REGULAMIN POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

 

  • 1.

Przedmiot Regulaminu

  1. Przedmiotem Regulaminu jest opisanie zasad powierzania przetwarzania danych osobowych, stosownie do art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE L z dnia 4 maja 2016 r., dalej: RODO), w związku z korzystaniem z Platformy.
  2. Przed zawarciem Umowy Administrator Danych Osobowych jest zobowiązany zapoznać się z treścią Regulaminu, a następnie zaakceptować jego treść. Zawarcie Umowy następuje z chwilą akceptacji Regulaminu przez Administratora Danych Osobowych.

 

  • 2.

Definicje

Użyte w Regulaminie pojęcia oznaczają, co następuje:

  1. Administrator Danych Osobowych — przez „Administratora Danych Osobowych” należy rozumieć osobę fizyczną, osobę prawną lub jednostkę organizacyjną wyposażoną w zdolność prawną, która korzysta z Platformy i w tym celu zawiera Umowę Główną z Podmiotem Przetwarzającym;
  2. audyt — przez „audyt” należy rozumieć niezależny audyt przetwarzania danych osobowych w organizacji Podmiotu Przetwarzającego, mający na celu potwierdzenie, że przetwarzanie danych osobowych przez Podmiot Przetwarzający odbywa się zgodnie z Umową oraz obowiązującymi przepisami z zakresu ochrony danych osobowych, w szczególności Rozporządzenia 2016/679;
  3. audytor — przez „audytora” należy rozumieć niezależny podmiot zajmujący się profesjonalnie przeprowadzaniem audytów w zakresie danych osobowych, upoważniony przez Administratora Danych Osobowych do przeprowadzenia w jego imieniu audytu, którego wybór zostanie każdorazowo uzgodniony i dokonany przez Administratora Danych Osobowych wspólnie i w porozumieniu z Podmiotem Przetwarzającym, przy czym audytorem nie może być podmiot, który prowadzi działalność konkurencyjną wobec Podmiotu Przetwarzającego (lub jego podmiotów powiązanych) lub jest powiązany, bezpośrednio lub pośrednio, z jakimkolwiek podmiotem prowadzącym działalność konkurencyjną wobec Podmiotu Przetwarzającego (lub jego podmiotów powiązanych);
  4. dane osobowe — przez „dane osobowe” należy rozumieć wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
  5. naruszenie ochrony danych osobowych — przez „naruszenie ochrony danych osobowych” należy rozumieć naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
  6. Platforma — przez „Platformę” należy rozumieć system teleinformatyczny pod nazwą „easyPartnering” należący do Podmiotu Przetwarzającego, który jest dostępny pod adresem elektronicznym https://easypartnering.pl i w ramach którego Podmiot Przetwarzający udostępnia zasoby teleinformatyczne Administratorowi Danych Osobowych; 
  7. podmiot danych — przez „podmiot danych” należy rozumieć osobę fizyczną, której dane osobowe zostały powierzone Podmiotowi Przetwarzającemu do przetwarzania;
  8. Podmiot Przetwarzający — przez „Podmiot Przetwarzający” należy rozumieć EASY PARTNERING Spółkę z ograniczoną odpowiedzialnością z siedzibą w Lublinie przy ul. Frezerów 3, 20-209 Lublin, wpisaną do Krajowego Rejestru Sądowego pod numerem KRS: 0000782923, której akta rejestrowe przechowuje Sąd Rejonowy Lublin-Wschód w Lublinie, VI Wydział Gospodarczy KRS, posługującą się numerem NIP: 9462688202 oraz REGON: 38314705400000, kapitał zakładowy 5.000 zł;
  9. przetwarzanie danych osobowych — przez „przetwarzanie danych osobowych” należy rozumieć operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
  10. Strony — przez „Strony” należy rozumieć Administratora Danych Osobowych oraz Podmiot Przetwarzający;
  11. środki komunikacji elektronicznej — przez „środki komunikacji elektronicznej” należy rozumieć rozwiązania techniczne, w tym urządzenia teleinformatyczne i współpracujące z nimi narzędzia programowe, umożliwiające indywidualne porozumiewanie się na odległość przy wykorzystaniu transmisji danych między systemami teleinformatycznymi, a w szczególności pocztę elektroniczną;
  12. Umowa — przez „Umowę” należy rozumieć umowę powierzenia przetwarzania danych osobowych zawieraną pomiędzy Administratorem Danych Osobowych a Podmiotem Przetwarzającym na podstawie niniejszego Regulaminu;
  13. Umowa Główna — przez „Umowę Główną” należy rozumieć umowę o świadczenie usług związanych z korzystaniem z Platformy zawartą pomiędzy Administratorem Danych Osobowych a Podmiotem Przetwarzającym w zakresie podstawowego stosunku prawnego; 
  14. Rozporządzenie 2016/679 — przez „Rozporządzenie 2016/679” należy rozumieć rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.  Urz. UE L z dnia 4 maja 2016 r.).

