Umowa powierzenia przetwarzania danych osobowych Umowa zawarta w dniu.roku w Szczecinie pomiędzy: Asseco Data Systems S.A. z siedzibą w Gdyni (81-321) przy ul. Podolskiej 21, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy Gdańsk Północ w Gdańsku, VIII Wydział Gospodarczy Krajowego Rejestru Sądowego, nr KRS: 0000421310, posiadającą kapitał zakładowy w wysokości 102.002.940,00 zł (wpłacony w całości), oraz numer NIP 5170359458, Korespondencja: ul. Bajeczna 13, 71-838 Szczecin reprezentowaną na podstawie pełnomocnictwa przez: 1. Tomasza Litarowicza Dyrektora Pionu Usług Bezpieczeństwa i Zaufania 2. Andrzeja Rucińskiego Pełnomocnika Zarządu zwaną dalej Asseco Data Systems, a ( nazwa, adres, nip i regon przedsiębiorstwa) reprezentowaną przez: zwaną dalej Partnerem 1. Definicje Dla potrzeb Umowy, przyjmuje się następujące znaczenie dla poniżej wymienionych sformułowań: 1. Ustawa ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 z późn. zm.), 2. Dane osobowe dane osobowe w rozumieniu art. 6 Ustawy objęte Zbiorem danych, 3. Zbiór danych zbiór danych osobowych Asseco Data Systems zarejestrowany w Biurze Generalnego Inspektora Ochrony Danych Osobowych pod nazwą : 1) "Klienci Asseco Data Systems CERTUM - CCP" - zgłoszenie nr R 001336/02 2) "Klienci Asseco Data Systems CERTUM - CCK" - zgłoszenie nr R 000135/03 4. Przetwarzanie danych osobowych - wszelkie operacje wykonywane przez PARTNERA na powierzonych danych osobowych, w szczególności prowadzenie baz danych osobowych klientów Asseco Data Systems i opracowywanie ich danych na potrzeby Asseco Data Systems. 5. Klient osoba fizyczna ubiegająca się o wydanie certyfikatu lub odnowienie certyfikatu lub poddająca się ponownemu potwierdzeniu tożsamości w związku ze zmianą danych zawartych w certyfikacie 6. Umowa nr. Autoryzująca Punkt Potwierdzania Tożsamości umowa zawarta przez Strony w dniu.
7. Administrator danych organ, instytucja, jednostka organizacyjna, podmiot lub osoba, o których mowa w art.3 ust. 1 i 2 Ustawy, decydująca o celach i środkach przetwarzania danych osobowych, 8. System informatyczny jest to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. 9. Zabezpieczenie danych w systemie informatycznym wdrożenie i eksploatacja stosowanych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem. 10. Rozporządzeniu eidas - Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE z dnia 23 lipca 2014 r. (Dz.Urz.UE.L 2014 Nr 257, str. 73). 11. Ustawa o usługach zaufania ustawa z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz. U. z 2016 r. poz. 1579, z późn. zm.). 2. Opis zbioru danych 1. Asseco Data Systems zbiera Dane osobowe w wyniku prowadzenia działalności w charakterze podmiotu świadczącego usługi certyfikacyjne w rozumieniu przepisów Ustawy o usługach zaufania oraz włącza je do Zbioru danych. 2. Asseco Data Systems gwarantuje, że do Zbioru danych trafiają tylko Dane osobowe Klientów wyrażających zgodę na ich przetwarzanie. Klienci składają oświadczenie o zgodzie na przetwarzanie danych osobowych dla celów niezbędnych do świadczenia usług certyfikacyjnych, o następującej treści: Wyrażam zgodę na przetwarzanie moich danych osobowych przez Asseco Data Systems dla potrzeb niezbędnych do realizacji procesu certyfikacji oraz zostałem poinformowany o prawie dostępu do treści swoich danych oraz ich poprawiania, i że administratorem tych danych będzie Asseco Data Systems S.A. z siedzibą w Gdyni, ul. Podolska 21. 