UMOWA POWIERZENIA PRZETWARZANIA DANYCH​

Zawarta pomiędzy

…………………………………………….

…………………………………………….

…………………………………………….

jako Zleceniodawca

a

WIOD Sp. z o.o., ul. gen. W. Sikorskiego 166/0.03, 18-400 Łomża, KRS: 0000879109, NIP: 7182156911 zarejestrowana w Sądzie Rejonowym w Białymstoku, XII Wydział Gospodarczy Krajowego Rejestru Sądowego, kapitał zakładowy 50,000 zł, opłacony w całości.

jako Zleceniobiorca

§1 Cel

  1. Niniejsza umowa dotyczy powierzenia przetwarzania danych i jest częścią warunków świadczenia usług drogą elektroniczną przez WIOD Sp. z o.o. określonych regulaminem dostępnym na stronie https://wiod.pl/regulamin-serwisu-wiod-app/, pomiędzy Zleceniodawcą a Zleceniobiorcą.
  2. Niniejsza umowa określa warunki na jakich Zleceniobiorca przy realizacji usług drogą elektroniczną, ma prawo do przetwarzania danych osobowych zgodnie z instrukcją Zleceniodawcy, mając na uwadze takie uregulowanie zasad przetwarzania danych osobowych, aby odpowiadały w pełni postanowieniom  Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO).
  3. Zgodnie z definicjami w ogólnym rozporządzeniu o ochronie danych przyjmuje się:
    • Zleceniodawcę (w skrócie Administrator lubADO)- jako
      • Administratora danych osobowych (ang.: "Controller");
      • Pierwotny podmiot przetwarzający, który posiada zgodę ogólną lub szczególną na dalsze powierzenie danych do Zleceniobiorcy;
    • Zleceniobiorcę - jako Podmiot przetwarzający (ang.: "Processor") lub kolejny podmiot przetwarzający, w skrócie Procesor lub PP.
  2. Każda ze stron ma obowiązek stosować się do obowiązujących przepisów o ochronie danych osobowych, w szczególności w stosunku do usług świadczonych na terytorium Unii Europejskiej - obowiązującego ogólnego rozporządzenia o ochronie danych. Procesor oświadcza, że jego działalność jest prowadzona zgodnie z RODO oraz zgodnie z innymi przepisami prawa powszechnie obowiązującego.

§2 Środki ochrony

  1. Procesor zapewnia, że przy przetwarzaniu powierzonych danych osobowych stosuje odpowiednie i adekwatne środki ochrony informacji.
  2. Procesor jest zobowiązany udostępnić Administratorowi, na jego żądanie, wszelkie informacje, w szczególności dotyczące prawidłowego przetwarzania danych osobowych powierzonych mu przez Administratora, na temat stosowanych środków bezpieczeństwa ochrony danych, aby umożliwić Administratorowi wykazanie, że Procesor jest w stanie zapewnić odpowiednie gwarancje przetwarzania danych, czyli posiada wdrożone odpowiednie środki techniczne i organizacyjne, by przetwarzanie danych spełniało wymogi RODO.
  3. Jeżeli informacje, o których mowa powyżej, są traktowane jako informacje poufne lub są to informacje mające charakter tajemnicy przedsiębiorstwa, Procesor przed ich przekazaniem zobowiąże Administratora do zachowania poufności a Administrator to zobowiązanie przyjmie bez zastrzeżeń.
  4. Informacje o których mowa w ust. 2, których może żądać Administrator, dotyczą również zobowiązań Procesora z §7 ust. 2.
  5. W przypadku, gdy Procesor świadczy usługi zgodnie z przyjętym kodeksem postępowania lub usługi są certyfikowane, Procesor może udostępnić Administratorowi protokół z cyklicznych audytów.
  6. Administrator ma prawo żądać przeprowadzenia własnego audytu drugiej strony u Procesora, w zwyczajnych godzinach pracy Procesora. O terminie audytu  Administrator informuje Procesora minimum 30 dni przed jego rozpoczęciem.
  7. Zgłoszenie żądania audytu musi zawierać:
    1. proponowany czas i miejsce przeprowadzenia audytu,
    2. podstawę prawną,
    3. proponowany zakres audytu,
    4. osoby upoważnione przez Administratora.
  8. Koszt audytu w tym:
    1. udostępnienie personelu,
    2. konieczność udostępnienia pomieszczeń własnych lub podmiotów, którym przetwarzanie powierzono, które mogą spowodować przestój w pracy, ponosi w całości Administrator.
  9. Wszyscy pracownicy Procesora, biorący udział w przetwarzaniu danych Administratora, posiadają odpowiednie kwalifikacje, ważne upoważnienia do przetwarzania danych osobowych a także są zobowiązani do zachowania ich w tajemnicy.