 

  • 3.

Powierzenie przetwarzania danych osobowych

  1. Strony niniejszym oświadczają, że zawarły Umowę Główną, z której wykonaniem wiąże się konieczność powierzenia Podmiotowi Przetwarzającemu danych osobowych do przetwarzania w imieniu Administratora Danych Osobowych.
  2. Na podstawie Umowy Administrator Danych Osobowych powierza Podmiotowi Przetwarzającemu dane osobowe do przetwarzania, a Podmiot Przetwarzający zobowiązuje się przetwarzać dane osobowe na zasadach określonych Umową.
  3. Administrator Danych Osobowych oświadcza, że będzie samodzielnie wypełniać wszelkie obowiązki informacyjne względem podmiotów danych, których dane osobowe zostały powierzone Podmiotowi Przetwarzającemu do przetwarzania, chyba że Strony postanowią inaczej. 
  4. Podmiot Przetwarzający oświadcza, że dokonał wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie powierzonych danych spełniało wymogi rozporządzenia i chroniło prawa podmiotów danych. Podmiot Przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą Umową, Rozporządzeniem 2016/679 oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa podmiotów danych.

 

  • 4.

Charakter i cel przetwarzania

  1. Charakter przetwarzania danych osobowych wynika z Umowy Głównej, tj. przetwarzanie danych osobowych przez Podmiot Przetwarzający wiąże się z przetwarzaniem danych osobowych w sposób zautomatyzowany i niezautomatyzowany, w systemach informatycznych oraz poza systemami informatycznymi (dokumentacja papierowa), oraz będzie obejmowało takie czynności, jak: utrwalanie, organizowanie, porządkowanie, przechowywanie, modyfikowanie, przeglądanie, wykorzystywanie, przesyłanie, udostępnianie,  ograniczenie przetwarzania, usuwanie i niszczenie danych osobowych. 
  2. Przetwarzanie danych osobowych przez Podmiot przetwarzający będzie miało na celu, zgodnie z Umową Główną, wykonywanie usług związanych z udostępnieniem Platformy do korzystania przez Administratora Danych Osobowych. Powierzenie przetwarzania danych osobowych jest niezbędne do wykonywania obowiązków przewidzianych w Umowie Głównej. 
  3. Podmiot Przetwarzający nie może przetwarzać powierzonych danych osobowych w jakichkolwiek celach nieuzgodnionych z Administratorem Danych Osobowych.

 

  • 5.

Rodzaje powierzonych danych osobowych

  1. Administrator Danych Osobowych powierza Podmiotowi Przetwarzającemu przetwarzanie następujących kategorii danych osobowych:
  1. ____________________________;  
  2. ____________________________;
  3. ____________________________;
  4. ____________________________;
  5. ____________________________.
  1. Podmiot Przetwarzający nie może bez wiedzy i zgody Administratora Danych Osobowych przetwarzać w jego imieniu innych danych osobowych niż określone w ust. 1.

 

  • 6.

Kategorie osób, których dane osobowe dotyczą

Administrator Danych Osobowych powierza Podmiotowi Przetwarzającemu przetwarzanie danych osobowych dotyczących następujących kategorii podmiotów danych:

  1. ____________________________;  
  2. ____________________________;
  3. ____________________________;
  4. ____________________________;
  5. ____________________________.

 

  • 7.