3. Oświadczenie o poufności 1. PARTNER zobowiązuje się w stosunku do Asseco Data Systems do nie wykorzystywania pozyskanych w związku z realizacją Umowy informacji, w tym Danych osobowych, w celach innych niż niezbędnych dla wykonywania Umowy lub Umowy Autoryzującej Punkt Potwierdzania Tożsamości. 2. Osoby upoważnione przez PARTNERA do przetwarzania Danych osobowych zobowiązane są do przestrzegania tajemnicy danych osobowych, o której mowa w art. 39 ust. 2 Ustawy. 3. Strony zobowiązują się zachować w tajemnicy informacje dotyczące drugiej Strony lub działalności przez nią prowadzonej, które uzyskają w związku z wykonywaniem Umowy ( Informacje poufne ). Jednakże, postanowienie to nie odnosi się do informacji, które: a) są powszechnie znane, b) zostaną podane do wiadomości publicznej przez Stronę, której dotyczą, c) ujawnienie informacji jest konieczne w celu zastosowania się do przepisów obowiązującego prawa, d) Strona której dotyczą wyraziła na piśmie zgodę na ich ujawnienie. 4. Powyższe postanowienie dotyczy również informacji uzyskanych podczas prowadzonych negocjacji, mających na celu zawarcie Umowy. 4. Przedmiot Umowy 2
1. Asseco Data Systems niniejszym powierza PARTNEROWI na podstawie art. 31 Ustawy o ochronie danych osobowych, usług przetwarzania Danych osobowych Klientów obejmujących: a) imię b) nazwisko c) adres d) numer PESEL e) numer NIP f) miejsce zatrudnienia i zajmowane stanowisko g) inne dane zawarte w we wniosku o wydanie certyfikatu lub w certyfikacie, które w powiązaniu z danymi wymienionymi powyżej stanowią Dane osobowe. 2. Powierzenie przetwarzania Danych osobowych, o których mowa w ust. 1, obejmuje jakiekolwiek operacje wykonywane na tych Danych osobowych w celu wykonania obowiązków przez PARTNERA określonych Umową Autoryzującą Punkt Potwierdzania Tożsamości. 5. Sposób wykonania Umowy 1. W związku z wykonaniem Umowy Asseco Data Systems informuje o zakresie gromadzonych danych osobowych swoich Klientów, a w szczególności o tym, iż Dane osobowe zbierane przez PARTNERA dla Asseco Data Systems zawierają dane niezbędne dla świadczenia usług certyfikacyjnych zgodnie z przepisami Ustawy o usługach zaufania i identyfikacji elektronicznej z dnia 5 września 2016r. (Dz.U z 2016r. poz. 1579). 2. PARTNER zobowiązuje się do przetwarzania danych zbieranych w zakresie zleconym mu przez Asseco Data Systems wyłącznie w zakresie określonym w ust. 1 i wyłącznie w zakresie przedmiotu Umowy. 3. PARTNER zobowiązuje się do zastosowania przy przetwarzaniu danych osobowych, o których mowa w ust. 2, środków technicznych i organizacyjnych zapewniających ochronę danych co najmniej w zakresie określonym w art. 36-39 Ustawy. 4. PARTNER jest zobowiązany zapewnić, aby urządzenia i systemy informatyczne służące do przetwarzania powierzonych mu danych były zgodne z wymogami rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100, poz. 1024, z późn. zm.). 5. Zgodnie z art. 37 Ustawy wszystkie osoby zatrudnione u PARTNERA, które będą uczestniczyły w przetwarzaniu Danych osobowych muszą zostać upoważnione przez PARTNERA do tej czynności. 