiot przetwarzający uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32 36
Zgłaszanie naruszeń ZAPIS ADO 1. Procesor niezwłocznie po uzyskaniu informacji, nie później jednak niż w ciągu 12 godzin, powiadamia Administratora o wszystkich przypadkach Naruszenia Ochrony Danych oraz innych zdarzeniach mających wpływ na przetwarzanie Danych. 2. Procesor przekazuje Administratorowi informacje, które obejmują: a) datę i godzinę zdarzenia (jeśli jest znana; w razie potrzeby możliwe jest określenie w przybliżeniu), b) datę i godzinę kiedy Procesor powziął informację o zdarzeniu; c) opis charakteru i okoliczności Naruszenia (w tym wskazanie, na czym polegało naruszenie, określenie miejsca, w którym fizycznie doszło do naruszenia, wskazanie nośników, na których znajdowały się Dane będące przedmiotem naruszenia), d) kategorie i przybliżoną liczbę wpisów (rekordów) Danych, których dotyczyło naruszenie, e) kategorie i przybliżoną liczbę osób, których dotyczyło naruszenie, f) opis potencjalnych konsekwencji i niekorzystnych skutków Naruszenia dla osób, których Dane dotyczą, g) opis środków technicznych i organizacyjnych, które zostały lub mają być zastosowane w celu złagodzenia potencjalnych niekorzystnych skutków Naruszenia, h) imię, nazwisko i dane kontaktowe do osoby, od której można uzyskać więcej informacji na temat zgłoszonego Naruszenia. 3. Procesor powinien dostarczyć wraz z informacją, o której mowa powyżej, wszystkie informacje wymagane do zgłoszenia przez Administratora Naruszenia Ochrony Danych Osobowych.
Zgłaszanie naruszeń ZAPIS PROCESORA MINIMUM Procesor jest zobowiązany do pomagania Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32-36 Rozporządzenia, przy uwzględnieniu charakteru przetwarzania i informacji dostępnych dla Procesora. ZAPIS PROCESORA OPTIMUM 1. Po stwierdzeniu naruszenia ochrony Danych osobowych Procesor bez zbędnej zwłoki zgłasza je Administratorowi, informując o okolicznościach naruszenia i potencjalnych zagrożeniach dla ochrony Danych osobowych. 2. Procesor bez zbędnej zwłoki podejmuje wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków naruszenia. 3. Procesor nie jest uprawniony ani zobowiązany do powiadamiania o naruszeniu osób, których dane dotyczą, ani organu nadzorczego.
Prawo audytu procesora przez administratora art. 28 ust. 3 lit. h) RODO: podmiot przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
Prawo audytu procesora przez administratora ZAPIS ADO Administrator jest w każdym momencie upoważniony do przeprowadzenia audytu zgodności przetwarzania danych osobowych przez Procesora z Umową oraz obowiązującymi przepisami prawa. Administrator jest uprawniony do przeprowadzania kontroli w miejscu przetwarzania jak również w lokalach Procesora mających na celu uzyskanie potrzebnych informacji lub wglądu w przechowywane Dane Osobowe, a także kontroli programów służących przetwarzaniu Danych Osobowych, w każdym czasie i bez zbędnej zwłoki.
Prawo audytu procesora przez administratora ZAPIS PROCESORA Administrator jest uprawniony do przeprowadzenia kontroli zgodności przetwarzania przez Procesora z przepisami, gdy obowiązek ten nałoży Organ Nadzorczy lub przeprowadzenie kontroli jest konieczne dla wyjaśnienia Naruszenia Ochrony Danych Osobowych. Poza przypadkami wskazanymi powyżej Administrator może przeprowadzić jedną bezpłatną kontrolę.
Prawo audytu procesora przez administratora Inne: zakres przedmiotowy poinformowanie z wyprzedzeniem brak możliwości przeprowadzenia audytu we wskazanym terminie zobowiązanie kontrolujących do zachowania poufności zakaz kontroli przez osoby zatrudnione, wspólników, akcjonariuszy lub członków organów podmiotów wykonujących działalność konkurencyjną w stosunku do działalności gospodarczej prowadzonej przez Procesora
03 ANALIZA RYZYKA I JEJ UDOSTĘPNIANIE analiza ryzyka dla administratora a analiza ryzyka dla procesora tajemnica przedsiębiorstwa RODO tego nie wymaga PRZETWARZANIE PRZED ZAWARCIEM UMOWY I PO JEJ ZAKOŃCZENIU data zawarcia umowy a data obowiązywania zasady związane z zakończeniem stosunku ROZSZERZENIE I ZMIANA POWIERZENIA PRZETWARZANIA W TRAKCIE WSPÓŁPRACY zmiana zakresu świadczenia usług aneksowanie umowy głównej dostosowanie umowy powierzenia WDROŻENIE SYSTEMU COMPLIANCE
Obowiązek wydania danych administratorowi art. 28 ust. 3 lit. g) RODO: podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych
Obowiązek wydania danych administratorowi Inne: termin protokół ograniczenie przetwarzania (usunięcie / zwrot, ew. polecenie ADO, termin, protokół)
Zasady odpowiedzialności procesora art. 82 ust. 2 RODO: Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.
Zasady odpowiedzialności procesora ZAPIS ADO 1. Procesor zapłaci Administratorowi karę umowną w wysokości *** PLN za każdy stwierdzony przypadek naruszenia zobowiązań określonych w niniejszej umowie. 2. Zapłata kary umownej nie wyłącza możliwości dochodzenia przez Administratora odszkodowania na zasadach ogólnych, w przypadku, gdy wysokość szkody przewyższa wysokość kary umownej. 3. Procesor odpowiada za szkody, jakie powstaną u Administratora, osób, których dane dotyczą, lub innych osób trzecich w wyniku niezgodnego z Umową lub przepisami prawa przetwarzania przez Procesora Danych osobowych, a w szczególności w związku z udostępnianiem Danych osobowych osobom nieupoważnionym. 4. Naruszenie przez Procesora postanowień Umowy, RODO lub innych obowiązujących przepisów prawa z zakresu ochrony danych osobowych stanowi podstawę do wypowiedzenia Umowy głównej.
Zasady odpowiedzialności procesora ZAPIS PROCESORA v1 Z zastrzeżeniem bezwzględnie obowiązujących przepisów prawa, łączny limit odpowiedzialności Procesora względem Administratora na jakiejkolwiek podstawie w związku z przetwarzaniem Danych Osobowych, wynosi ***. ZAPIS PROCESORA v2 Niezależnie od postanowień Umowy głównej, odpowiedzialność Procesora w związku z przetwarzaniem Danych osobowych na podstawie Umowy ograniczona jest do kwoty ***, chyba że bezwzględnie obowiązujące przepisy prawa stanowią inaczej. ZAPIS PROCESORA v3 Odpowiedzialność Procesora w związku z przetwarzaniem Danych osobowych ograniczona jest zgodnie z zapisami Umowy głównej.
Chcesz dostać pełne wersje materiałów? Zapisz się na newsletter. newsletter_rodo@maruta.pl
Ikony: Shannon E Thomas / www.toicon.com Piotr Kalina +48 604 595 919 pkalina@maruta.pl Maruta Wachta sp.j. Wspólna 62, Warszawa www.maruta.pl We know IT