Czas powierzenia przetwarzania danych osobowych

  1. Administrator Danych Osobowych powierza Podmiotowi Przetwarzającemu przetwarzanie danych osobowych na czas trwania Umowy Głównej. 
  2. Umowa zostaje zawarta na okres obowiązywania Umowy Głównej i wygasa lub rozwiązuje się równocześnie z chwilą wygaśnięcia lub rozwiązania Umowy Głównej. 
  3. Z chwilą wygaśnięcia lub rozwiązania Umowy Podmiot Przetwarzający jest zobowiązany zaprzestać dalszego przetwarzania danych osobowych w imieniu Administratora Danych Osobowych. W przypadku naruszenia tego postanowienia będzie uznawany za administratora danych osobowych w odniesieniu do danych osobowych przetwarzanych bez polecenia Administratora Danych Osobowych.
  4. Z zastrzeżeniem ust. 5-7, z chwilą wygaśnięcia lub rozwiązania niniejszej Umowy Podmiot Przetwarzający jest zobowiązany, według wyboru Administratora Danych Osobowych, do:
  1. usunięcia wszelkich istniejących kopii danych osobowych — najpóźniej w terminie  14 (słownie: czternastu) dni od dnia otrzymania żądania Administratora Danych Osobowych, albo
  2. zwrotu powierzonych danych osobowych Administratorowi Danych Osobowych w sposób określony przez Administratora Danych Osobowych — najpóźniej w terminie 14 (słownie: czternastu) dni od dnia otrzymania żądania Administratora Danych Osobowych.
  1. Podmiot Przetwarzający nie jest zobowiązany do usunięcia lub zwrotu danych osobowych wówczas, gdy prawo polskie lub prawo europejskie nakazuje mu w dalszym ciągu przechowywać dane osobowe, niezależnie od wygaśnięcia lub rozwiązania niniejszej Umowy.
  2. Podmiot Przetwarzający nie jest zobowiązany do usunięcia lub zwrotu danych osobowych, gdy dalsze przetwarzanie powierzonych danych osobowych jest niezbędne do realizacji celów wynikających z prawnie uzasadnionych interesów Podmiotu Przetwarzającego, przez które należy rozumieć w szczególności:
  1. potrzebę wykazania przez Podmiot Przetwarzający, że należycie wykonał Umowę Główną;
  2. ustalenie, dochodzenie lub obronę przed potencjalnymi roszczeniami związanymi z realizacją Umowy Głównej, w tym również roszczeniami o naprawienie szkody wyrządzonej czynem niedozwolonym — przez okres przedawnienia tych potencjalnych roszczeń, z uwzględnieniem dodatkowego okresu na czynności związane z tymi roszczeniami;
  3. cele i obowiązki Podmiotu Przetwarzającego wynikające z odpowiednich norm lub standardów zawodowych dotyczących działalności Podmiotu Przetwarzającego;
  4. cele i obowiązki Podmiotu Przetwarzającego wynikające z wewnętrznych procedur i polityk Podmiotu Przetwarzającego, w tym zwłaszcza mających na celu wypełnienie wymogów związanych z ochroną danych osobowych.
  1. W przypadku, gdy po wykonaniu Umowy Głównej Podmiot Przetwarzający nadal przechowuje dane osobowe zgodnie z ust. 6, Podmiot Przetwarzający staje się w tym zakresie samodzielnym administratorem danych osobowych.
  2. Na żądanie Administratora Danych Osobowych Podmiot Przetwarzający potwierdzi, że wszystkie powierzone dane osobowe zostały trwale usunięte lub zwrócone Administratorowi Danych Osobowych.

 

  • 8.

Obowiązki Administratora Danych Osobowych

W ramach Umowy Administrator Danych Osobowych jest zobowiązany do:

  1. zapewnienia, by wszystkie powierzane dane osobowe były przetwarzane przez niego zgodnie z prawem, w szczególności w odniesieniu do podstawy prawnej legalizującej przetwarzanie danych osobowych;
  2. zapewnienie, by powierzenie przetwarzania danych osobowych nastąpiło zgodnie z wymogami Rozporządzenia 2016/679;
  3. współdziałania z Podmiotem Przetwarzającym w wykonaniu Umowy;
  4. udzielania Podmiotowi Przetwarzającemu wszystkich potrzebnych wyjaśnień i informacji dotyczących przetwarzania danych osobowych w jego imieniu;
  5. zawiadamiania Podmiotu Przetwarzającego o wszystkich okolicznościach mających wpływ na wykonywanie Umowy;
  6. zawiadamiania Podmiotu Przetwarzającego o wszelkich kontrolach prowadzonych przez organy państwowe, w tym Prezesa Urzędu Ochrony Danych Osobowych, jeżeli kontrola ta będzie wiązać się z działaniami Podmiotu Przetwarzającego;
  7. zawiadamiania Podmiotu Przetwarzającego o wszelkich roszczeniach podmiotów danych, związanych z przetwarzaniem danych osobowych, które zostały powierzone Podmiotowi Przetwarzającemu;
  8. powiadamiania Podmiotu Przetwarzającego o upływie przewidzianego okresu przetwarzania danych osobowych oraz konieczności ich usunięcia lub zniszczenia, zgodnie z przyjętą przez Administratora Danych Osobowych procedurą retencji danych osobowych. W przypadku, gdy Administrator Danych Osobowych nie wyda Podmiotowi Przetwarzającemu polecenia usunięcia lub zniszczenia danych Osobowych, Podmiot Przetwarzający jest zobowiązany przechowywać takie dane do czasu otrzymania stosownego polecenia. 