§3 Podpowierzenie

  1. Administrator wyraża ogólną i bezterminową zgodę na podpowierzenie przetwarzania danych osobowych umieszczanych w serwisie wiod.app, przy czym zgoda ta dotyczy wyłącznie podmiotów:
    • świadczących usługę wsparcia informatycznego, w tym administratorów aplikacji czy baz danych,
    • świadczących usługę hostingu i kolokacji danych.
  2. Procesor publikuje w Załączniku nr 1 do umowy, podmioty którym dane powierza do przetwarzania.
  3. Podpowierzenie będzie następować wyłącznie na podstawie pisemnej umowy i zgodnie z ogólnym rozporządzeniem o ochronie danych, w szczególności zgodnie z art. 28 ust. 4 tego rozporządzenia, na podprocesora, na mocy umowy zawartej między nim a Procesorem, nałożone zostaną te same obowiązki ochrony danych jak w umowie między Zleceniobiorcą a Zleceniodawcą.
  4. Procesor zapewnia, że podmiot, któremu dane podpowierzono (podprocesor), spełnia wszystkie niezbędne wymogi ochrony danych.
  5. Na żądanie Administratora, Procesor dostarczy wszystkich niezbędnych informacji o działaniach, środkach ochrony informacji i o zastosowaniu przepisów o ochronie danych osobowych u podprocesora.

§4 Czas trwania umowy

  1. Czas trwania usługi przetwarzania danych związany jest bezpośrednio z usługą świadczoną drogą elektroniczną przez WIOD Sp. z o.o. określającą warunki świadczenia usług przez Zleceniobiorcę.
  2. Niniejsza umowa wygasa w chwili, w której wygasają inne, pozostałe umowy o świadczenie usług elektronicznych przez Zleceniobiorcę w tym umowa subskrypcji serwisu wiod.app.

§5 Zakres, cel, charakter przetwarzania

  1. Celem umowy jest wykonywanie przez Procesora czynności przetwarzania danych związanych z przechowywaniem, kopiowaniem, udostępnianiem oraz usuwaniem danych osobowych, które Zleceniodawca sam umieszcza w systemie informatycznym Zleceniobiorcy.
  2. Administrator samodzielnie wykonuje takie czynności przetwarzania jak: wprowadzanie danych, modyfikowanie, drukowanie, przenoszenie na nośniki zewnętrzne, nadawanie uprawnień do danych osobom trzecim, zlecenie kopiowania, zlecenie usunięcia danych.
  3. Przetwarzane są dane zwykłe, w szczególności:
    • imię i nazwisko,
    • adres email,
    • wizerunek,
    • czynności osób wykonywane w serwisie,
    • dane behawioralne, w tym: opis zdarzeń, opis incydentów z udziałem tych osób itp.
  4. Dane o których mowa w ust. 2 dotyczą w szczególności pracowników oraz kontrahentów Zleceniodawcy oraz osób, z którymi Zleceniodawca prowadzi korespondencję (sprawy) lub obsługuje wnioski.
  5. Na zlecenie Administratora i tylko przy jego udziale, do systemu mogą trafić dane szczególnych kategorii, które zostały zdefiniowane w art. 9 ust. 1 RODO.
  6. Wszystkie czynności Procesor wykonuje na polecenie Administratora i na podstawie jego instrukcji, bądź zgodnie z umową o świadczenie usług elektronicznych przez WIOD Sp. z o.o.