6. Wszystkie osoby zatrudnione u PARTNERA, które uczestniczą w przetwarzaniu Danych osobowych są zobowiązane do podpisania oświadczenia o odpowiedzialności za ochronę danych osobowych. 7. PARTNER jest zobowiązany do posiadania rejestru, który będzie zawierał wykaz osób upoważnionych przez PARTNERA do przetwarzania Danych osobowych. 6. Obowiązki oraz odpowiedzialność Stron 1. Asseco Data Systems oświadcza, że jest Administratorem danych oraz zbioru danych osobowych, z którego pochodzą powierzane dane. 2. Asseco Data Systems oświadcza, że jest właścicielem bazy danych, w rozumieniu ustawy o ochronie baz danych, z której pochodzi baza zawierająca powierzane dane. 3. Dane osobowe są powierzone PARTNEROWI i mogą być przez niego wykorzystane jedynie w celu realizacji Usług zgodnie z warunkami podanymi w 1. 4. Asseco Data Systems ma prawo do kontroli, czy przetwarzanie przez PARTNERA powierzonych Danych osobowych jest zgodne z postanowieniami Umowy oraz Ustawy. 3
5. PARTNER zobowiązuje się do przetwarzania powierzonych Danych osobowych wyłącznie w zakresie i celu przewidzianym w 1. PARTNER ponosi odpowiedzialność za przetwarzanie danych niezgodnie z Umową oraz za naruszenia Ustawy. PARTER zobowiązuje się do zastosowania przy przetwarzaniu Danych osobowych środków technicznych i organizacyjnych, przewidzianych w art. 36.-39a Ustawy oraz w przepisach wykonawczych do Ustawy. 6. PARTNER zobowiązuje się zgodnie z art. 31 ust. 3 Ustawy do szczególnie starannego zabezpieczenia danych przed dostępem osób niepowołanych oraz do kontroli przebiegu procesu przetwarzania na każdym jego etapie. 7. Baza, zawierająca powierzane PARTNEROWI dane, nie może być wykorzystana w inny sposób niż w celu opisanym w Umowie, w szczególności nie może być przekazana lub udostępniona jakiemukolwiek innemu podmiotowi. PARTNER zobowiązany jest ponadto do nie ujawniania i nie przetwarzania danych w innym celu niż opisany w Umowie, również po jej zakończeniu. 8. PARTNER ponosić będzie odpowiedzialność za wszelkie udokumentowane szkody, które Asseco Data Systems poniosło na skutek bezprawnych działań podjętych przez pracowników PARTNERA. 9. Obie Strony zobowiązane są w okresie obowiązywania Umowy oraz po jej wygaśnięciu, do zachowania tajemnicy przedsiębiorstwa, w rozumieniu ustawy z dnia 16.04.1993 r. o zwalczaniu nieuczciwej konkurencji (t.j. Dz.U. z 2003 r. Nr 153, poz. 1503, z późn. zm.), w których posiadanie wejdą przy wykonywaniu usług. 10. Przez tajemnicę przedsiębiorstwa uważa się w szczególności wszelkie informacje przekazane PARTNEROWI za wyjątkiem informacji jawnych. Informacje Asseco Data Systems uznaje się za jawne tylko wtedy, gdy zostały podane do publicznej wiadomości, zostały przekazane poprzez oficjalne wypowiedzi oraz publikacje rzecznika prasowego Asseco Data Systems lub ujawnione w inny sposób za pisemną zgodą Asseco Data Systems. 11. PARTNER zakończy przetwarzanie danych w przypadku: a) zakończenia świadczenia Usług, b) w innym momencie, określonym w Umowie Autoryzującej Punkt Potwierdzania Tożsamości, c) z chwilą rozwiązania Umów. 7. Kary 1. W przypadku nałożenia na Asseco Data Systems prawomocnej kary zgodnie z ustawą o ochronie danych osobowych za niezgodne z prawem przetwarzanie danych osobowych przez PARTNERA, PARTNER poniesie wobec Asseco Data Systems odpowiedzialność w wysokości 100% kary nałożonej na Asseco Data Systems. 