 

  • 9.

Obowiązki Podmiotu Przetwarzającego

  1. Podmiot Przetwarzający jest zobowiązany przetwarzać dane osobowe wyłącznie na udokumentowane polecenie Administratora Danych Osobowych i w zakresie przez niego określonym, z zastrzeżeniem 2.
  2. Podmiot Przetwarzający jest uprawniony do przetwarzania danych osobowych, jeśli obowiązek taki nakłada na niego prawo Unii Europejskiej lub prawo krajowe. W takim przypadku Podmiot Przetwarzający jest zobowiązany, przed rozpoczęciem przetwarzania danych osobowych, poinformować Administratora Danych Osobowych o tym obowiązku prawnym, o ile prawo  nie zabrania udzielenia takiej informacji ze względu na ważny interes publiczny.
  3. Za udokumentowane polecenie Administratora Danych Osobowych, o którym mowa w ust. 1, uważane będzie każdorazowo polecenie przetwarzania danych osobowych wynikające z:
  1. przedmiotu  Umowy  Głównej lub Umowy; 
  2. dokumentu sporządzonego  w formie pisemnej, podpisanego  przez osobę uprawnioną do reprezentacji Administratora Danych Osobowych;
  3. wiadomości e-mail lub sms wysłanej przez osobę uprawnioną do reprezentacji Administratora Danych Osobowych.
  1. Podmiot Przetwarzający jest zobowiązany zapewnić, aby wszystkie osoby upoważnione przez niego do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub podlegały odpowiedniemu ustawowemu obowiązkowi zapewnienia tajemnicy.
  2. Podmiot Przetwarzający jest zobowiązany zapewnić, aby dostęp do danych osobowych posiadały wyłącznie osoby upoważnione, zaznajomione z zasadami ochrony danych osobowych oraz odpowiednio przeszkolone w tym zakresie. 
  3. Podmiot Przetwarzający jest zobowiązany prowadzić rejestr wszystkich kategorii czynności przetwarzania, odnotowując w nim wszystkie informacje wymagane art. 30 ust. 2 Rozporządzenia 2016/679, chyba że na mocy prawa jest zwolniony z tego obowiązku. 
  4. Podmiot Przetwarzający jest zobowiązany w miarę możliwości wesprzeć Administratora Danych Osobowych w realizacji obowiązków wynikających z art. 32-36 RODO.
  5. Jeżeli Podmiot Przetwarzający dojdzie do wniosku, że polecenie wydane przez Administratora Danych Osobowych narusza:
  1. obowiązujące przepisy z zakresu ochrony danych osobowych;
  2. Umowę Główną lub Umowę;
  3. interesy Podmiotu Przetwarzającego, 

jest zobowiązany niezwłocznie powiadomić o tym Administratora Danych Osobowych, wskazując, jakie polecenie i dlaczego, jego zdaniem, narusza obowiązujące prawo, umowy lub interesy.

  1. W przypadkach, o których mowa w ust. 8, jeżeli Administrator Danych Osobowych pomimo powiadomienia o zastrzeżeniach podtrzymuje polecenie, Podmiot Przetwarzający może:
  1. odmówić wykonania polecenia — bez żadnych ujemnych konsekwencji z tytułu naruszenia Umowy Głównej lub Umowy albo
  2. wykonać polecenie zgodnie z żądaniem Administratora Danych Osobowych — na koszt i ryzyko Administratora Danych Osobowych. 

 

  • 10.