§6 Obowiązki Administratora

  1. W celu odpowiedniego przetwarzania danych, Administrator ma obowiązek dostarczyć wszystkie niezbędne instrukcje na piśmie (elektronicznie lub tradycyjnie) i pozostaje odpowiedzialny za wykonanie tych instrukcji.
  2. Administrator oświadcza i gwarantuje, że:
    • ma odpowiednią podstawę prawną do przetwarzania i ujawniania danych osobowych podmiotowi przetwarzającemu w ramach świadczenia usług,
    • wykonał wszystkie niezbędne procedury związane z powierzeniem danych w tym szacowanie ryzyka i wpływ na bezpieczeństwo powierzanych danych,
    • dokonał przeglądu dostarczonych informacji na temat ochrony danych w tym zastosowanych środków organizacyjnych i technicznych u Procesora,
    • dostarczy wszelkich niezbędnych informacji, aby Procesor mógł wpisać do swojego rejestru odpowiednie czynności przetwarzania danych.
  3. Administrator jest odpowiedzialny za zabezpieczenie zasobów, ochronę systemów i aplikacji oraz ich aktualizację, z których dokonuje dostępu do serwisu wiod.app.
  4. Procesor w żadnym wypadku nie odpowiada za incydenty związane z bezpieczeństwem danych osobowych, które powstały podczas wykonywania czynności przez pracowników Administratora, na danych powierzonych, w szczególności, gdy:
    • dane zostały skasowane,
    • dane zostały zmienione przez nieuprawnione osoby,
    • dane zostały ujawnione nieautoryzowanym osobom, chyba że umowa o świadczenie usług elektronicznych stanowi inaczej.

§7 Obowiązki Procesora

  1. Podczas wykonywania czynności przetwarzania zgodnie z §5 ust. 1 Procesor postępuje zgodnie z instrukcjami Administratora.
  2. Procesor zobowiązuje się do:
    • przetwarzać dane osobowe i wykorzystywać je wyłącznie, jeżeli jest to niezbędne do świadczenia usług, zgodnie z umową o świadczenie usług elektronicznych, oraz nie przetwarzać danych nadmiarowych, zbędnych do celów, zgodnie z którymi są przetwarzane;
    • nie uzyskiwać dostępu i nie wykorzystywać danych Administratora do innych celów niż wymagane do świadczenia usług w szczególności:
      1. na potrzeby profilowania,
      2. na potrzeby marketingu bezpośredniego;
    • wdrożenia organizacyjnych i technicznych środków ochrony danych w celu zapewnienia poufności i integralności danych osobowych w ramach przetwarzania, w szczególności wdraża środki ochrony:
      • przed przetwarzaniem niezgodnym z prawem,
      • przed przypadkowym zagubieniu i utracie danych,
      • przed przypadkowemu zniszczeniu lub uszkodzeniu danych;
      • przed udostępnieniem danych osobom nieuprawnionym;
    • wydania swoim pracownikom niezbędnych upoważnień do przetwarzania danych;
    • poinformowania swoich pracowników przetwarzających powierzone dane o konieczności zachowania poufności;
    • zapewnienia szkoleń z zakresu ochrony danych dla swoich pracowników;
    • uwzględniając charakter przetwarzania oraz dostępne Procesorowi informacje, pomaga wywiązać się Administratorowi z obowiązków, zgodnie z art. 28 ust. 3 lit f) RODO;
    • informowania Administratora, jeżeli w opinii Procesora, wydana dyspozycja jest niezgodna z krajowymi lub unijnymi prawem dotyczącym ochrony danych;
    • wspierać Administratora w obsłudze wniosków o dostęp, modyfikację, przeniesienie, i usunięcie danych oraz ograniczenie ich przetwarzania;
    • poinformowania Administratora w przypadku otrzymania wniosku od właściwego organu sądowego lub prawnego dotyczącego danych Administratora, chyba że jest to wyraźnie zabronione przez prawo lub nakaz tego organu;
    • przetwarzania danych w sposób gwarantujący umożliwienie Administratorowi wykazanie przestrzegania przepisów RODO, zgodnie z art. 5 ust. 2 RODO;
  3. Administrator przyjmuje do wiadomości, że wskazane w ust. 2 lit. h) RODO wsparcie będzie realizowane w rozsądnym zakresie, a Procesor zobowiązuje się współdziałać z Administratorem w powyższym zakresie oraz wynikającym z §2 ust. 1, 2 i 5.