2. PARTNER zobowiązuje się do pokrycia prawomocnych kar nałożonych na Asseco Data Systems zgodnie z Ustawą, które wynikną wskutek zawinionego niewykonania lub nienależytego wykonania przez PARTNERA zobowiązań określonych w Umowie, pod warunkiem, iż Asseco Data Systems niezwłocznie poinformuje PARTNERA o wszczęciu przez kogokolwiek jakichkolwiek kroków zmierzających do nałożenia na Asseco Data Systems kar związanych z realizacją niniejszej Umowy. W takim przypadku Asseco Data Systems umożliwi PARTNEROWI w zakresie dopuszczonym przez prawo bądź formalne przystąpienie do takiego postępowania jako podmiot posiadający interes prawny w jego zakończeniu, bądź monitorowanie takiego postępowanie za zgodą, wiedzą i pomocą Asseco Data Systems. Powyższe uregulowanie, warunkujące odpowiedzialność PARTNERA względem Asseco Data Systems, dotyczy także sytuacji, w których Asseco Data Systems, przed uprawomocnieniem się nałożonych na niego kar, o których mowa powyżej, podejmie z podmiotem nakładającym na niego te kary działania w celu zawarcia stosownej ugody lub porozumienia w zakresie ich uiszczenia 8. Współdziałanie Stron 1. Strony ustalają, że podczas realizacji niniejszej Umowy będą ze sobą ściśle współpracować za pośrednictwem, upoważnionych osób, informując się wzajemnie o wszystkich okolicznościach mających lub mogących mieć wpływ na wykonanie Umowy. 2. PARTNER nie może powierzyć wykonania czynności wynikających z Umowy innej osobie bez uprzedniej zgody Asseco Data Systems na piśmie. 4
9. Czas obowiązywania Umowy 1. Niniejsza umowa zostaje zawarta na czas nieokreślony. 2. Niezależnie od postanowień 8, Umowa wygasa z dniem wygaśnięcia lub rozwiązania Umowy Autoryzującej Punkt Potwierdzania Tożsamości. 10. Wypowiedzenie i odstąpienie od Umowy 1. Umowa może zostać rozwiązana przez Strony na podstawie porozumienia Stron w każdym czasie. 2. Każda ze Stron może od Umowy odstąpić w przypadku istotnego naruszenia postanowień Umowy przez drugą Stronę. W takim przypadku Strona zamierzająca odstąpić od Umowy obowiązana jest wezwać drugą Stronę do zaprzestania naruszeń, wyznaczając jej w tym celu dodatkowy termin na zaniechanie naruszeń, nie krótszy niż 3 dni. Po bezskutecznym upływie powyższego terminu, strona może od Umowy odstąpić ze skutkiem natychmiastowym. 11. Postanowienia końcowe 1. W przypadku wygaśnięcia lub rozwiązania niniejszej Umowy PARTNER jest bezwzględnie zobowiązany do zwrotu powierzonych mu Danych osobowych oraz skasowania wszelkich kopii tych danych, będących w jego posiadaniu oraz zobowiązany jest do podjęcia stosownych działań w celu wyeliminowania możliwości dalszego przetwarzania danych powierzonych na postawie Umowy. 2. Wszelkie zmiany do Umowy powinny być sporządzone w formie pisemnej pod rygorem nieważności. 3. W sprawach nie uregulowanych niniejszą Umową zastosowanie będą miały przepisy prawa polskiego, w szczególności przepisu Ustawy oraz Kodeksu cywilnego. 4. W przypadku sporów podlegają one rozstrzygnięciu przez Sąd powszechny właściwy dla siedziby pozwanego. 5. Umowa wchodzi w życie z dniem jej zawarcia. 6. Umowa została zawarta w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron....... Podpis i pieczątka PARTNERA Asseco Data Systems 5