Dalsze powierzenie przetwarzania danych osobowych

  1. Podmiot Przetwarzający co do zasady może korzystać z usług dalszego podmiotu przetwarzającego w drodze pisemnej umowy, na mocy której na dalszy podmiot przetwarzający zostaną nałożone te same obowiązki, co na Podmiot Przetwarzający.
  2. Podpowierzając dane osobowe podmiotom trzecim do dalszego przetwarzania, Podmiot Przetwarzający jest zobowiązany kierować się zasadą minimalizmu  i przekazywać tym podmiotom jedynie dane niezbędne do świadczenia przez nie konkretnych usług, na potrzeby których dane osobowe zostają podpowierzone.
  3. Strony ustalają, że Podmiot Przetwarzający może przetwarzać dane osobowe:
  1. na terenie państwa członkowskiego Unii Europejskiej; 
  2. w innym państwie będącym sygnatariuszem Porozumienia o Europejskim Obszarze Gospodarczym (EOG);
  3. w innym państwie uznanym przez Komisję Europejską za miejsce zapewniające odpowiedni poziom ochrony danych osobowych;
  4. w innym państwie niż określone w lit. c — z zachowaniem innych mechanizmów lub zabezpieczeń przekazywania danych osobowych do państw trzecich, które są zatwierdzone i dopuszczone przez przepisy z zakresu ochrony danych osobowych. 
  1. Administrator Danych Osobowych wyraża zgodę na dalsze powierzenie przetwarzania danych osobowych takim dalszym podmiotom przetwarzającym, jak: __________________, _________________, _____________________.
  2. W sytuacji, gdy Podmiot Przetwarzający zamierza dalej powierzyć przetwarzanie danych osobowych innemu dalszemu podmiotowi przetwarzającemu niż wskazanemu w ust. 4, przed dalszym powierzeniem jest zobowiązany powiadomić o tym zamiarze Administratora Danych Osobowych. Powiadomienie uznaje się za skuteczne, jeśli zostanie wysłane na adres e-mail: __________________.
  3. Jeżeli po otrzymaniu zawiadomienia, o którym mowa w ust. 5, Administrator Danych Osobowych nie wniesie sprzeciwu w terminie 48 (słownie: czterdziestu ośmiu) godzin od chwili otrzymania zawiadomienia, Strony przyjmują, że wyraził zgodę na zamiar Podmiotu Przetwarzającego.

 

  • 11.

Bezpieczeństwo przetwarzania danych osobowych

  1. Przez cały okres trwania Umowy Podmiot Przetwarzający jest zobowiązany wdrożyć i utrzymywać odpowiednie środki techniczne oraz organizacyjne, które zapewniają stopień bezpieczeństwa przetwarzania danych osobowych odpowiadający ryzyku naruszenia praw i wolności osób, których dane osobowe są przetwarzane.
  2. W sytuacji, gdy z uwagi np. na charakter powierzanych danych osobowych lub procesy przetwarzania danych osobowych, konieczne będzie wprowadzenie dodatkowych środków bezpieczeństwa, w związku z indywidualną sytuacją Administratora Danych Osobowych, Strony ustalą zasady wprowadzenia tych środków bezpieczeństwa, z zastrzeżeniem, że koszty wprowadzenia dodatkowych środków bezpieczeństwa w każdym przypadku pokrywa Administrator Danych Osobowych. 

 

  • 12.

Zawiadamianie o podejrzeniu naruszenia ochrony danych osobowych

  1. Podmiot Przetwarzający jest zobowiązany zawiadomić Administratora Danych Osobowych o każdym podejrzeniu naruszenia lub stwierdzeniu naruszenia ochrony danych osobowych — nie później niż w terminie 48 (słownie: czterdziestu ośmiu) godzin od chwili powzięcia informacji o podejrzeniu naruszenia lub stwierdzeniu naruszenia ochrony danych osobowych. Zawiadomienie powinno być skierowane na adres e-mail wskazany przez Administratora Danych Osobowych.
  2. W zawiadomieniu Podmiot Przetwarzający jest zobowiązany wskazać okoliczności zdarzenia, prawdopodobne przyczyny oraz środki, jakie zostały zastosowane  lub powinny być zastosowane w związku ze zdarzeniem w celu zminimalizowania negatywnych skutków dla podmiotów danych.
  3. Podmiot Przetwarzający jest zobowiązany zapewnić Administratorowi Danych Osobowych możliwość uczestniczenia w wyjaśnianiu okoliczności zdarzenia.
  4. W przypadku, gdy naruszenie lub podejrzenie naruszenia ochrony danych osobowych zostało spowodowane przez Administratora Danych Osobowych lub inne podmioty przetwarzające, lecz w zakresie danych osobowych, które zostały powierzone Podmiotowi Przetwarzającemu, Administrator Danych Osobowych jest zobowiązany powiadomić o tym Podmiot Przetwarzający najpóźniej w terminie 48 (słownie: czterdziestu ośmiu) godzin od chwili powzięcia takiej informacji. 
  5. W przypadku naruszenia ochrony danych osobowych, które:
  1. powstało z wyłącznej winy Administratora Danych Osobowych, w zakresie danych powierzonych Podmiotowi Przetwarzającemu — koszty obsługi naruszenia ponosi Administrator Danych Osobowych;
  2. powstało z wyłącznej winy Podmiotu Przetwarzającego, w zakresie danych powierzonych Podmiotowi Przetwarzającemu — koszty obsługi naruszenia ponosi Podmiot Przetwarzający;
  3. powstało zarówno z winy Administratora Danych Osobowych, jak i Podmiotu Przetwarzającego — koszt obsługi naruszenia są ponoszone przez obie Strony, proporcjonalnie do stopnia przyczynienia się do naruszenia. 