§8 Odpowiedzialność

  1. Procesor odpowiada za szkody spowodowane przetwarzaniem tylko i wyłącznie wtedy, gdy:
    • nie wypełnił obowiązków wynikających z ogólnego rozporządzenia o ochronie danych osobowych (RODO / GDPR);
    • działał wbrew niniejszej umowie, umowie o świadczenie usług elektronicznych lub instrukcjom Administratora.
  2. W przypadku, gdy podczas przetwarzania danych powstała szkoda lub Procesor naruszył postanowienia umowy bądź umowy o świadczenie usług elektronicznych, Administrator ma prawo ubiegać się o rekompensatę przez Procesora, w wysokości nie przewyższającej 5 krotności opłaty abonamentowej (kara umowna) za każde naruszenie.
  3. Odpowiedzialność odszkodowawcza, niezależnie od źródła i charakteru roszczeń jest ograniczona do kwoty 20 krotności abonamentu miesięcznego płaconego przez Zleceniodawcę.
  4. Odpowiedzialność odszkodowawcza za utracone korzyści jest całkowicie wyłączona.

§9 Lokalizacja danych

  1. Procesor zapewnia, że powierzone dane przetwarzane będą wyłącznie na terenie EOG.
  2. W przypadku, gdy Administrator w czynności przetwarzania poleca Procesorowi transfer danych poza kraje EOG, Administrator jest zobowiązany do posiadania podstawy na przekazanie danych zgodnie z rozdziałem 5 RODO.

§10 Naruszenie bezpieczeństwa

  1. Procesor, bez zbędnej zwłoki, nie później niż w terminie 24 godzin po stwierdzeniu naruszenia, poinformuje Administratora o wszelkich wykrytych przez niego zdarzeniach naruszających bezpieczeństwo danych osobowych, w szczególności gdy dojdzie do:
    • nieuprawnionego dostępu,
    • ujawnienia,
    • utraty,
    • lub modyfikacji danych.

§11 Zakończenie współpracy

  1. Procesor w żaden sposób nie ogranicza Administratorowi prawa ani dostępu do pobierania, modyfikowania lub usuwania danych.
  2. W chwili zakończenia współpracy Procesor zobowiązuje się do natychmiastowego usunięcia przekazanych danych ze wszystkich swoich rejestrów wliczając w to (ale nie tylko):
    • nośniki tradycyjne (np. wydruki),
    • wykonane kopie bezpieczeństwa, chyba, że umowa o świadczenie usług elektronicznych, prawo Unii lub prawo krajowe nakazuje przechowywanie danych osobowych.

§12 Postanowienia końcowe

  1. Umowa została sporządzona w dwóch egzemplarzach, po jednym dla każdej ze stron.
  2. Umowa zostaje elektronicznie zawarta za pomocą zgody wyrażonej przez Zlecającego. Bez wyrażenia zgody, pewna część serwisu Wirtualny Inspektor Ochrony Danych może nie być dostępna.
  3. Wszelkie zmiany, uzupełnienia, rozwiązanie lub wypowiedzenie umowy może być dokonane przez Zleceniobiorcę. Zleceniodawcy każdorazowo przy zmianie treści umowy, przysługuje jej wypowiedzenie, bez wskazania przyczyny oraz w trybie natychmiastowym.
  4. Umowa wchodzi w życie z dniem jej zawarcia w systemie informatycznym.
  5. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej umowy będzie sąd właściwy dla Procesora.
  6. W przypadkach nie zawartych w niniejszej umowie mają zastosowanie:
    • postanowienia umowy o świadczenie usług elektronicznych,
    • przepisy Kodeksu Cywilnego oraz
    • przepisy Ogólnego Rozporządzenia Ochrony Danych Osobowych.
  1. Integralną częścią niniejszej umowy jest umowa o świadczenie usług elektronicznych oraz Załącznik nr 1.
Umowa została zawarta w sposób elektroniczny.   Załącznik 1. Zleceniobiorca powierza przetwarzanie danych:
  1. Hosting i kolokacja: Nask S.A., NIP9512421815, KRS0000644422, ul. Wąwozowa 18 /010, 02-796 Warszawa, DataCenter NASK, ul. 11 Listopada 23, 03-446 Warszawa