 

  • 13.

Kontrola Podmiotu Przetwarzającego

  1. Administrator Danych Osobowych ma prawo do kontroli, czy środki zastosowane przez Podmiot Przetwarzający przy przetwarzaniu powierzonych danych odpowiadają Umowie, i przeprowadzenia audytu. 
  2. W celu skorzystania z prawa audytu Administrator Danych Osobowych z odpowiednim wyprzedzeniem wynoszącym nie mniej niż 14 (słownie: czternaście) dni kalendarzowych przed planowaną kontrolą składa zawiadomienie o zamiarze kontroli. Informacja taka będzie przekazana drogą elektroniczną na adres e-mail wskazany przez Podmiot Przetwarzający.
  3. Audyt jest przeprowadzany na koszt Administratora Danych Osobowych, co obejmuje wynagrodzenie wyznaczonego audytora, a także koszty Podmiotu Przetwarzającego związane z zaangażowaniem czasowym i delegowaniem odpowiedniego personelu Podmiotu Przetwarzającego — Administrator Danych Osobowych zostanie obciążony kosztami Podmiotu Przetwarzającego według standardowych stawek godzinowych stosowanych przez Podmiot Przetwarzający. 
  4. Audyt powinien zostać przeprowadzony zgodnie z przepisami z zakresu ochrony danych osobowych, wewnętrznymi procedurami i politykami Podmiotu Przetwarzającego oraz zasadami dotyczącymi sposobu i zakresu przeprowadzania audytu uzgodnionymi uprzednio przez Podmiot Przetwarzający z Administratorem Danych Osobowych. W przypadku zlecenia kontroli przez Administratora Danych Osobowych  audytorowi warunkiem przeprowadzenia kontroli jest uprzednie zawarcie przez audytora oraz Podmiot Przetwarzający umowy o zachowaniu poufności, o treści określonej przez Podmiot Przetwarzający, przy czym zawarcie umowy może polegać również na akceptacji odrębnego regulaminu.
  5. Podmiot Przetwarzający ma prawo odmówić, w uzasadnionym zakresie, przekazania Administratorowi Danych Osobowych lub audytorowi informacji, udostępnienia materiałów lub swoich obiektów do audytu w przypadku, gdy w ocenie Podmiotu Przetwarzającego mogłoby to spowodować zagrożenie bezpieczeństwa (poufności, dostępności lub integralności) danych Podmiotu Przetwarzającego lub klientów Podmiotu Przetwarzającego, w tym w szczególności poprzez ujawnienie rozwiązań organizacyjnych lub technologicznych stosowanych przez Podmiot Przetwarzający w celu ochrony danych osobowych, a tym samym przyczynić się do zmniejszenia poziomu ochrony jakichkolwiek danych osobowych przetwarzanych przez Podmiot Przetwarzający lub gdy mogłoby to spowodować zagrożenie tajemnicy przedsiębiorstwa Podmiotu Przetwarzającego.
  6. Wszelkie osoby (inne niż osoby zatrudnione przez Podmiot Przetwarzający) przeprowadzające audyt w pomieszczeniach lub systemach Podmiotu Przetwarzającego zobowiązane są do przestrzegania polityk bezpieczeństwa danych obowiązujących w organizacji Podmiotu Przetwarzającego, co zostanie potwierdzone na piśmie przez osoby przeprowadzające audyt przed rozpoczęciem przedmiotowego audytu. 

 

  • 14.

Obowiązek współpracy

  1. Podmiot Przetwarzający w miarę możliwości będzie współpracować z Administratorem Danych Osobowych w zakresie wykonywania przez podmioty danych uprawnień przewidzianych w art. 13-22 Rozporządzenia 2016/679. W szczególności Podmiot Przetwarzający jest zobowiązany:
  1. udzielać wszystkich informacji i wyjaśnień koniecznych do realizowania uprawnień podmiotu danych;
  2. dotrzymywać terminów związanych z realizacją uprawnień podmiotu danych.
  1. Administrator Danych Osobowych jest podmiotem wyłącznie właściwym i odpowiedzialnym za udzielanie odpowiedzi na pytania i wnioski dotyczące realizacji praw podmiotów danych, w tym wnioski o dostęp, sprostowanie, usunięcie, wymazanie, otrzymanie lub ograniczenie przetwarzania danych osobowych.
  2. Jeżeli podmiot danych zwróci się bezpośrednio do Podmiotu Przetwarzającego w celu realizacji przysługujących mu praw, Podmiot Przetwarzający przekaże taki wniosek Administratorowi Danych Osobowych w celu zajęcia się sprawą.
  3. Na żądanie Administratora Danych Osobowych, zgłoszone z odpowiednim wyprzedzeniem, nie krótszym niż 3  (słownie: trzech) dni robocze, Podmiot Przetwarzający udzieli mu w miarę możliwości pomocy:
  1. przy rozpatrywaniu wniosków dotyczących realizacji praw podmiotów danych; 
  2. pomoże mu wywiązać się z obowiązków określonych w art. 32-36 Rozporządzenia 2016/679; 

— z zastrzeżeniem, że w tych przypadkach Podmiot Przetwarzający może żądać od Administratora Danych Osobowych pokrycia uzasadnionych kosztów takiej pomocy, według standardowych stawek godzinowych stosowanych przez Podmiot Przetwarzający. Udzielenie pomocy następuje z uwzględnieniem charakteru przetwarzania oraz dostępnych informacji. 

  1. Podmiot Przetwarzający powinien współpracować z Administratorem Danych Osobowych przy wszelkich kontaktach Administratora Danych Osobowych z Prezesem Urzędu Ochrony Danych Osobowych, jak również uczestniczyć we wszystkich czynnościach kontrolnych prowadzonych przez Prezesa Urzędu Ochrony Danych Osobowych, w zakresie związanym z powierzeniem przetwarzania danych osobowych Podmiotowi Przetwarzającemu — z zastrzeżeniem, że Administrator Danych Osobowych jest zobowiązany do pokrycia udokumentowanych kosztów Podmiotu Przetwarzającego z tym związanych. 

 

  • 15.

Odpowiedzialność 

  1. Administrator Danych Osobowych ponosi odpowiedzialność za niewykonanie lub nienależyte wykonanie zobowiązań wynikających z Umowy, a w szczególności ponosi odpowiedzialność za:
  1. przetwarzanie danych osobowych niezgodnie z przepisami z zakresu ochrony danych osobowych lub niezgodnie z Umową;
  2. powierzenie przetwarzania danych osobowych niezgodnie z przepisami z zakresu ochrony danych osobowych;
  3. niedopełnianie obowiązków informacyjnych wobec Podmiotu Przetwarzającego wynikających z Umowy;
  4. nieuprzedzanie o czynnościach kontrolnych z wymaganym wyprzedzeniem;
  5. uchylanie się od współdziałania z Podmiotem Przetwarzającym;
  6. brak zwrotu kosztów, do zwrotu których jest zobowiązany. 
  1. Podmiot Przetwarzający ponosi odpowiedzialność za niewykonanie lub nienależyte wykonanie zobowiązań wynikających z Umowy, a w szczególności ponosi odpowiedzialność za:
  1. przetwarzanie danych osobowych niezgodnie z przepisami z zakresu ochrony danych osobowych lub niezgodnie z Umową;
  2. niezapewnienie odpowiedniego poziomu bezpieczeństwa przetwarzania danych osobowych;
  3. brak zawiadomienia Administratora Danych Osobowych o podejrzeniu naruszenia lub stwierdzeniu naruszenia ochrony danych osobowych;
  4. uchylanie się od współdziałania z Administratorem Danych Osobowych. 
  1. W zakresie dotyczącym wykonania Umowy Podmiot Przetwarzający ponosi względem Administratora Danych Osobowych odpowiedzialność wyłącznie za zdarzenia, które wystąpiły z wyłącznej winy Podmiotu Przetwarzającego, co w szczególności oznacza, że Podmiot Przetwarzający nie odpowiada za szkody powstałe w związku z działaniem, zaniechaniem lub przyczynieniem się Administratora Danych Osobowych lub osób trzecich, za które Podmiot Przetwarzający nie ponosi odpowiedzialności, lub wystąpieniem siły wyższej. W przypadku korzystania z innego podmiotu na potrzeby wykonania Umowy Głównej (np. podwykonawców) Podmiot Przetwarzający nie ponosi odpowiedzialności za działania lub zaniechania innego podmiotu w najszerszym dopuszczalnym przez prawo zakresie.
  2. Całkowita odpowiedzialność Podmiotu Przetwarzającego wobec Administratora Danych Osobowych z tytułu naruszenia Umowy jest ograniczona zgodnie z postanowieniami Umowy Głównej — z zastrzeżeniem, że ograniczenie odpowiedzialności nie dotyczy szkody, w stosunku do której, zgodnie z bezwzględnie obowiązującymi przepisami prawa, odpowiedzialności nie można wyłączyć lub ograniczyć, w szczególności szkody wyrządzonej umyślnie. 
  3. W przypadku, gdy Podmiot Przetwarzający poniesie jakiekolwiek koszty związane z naruszeniem Umowy przez Administratora Danych Osobowych, a w szczególności Podmiot Przetwarzający zapłaci osobie trzeciej odszkodowanie z tytułu szkody majątkowej lub niemajątkowej wynikłej z naruszenia przepisów z zakresu ochrony danych osobowych, wówczas Administrator Danych Osobowych zwróci Podmiotowi Przetwarzającemu, na zasadzie regresu, równowartość wszelkich udokumentowanych kosztów, w szczególności równowartość zapłaconego odszkodowania — chyba że szkoda poniesiona przez osobę trzecią wynikła ze zdarzenia, za którego wystąpienie Podmiotowi Przetwarzającemu można przypisać wyłączną odpowiedzialność.
  4. W przypadku nałożenia administracyjnej kary pieniężnej z winy Administratora Danych Osobowych Podmiot Przetwarzający jest uprawniony do żądania od Administratora Danych Osobowych zwrotu jej całości lub części.

 

  • 16.

Poufność

  1. Strony będą traktować Umowę jako poufną od dnia jej zawarcia. Zabronione jest, poza wyjątkami określonymi przepisami odrębnymi:
  1. przekazywanie informacji związanych z treścią Umowy, jak i jej realizacją, osobom trzecim;
  2. ujawnianie treści Umowy w części lub w całości osobom trzecim bez pisemnej zgody drugiej Strony.
  1. Ograniczenia, o których mowa w ust. 1, nie mają zastosowania w przypadku, gdy informacje lub treści objęte klauzulą poufności:
  1. staną się publicznie dostępne bez naruszenia postanowień niniejszej Umowy;
  2. zostaną ujawnione jakiejkolwiek osobie trzeciej po uzyskaniu uprzedniej pisemnej zgody drugiej Strony;
  3. ich ujawnienie będzie wymagane przepisami prawa lub orzeczeniem właściwego sądu, pod warunkiem, że Strona ujawniająca zawiadomi drugą Stronę o tym obowiązku przed takim ujawnieniem, o ile nie jest to sprzeczne z przepisami prawa.
    1. Postanowienia o poufności zawarte w ust. 1 nie będą stanowiły przeszkody dla którejkolwiek ze Stron w ujawnieniu informacji działającemu w imieniu Strony konsultantowi, zastępcy itp., z zastrzeżeniem zachowania przez nich wymogów określonych w ust. 1-2.
  • Strony podejmą wszelkie środki niezbędne do dochowania niniejszej klauzuli poufności przez ich pracowników, konsultantów, zastępców itp.

  • 17.

Postanowienia końcowe

    1. Użyte w Regulaminie nagłówki jednostek redakcyjnych (paragrafów) mają charakter informacyjny dla wygody Stron i nie wpływają na interpretację Regulaminu, podobnie jak kolejność ich uszeregowania.
    2. Prawem właściwym dla niniejszego Regulaminu jest prawo polskie.
    3. W kwestiach nieuregulowanych postanowieniami Regulaminu zastosowanie mają przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE L z dnia 4 maja 2016 r.), ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2019 poz. 1781, z późn. zm.), ustawy z dnia 23 kwietnia 1964 r. — Kodeks cywilny (t. j. Dz. U. 2020 poz. 1740, z późn. zm.) oraz inne właściwe przepisy prawa.
  • W przypadku jakichkolwiek sporów wynikłych pomiędzy Stronami odnośnie zawarcia, interpretacji, wykonania i skutków prawnych Regulaminu, Strony w dobrej wierze podejmą negocjacje w celu polubownego rozstrzygnięcia sporu. W razie braku rozwiązania sporu na drodze polubownej Strony oddadzą spór pod rozstrzygnięcie sądowi powszechnemu właściwemu dla siedziby Podmiotu Przetwarzającego.